Splunk 6 ぐらいの頃に触った経験はあり、しばらくご無沙汰していた。
ログ保管を含め必要性を感じてきたため、改めて触ってみようと考え、記録として残してみた。
なお、M2 MacBook Airから、Parallels Desktopを介してWindows 11 Home評価版環境で作業している都合上、エラーは出るものの、一応動作している。
なお、Advent Calendar 2022 に関しての取り組みとして、連続投稿11日目になります。
ここでは、ログ分析ツール、Splunkのインストールから、Windowsのイベントログを検索するまでの手順を紹介します。
2022年12月現在、Ver.9.0.2となっていた。頻繁にアップデートしているようですね。
Splunkは、https://www.splunk.com/ja_jp から取得可能。60日間は有料プランと同じ機能が利用でき、61日目からは無償プランに切り替わるという。無償プランでは、1日の転送量が500MBまでに制限されるが、ログなので、よっぽどじゃないと、この容量を超えない気がする。splunkといえばマクニカさんだよね。興味があれば、マクニカさんに確認ください。
なお、私はマクニカ社の関係者ではありません。過去にSplunkについてマクニカさんにお世話になった1人です。
1)Splunk Enterprise のインストール
ライセンス同意書(英語)を眺めた上で、同意にチェック。[Next]をクリック
splunkにログインするユーザー情報をここで登録する。
Install をクリック
インストールが開始された。順調・・・・・
と思いきや、エラーが出てしまった。ホームエディションだからかな?OK連打
インストール完了! [Finish] をクリック
2)Splunk Universal Forwarderのインストール
Splunk Universal Forwarderとは、Splunkにデータを転送するためのツール。今回は同一VM内で検証するため、自分が自分自身に転送する、という方法になる。
先ほどと同様、ライセンスに同意しチェック。ここで、[Next]ではなく、[Customize Options]をクリック。
ここはデフォルトのままで、Next
このままで Next
今回はローカルなので、そのままで、Next
ここ重要!
イベントログにチェック。そして、Next
管理者アカウントを入力してNext
hostnameが良いかな。ポート番号は省略でOK。
hostnameが分からない場合は、コマンドプロンプトを立ち上げて、hostname で打てば出てくる。
受信する側。
今回はsplunkと同一マシンに入れるので、同じものを入れた。
ポート番号は空欄でOK。Nextをクリック
Install をクリック
アウチ…。ホームエディションだしね。エラーは無視してエラーウインドウはOKで連打。
インストールが完了した。Finishをクリック
Finish後、一度このツールを入れた機器の再起動をした方が良いぞ。
3)プラグインのインストール
ここでは、[ Splunk Add-on for Microsoft Windows ] をインストールする。
Splunk Apps画面からだと、プラグインのインストールが簡単だ。
左上の検索ボックスに、windows と入れれば、すぐに、Splunk Add-on for Microsoft Windows がHitする。
該当プラグインを見つけ、[インストール]をクリック。
splunkサイトの認証情報が聞かれる画面は出るけど、インストールは簡単だ。
4)諸設定
splunkの右上の[設定]から[転送と受信]をクリック
データの受信枠、[受信の設定]をクリック
右上にある[新しい受信ポート]をクリック
例に書かれている通りに、9997 と入れ、[保存]をクリック
作成された。
5)ログ分析
左上の[splunk]文字列をクリックするとトップ画面に戻る。
そこから、 Search & Reporting をクリック
[データサマリー]をクリック
ホスト名をクリック
イベントログがバーーーーっと表示された。
アプリケーションログだけ抽出してみた。
無事に動いた。
プラグインに、Cylanceがあり、これを年末年始作業の空き時間にでも作業してみようかな。
これをインストールしてみて展開してみた。
Cylanceコンソールとは接続していないので、ログは無いんだけどね。
結構作り込まれたアプリのように見受けられる。
ちょっと楽しみだ。
1 thought on “久しぶりにSplunkを触ってみた”
Comments are closed.