Splunkを構築しよう(4)

こんにちは。アイシーティーリンクの鈴木です。
前回のブログでは計3回にわけてログ分析ツール「Splunk」について紹介してきました。splunkは多機能で奥が深く、3回のブログではインストールまでしかお伝え出来ませんでした。splunkをもっと知ってもらうべく、引き続きsplunkについて紹介していきます。

今回は、splunkの構成要素(コンポーネント)についてそれぞれの役割を説明していきます。コンポーネントは大きく分けて2つの種類があり、さらに機能ごとに役割があります。

・処理コンポーネント

インデクサー
splunkはテキストデータであれば、どんなデータでも取り込むことができます。インデクサーはそのデータを受信し、検索できる様に加工(インデックス化)し、格納、保存しておく機能です。

サーチヘッド
インデクサーに格納されたデータを検索・表示する機能です。

フォアーダ
収集したデータを転送する機能です。マシンから収集したデータをそのままインデクサーに転送するユニバーサルフォアーダと、条件を絞ったデータのみを Indexer に転送するヘビーフォアーダがあります。

・管理コンポーネント

ライセンスマスター
日々のデータ取り込み量を追跡し、ライセンス料を管理する機能を持ちます。

デプロイメントサーバ
フォア―ダに設定(app)を配信する機能を持ちます。複数台のフォア―ダがある場合、いっぺんに設定ができるため、とても便利です。

管理コンソール
Splunk全体のデータ取り込み状況や、ライセンス利用状況・インデックスデータのサイズ、リソース使用率をリアルタイムで監視することができます。

クラスターマネージャー
インデクサーをクラスター構成した際に、インデクサーに設定を配布したり、インデクサーに格納されているデータを管理する機能を持ちます。

サーチヘッドクラスターデプロイヤー
サーチヘッドをクラスター構成する場合、サーチヘッドを管理する機能を持ちます。

それぞれの関係を図にすると下記のようになります。Splunkの各コンポーネントがポートごとに通信のやりとりを行っています。

以上がコンポーネントごとの説明になります。

次回はそれぞれのコンポーネントに格納される、設定ファイルについてお伝えしていこうと思います。

最後までお読みいただきありがとうございます。