Splunk Enterprise 6.2.0
インストールマニュアル
作成：2014 年 11 ⽉ 21 ⽇ 午後 4 時 16 分
Copyright (c) 2015 Splunk Inc. All Rights Reserved
Table of Contents
Splunk Enterpri se インストールマニュアルにようこそ
このマニュアルの内容
このマニュアルの各部について
4
4
4
Splunk Enterpri se インストールのプランニング
4
インストールの概要
4
システム要件
5
Splunk Enterprise のアーキテクチャとプロセス
9
Splunk Enterprise で配布されている Windows 版のサードパーティ 10
製バイナリに関する情報
インストール⼿順
12
Splunk Enterpri se インストールのセキュリティ
Splunk Enterprise のセキュリティについて
Splunk Enterprise をインストールする前のシステムの保護
Splunk Enterprise の安全なインストール
その他の Splunk Enterprise の保護⼿段
12
12
12
12
12
Wi ndows への Splunk Enterpri se のインストール
13
Splunk Enterprise を実⾏するためのユーザーの選択
13
ネットワークまたはドメインユーザーとしての、Splunk Enterprise 15
インストール⽤ Windows ネットワークの準備
Windows へのインストール
20
コマンドラインを使った Windows へのインストール
24
Windows インストール時に選択したユーザーの修正
28
Li nux、Wi ndows、または Mac OS X への Splunk Enterpri se のイ 28
ンストール
Linux へのインストール
28
Solaris へのインストール
31
Mac OS X へのインストール
33
FreeBSD へのインストール
35
AIX へのインストール
37
HP-UX へのインストール
38
Splunk Enterprise を別のユーザーまたは⾮ root ユーザーとして実 39
⾏
Splunk Enterpri se の使⽤開始
初めての Splunk の起動
次は何？
Splunk Enterprise のアクセシビリティについて
41
41
43
43
Splunk Enterpri se ライセンスのインストール
Splunk Enterprise のライセンスについて
ライセンスのインストール
44
44
44
Splunk Enterpri se のアップグレードまたは移⾏
Splunk Enterprise のアップグレード⽅法
6.2 へのアップグレードについて - 最初にお読みください
バージョン 5 からバージョン 6 への Splunk Web の操作の変更
Splunk App 開発者向けの変更
UNIX での 6.2 へのアップグレード
44
45
46
48
49
49
Windows での 6.2 へのアップグレード
Splunk Enterprise インスタンスの移⾏
新しい Splunk Enterprise ライセンサーへの移⾏
51
52
54
Splunk Enterpri se のアンインストール
Splunk Enterprise のアンインストール
55
55
参考情報
PGP 公開鍵
57
57
Splunk Enterprise インストールマニュアルによう
こそ
このマニュアルの内容
Splunk Enterprise のインストール⽅法を学習するには、『インストールマニュアル』を使⽤します。
このマニュアルでは、以下の事項について説明しています。
システム要件
ライセンス情報
インストール⼿順
古いバージョンからのアップグレード⼿順
その他の情報も取り上げています。
注意：『インストール・マニュアル』は、完全版 Splunk Enterprise のインストールのみを説明していま
す。 Splunk のユニバーサルフォワーダー をインストールする場合は、『データの転送』マニュアルの「ユニ
バーサルフォワーダーのデプロイの概要」を参照してください。⼀部の機能を無効化または変更した完全版の
Splunk Enterprise インスタンスであるヘビー/ライトフォワーダー と違い、ユニバーサルフォワーダーはまった
く別の実⾏形式ファイルで、インストール⼿順も異なっています。フォワーダーの概要については、「転送と受信
について」を参照してください。
⽬的の記事の検索
このパネルの左側にある⽬次を使うか、または右上のサーチボックスに探したい項⽬を⼊⼒してサーチを⾏ってく
ださい。
特定の状況に関する事項やベストプラクティスについては、Splunk コミュニティ Wiki で他のユーザーの体験談
や意⾒をご覧ください。
PDF を作成
このマニュアルの PDF 版が欲しい場合は、このページの⽬次の左下にある⾚い [Download the Admin
Manual as PDF ] リンクをクリックしてください。PDF 版のマニュアルがその場で作成されます。作成された
PDF は後で利⽤するために保存、印刷することができます。
このマニュアルの各部について
内容をより分かりやすく、当社のお客様が⽬的の情報を簡単にご利⽤いただけるように、Splunk Enterprise のイ
ンストールに直接的な関係のないすべての情報を、このマニュアルから他のマニュアルに移動いたしました。
これらの情報の⼤半は、このマニュアルと『分散デプロイ』マニュアルの内容を引き継いだ、『キャパシティ・プ
ランニング』マニュアルに移⾏されています。
Splunk Enterprise インストールのプランニング
インストールの概要
ここでは、Splunk Enterprise をコンピュータにインストールするために必要な⼿順を説明していきます。インス
トールを実施する前に、このトピックおよびこの章の内容をお読みになることを強くお勧めします。
インストールの基本
Splunk Enterprise のインストール⽅法を以下に⽰します。
1. インストールのシステム要件を確認します。Splunk Enterprise をインストールするオペレーティングシステ
ム、および Splunk Enterprise の使⽤⽅法によっては、他の条件も適⽤される場合があります。
2. 「Splunk Enterprise デプロイのコンポーネント」で Splunk Enterprise のエコシステムについて、また
「Splunk のアーキテクチャとプロセス」でインストーラがコンピュータに何をインストールするのかを学習しま
す。
3. 「Splunk Enterprise インストールのセキュリティ」の章を参照し、必要に応じて Splunk Enterprise をイン
ストールする予定のマシンを保護してください。
4. Splunk Enterprise のダウンロードページから、ご利⽤のシステムに適したインストールパッケージをダウン
ロードします。
5. ご⾃分のオペレーティングシステムに対応したインストール⼿順を使って、インストールを実⾏します。
6. Splunk Enterprise を初めてインストールする場合は、『Splunk サーチチュートリアル』を読んで、データの
インデックス作成⽅法およびサーチ⾔語を使ったデータのサーチの概要を学習することをお勧めします。
7. Splunk Enterprise をインストールしたら、データのインデックス作成に必要なディスクスペースを計算するこ
4
とができます。詳細は、「ストレージ要件の⾒積もり」を参照してください。
8. 実際の運⽤環境で Splunk Enterprise を実⾏する予定で、その環境に必要なハードウェアを⾒積もる⽅法につ
いては、『キャパシティ・プランニング』マニュアルを参照してください。
Splunk Enterprise インスタンスのアップグレードまたは移⾏
古いバージョンの Splunk Enterprise からアップグレードする場合は、このマニュアルの「Splunk Enterprise
のアップグレード⽅法」を参照してください。あるバージョンから他のバージョンへの移⾏に関するヒントや注意
事項については、アップグレードするバージョンの「最初にお読みください」を参照してください。このトピック
は、このマニュアルの「Splunk Enterprise のアップグレードまたは移⾏」にあります。
あるシステムから別のシステムに Splunk Enterprise インスタンスを移動する場合は、このマニュアルの
「Splunk インスタンスの移⾏」を参照してください。
システム要件
Splunk Enterprise をダウンロード、インストールする前に、このトピックをお読みになり Splunk がサポートす
るコンピューティング環境を学習してください。最新版をダウンロードするには、ダウンロードページを参照して
ください。既知の問題および修正された問題の詳細は、リリース・ノートを参照してください。
デプロイ⽤のハードウェア・プランニングについては、『キャパシティ・プランニング』マニュアルを参照してく
ださい。
将来のリリースでの、新しい機能に関するご意⾒やご要望がある場合は、Splunk サポートにご連絡ください。ま
た、当社の製品ロードマップもご覧ください。
サポートするサーバーのハードウェアアーキテクチャ
Splunk は、⼀部のプラットフォームに対して、32 ビットおよび 64 ビットのアーキテクチャをサポートしてい
ます。詳細はダウンロードページを参照してください。
サポートしている OS
重要： システム要件を調べる場合は、以下の 表を⼊念にご確認ください。Splunk の要件は前のバージョンと⼤
幅に変更されています。
以下の表には、Splunk を利⽤できるコンピューティングプラットフォームが記載されています。最初の表には、
*nix 系の、2 番⽬の表には Windows 系の情報が記載されています。
ご利⽤のプラットフォームで Splunk を利⽤できるかどうかを確認するには：
1. 左列から Splunk をインストールするオペレーティングシステムを探します。
2. 次に中央列にある説明を参考に、ご⾃分の環境に最適なコンピューティングアーキテクチャを探します。
この表では、Splunk Enterprise/トライアルと Splunk ユニバーサルフォワーダーの、2 種類の Splunk の利⽤可
否が右列に記載されています。ご⾃分のコンピューティングプラットフォームと⽬的の Splunk 単位の交点に
「✔」が記載されていれば、そのプラットフォームで Splunk をご利⽤いただけます。ボックスが空の場合
は、そのプラットフォームでそのタイプの Splunk はご利⽤いただけません。プラットフォームまたはアーキテク
チャが記載されていない場合は、そのプラットフォームやアーキテクチャで Splunk は利⽤できません。
⼀部のボックスには、「✔」の代わりにその他の⽂字が記載されています。それらの⽂字の意味については、
各表の下部の説明を参照してください。
UNIX
オペレーティングシステム
Solaris 10 および 11*
アーキテク
チャ
Enterprise
Free
トライ
アル
ユニバーサルフォ
ワーダー：
x86 (64 ビッ
ト)
✔
✔
✔
✔
SPARC
✔
✔
✔
✔
x86 (32 ビッ
ト)
*
*
*
*
x86 (64 ビッ
ト)
✔
✔
✔
✔
x86 (32 ビッ
ト)
✔
✔
✔
✔
x86 (64 ビッ
ト)
✔
✔
✔
✔
x86 (32 ビッ
ト)
✔
✔
✔
✔
Linux、2.6 以上
Linux、3.0 以上
5
PowerLinux、2.6 以上
PowerPC
✔
zLinux、2.6 以上
s390x
✔
FreeBSD 7**
x86 (32 ビッ
ト)
✔
x86 (64 ビッ
ト)
✔
✔
✔
✔
FreeBSD 8
x86 (32 ビッ
ト)
✔
FreeBSD 9
x86 (64 ビッ
ト)
✔
✔
✔
✔
Mac OS X 10.8 および 10.9
Intel
✔
✔
✔
✔
AIX 6.1 および 7.1
PowerPC
✔
✔
✔
✔
HP/UX†11i v2 および 11i v3
Itanium
✔
* Solaris 10 でSplunk を利⽤できます (サポートあり)。Solaris 11 は 32 ビット版 Splunk のインストールをサ
ポートしていません。
** 以下の FreeBSD 7 互換性に関する重要な注意をご覧ください。
† HP/UX インストールアーカイブを解凍するには、gnu tar を使⽤する必要があります。
Windows
以下の表には、Splunk を利⽤できる Windows コンピューティングプラットフォームが記載されています。
オペレーティングシステム
Windows Server 2003 および
Server 2003 R2
アーキテク
チャ
Enterprise
Free
トライ
アル
ユニバーサルフォ
ワーダー：
x86 (64 ビッ
ト)
✔
x86 (32 ビッ
ト)
✔
x86 (64 ビッ
ト)
✔
✔
✔
✔
x86 (32 ビッ
ト)
***
***
***
✔
x86 (64 ビッ
ト)
✔
✔
✔
✔
x86 (64 ビッ
ト)
✔
✔
✔
x86 (32 ビッ
ト)
***
***
✔
x86 (64 ビッ
ト)
✔
✔
✔
x86 (32 ビッ
ト)
***
***
✔
x86 (64 ビッ
ト)
✔
✔
✔
x86 (32 ビッ
ト)
***
***
✔
Windows Server 2008
Windows Server 2008 R2、
Server 2012、および Server
2012 R2
Windows 7
Windows 8
Windows 8.1
