Splunk 101
急遽、Tomcat サーバのアクセスログを解析するタスクが舞い込み、短時間で作業ができるツールとして「Splunk」を使ってみた。
まずはSplunkの導入だが、調べてインストールする時間が勿体無かったので、AWSに用意されてるSplunk EnterpriseのAMIイメージを利用する事に。
このAMIイメージは一日当たり解析に投入できるデータ量が500MBに制限されるものの、正式にSplunk Enterpriseの機能を60日間無料で使用することが可能。
早速以下のページからAWS VMインスタンスのローンチを行うと、インスタントコーヒーのお湯を沸かしている間にSplunkが準備完了。
インスタンスが起動したら、以下のURLとユーザー情報でSplunkにサインイン。
http://<VMインスタンスのパブリックIPアドレス>:8000
ユーザー名前:admin
パスワード:SPLUNK-<VMインスタンスのID> 例)SPLUNK-i-03079ff74ec1a7467
まずは解析するデータの投入。一日当たりのアクセスログの容量が数MB程度だったので、解析する必要のあるTomcatのアクセスログを全部繋げて数百MBの一つのファイルとし、それをSplunkにアップロード。
いざ解析しようとするがやはり画面をみただけでは使い方が全然解らないので、以下のブログを参照しながらいくつか検索を試すうちに、少しづつ使い方の要領が呑み込めてきた。
使い始めてから一時間程で、ささっと打ち合わせで提示できるレポートを作成。初期の目標は達成できたが、このSplunkをもっと使いこなしたいという欲もでてきて、現在無料のチュートリアルで学習中。