こうしてブログに書き始めると、技術ネタを書くのって構成の検討が結構大変ですね。あまり更新間隔をあけず、さりとて無意味すぎる記事を載せないようにバランスの良い技術検証とストーリー作りが必要そうです。もう1個くらいテーマを取り入れていつかテーマ同士が勝手に連携されることを祈るのも良いかもしれません。

それはともかく、長期的に取り扱えそうなネタの一つとしてログ解析をテーマとして取り上げることにしました。具体的なログ解析ツールはSplunkを使用します。

前段

少し自己紹介をすると、半年ほど前からある組織の情シスに所属しています。社員数は2000名程度で一部のブランチオフィスはあれど、基本的に1拠点に社員が集約されている形です。この組織では諸々のシステム利用状況の監査状況が曖昧になっている状況です。というのも情シスの待遇というか組織内での地位がイマイチで、情シスの人数や技術スキル共にお世辞にも高いレベルとは言えない具合です。
昨年度に情シスの取りまとめ役のボスのボスが代わり、その偉い人は流石にマズいと思ったのか、情シスの刷新を図ることを画策したようです。その刷新により、技術力向上・自前主義・コストダウンという3本の柱を打ち立てて新情シスが誕生しつつある、というのが今の流れです。あ、私はちょっとしたツテで声がかかった次第です。ちょうど転職しようかなとぼんやり考えていた時期でした。

この刷新により我が情シスは人数が10人(部長1、課長2、事務1、技術員？6)からボス1、事務1、技術員3人の合計5人に減りました。部長と課長一人がどこかに行き、残りの課長がボスに昇格し課長職が消滅しました。技術員は一人を残して全員どこかに行き、新たに入った私ともう一人で構成されます。

私は特段優れた技術を持っているわけではありませんが、ネットワーク、サーバインフラから一般的なミドルウェア、適当なソフトウェア開発等を広く浅く触っていたためそこに注目されたようです。ちなみに苦手領域はデータベースです。

直近のミッションとしてはハードウェア保守限界を迎えつつある社内ネットワークの刷新と各ITインフラのロギング及び可視化を行うことです。
現在もログサーバはあるのですが、rsyslogやKiwiでとりあえず貯めているという状態で可視性も良くない上にログローテーション設計が適当なので、きちんと調査をしようとするとかなりの手間がかかる状態です。今回のシステム刷新に合わせてログ管理をまともにやろうと計画を立てているところです。比較検討に使える時間はあと150日です。

Splunk

ログ可視化ツールは色々ありますが、最近広まっている感のある製品です。とはいえ自分で構築したことがないので何ができるのか、何を考慮しておく必要があるのか、監視対象製品に求める要件はないか等、調査しておくべきことが無数にあります。そこで、評価版のSplunkライセンスを使用してSplunk語に慣れることと実際に検証をしてみようと思っています。

自宅環境にもSplunkを単体インストールし、遊んでみた記録をするというのが今回の企画の趣旨です。今日は・・・

インストールして日本語表示にして・・・

この前触ってたIAPからのSyslogを受け付けるように設定し・・・(Windowsファイアウォールに引っかかりました)

とりあえずログが受信されていることまで確認しました。インデックスとかソースタイプとか一般用語なのかSplunk語なのか分からないような言葉が出てきて謎は深まるばかりですが、マニュアルは充実しているようなのでこれからじっくり読み込んでいこうと思います。Splunkのバージョンは7です。