*** このバージョンの Splunk は利⽤でき、サポートされていますが、このプラットフォームおよびアーキテクチャ
での使⽤はお勧めできません。
オペレーティングシステムに関する注意事項と追加情報
6
Wind ows
Windows 上の Splunk の機能の⼀部は、正常に動作するために適切なユーザー権限が必要になります。必要な事
項に関する情報は、以下のトピックを参照してください。
このマニュアルの「Splunk のアーキテクチャとプロセス」。
このマニュアルの「Splunk を動作させるユーザーの選択」。
『データの取り込み』マニュアルの「リモート Windows データの監視⽅法を決定するための検討事項」。
FreeBS D 7 .x
32 ビット版の FreeBSD 7.x 上で Splunk 6.x を実⾏するには、compat6x ライブラリをインストールします。
Splunk サポートは、FreeBSD 7.x を利⽤しているユーザーの⽅向けに、「ベストエフォート」サポートを提供い
たします。詳細は、コミュニティ Wiki の「Install Splunk on FreeBSD 7」を参照してください。
⾮推奨のオペレーティング・システムと機能
Splunk 製品を進化させていく上で、徐々に古いオペレーティングシステムのサポートを廃⽌していく予定です。
廃⽌予定または完全に削除されたプラットフォームと機能の詳細については、リリースノートの「⾮推奨の機能」
または「廃⽌予定の機能」を参照してください。
UTF-8 以外の OS での設定ファイルの作成と編集
Splunk は、ASCII またはUTF-8 形式の設定ファイルを前提にしています。UTF-8 ⽂字セットを使⽤しない OS
上で設定ファイルを編集または作成する場合、使⽤しているエディタが ASCII/UTF-8 形式で保存するように設定
されていることを確認する必要があります。
IPv6 プラットフォームサポート
Splunk がサポートするすべての OS プラットフォームは、以下を除いて IPv6 設定での使⽤がサポートされてい
ます。
AIX
PA-RISC アーキテクチャ上の HP/UX
Solaris 9
Splunk の IPv6 サポートの詳細は、『管理マニュアル』の「Splunk の IPv6 の設定」を参照してください。
サポートするブラウザ
Splunk Enterprise は以下のブラウザをサポートしています。
Firefox ESR (24.2) 以降
Internet Explorer 9、10、および 11
Safari (最新版)
Chrome (最新版)
また、JSChart モジュールがサポートしていないオプションを使⽤するグラフを表⽰する場合は、最新版の
Adobe Flash もインストールする必要があります。詳細は、『データの視覚化』マニュアルの「JSChart につい
て」を参照してください。
推奨ハードウェア
Splunk Enterprise は⾼性能のアプリケーションです。⽣産環境での Splunk 利⽤の総合的な評価を⾏っている場
合、ご⾃分の環境で⼀般的なハードウェアを利⽤することをお勧めします。このハードウェアは、以下に説明する
推奨ハードゥエア要件を満たしているか、またはそれ以上 でなければなりません。
分散 Splunk デプロイ環境のハードウェア・プランニングの詳細は、『キャパシティ・プランニング』マ
ニュアルの「Splunk Enterprise のキャパシティ・プランニングについて」を参照してください。
Splunk と仮想マシン
Splunk Enterprise をプラットフォーム上の仮想マシン (VM) で実⾏する場合、パフォーマンスが低下します。こ
れは、システムのハードウェアをリソースプールとしてとらえ、システム上の各仮想マシンはそこから必要に応じ
てリソースを利⽤しているためです。Splunk Enterprise はインデックス作成処理のために、ディスク I/O など
のさまざまなリソースに持続的にアクセスする必要があります。他の仮想マシンとともに、Splunk を仮想マシン
上で実⾏すると、インデックス作成とサーチのパフォーマンスが低下する可能性があります。
推奨するハードウェア要件と最低要件
プラットフォーム
推奨するハードウェア要件
サポートする最低ハードウェア
要件
Windows 以外のプ
ラットフォーム
2x 6 コア、2+ GHz CPU、12 GB RAM、RAID 0 ま
1x1.4 GHz CPU、1 GB RAM
たは 1+0、64 ビット版 OS 使⽤。
Windows プラット
フォーム
2x 6 コア、2+ GHz CPU、12 GB RAM、RAID 0 ま Intel Nehalem または同等の
たは 1+0、64 ビット版 OS 使⽤。
2GHz CPU、2 GB RAM
注意 ：RAID 0 構成は障害対策は提供していません。RAID 0 システムに Splunk インデクサーをデプロイする前
7
に、RAID 0 構成がご⾃分のデータ信頼性のニーズを満たしているかどうかを確認してください。
ユニバーサルフォワーダーとライトフォワーダーを除き、他のすべてのインスタンスは推奨ハードウェア要
件を満たしている必要があります。
最低ハードウェア要件は、Splunk の個⼈利⽤を前提にしています。⽣産環境での Splunk 使⽤の要件は、
⼤幅に⾼くなっています。
重要： フォワーダーを含めたすべての Splunk インストールで、インデックス作成に必要なディスクスペース
の他に 5 GB 以上のディスクスペースが必要です。詳細は、このマニュアルの「ストレージ要件の⾒積もり」を
参照してください。
ユニバーサルフォワーダーおよびライトフォワーダーのハードウェア要件
推奨 デュアルコア 1.5 GHz+ プロセッサ、1 GB+ RAM
最⼩ 1.0 GHz プロセッサ、512 MB RAM
サポートしているファイルシステム
プラットフォーム
ファイルシステム
Linux
ext2/3/4、reiser3、XFS、NFS 3/4
Solaris
UFS、ZFS、VXFS、NFS 3/4
FreeBSD
FFS、UFS、NFS 3/4、ZFS
Mac OS X
HFS、NFS 3/4
AIX
JFS、JFS2、NFS 3/4
HP-UX
VXFS、NFS 3/4
Windows
NTFS、FAT32
注意： 上記に記載されていないファイルシステム上で Splunk Enterprise を実⾏した場合、そのファイルシステ
ムで Splunk を実⾏できるかどうかを確認するために、スタートアップユーティリティ locktest が実⾏されるこ
とがあります。Locktestは、起動プロセスをテストするプログラムです。locktest を実⾏したけれども失敗した場
合、そのファイルシステムで Splunk を実⾏することはできません。
*nix システムでのファイル記述⼦ (FD) 制限に関する検討事項
Splunk Enterprise は、*nix システム上で監視対象ファイル、フォワーダー接続、デプロイクライアント、および
サーチを実⾏しているユーザーなどに、ファイル記述⼦を割り当てます。
⼀般的に、デフォルトのファイル記述⼦数の限度 (*nix ベースの OS 上で ulimit -n コマンドを使って管理) は
1024 です。Splunk 管理者は、適切な値を決定する必要があります。最低でも 8192 にする必要があります。上
記の各アクティビティに対して Splunk がそれぞれ 1 つのファイル記述⼦を割り当てる場合でも、数百件のファ
イルを監視し、数百台のフォワーダーがデータを送信し、数⼈のとてもアクティブなユーザーがデータストアから
読み書きを⾏うと、デフォルトの設定ではあっという間に制限値に達してしまいます。
Splunk Enterprise インスタンスが⾏う作業が増えると、より多くのファイル記述⼦が必要になります。そのた
め、ファイル記述⼦数の制限値が低いために問題が発⽣しているような場合は、ulimit の値を増やす必要がありま
す。
詳細は、『トラブルシューティングマニュアル』の ulimit に関する項⽬を参照してください。
この検討事項は、Windows ベースのシステムには当てはまりません。
ネットワークファイルシステム (NFS) の検討事項
Splunk インデックス作成⽤のストレージメディアとしてネットワークファイルシステム (NFS) を使⽤する場
合、ファイルレベルのストレージのすべての悪影響を検討する必要があります。
データのインデックス作成には、ファイルレベルのストレージではなく、ブロックレベルのストレージを使⽤する
ことを強くお勧めします。
⾼信頼で広帯域幅、低遅延のリンクを使⽤する環境、または⾼可⽤性のクラスタ構成ネットワークストレージを提
供するベンダーを使⽤する環境の場合、NFS は妥当な選択になり得ます。ただし、この⼿段の採⽤を考えている
場合は、ご利⽤のハードウェアメーカーと協⼒して、使⽤するストレージプラットフォームがパフォーマンスと
データ整合性の両⾯で、⽬的の性能や仕様を満たせるかどうかを綿密に調査する必要があります。
NFS を使⽤する場合は、以下の事項に注意する必要があります。
Splunk Enterprise は NFS の「ソフト」マウントをサポートしていません (障害発⽣時に、マウント上で
ファイル操作を試みているプログラムに、エラーを報告させて、そのまま続⾏させるようなマウント)。
Splunk の信頼性を保つために、NFS ハード・マウント (障害発⽣時に、クライアントにサーバーとの通信
試⾏を継続させるようなマウント) のみを利⽤できます。
属性のキャッシングは無効にしないでください。属性のキャッシングを無効にする、または減らすような他
のアプリケーションを使⽤している場合、Splunk には別個の属性キャッシングが有効なマウントを割り当
てる必要があります。
WAN 経由の NFS は使⽤しないでください。使⽤するとパフォーマンス上の問題が発⽣し、データの消失に
つながる可能性があります。
8
SSD に関する検討事項
SSD は従来のハードドライブと⽐べ、ブルームフィルタと組み合わせて Splunk のレアサーチ (⼤量のデータに対
して少量の結果を要求するサーチ) を実⾏する場合に、⼤幅に優れたパフォーマンスを発揮します。また、同時
サーチを実⾏する場合にもパフォーマンスを発揮します。
CIFS/SMB に関する検討事項
Splunk Enterprise では、データストレージメディアとして、CIFS/SMB プロトコルを利⽤することができま
す。ストレージとして CIFS リソースを使⽤する場合、ファイルレベルと共有レベルの両⽅で、リソースに接続す
るユーザーに書き込み権限を与えるように設定する必要があります。サードパーティ製のストレージデバイスを使
⽤する場合、その CIFS の実装内容が、クライアントとして動作する Splunk Enterprise インスタンスの実装内
容と互換性があることを確認してください。
マップされたネットワーク・ドライブへのデータのインデックス作成は⾏わないでください (例：外部共有にマッ
プされた「Y:\」)。Splunk Enterprise は、⾮物理ドライブ⽂字を持つドライブのインデックス作成を無効にしま
す。
Splunk Enterprise のアーキテクチャとプロセス
ここでは、Splunk Enterprise の内部アーキテクチャとプロセスの詳細を説明していきます。Splunk で使われて
いるサードパーティ製コンポーネントに関する情報をお探しの場合は、リリースノートの該当するセクションを参
照してください。
プロセス
Splunk Enterprise サーバーは、ホストにプロセス
splunkd
をインストールします。
は、配信される IT データにアクセス、処理、インデックス作成を⾏う、分散 C/C++ サーバーで
す。また、サーチリクエストも処理します。splunkdは、⼀連のパイプラインにデータを通して、データの処
理とインデックスの作成を⾏います。各パイプラインは、⼀連のプロセッサから成り⽴っています。
パイプライン は、splunkd 内のスレッドで、それぞれが単⼀の XML スニペットで設定されています。
プロセッサ は、再利⽤可能な C または C++ 関数で、パイプラインを通過する IT データストリーム
の処理を⾏います。あるパイプラインから別のパイプラインに、キュー 経由でデータを渡せま
す。splunkdでは、サーチの実⾏と結果の表⽰のための、コマンドラインインターフェイスを利⽤でき
ます。
バージョン 6.2 では、splunkd が Splunk Web インターフェイスも提供しています。ユーザーはこれを
利⽤して、Splunk サーバーが保管しているデータをサーチ、参照し、また Splunk デプロイ環境を管
理することができます。REST (REpresentational State Transfer) を介して Web ブラウザと通信しま
す。
splunkd は、ポート 8089 で Web サーバーを実⾏します。SSL/HTTPS は、デフォルトで有効になっ
ています。
また、ポート 8000 でも Web サーバーを実⾏します。こちらで SSL/HTTPS は、デフォルトで無効
になっています。
splunkd
は、レガシー専⽤サービスとして Windows にのみインストールされます。6.2 より前にバージョ
ンでは、このサービスが Splunk ⽤の Web インターフェイスを提供していました。現在でも、インストー
ル、実⾏されますが、即座に終了されます。「レガシー・モード」で実⾏するには、設定パラメータを変更
します。
splunkweb
Windows システムで splunkweb.exe は、サードパーティ製のオープンソース実⾏形式ファイルで、Splunk では
