linuxのログはnginxのアクセスログからsyslog、clamavのログ、mysqlのログと膨大になっている。Splunkは大量のログファイルから特定のメッセージを見つけることが可能。
以下からバイナリパッケージをダウンロードします。さくらのVPSだと、Linux 2.6 64bit用のバイナリを使用します。(splunk-5.0.5-179365-linux-2.6-x86_64.rpm)
http://ja.splunk.com/download
ダウンロードを行うには、ユーザ登録が必要。(ユーザ登録画面のタブ順番がちょっと変。First Name → Email Address →と項目が移ります。)
パッケージのインストール
rpm -ivh splunk-5.0.5-179365-linux-2.6-x86_64.rpm
splunkの起動
/opt/splunk/bin/splunk start
/var/logをインデックス対象に追加。usernameとPasswordは、SplunkのWEBフロントエンドの認証情報を入れます。
/opt/splunk/bin/splunk add tail /var/log Splunk username: admin Password: Added monitor of '/var/log'.
splunkのWEBポートがわからない場合は、以下コンフィグに記載されています。
vi /opt/splunk/etc/system/default/web.conf
以下のように表示されるようになります。
