Splunkとは何か。Splunkは 主にセキュリティのインシデント分析(SIEM)を
中心としたログデータの検索・分析システム。
CSVやJSONなどテキスト形式のデータであれば何でも取り込める。データベースのように
スキーマを定義する必要が無く、Splunkが自動的に判別する。検索スピードもとても速い。この手の分析ツールは高価で大企業しか使えないイメージがあるが無償版も提供している。1日500MB未満のデータ取り込みであれば無料で使えるので、個人で使うのであれば十分過ぎる。
とりあえず使ってみるために以下のチュートリアルを参考にインストールした。
http://docs.splunk.com/Documentation/Splunk/latest/SearchTutorial/InstallSplunk
OSはCentOS 6.2
オペレーションは以下のとおり。
1.ルートに切り替える。
su root ( splunk do not needs root user! )
2.Splunkを展開。とりあえず/optへ。
tar xvzf splunk-6.0.2-196940-Linux-x86_64.tgz -C /opt
2.Splunkを展開。とりあえず/optへ。
tar xvzf splunk-6.0.2-196940-Linux-x86_64.tgz -C /opt
詳細は以下のURL
http://docs.splunk.com/Documentation/Splunk/6.0.3/Installation/InstallonLinux
3.Splunkを開始するためにシェルを作っておく。
3-1.cd /opt
3-2.vim run_splunk.sh
cd /splunk/bin
./splunk start
3-3.chmod +x run_splunk.sh
4.splunkを開始する。
4-1. ./run_splunk.sh
installration processing, you need to agree user licencse.
4-2. splunk web site is http://hostname:8000
5.splunkにサインする。
3.Splunkを開始するためにシェルを作っておく。
3-1.cd /opt
3-2.vim run_splunk.sh
cd /splunk/bin
./splunk start
3-3.chmod +x run_splunk.sh
4.splunkを開始する。
4-1. ./run_splunk.sh
installration processing, you need to agree user licencse.
4-2. splunk web site is http://hostname:8000
5.splunkにサインする。
デフォルト認証情報は以下のとおり。
user admin
pass changeme
パスワードの変更を求められるので変える。
user admin
pass changeme
パスワードの変更を求められるので変える。
以上で完了。簡単過ぎ。