pythonservice.exe から名前を変更して使⽤されています。これは名前が変更されたファイルのため、他の
Windows 版 Splunk バイナリと同じバージョン情報を保有していません。
Splunk で配布されている他のサードパーティ製バイナリについての情報はここを参照してください。
Splunk Enterprise とセーフモードの Windows
Windows がセーフモードの場合、splunkd、splunkweb、SplunkForwarder サービスは起動しません。また、セーフ
モードで [スタート] メニューから Splunk を起動しようとしても、サービスが動作していないことを知らせる
メッセージは表⽰されません。
Windows 版 Splunk Enterprise の追加プロセス
Windows 版の Splunk インスタンスには、前述の 2 つのサービスに加えて、Splunk インスタンス上で特定の
データ⼊⼒を作成する際に使⽤される、追加のプロセスが存在しています。これらの⼊⼒は、特定の種類の
Windows 固有のデータ⼊⼒の設定時に実⾏されます。
splunk.exe
は、Windows 版 Splunk の制御アプリケーションです。プログラムのコマンドラインインターフェイ
ス (CLI) を提供しており、これを利⽤して Splunk の開始、停⽌、および設定を⾏えます。*nix 版の splunk プロ
グラムと似ています。
splunk.exe
重要： splunk.exeを実⾏するには、splunkd および splunkweb プロセスを制御する仕組みのため、上位のコンテキス
トが必要です。この実⾏形式に Windows システムでの適切な権限を与えていない場合、Splunk が正常に動作し
ない可能性があります。Splunk を Local System ユーザーとしてインストールした場合、これは問題にはなりま
9
せん。
splunk-admon
は、Active Directory モニター⼊⼒を設定した場合に、splunkd により開始されます。splunkActive Directory ドメインコントローラに接続し、Active Directory が
⽣成した変更イベントを収集することにあります。Splunk はそれらのイベントを適切なインデックスに保管しま
す。
splunk-admon.exe
admonの⽬的は、利⽤可能なもっとも近い
splunk-perfmon
は、ローカルマシン上のパフォーマンスデータをモニターするように Splunk を設定した場合
に実⾏されます。このサービスは、システム上のパフォーマンスライブラリにクエリを⾏って、その時点のパ
フォーマンス測定基準とパフォーマンス測定基準履歴の両⽅を収集する、パフォーマンスデータヘルパーライブラ
リに接続します。
splunk-perfmon.exe
splunk-netmon
は、ローカルマシン上の Windows ネットワーク情報をモニターするように Splunk を設定した場合
に実⾏されます。
splunk-netmon
splunk-regmon
は、Splunk でレジストリのモニター⼊⼒を設定した場合に実⾏されます。この⼊⼒は、まず現
在の状態のレジストリのベースラインを書き込んで (必要な場合)、次にその後のレジストリの変更をモニターして
いきます。これらの変更は、Splunk にサーチ可能なイベントとして保管されます。
splunk-regmon.exe
splunk-winevtlog
このユーティリティを使って、定義したイベントログのコレクションをテストすることができます。また、収集し
たイベントを調査のために出⼒できます。Splunk のエンジンには、Windows イベントログ⼊⼒プロセッサが組
み込まれています。
splunk-winhostmon
は、Splunk で Windows ホストのモニター⼊⼒を設定した場合に実⾏されます。この⼊⼒は、
Windows ホストに関する詳細情報を取得します。
splunk-winhostmon
splunk-winprintmon
は、Splunk で Windows 印刷のモニター⼊⼒を設定した場合に実⾏されます。この⼊⼒は、
ローカルシステム上の、Windows プリンタおよび印刷ジョブの詳細情報を取得します。
splunk-winprintmon
splunk-wmi
リモートコンピュータに対してパフォーマンスのモニタリング、イベントログ、および他の⼊⼒を設定した場合、
このプログラムが開始されます。⼊⼒の設定内容に応じて、このプログラムはマシンに接続して送信されてくる
Windows イベントログを読み込むか、または指定したリモートマシン上の Windows Management
Instrumentation (WMI) プロバイダに対して、Windows クエリ⾔語 (WQL) によるクエリを実⾏します。Splunk
は取得したイベントを保管します。
アーキテクチャの概要図
Splunk Enterprise で配布されている Windows 版のサードパーティ
製バイナリに関する情報
10
このトピックは、Splunk Enterprise および Splunk ユニバーサルフォワーダーに含まれている、サードパーティ
製の Windows バイナリに関する情報を取り上げています。
Splunk ユニバーサルフォワーダーの詳細は、『データの転送』マニュアルの「ユニバーサルフォワーダーのデプ
ロイ」を参照してください。
Splunk Enterprise に含まれているサードパーティ製の Windows バイナリ
Splunk Enterprise には、以下のサードパーティ製 Windows バイナリが同梱されています。特に明⽰のない限
り、これらのバイナリは Splunk Enterprise 製品にのみ含まれています。
それぞれに説明があるように、これらのバイナリは Splunk Enterprise に機能を提供しています。これらのバイ
ナリには、ファイルのバージョン情報や authenticode 署名 (バイナリファイルの信頼性を証明する証明書) は含
まれていません。また Splunk は、サードパーティ製モジュールに関連する、デバッグシンボルのサポートは提供
していません。
注意： Splunk Enterprise に同梱されているサードパーティ製のバイナリ、App 、およびスクリプトのみが、
Certified for Windows Server 2008 R2 (CFW2008R2) Windows Logo 準拠のテストが⾏われています。他のバ
イナリ、App、またはスクリプト (Splunk の機能を拡張する⽬的でインターネットからダウンロードしたものな
ど) は、準拠しているかどうかのテストは⾏われていません。
Archive.dll
Libarchive.dll マルチフォーマットのアーカイブ/圧縮ライブラリです。
Splunk Enterprise と Splunk ユニバーサルフォワーダーの両⽅に、このバイナリが含まれています。
Bzip2.exe
Bzip2 は無料で利⽤できる、パテントフリー (後述) の⾼品質データ圧縮機能です。⼀般的には、利⽤可能な最⾼
の技術 (統計的コンプレッサーの PPM ファミリー) の 10%〜15% までファイルを圧縮しながら、圧縮速度は約 2
倍、解凍速度は約 6 倍も⾼速に処理を⾏えます。
Jsmin.exe
Jsmin.exe は、JavaScript ファイルから空⽩⽂字とコメントを削除し、そのサイズを削減します。
Libexslt.dll
Libexslt.dll は、libxslt 向けに開発された (GNOME プロジェクトの⼀環として) EXSLT ダイナミックリンク C
ライブラリの拡張機能です。
Splunk Enterprise と Splunk ユニバーサルフォワーダーの両⽅に、このバイナリが含まれています。
Libxml2.dll
Libxml2.dll は、GNOME プロジェクト向けに開発された (ただし、GNOME プラットフォーム外でも利⽤可能
な) XML C パーサーおよびツールキットです。
Splunk Enterprise と Splunk ユニバーサルフォワーダーの両⽅に、このバイナリが含まれています。
Libxslt.dll
Libxslt.dll は、GNOME プロジェクト向けに開発された、変換 (XSLT) ダイナミックリンク C ライブラリ⽤
XML スタイルシート⾔語です。XSLT ⾃体が、XML の変換を定義する XML ⾔語です。Libxslt は、GNOME プ
ロジェクトで開発された XML C ライブラリの libxml2 をベースにしています。また、プロセッサポータブル拡
張機能の EXSLT セットの⼤半、および Saxon の評価/表現拡張機能の⼀部も実装しています。
Splunk Enterprise と Splunk ユニバーサルフォワーダーの両⽅に、このバイナリが含まれています。
Minigzip.exe
Minigzip.exe は、「gzip」 圧縮ツールの最低実装バージョンです。
Openssl.exe
OpenSSL プロジェクトは、SSL v2/v3 と TLS v1 および強度の⾼い汎⽤⽬的暗号化ライブラリを実装した、堅
牢で商⽤品質の、機能を完備したオープンソースツールキットを開発するための協同作業です。
Splunk Enterprise と Splunk ユニバーサルフォワーダーの両⽅に、このバイナリが含まれています。
Python.exe
Python.exe は、Windows ⽤の Python プログラミング⾔語バイナリです。
Pythoncom.dll
Pythoncom.dll は、Python ⽤ OLE オートメーション API をカプセル化したモジュールです。
11
Pywintypes27.dll
Pywintypes27.dll は、Python バージョン 2.7 の Windows タイプをカプセル化したモジュールです。
インストール⼿順
Splunk Enterprise の概要とインストールに必要な事項を学習したら、ご利⽤のオペレーティングシステムに対応
した詳細なインストール⼿順にお進みください。
Windows
Windows (コマンドラインから)
Linux
Solaris
Mac OS X
FreeBSD
AIX
HP-UX
Splunk Enterprise インストールのセキュリティ
Splunk Enterprise のセキュリティについて
新しくインストールまたはアップグレードした Splunk Enterprise の設定が完了し、使⽤を開始したらすぐに、
Splunk Enterprise とデータを保護するためにいくつかの作業を実施する必要があります。適切な⼿順を踏んで
Splunk Enterprise を保護すれば、攻撃の⼿がかりを減らし、脆弱性のリスクや影響を低減することができます。
この章では、インストール前、インストール中、およびインストール後の Splunk Enterprise を保護する⽅法に
ついて説明していきます。『Splunk Enterprise のセキュリティ』マニュアルには、Splunk Enterprise を保護す
るためのさまざまな⽅法が詳しく紹介されています。
Splunk Enterprise をインストールする前のシステムの保護
Splunk Enterprise をインストールする前に、オペレーティングシステムの安全性を確保するためにいくつかの作
業を⾏ってください。すべての Splunk サーバーの OS のセキュリティを強化することを強くお勧めします。
社内セキュリティ標準ガイドラインがない場合は、CIS セキュリティ強化規則をお勧めします。
最低でも、Splunk Enterprise サーバーへのシェル/コマンドラインアクセスを制限してください。
すべての Splunk Enterprise サーバーへの物理的なアクセスを制限してください。
Splunk Enterprise エンドユーザーに、物理セキュリティとエンドポイントセキュリティについて教育して
ください。
Splunk Enterprise の安全なインストール
Splunk のダウンロード、インストール時には、以下の⼿順に従ってください。
整合性の検証
MD5 や SHA-512 などのハッシュ機能を使ってハッシュを⽐較して、Splunk Enterprise ダウンロードを検証し
ます。信頼できるバージョンの OpenSSL を使⽤してください。例：
./openssl dgst -md5 <filename-splunk-downloaded.zip>
または
./openssl dgst -sha512 <filename-splunk-downloaded.zip>
署名の検証
ダウンロードした RPM パッケージの信頼性は、以下のように GnuPG 公開鍵を使って検証することができます。
1. GnuPG 公開鍵ファイル (このリンクは TLS 経由) をダウンロードします。
2. 鍵のインストールには、以下のコマンドを使⽤します。
rpm --import <filename>
3. 次のコマンドでパッケージの署名を検証します：
rpm -K <filename>
その他の Splunk Enterprise の保護⼿段
Splunk Enterprise をインストールした後にも、設定を保護するためのさまざまな⼿段が存在しています。
12
ユーザー認証とロールベースのアクセス制御の設定
ユーザーを設定して、アクセスを制御するためにロールを使⽤します。Splunk Enterprise では 3 種類の⽅法で
ユーザーを設定できます。
独⾃のビルトイン認証システム、「Splunk 認証システムを使ったユーザー認証の設定」を参照してくださ
い。
LDAP、「LDAP を使ったユーザー認証の設定」を参照してください。
外部認証システム (PAM や RADIUS など) を使⽤するためのスクリプトによる認証 API、「外部システム
を使ったユーザー認証の設定」を参照してください。
ユーザーを設定したら、権限やアクセスレベルを決定、制御するロールを割り当てられます。ロールと権限の詳細
は、「ロールベースのユーザーアクセスについて」を参照してください。
SSL 証明書を使った、暗号化と認証の設定
Splunk Enterprise にはデフォルトの証明書とキーのセットが⽤意されています。これを有効にするとデータの暗
号化とデータ圧縮機能を利⽤することができます。また独⾃の証明書とキーを使って、ブラウザと Splunk Web
間の通信やフォワーダーからレシーバー (インデクサーなど) に送信されるデータを保護することができます。
SSL を使った Splunk 通信の保護⽅法の詳細は、このマニュアルの「SSL を使った Splunk の保護について」を
参照してください。
Splunk Enterprise の監査
Splunk Enterprise には、データの信頼性を追跡するための監査機能が⽤意されています。Splunk Enterprise を
監査できるように、以下のような⼿段を検討することをお勧めします。
ファイルとディレクトリのモニター
Splunk アクティビティの監査
監査イベントの暗号署名
アーカイブの署名について
Splunk Enterprise インストールのセキュリティの強化
以下の⼿順に従って、Splunk Enterprise インストールのセキュリティを強化することもお勧めします。
複数のサーバーへの保護パスワードのデプロイ
Splunk のアクセス制御リストの使⽤
サービスアカウントの保護
不要な Splunk コンポーネントの無効化
ネットワーク上の Splunk の保護
Windows への Splunk Enterprise のインストール
Splunk Enterprise を実⾏するためのユーザーの選択
このトピックは、Windows に Splunk Enterprise をインストールする際に、どのユーザーとして実⾏させるかを
選択するための⼿順について説明しています。
Windows 版 Splunk Enterprise インストーラの実⾏時、Splunk Enterprise を実⾏するユーザーを選択するオプ
ションが表⽰されます。ユーザーの選択による影響を理解するために、インストール前にこのトピックをお読みに
なることを強くお勧めします。
このトピックは、Windows への Splunk Enterprise のインストールにのみ適⽤されます。
選択するユーザーは Splunk Enterprise で何をモニターするのかによって異なる
Splunk Enterprise をどのユーザーとして実⾏させるかによって、何をモニターできるのかが決まります。Local
System ユーザーは、ローカルマシン上のすべてのデータにアクセスできますが、それ以外にアクセスすることは
できません。Local System 以外のユーザーは、任意のデータにアクセスさせることが可能ですが、Splunk
Enterprise をインストールする前に、使⽤するユーザーに⽬的のデータにアクセスできる権限を与える必要があ
ります。
Splunk Enterprise をインストールするコンピュータがリモート Windows のデータにアクセスしないこ
とがすでに分かっている場合 は、このマニュアルの「Windows へのインストール」に進むことができます (コ
マンドプロンプトを使ってインストールする場合は、「コマンドラインを使った Windows へのインストー
ル」)。
リモート Windows のデータにアクセスしなければならない可能性がある場合、または分からない場合 は、
このトピックを参照してください。このトピックには、Splunk Enterprise を実⾏させるユーザーに関する重要な
情報が含まれています。
13
「Local System ユーザー」と「その他のユーザー」の選択について
基本
Windows 版 Splunk Enterprise インストーラには、2 種類のインストール⽅法が⽤意されています。「Local
System」ユーザーとしてインストールするか、または Windows コンピュータまたはネットワーク上に存在する
他の既存のユーザーとしてインストールします。
Splunk Enterprise で以下のいずれかの作業を⾏う予定の場合は、ドメインユーザーとしてインストールする必要
があります。
リモートのイベントログを読み込む
リモートのパフォーマンスカウンタを収集する
ネットワーク共有のログファイルを読み込む
Active Directory 監視を使って Active Directory スキーマを列挙する
注意： これ以外にも適⽤される条件があります。
指定するユーザーは、最低でも以下の条件 を満たしている必要があります。
モニターする Active Directory ドメインまたはフォレストのメンバーである (Active Directory を使⽤して
いる場合)。
Splunk Enterprise をインストールするサーバーのローカル Administrators グループのメンバーである。
Splunk をインストールする前に、そのユーザーに適切なユーザーセキュリティ権限を割り当てている。詳
細は、後述する「権限の最低要件」を参照してください。
警告： ユーザーが最低要件 を満たしていない場合、Splunk Enterprise のインストールが失敗することがありま
す。この場合、インストールは正常に完了しても、Splunk Enterprise が正常に動作しない、またはまったく動作
しないことがあります。
また、ユーザーには独⾃のパスワード制約があります。後述する「Splunk ユーザーアカウントとパスワードの注
意事項」を参照してください。
Splunk Enterprise をどのユーザーとして実⾏させるのかが分からない場合は、Splunk ユーザーとそれに必要な
アクセス権の設定⽅法を学習してください。『データの取り込み』マニュアルの「リモート Windows データのモ
ニター⽅法を決定するための検討事項」を参照してください。
ユーザーアカウントとパスワードの注意事項
また、Splunk Enterprise のインストール時のユーザーアカウントに関する他の重要な問題として、パスワード強
制セキュリティポリシーにより、パスワードの妥当性が決まるということが挙げられます。Windows サーバーま
たはネットワークでパスワードの変更が強制されている場合は、以下の事項を考慮する必要があります。
パスワードの失効前にそれを変更して、各マシンが変更後のパスワードを使⽤するように Splunk
Enterprise サービスを再設定した後、Splunk Enterprise を再起動する。
パスワードが失効しないようにアカウントを設定する。
管理されたサービスアカウントを使⽤する (後述する「Windows Server 2008、Windows Server 2012、
および Windows 7 での管理されたサービスアカウントの使⽤」を参照)。
Windows Server 2008、Windows Server 2012、Windows 7、およびWindows 8.x での管理された
サービスアカウントの使⽤
Active Directory で Windows Server 2008、Windows Server 2008 R2、Windows Server 2012、Windows
Server 2012 R2、Windows 7、または Windows 8.x を実⾏しており、Active Directory ドメインに最低 1 つの
Windows Server 2008 R2 または Server 2012 ドメインコントローラが存在している場合、Splunk Enterprise
を管理されたサービスアカウント (MSA) として実⾏することができます。
MSA 使⽤の主な利点を以下に⽰します。
サービスのアカウントを隔離することで、セキュリティを向上する。
管理者が資格情報やアカウントを管理する必要がない。このことは、パスワードは失効後に⾃動的に変更さ
れ、アカウントに関連するパスワードの⼿動設定やサービスの再起動が不要になることを意味しています。
管理者は、これらのアカウントの管理作業を他のユーザーに委任できる。
MSA については、Splunk のインストールを⾏う前に、以下の事項を理解しておく必要があります。
MSA には、Splunk Enterprise を実⾏するマシン上のドメインアカウントと同じ権限/アクセス許可が必要
になります。
MSA は、Splunk Enterprise を実⾏するマシンのローカル管理者でなければなりません。
別のコンピュータで、ドメインアカウントとして使⽤するアカウントと同じアカウントを使⽤することはで
きません。
マシンに Splunk Enterprise をインストールする前に 、Splunk Enterprise を実⾏するマシン上に MSA を
正しくインストール、設定する必要があります。⽅法については、MS Technet の『サービス アカウントの
ステップ バイ ステップ ガイド』 (http://technet.microsoft.com/jajp/library/dd548356%28WS.10%29.aspx) を参照してください。
MSA を使って Splunk Enterprise をインストールするには、このマニュアルの「Splunk Enterprise をネット
ワークまたはドメインユーザーとしてインストールするための Windows ネットワークの準備」を参照してくださ
い。
セキュリティとリモートアクセスの検討事項
アクセス許可/権限の最低要件
14
Splunk Enterprise をドメインユーザーとしてインストールする場合、ソフトウェアを実⾏するサーバー上に最低
限必要なアクセス許可/権限があります。
ドメイン・ユーザーで Splunk Enterprise をインストールする場合に、splunkd およびsplunkforwarder サービスに
必要な最低限 のユーザー権限/アクセス許可を以下に⽰します。モニターするデータのソースによっては、Splunk
ユーザーに他のアクセス許可/権限が必要なこともあります。
splunkd または splunkforwarder サービスに必要な基本権限/アクセス許可
Splunk Enterprise のインストールディレクトリに対するフルコントロール
インデックスを作成するフラットファイルに対する読み取りアクセス
splunkd または splunkforwarder サービスに必要なローカル/ドメインセキュリティポリシーのユーザーアクセス許可割り
当て
サービスとしてログオンするアクセス許可
バッチジョブとしてログオンするアクセス許可
プロセスレベルのトークンを置換するアクセス許可
オペレーティングシステムの⼀部として動作するアクセス許可
⾛査チェックをバイパスするアクセス許可
重要： インストール前に、Splunk ユーザーにこれらのアクセス許可を割り当てないと、Splunk Enterprise イン
ストールが失敗する、またはインストール後に正常に動作しない可能性があります。
注意： Splunk Enterprise が Local System アカウントとして動作する場合、これらのアクセス許可は不要で
す。
これらのアクセス許可の割り当て⽅法
このセクションでは、Splunk をインストールする前に、Splunk サービスアカウントに適切なユーザー権限/アク
セス許可を割り当てる⽅法を説明していきます。詳細な⼿順については、このマニュアルの「ネットワークまたは
ドメインユーザーとしての、Splunk Enterprise インストール⽤ Windows ネットワークの準備」を参照してくだ
さい。
グループポリシーを使った複数マシンへの権限の割り当て
前述のポリシー設定を、Active Directory ドメインまたはフォレスト内の複数のワークステーションやサーバー
に割り当てたい場合、グループポリシーオブジェクト (GPO) にこれらの権限を定義して、それをドメインにデプ
ロイすることができます。詳細については、このマニュアルの「ネットワークまたはドメインユーザーとしての、
Splunk Enterprise インストール⽤ Windows ネットワークの準備」を参照してください。
GPO を作成して有効にすると、ドメイン内のワークステーションとサーバーは、次回にスケジュールされている
Active Directory レプリケーションサイクル (通常は 1.5〜2 時間) または次回の起動時に変更内容を取得しま
す。または、グループポリシーを更新するサーバー上で GPUPDATE コマンドを使って、Active Directory レプリ
ケーションを強制することができます。
ユーザー権限の設定時には、GPO により割り当てられる権限が、マシン上の同じローカルセキュリティポリシー
権限に優先することに注意してください。この設定を変更することはできません。マシン上にローカルセキュリ
ティポリシーを使って明⽰的に定義されている既存の権限を保持したい場合は、GPO 内でもそれらの権限を割り
当てる必要があります。
権限に関する問題のトラブルシューティング
上記の権限は、splunkd および splunkforwarder サービスが特に必要とする権限です。使⽤⽅法やアクセスするデー
タの種類によっては、その他の権限が必要なこともあります。また、さまざまなユーザー権限割り当てや他のグ
ループポリシーの制限により、Splunk の動作が阻害されることもあります。何か問題がある場合は、プロセスモ
ニターや GPRESULT などのツールを使って、環境内の GPO アプリケーションのトラブルシューティングを⾏ってく
ださい。
ネットワークまたはドメインユーザーとしての、Splunk Enterprise
インストール⽤ Windows ネットワークの準備
重要なセキュリティ情報
これらの⼿順を実施するには、Splunk Enterprise の使⽤準備を⾏うコンピュータまたは Active
Directory ドメインに対して、管理者権限でのアクセスが必要になります。このアクセス権がない場合
は、この⼿順を実⾏しないでください。
この作業では、Windows ネットワークに変更を⾏う必要があります。Splunk Enterprise 操作の低レベル・ア
クセス要件により、Local System 以外のユーザーとして Splunk Enterprise を実⾏する場合は、これらの変更
が必要になります。重要なセキュリティ上のリスクが発⽣する可能性があります。
そのようなリスクをできる限り回避するために、Splunk Enterprise が動作するユーザーの対話型ログインを禁
⽌して、またユーザーがログインできるワークステーション数も制限してください。
作業に伴うセキュリティ上のリスクを理解できない場合は、この作業を⾏わないでください。
Splunk Enterprise またはユニバーサル・フォワーダーを「Local System」ユーザーとしてインストール
する場合は、この⼿順を実施しないでください。
15
Windows ネットワークに Splunk Enterprise を「Local System」ユーザーではなく、ネットワークまたはドメ
インユーザーとしてインストールするために必要な、Windows ネットワークの準備⼿順を以下に⽰します。
ここの説明は Windows Server 2008 R2、Windows Server 2012、および Windows Server 2012 R2 でテスト
されており、他のバージョンの Windows では多少異なる可能性があります。
また、ここの⼿順を使って割り当てる権限は、正常に Splunk をインストールするために必要な最低限の権限で
す。Splunk Enterprise が⽬的のデータにアクセスできるように、ローカルセキュリティポリシーやグループポリ
シーオブジェクト (GPO) を使って、または特定のユーザーまたはグループアカウントに、他の権限を割り当てな
ければならないことがあります。
ドメインユーザーとして Splunk をインストールするための Active Directory の準備
Splunk Enterprise または Splunk ユニバーサルフォワーダーをドメインアカウントとしてインストールするため
の、Active Directory の準備⼿順を以下に⽰します。
ユーザーやグループを作成する際には、Microsoft のベストプラクティス (http://technet.microsoft.com/enus/library/bb727085.aspx) に従うことをお勧めします。⼀般的にこれには、組織内のグループ⽤の特定の組織
単位の作成が含まれています。
これらの⼿順は、以下の事項を前提にしています。
Active Directory を実⾏している。
設定する Active Directory ドメインのドメイン管理者である。
Splunk Enterprise をインストールするコンピュータが、Active Directory ドメインのメンバーである。
グループの作成
1. [スタート] > [管理ツール] > [Active Directory ユーザーとコンピュータ] を選択して、[Active
Directory ユーザーとコンピュータ] ツールを実⾏します。
2. プログラムがロードされたら、Splunk 操作の準備をするドメインを選択します。
3. 既存の適切なコンテナフォルダをダブルクリックして開くかまたは、[アクション] メニューで [新規] > [グ
ループ] を選択して新しい組織単位を作成します。
4. [アクション] メニューで、[新規] > [グループ] を選択します。
5. 表⽰されるダイアログで、「Splunk Accounts」のような、Splunk ユーザーアカウントを表す名前を⼊⼒しま
す。
[グループのスコープ] に [ドメインローカル] を、[グループの種類] に [セキュリティ] を設定します。
6. [OK] をクリックして、グループを作成します。
7. 2 番⽬のグループを作成し、「Splunk Enabled Computers」のように、Splunk Enterprise を有効にしたコン
ピュータを表す名前を指定します。このグループには、Splunk Enterprise をドメインユーザーとして実⾏するた
めの、適切な権限が割り当てられたコンピュータアカウントが含まれます。
[グループのスコープ] に [ドメインローカル] を、[グループの種類] に [セキュリティ] を設定します。
グループへのユーザーとコンピュータの割り当て
Splunk Enterprise の実⾏に使⽤するユーザーアカウントをまだ作成していない場合は、それを作成します。独⾃
のポリシーを策定していない場合は、Microsoft のユーザーとグループを作成するためのベストプラクティスに
従ってください。
ユーザーアカウントを作成したら、アカウントを「Splunk Accounts 」グループに追加して、Splunk
Enterprise を実⾏するコンピュータのコンピュータアカウントを「Splunk Enabled Computers 」グループに
追加します。
作業を完了したら、[Active Directory ユーザーとコンピュータ ] を終了できます。
グループポリシーオブジェクト (GPO) の定義
1. [スタート] > [管理ツール] > [グループポリシーの管理] を選択して、[グループ ポリシー管理コンソール]
(GPMC) ツールを実⾏します。
2. 左側のツリービューで、[ドメイン] を選択します。
3. [グループポリシーオブジェクト] フォルダをクリックします。
4. [<ドメイン>内のグループポリシーオブジェクト] フォルダで、右クリックして表⽰されるメニューから [新
規] を選択します。
5. [新しい GPO] ダイアログで、「Splunk Access」のように、GPO がサーバーにユーザー権限を割り当てるこ
とを⽰す名前を指定します。
[ソーススターター GPO ] フィールドに [(なし)] を設定します。
6. [OK] をクリックして、GPO を保存します。
16
GPO への権限の追加
1. GPMC で、新しく作成したグループポリシーオブジェクトを右クリックして、表⽰されるメニューから [編集]
を選択します。
2. 表⽰されるグループポリシー管理エディター の左パネルで、[コンピュータの構成] -> [ポリシー] ->
[Windows の設定] -> [セキュリティの設定] -> [ローカルポリシー] -> [ユーザー権利の割り当て] に移動し
ます。
a. 右側のパネルで、[オペレーティングシステムの⼀部として機能] をダブルクリックします。
b. 表⽰されるウィンドウで、[これらのポリシーの設定を定義する] チェックボックスを選択します。
c. [ユーザーまたはグループの追加] をクリックします。…
d. 表⽰されるダイアログで、[参照] をクリックします。…
e. 表⽰される [ユーザー、コンピュータ、サービスアカウント、またはグループの選択] ダイアログ
に、先ほど作成した「Splunk Accounts」グループの名前を⼊⼒し、[名前の確認] をクリックします。…
名前が有効な場合、下線が付けられます。そうでない場合は、オブジェクトが⾒つからないことを知
らせるメッセージが表⽰され、もう⼀度オブジェクト名の⼊⼒が要求されます。
f. [OK] をクリックして [ユーザーの選択…] ダイアログを閉じます。
g. もう⼀度 [OK] をクリックして [ユーザーまたはグループの追加] ダイアログを閉じます。
h. もう⼀度 [OK] をクリックして、権限のプロパティダイアログを閉じます。
3. 次の追加権限に対して、ステップ 2a〜2h を繰り返します。
⾛査チェックのバイパス
バッチジョブとしてログオン
サービスとしてログオン
プロセスレベルトークンの置き換え
サーバーあたりの Administrators グループメンバーシップの変更
この GPO を適⽤するサーバー上の、Administrators グループのメンバーを制限する⼿順を以下に⽰します。
警告： 各サーバー上のグループの Administrators グループを利⽤する必要があるすべてのアカウントを、制限さ
れたグループのポリシー設定に追加してください。そうしないと、この GPO を適⽤するサーバーに管理者権限で
アクセスできない可能性があります。
1. [グループポリシー管理エディター] ウィンドウの左パネルで、[コンピュータの構成] -> [ポリシー] ->
[Windows の設定] -> [セキュリティの設定] -> [制限されたグループ] に移動します。
a. 右パネルで、右クリックして表⽰されるメニューから、[グループの追加…] を選択します。
b. 表⽰されるダイアログで、[Administrators] に⼊⼒して [OK] をクリックします。
c. 表⽰されるプロパティダイアログで、[このグループのメンバ] の隣りにある [追加] ボタンをクリックし
ます。
d. 表⽰される [メンバの追加] ダイアログで、[参照…] をクリックします。
e. 表⽰される [ユーザー、コンピュータ、サービスアカウント、またはグループの選択] ダイアログ
に、先ほど作成した「Splunk Accounts」グループの名前を⼊⼒し、[名前の確認] をクリックします。…
名前が有効な場合、下線が付けられます。そうでない場合は、オブジェクトが⾒つからないことを知
らせるメッセージが表⽰され、もう⼀度オブジェクト名の⼊⼒が要求されます。
f. [OK] をクリックして [ユーザーの選択…] ダイアログを閉じます。
g. もう⼀度 [OK] をクリックして [ユーザーまたはグループの追加] ダイアログを閉じます。
h. もう⼀度 [OK] をクリックして、グループのプロパティダイアログを閉じます。
2. 以下の追加のユーザーまたはグループに対して、1a〜1h の⼿順を繰り返します。
Domain Admins
GPO を適⽤する各サーバー上の Administrators グループのメンバーにする必要がある、他の任意のユー
ザー
3. [グループポリシーの管理エディター] ウィンドウを閉じて GPO を保存します。
コンピュータを選択するための GPO アプリケーションの制限
1. GPMC の左パネルで、作成して権限を追加した GPO を選択します (まだ選択していない場合)。
GPMC の右パネルに GPO に関する情報が表⽰されます。
2. 右側のパネルの [セキュリティフィルタ処理] 下にある [追加] をクリックします。…
17
3. 表⽰される [ユーザー、コンピュータ、またはグループの選択] ダイアログに、「Splunk Enabled
Computers」と (または、先ほど作成した Splunk ⽤コンピュータを表すグループの名前を) ⼊⼒します。
4. [名前の確認] をクリックします。グループが有効な場合、名前に下線が付けられます。そうでない場合は、オ
ブジェクトが⾒つからないことを知らせるメッセージが表⽰され、もう⼀度オブジェクト名の⼊⼒が要求されま
す。
5. [OK] をクリックして、GPO 情報ウィンドウに戻ります。
6. ステップ 2〜5 を繰り返して、「Splunk Accounts」グループを追加します (先ほど作成した Splunk ユーザー
アカウントを表すグループ)。
7. [セキュリティ フィルタ処理] 下の [Authenticated Users] をクリックして強調表⽰します。
8. [削除] をクリックします。
「Authenticated Users」が [セキュリティフィルタ処理] フィールドから削除され、「Splunk Accounts」
および「Splunk Enabled Computers」のみが残ります。
GPO の適⽤
1. GPMC の左パネルで、作成したグループポリシーオブジェクトを適⽤するドメインを選択します。
2. ドメインを右クリックして表⽰されるメニューから、[既存の GPO のリンク…] を選択します。
注意： 前に作成した OU に対してのみ GPO を適⽤する場合は、右クリックしてポップアップメニューを表⽰す
る代わりに OU を選択します。
3. 表⽰される [GPO の選択] ダイアログから、作成、編集した GPO を選択して、[OK] をクリックします。選択
したドメインに GPO が適⽤されます。
4. GPMC のメニューから [ファイル] > [終了] を選択して、GPMC を閉じます。
注意： グループポリシーが更新され、ドメイン内のコンピュータに GPO が適⽤される時期は、Active Directory
によって制御されています。⼀般的にレプリケーションは、90〜120 分ごとに⾏われます。Splunk をドメイン
ユーザーとしてインストールする前に、更新内容が適⽤されるまで待機する必要があります。または、グループポ
リシーを更新するコンピュータ上で、コマンドプロンプトから GPUPDATE /FORCE を実⾏して、グループポリシーを
強制的に更新できます。
管理されたシステムアカウントを使った Splunk のインストール
代わりに、管理されたシステムアカウントを使って Splunk Enterprise をインストールすることができます。こ
の場合は、以下の⼿順に従ってください。
1. Windows データのモニターに使⽤する MSA を作成、設定します。
注意： このトピックの前半にある「Splunk Enterprise をドメインアカウントとして実⾏するための Active
Directory の準備」の説明に従って、MSA に適切なセキュリティポリシー権限とグループメンバーシップを割り
当てることができます。
2. コマンドラインから「Local System」ユーザーとして Splunk をインストールします。
重要： インストール完了後 Splunk Enterprise を起動しないように、コマンドラインから Splunk Enterprise を
インストールして LAUNCHSPLUNK=0 フラグを使⽤する必要があります 。
3. インストール完了後、Windows エクスプローラまたは ICACLS コマンドを使って、Splunk Enterprise のインス
トールディレクトリとそのすべてのサブディレクトリに、MSA 「Full Control」アクセス許可を割り当てます。
注意： Splunk Enterprise インストールディレクトリの親ディレクトリからの NTFS アクセス許可の継承を破棄
して、インストールディレクトリとそのサブディレクトリに明⽰的にアクセス許可を割り当てなければならないこ
ともあります。
4. このマニュアルの「Windows インストール時に選択したユーザーの修正」の説明に従って、Splunk サービス
アカウントのデフォルトユーザーを変更します。このインスタンスで、正しいユーザーは Splunk Enterprise を
インストールするように設定した MSA です。
重要： MSA が正常に機能するように、ステップ 4 の完了時にはユーザー名の最後にドル記号 ($) を追加する必
要があります 。たとえば MSA が SPLUNKDOCS\splunk1 の場合、サービスのプロパティダイアログの適切なフィール
ドには SPLUNKDOCS\splunk1$ と⼊⼒する必要があります。これは、splunkd および splunkweb の両⽅のサービスに対し
て⾏う必要があります。
5. MSA に「サービスとしてログオン 」権限があることを確認します。
注意： [サービス] コントロールパネルを使ってサービスアカウントの変更を⾏う場合は、Windows が MSA にこ
の権限を⾃動的に割り当てます。
6. Splunk Enterprise を開始します。先ほど設定した MSA として実⾏され、MSA がアクセスできるすべての
データにアクセスできます。
PowerShell を使った Active Directory ドメインの設定
PowerShell を使って Splunk Enterprise サービスを利⽤するための、Active Directory 環境の設定を⾏えます。
18
そのためには、まず PowerShell プロンプトを開きます (管理者として)。次に以下の⼿順に従ってください。
S p lu nk ユーザーアカウントの作成
1. 必要に応じて ActiveDirectory PowerShell モジュールをインポートします。
> Import-Module ActiveDirectory
2. 次の事項を⼊⼒して、新しいユーザーを作成します：
> New-ADUser –Name <user> `
-SamAccountName <user> `
-Description “Splunk Service Accountâ€​ `
-DisplayName “Service:Splunkâ€​ `
-Path “<organizational unit LDAP path>â€​ `
-AccountPassword (Read-Host –AsSecureString “Account Passwordâ€​) `
-CannotChangePassword $true `
-ChangePasswordAtLogon $false `
-PasswordNeverExpires $true `
-PasswordNotRequired $false `
-SmartcardLogonRequired $false `
-Enabled $true `
-LogonWorkstations “<server>â€​ `
この例では：
このコマンドは、パスワードを変更できない、初回ログイン後にパスワードの変更が強制されない、そして
有効期限がないアカウントを作成します。
<user> は、作成するユーザーの名前です。
<organizational unit LDAP path> 新しいユーザーを配置する OU 名で、X.500 形式で指定します。
例：CN=Managed Service Accounts,DC=splk,DC=com。
<server> は、アカウントがログインできるサーバーを⽰します。複数のサーバーを指定する場合は、カン
マで区切ります。
注意： LogonWorkstations 引数は省略することができます。ただし、この引数を利⽤すれば、管理されたサービスア
カウントがドメインにログインできる、ワークステーションを制限することができます。
S p lu nk Enterp rise サーバーの設定
ユーザーアカウントを設定したら、PowerShell を使って、Splunk Enterprise を実⾏するための、適切な権限を
持つサーバーを設定することができます。
警告： これは⾼度な⼿順です。この⼿順を使⽤する場合は、想定される問題点や悪影響などを⼗分に理解した上
で (⼊⼒ミスや不適切なフォーマットのファイルなどによる問題を含む)、⾃⼰の責任において⾏ってください。
以下の例で：
<user> は、先ほど作成した Splunk Enterprise を実⾏するユーザー名です。
<domain> は、ユーザーが存在するドメインです。
<computer> は、変更を⾏うために接続するリモートコンピュータです。
PowerShell でローカルセキュリティポリシーを設定するには：
1. 設定するサーバーに接続します。
ローカルサーバーを使⽤する場合は、単純にログインして PowerShell プロンプトを開きます (まだそうし
ていない場合)。
リモートサーバーに接続する場合、以下のようにリモートホスト上に新しい PSSession を作成します。
リモート接続を⾏うために、Windows ファイアウォールを無効にしなければならないこともあります。⽅
法については、MS TechNet の「I Need to Disable Windows Firewall」
(http://technet.microsoft.com/ja-jp/library/cc766337(v=ws.10).aspx) を参照してください (Windows
Server 2008 R2 までの Windows サーバー⽤)。また、MS TechNet の「Windows PowerShell によるセ
キュリティ管理が強化された Windows ファイアウォール」 (http://technet.microsoft.com/jajp/library/hh831755.aspx) も参照してください。
> Enter-PSSession -Computername <computer>
2. ローカルの Administrators グループにサービスアカウントを追加します。
> $group = [ADSI]â€​WinNT://<server>/Administrators,groupâ€​
> $group.Add(“WinNT://<domain>/<user>â€​)
3. ローカルマシン上の現在のユーザー権利設定状態を含む、バックアップファイルを作成します。
19
> secedit /export /areas USER_RIGHTS /cfg OldUserRights.inf
4. バックアップを使って、インポート時に Splunk Enterprise ユーザーの権限を昇格するための、新しいユー
ザー権利情報ファイルを作成します。
> Get-Content OldUserRights.inf `
| Select-String –Pattern `
“(SeTcbPrivilege|SeChangeNotify|SeBatchLogon|SeServiceLogon|SeAssignPrimaryToken|SeSystemProfile)â€​ `
| %{ “$_,<domain>\<user>â€​ }
| Out-File NewUserRights.inf
5. 新しいポリシー情報ファイルのヘッダーを作成し、ヘッダーと新しい情報ファイルを連結します。
> ( “[Unicode]â€​, “Unicode=yesâ€​ ) | Out-File Header.inf
> ( “[Version]â€​, “signature=`â€​`$CHICAGO`$`â€​â€​, “Revision=1â€​) | Out-File –Append Header.inf
> ( “[Privilege Rights]â€​ ) | Out-File –Append Header.inf
> Get-Content NewUserRights.inf | Out-File –Append Header.inf
6. ポリシー情報ファイルを参照して、ヘッダーが適切に書き込まれ、ファイルの構⽂誤りがないことを確認しま
す。
7. ファイルをコンピュータのローカルセキュリティポリシーデータベースにインポートします。
> secedit /import /cfg Header.inf /db C:\splunk-lsp.sdb
> secedit /configure /db C:\splunk-lsp.sdb
Splunk Enterprise インストールのためのローカルマシンまたは⾮ Active Directory
ネットワークの準備
Active Directory を使⽤していない場合は、以下の⼿順に従って Splunk Enterprise をインストールするコン
ピュータ上で、Splunk を動作させるユーザーに管理者アクセスを与えます。
1. 管理者権限を与えるには、Splunk Enterprise を動作させるユーザーをローカル Administrators グループに追
加します。
2. [スタート] > [管理ツール] > [ローカルセキュリティポリシー] を選択して、ローカルセキュリティポリシー
を開始します。
ローカルセキュリティポリシーが起動し、ローカルセキュリティ設定が表⽰されます。
3. 左パネルで、[ローカルポリシー] を展開して [ユーザー権利の割り当て] をクリックします。
a. 右側のパネルで、[オペレーティングシステムの⼀部として機能] をダブルクリックします。
b. [ユーザーまたはグループの追加] をクリックします。…
c. 表⽰されるダイアログで、[参照] をクリックします。…
d. 表⽰される [ユーザー、コンピュータ、サービスアカウント、またはグループの選択] ダイアログ
に、先ほど作成した「Splunk Computers」グループの名前を⼊⼒し、[名前の確認...] をクリックします。
名前が有効な場合、下線が付けられます。そうでない場合は、オブジェクトが⾒つからないことを知
らせるメッセージが表⽰され、もう⼀度オブジェクト名の⼊⼒が要求されます。
e. [OK] をクリックして [ユーザーの選択…] ダイアログを閉じます。
f. もう⼀度 [OK] をクリックして [ユーザーまたはグループの追加] ダイアログを閉じます。
g. もう⼀度 [OK] をクリックして、権限のプロパティダイアログを閉じます。
4. 次の追加権限に対して、ステップ 3a〜3g を繰り返します。
⾛査チェックのバイパス
バッチジョブとしてログオン
サービスとしてログオン
プロセスレベルトークンの置き換え
これらのステップを完了したら、次に⽬的のユーザーとして Splunk をインストールできます。
Windows へのインストール
重要
Splunk Enterprise 6.2 から、インストール⼿順が⼤幅に変更されました。続⾏する前に、このトピックの
「インストール・オプション」を参照してください。
20
ここでは、GUI ベースのインストーラを使った、Windows への Splunk Enterprise のインストール⼿順につい
て説明していきます。コマンドラインからインストールする場合は、さらに多くのオプション (サイレントインス
トールなど) を利⽤することができます。
警告： 32 ビット版の Windows ⽤ Splunk Enterprise を、64 ビット Windows システムにインストール、実⾏
することはできなくなりました。また、サポートされていない OS が動作しているマシン (例：Windows Server
2003 が動作するマシン) に Splunk Enterprise をインストールすることもできません。「システム要件」を参照
してください。
そのような環境でインストーラを実⾏すると、警告が表⽰されインストールは⾏えません。
注意： Splunk のユニバーサルフォワーダー をインストールする場合は、『データの転送』マニュアルの「ユニ
バーサルフォワーダーのデプロイの概要」を参照してください。⼀部の機能を無効化または変更した完全版の
Splunk Enterprise インスタンスであるヘビー/ライトフォワーダー と違い、ユニバーサルフォワーダーはまった
く別の実⾏形式ファイルで、インストール⼿順も異なっています。フォワーダーの基本についても、『データの転
送』マニュアルの「転送と受信について」を参照してください。
アップグレード？
Splunk Enterprise をアップグレードする予定の場合は、実施する前に「Splunk のアップグレード⽅法」を参考
に、移⾏⽅法と移⾏の検討事項を確認してください。
アップグレード時の管理⽤ポートや HTTP ポートの変更を、Splunk Enterprise はサポートしていないことに注
意してください。
インストールの前に
Splunk を実⾏するためのユーザーの選択
インストール前に、ご⾃分のニーズに対応するために、「Splunk を実⾏するためのユーザーの選択」を参照し
て、Splunk を実⾏するユーザーアカウントを決定してください。選択したユーザーは、ソフトウェアのインス
トール前に⾏う必要がある作業、およびその他の事項に影響します。
Windows 版 Splunk Enterprise とウィルス対策ソフトウェア
Splunk Enterprise のインデックス作成サブシステムは、⼤量のディスクスループットを必要としています。
Splunk Enterprise とオペレーティングシステム間を中継するデバイスドライバを持つソフトウェアが、Splunk
Enterprise の処理能⼒を消費し、処理の低速化やシステムの応答不可を発⽣させる可能性があります。これには
ウィルス対策ソフトウェアが含まれています。
Splunk Enterprise のインストールを開始する前に、このようなソフトウェアが Splunk インストールディレクト
リやプロセスのスキャンをすることを防⽌するように設定することが⾮常に重要です。
GUI インストーラを使った Splunk Enterprise のインストール
Windows インストーラは MSI ファイルです。
1. インストーラを開始するには、splunk.msi ファイルをダブルクリックします。
インストーラが実⾏され、[Splunk Enterprise Installer] パネルが表⽰されます。
2. インストールを続⾏するには、[Check this box to accept the License Agreement] (使⽤許諾契約に同意する
にはこのボックスを選択) チェック・ボックスを選択します。[Customize Installation] および [Install] ボタンが
有効になります。
注意： 使⽤許諾契約を表⽰する場合は、[View License Agreement] ボタンをクリックします。
インストール・オプション
Splunk Enterprise 6.2 では、デフォルト設定でのインストールと、インストール前にすべての設定を⾏う⽅法の
2 種類のインストール⽅法が選択できるようになりました。
インストーラはデフォルトで、以下の処理を⾏います。
システム・ドライブ (Windows システムをブートするドライブ) の
21
\Program Files\Splunk
に Splunk
Enterprise をインストールします。
デフォルトの管理⽤ポートと Web ポートでインストールします。
Local System ユーザーとして実⾏するように Splunk Enterprise を設定します。詳細は、このマニュアル
の「Splunk Enterprise を実⾏するためのユーザーの選択」を参照してください。
[スタート] メニューにソフトウェア⽤のショートカットを作成します。
3a. これらのデフォルトのインストール設定を変更する場合、[Customize Options] ボタンをクリックして、この
トピックの「オプションのカスタマイズ」の⼿順を参照してください。
3b. そうでない場合は、[インストール] ボタンをクリックします。この場合、ソフトウェアがデフォルトの設定で
インストールされます。次に、ステップ 8 に進みます。
オプションのカスタマイズ
注意： 各パネルで、続⾏する場合は [次へ] を、前のステップに戻る場合は [戻る] をクリックします。インス
トールをキャンセルしてインストーラを終了する場合は、[キャンセル] をクリックします。
[Install Splunk Enterprise to] (Splunk Enterprise のインストール先) パネルが表⽰されます。
注意： デフォルトで、Splunk Enterprise はシステム・ドライブの \Program Files\Splunk にインストールされま
す。このドキュメントでは、Splunk Enterprise のインストール・ディレクトリを $SPLUNK_HOME または
%SPLUNK_HOME% で表しています。
4. Splunk Enterprise を別の場所にインストールするには、[変更…] をクリックします。または、[次へ] をク
リックして、デフォルト値をそのまま使⽤します。
[Choose the user Splunk Enterprise should run as] (Splunk Enterprise の実⾏に使⽤するユーザーの選択) パ
ネルが表⽰されます。
Splunk Enterprise は、splunkd と splunkweb の 2 つの Windows サービスをインストール、実⾏します。バージョ
ン 6.2 から、splunkd がすべての Splunk Enterprise 操作を担当するようになりました。splunkweb サービスは、レ
ガシー・モードの実⾏⽬的でのみインストールされます。
これらのサービスは、このパネルで指定したユーザーとしてインストール、実⾏されます。Splunk Enterprise を
Local System ユーザーまたは他のユーザーとして実⾏することを選択できます。
重要： Splunk Enterprise を他のユーザーとして実⾏する場合、そのユーザーは以下の条件を満たす必要があり
ます 。
Active Directory ドメインのメンバーである (Local System アカウント以外のローカルマシンアカウントと
して Splunk Enterprise をインストールすることはできません)。
インストールを実施するマシン上のローカル管理者権限を保有している。
リモートマシンから収集するデータの種類に応じて、特定のユーザー権限および他のアクセス許可を保有し
ている。
これらのアクセス許可/権限の要件については、「Splunk Enterprise を動作させる Windows ユーザーの選択」
を参照してください。
まだ上記のリンクされているトピックを読んでいない場合は、いったんインストール作業を中⽌して 、まずその
トピックをお読みください。
5. ユーザータイプを選択して、[次へ] をクリックします。
22
Local System ユーザーを選択した場合は、ステップ 7 に進んでください。それ以外の場合は、[ログオン情報：
ユーザー名とパスワードを指定する] パネルが表⽰されます。
6. Splunk Enterprise をインストールして実⾏するユーザー名とパスワードを指定して、[次へ] をクリックしま
す。
重要： ユーザー名は domain\username の形式で指定する必要があります。ユーザーの指定時にドメインを含めない
と、インストールが失敗します。これは、セキュリティコンテキスト内の有効なユーザーで、Active Directory
ドメイン内のアクティブなメンバーでなければなりません。Splunk Enterprise は、Local System アカウント、
または有効なパスワードとローカル管理者権限を持つ、有効なユーザーアカウントで実⾏する必要があります。
インストーラにインストール情報を⽰すパネルが表⽰されます。
7. 続⾏するには、[Install] (インストール) をクリックします。
インストーラが実⾏され、完了すると [Installation Completed] (インストール完了) パネルが表⽰されます。
警告： インストール作業中に誤ったユーザーを指定した場合、その旨を⽰す 2 つのポップアップウィンドウにエ
ラーが表⽰されます。これが発⽣した場合、デフォルトでは Local System ユーザーとしてインストールされま
す。この場合、Splunk Enterprise が⾃動的に開始されることはありません。インストールの最後のパネルで、
[Launch browser with Splunk] (ブラウザで Splunk を起動) チェックボックスの選択を解除することで、ブラウ
ザの起動を防⽌することができます。次にこれらの説明に従って、正しいユーザーに切り替えてから Splunk を起
動してください。
8. 必要に応じて、[Launch browser with Splunk] (Splunk をブラウザで起動) および [Create Start Menu
Shortcut] ([スタート] メニューのショートカットを作成) ボックスを選択します。[完了] をクリックします。
適切なボックスを選択した場合、インストールが完了したら、サポートされているブラウザ内で Splunk
Enterprise が開始されます。
注意： インストール後初めて Splunk Web にアクセスする場合、デフォルトのユーザー名 admin およびパスワー
ド changeme でログインしてください。インストール時に指定したユーザー名とパスワードは使⽤しないでくださ
い。
Web ブラウザでの Splunk の起動
23
マシン上で Splunk Enterprise を開始した後に、それにアクセスするには、以下のいずれかの作業を⾏います。
[スタート] > [プログラム] > [Splunk] の Splunk アイコンをクリックします。
または
Web ブラウザを起動して、http://localhost:8000 に移動します。
デフォルトの資格情報を使ってログインします。ユーザー名：admin、パスワード：changeme。
初めて Splunk Enterprise に正常にログインすると、パスワードの変更を指⽰するメッセージが表⽰されます。
変更する場合は、新しいパスワードを⼊⼒して、[パスワードの変更] ボタンをクリックします。後ほど変更する
場合は、[スキップ] ボタンをクリックします。
注意： パスワードを変更しない場合は、マシンにアクセスでき、デフォルトのパスワードを知っている任意の
ユーザーが Splunk インスタンスを使⽤できることに注意してください。管理者のパスワードはできる限り早く変
更するようにしてください。また、忘れないように安全な場所に保管してください。
Internet Explorer の強化されたセキュリティポップアップの防⽌
Internet Explorer を使って Splunk Web にアクセスする場合、[強化されたセキュリティ] ポップアップが表⽰さ
れないように、以下の URL を許可するイントラネットグループまたは完全に信頼するグループに追加してくださ
い。
quickdraw.splunk.com
Splunk Enterprise インスタンスの URL
Splunk Web または splunkd サービスポートの変更
Splunk Web サービスまたは splunkd サービスに別のポートを使⽤させたい場合は、デフォルト設定を変更する
ことができます。
Splunk Web サービスのポートを変更するには：
コマンドプロンプトを開きます。
%SPLUNK_HOME%\bin ディレクトリに移動します。
splunk set web-port #### と⼊⼒し、Enter キーを押します。
splunkd のポートを変更するには：
コマンドプロンプトを開きます。
%SPLUNK_HOME%\bin ディレクトリに移動します。
splunk set splunkd-port #### と⼊⼒し、Enter キーを押します。
注意： 指定したポートが利⽤できない場合、またはデフォルトのポートが利⽤できない場合は、⾃動的に次に利
⽤可能なポートが選択されます。
ライセンスのインストールまたはアップグレード
Splunk Enterprise を新たにインストールする場合、またはあるライセンスタイプから別のライセンスタイプに切
り替える場合、ライセンスをインストールまたは更新する必要があります。
次に⾏う作業
Splunk Enterprise をインストールしたら、次に⾏う作業を確認するか、または Windows データを取り込む⽅法
を学習するために、『データの取り込み』マニュアルの以下のトピックを参照してください。
Windows イベントログデータのモニター
Windows レジストリデータのモニター
WMI ベースのデータのモニター
リモート Windows データのモニター⽅法決定の検討事項
コマンドラインを使った Windows へのインストール
ここでは、コマンドラインを使った Windows への Splunk Enterprise のインストール⼿順を説明していきま
す。
重要： Splunk のユニバーサルフォワーダー をインストールする場合は、『データの転送』マニュアルの「ユニ
バーサルフォワーダーのデプロイの概要」を参照してください。⼀部の機能を無効化または変更した完全版の
Splunk インスタンスであるヘビー/ライトフォワーダー と違い、ユニバーサルフォワーダーには別個の実⾏形式
ファイルが⽤意されています。また、インストール⼿順も異なっています。フォワーダーの基本についても、
『データの転送』マニュアルの「転送と受信について」を参照してください。
64 ビット版のハードウェア上では、64 ビット版の Splunk Enterprise を実⾏することを強くお勧めします。32
ビット版と⽐べてパフォーマンスが⼤幅に向上します。64 ビットシステム上で 32 ビット版のインストーラを実
⾏すると、そのことを警告するメッセージが表⽰されます。
コマンドラインからインストールする場合
コマンドプロンプトまたは PowerShell ウィンドウから、個別のマシンに⼿動で Splunk Enterprise をインス
24
トールすることができます。コマンドラインからのインストールが役に⽴つシナリオの例を以下に⽰します。
Splunk Enterprise をインストールしたいけれども、すぐには開始したくない場合。
スクリプトを使って、Splunk のインストールを⾃動化したい場合。
後ほど複製するシステム上に Splunk Enterprise をインストールしたい場合。
グループポリシーや、System Center Configuration Manager などのデプロイツールを使⽤する場合。
Windows Server Core が動作しているシステム上に、Splunk Enterprise をインストールする場合。
PowerShell を使ったインストール
PowerShell ウィンドウから Splunk Enterprise をインストールできます。そのための⼿順は、コマンドプロンプ
トからインストールする場合に必要な⼿順と同じです。
アップグレード？
Splunk Enterprise をアップグレードする予定の場合は、実施する前に「Splunk のアップグレード⽅法」を参考
に、移⾏⽅法と移⾏の検討事項を確認してください。
特に、アップグレード時の管理⽤ポートや HTTP ポートの変更を、Splunk はサポートしていないことに注意して
ください。
インストールの前に
Splunk Enterprise を実⾏するためのユーザーの選択
インストール前に、ご⾃分のデータ収集ニーズに対応するために、「Splunk を実⾏するためのユーザーの選択」
を参照して、Splunk Enterprise を実⾏するユーザーアカウントを決定してください。選択するユーザーは、ソフ
トウェアのインストール前に⾏う必要がある作業、およびその他の事項に影響します。
ドメインユーザーとして Splunk Enterprise をインストールするためのドメインの準備
また、インストールを実施する前に、「ネットワークまたはドメインユーザーとしての、Splunk Enterprise イン
ストール⽤ Windows ネットワークの準備」を参照して、Splunk Enterprise を実⾏するためのドメインの設定⽅
法を確認してください。
Windows 版 Splunk Enterprise とウィルス対策ソフトウェア
Splunk Enterprise のインデックス作成サブシステムは、⼤量のディスクスループットを必要としています。ウィ
ルス対策ソフトウェアや Splunk Enterprise とオペレーティングシステム間を中継するデバイスドライバを持つ
ソフトウェアにより、Splunk の処理能⼒が⼤幅に低下し、処理の低速化やシステムの応答不可を発⽣させる可能
性があります。
Splunk Enterprise のインストールを開始する前に、このようなソフトウェアがインストールディレクトリやプロ
セスのスキャンをすることを防⽌するように設定することが⾮常に重要です。
コマンドラインからの Splunk Enterprise のインストール
コマンドラインで msiexec.exe を実⾏して、Splunk をインストールすることができます。PowerShell を使⽤する
場合も、同じ⼿順を実施します。
32 ビット版プラットフォームの場合は、splunk-<...>-x86-release.msi を使⽤します。
msiexec.exe /i splunk-<...>-x86-release.msi [<flag>]... [/quiet]
64 ビット版プラットフォームの場合は、splunk-<...>-x64-release.msi を使⽤します。
msiexec.exe /i splunk-<...>-x64-release.msi [<flag>]... [/quiet]
<...>
の値はリリースによって異なります (例：splunk-5.0-125454-x64-release.msi)。
コマンドラインのフラグにより、インストール時に Splunk Enterprise を設定することができます。コマンドラ
インフラグを使⽤して、さまざまな事項を指定できます。以下に例を⽰します。
インデックスを作成する Windows イベントログ。
モニターする Windows レジストリハイブ。
収集する WMI データ。
Splunk Enterprise を動作させるユーザー (重要： Splunk インスタンスをインストールするユーザーのタイ
プについては、「Splunk Enterprise を実⾏する Windows ユーザーの選択」を参照してください)。
有効にする Splunk ⽤の含まれているアプリケーション設定 (Splunk ライトフォワーダーなど)。
インストール完了時に Splunk を⾃動的に開始するかどうか。
注意： インストール後初めて Splunk Web にアクセスする場合、デフォルトのユーザー名
ド changeme でログインしてください。
admin
およびパスワー
サポートしているフラグ
コマンドラインで Windows 版 Splunk をインストールする場合に使⽤できる、フラグの⼀覧を以下に⽰します。
25
重要： Splunk ユニバーサルフォワーダーは個別の実⾏形式ファイルで、独⾃のインストールフラグが存在してい
ます。ユニバーサルフォワーダーがサポートしているインストール⽤フラグについては、『データの転送』マニュ
アルの「コマンドラインを使った Windows ユニバーサルフォワーダーのデプロイ」を参照してください。
フラグ
AGREETOLICENSE=Yes|No
INSTALLDIR="<directory_path>"
その⽬的
EULA に同意する場合にこのフラグを使⽤します。サ
イレントインストールを⾏うには、このフラグに Yes
を設定する必要があります。
インストールするディレクトリを指定する場合、この
フラグを使⽤します。このドキュメントで Splunk の
インストールディレクトリは、$SPLUNK_HOME または
%SPLUNK_HOME% として表しています。
デフォルト
No
C:\Program
Files\Splunk
これらのフラグは、splunkd および splunkweb が使⽤す
るポートを指定する場合に使⽤します。
SPLUNKD_PORT=<port number>
注意： 指定したポートが利⽤できない場合、次に利⽤
可能なポートが⾃動的に選択されます。
8089
これらのフラグは、splunkd および splunkweb が使⽤す
るポートを指定する場合に使⽤します。
WEB_PORT=<port number>
注意： 指定したポートが利⽤できない場合、次に利⽤
可能なポートが⾃動的に選択されます。
8000
これらのフラグは、特定の Windows イベントログの
インデックスを作成するかどうかを指定する場合に使
⽤します。
WINEVENTLOG_APP_ENABLE=1/0
WINEVENTLOG_SEC_ENABLE=1/0
アプリケーションログ
セキュリティログ
WINEVENTLOG_SYS_ENABLE=1/0
システムログ
WINEVENTLOG_FWD_ENABLE=1/0
フォワーダーログ
WINEVENTLOG_SET_ENABLE=1/0
セットアップログ
0
(off)
0
(off)
0
(off)
注意： 複数のフラグを指定することができます。
このフラグは、Splunk が
REGISTRYCHECK_U=1/0
Windows レジストリマシンハイブ
REGISTRYCHECK_BASELINE_U=1/0
のベースラインスナップショットを捕捉して、
そのイベントのインデックスを作成するかどうかを⽰
します (HKEY_CURRENT_USER)。
注意： これらの両⽅を同時に設定することができま
す。
このフラグは、Splunk が
REGISTRYCHECK_LM=1/0
Windows レジストリマシンハイブ
REGISTRYCHECK_BASELINE_LM=1/0
のベースラインスナップショットを捕捉して、
そのイベントのインデックスを作成するかどうかを⽰
します (HKEY_LOCAL_MACHINE)。
注意： これらの両⽅を同時に設定することができま
す。
これらのフラグを使って、Splunk がインデックスを
作成する WMI ベースのパフォーマンス測定基準を指
定できます。
WMICHECK_CPUTIME=1/0
WMICHECK_LOCALDISK=1/0
CPU 使⽤状況
ローカルディスク使⽤状況
WMICHECK_FREEDISK=1/0
空きディスクスペース
WMICHECK_MEMORY=1/0
メモリー統計
警告： このSplunk インスタンスにリモート
26
Windows データをモニターさせる必要がある場合
は、LOGON_USERNAME および LOGON_PASSWORD フラグも指定
する必要があります。Splunk は、明⽰的にアクセス
できないリモートデータを収集することはできませ
ん。また、指定するユーザーには特定の権限、管理者
特権、および他のアクセス許可が必要で、これらはイ
ンストール前に設定しておく必要があります。必要な
資格情報の詳細は、このマニュアルの「Splunk を実
⾏する Windows ユーザーの選択」を参照してくださ
い。
0
(off)
他にもさまざまな WMI ベースの測定基準のインデッ
クスを作成することができます。詳細は、『データの
取り込み』マニュアルの「WMI データのモニター」
を参照してください。
LOGON_USERNAME="<domain\username>"
LOGON_PASSWORD="<pass>"
Splunk を実⾏するユーザーの、ドメイン\ユーザー名
およびパスワード情報を指定する場合に、これらのフ
ラグを使⽤します。splunkd および splunkweb サービス
は、これらの資格情報で設定されます。LOGON_USERNAME
フラグの場合、ドメインとユーザー名は
「domain\username」の形式で指定する必要がありま
す。
なし
Splunk Enterprise にリモートデータをモニターさせ
る場合に、これらのフラグが必要になります。使⽤す
る資格情報については、このマニュアルの「Splunk
を実⾏する Windows ユーザーの選択」を参照してく
ださい。
この Splunk インストールで有効にする、含まれてい
る Splunk アプリケーション設定を指定する場合に、
このフラグを使⽤します。<SplunkApp> で現在サポート
されているオプションは、SplunkLightForwarder および
SplunkForwarder です。これらの設定は、それぞれ
Splunk がライトフォワーダーまたはヘビーフォワー
ダーとして動作することを⽰しています。詳細は、
『データの転送』マニュアルの「転送と受信につい
て」を参照してください。
SPLUNK_APP="<SplunkApp>"
重要： 完全版の Splunk Enterprise では、ユニバー
サルフォワーダーが有効になることはありません。ユ
ニバーサルフォワーダーはダウンロード可能な別の実
⾏形式ファイルで、独⾃のインストールフラグが存在
しています。
なし
注意： ここに Splunk フォワーダーまたはライトフォ
ワーダーを指定した場合は、
FORWARD_SERVER="<server:port>" も指定する必
要があります。
アプリケーションを指定せずに Splunk Enterprise を
インストールする場合は、単純にこのフラグを省略し
てください。
FORWARD_SERVER="<server:port>"
このフラグは、SPLUNK_APP フラグを使って、Splunk ヘ
ビー/ライトフォワーダーを有効にする場合にのみ使
⽤します。このフォワーダーがデータを送信する
Splunk サーバーおよびポートを指定します。
なし
重要： このフラグを使⽤する場合、SPLUNK_APP フラグ
も設定する必要があります。
DEPLOYMENT_SERVER="<host:port>"
設定の更新を配布するための、デプロイサーバーの指
定に使⽤します。デプロイサーバー名 (ホスト名また
は IP アドレス) とポートを⼊⼒してください。
なし
システム起動時に Splunk を⾃動的に開始するかどう
かを指定します。
LAUNCHSPLUNK=0/1
INSTALL_SHORTCUT=0/1
重要： SPLUNK_APP フラグを使って Splunk フォワー
ダーを有効にした場合、Splunk は⾃動的に開始する
ように設定され、このフラグは無視されます。
デスクトップと [スタート] メニューに、Splunk への
ショートカットを作成するかどうかを指定します。
サイレント・インストール
27
1
(on)
1
(on)
サイレントインストールを実⾏する場合、インストールコマンド⽂字列の最後に /quiet を指定します。システム
で UAC が有効になっている場合 (⼀部のシステムではデフォルト)、Administrator (管理者) としてインストール
を実⾏する必要があります。⽅法：
コマンドプロンプトを開く際に、右クリックして [管理者として実⾏] を選択します。
このコマンドウィンドウから、サイレントインストール⽤のコマンドを実⾏します。
注意： PowerShell をコマンドラインインターフェイスとして使⽤する場合も、この⽅法を利⽤できます。
例
さまざまなフラグの使⽤例を以下に⽰します。
Local System ユーザーとして実⾏するための Splunk Enterprise のサイレントインストール
msiexec.exe /i Splunk.msi /quiet
Splunk ヘビーフォワーダーを有効にして Splunk Enterprise を実⾏するユーザーの資格情報を指定
msiexec.exe /i Splunk.msi SPLUNK_APP="SplunkForwarder" FORWARD_SERVER="<server:port>" LOGON_USERNAME="AD\splunk"
LOGON_PASSWORD="splunk123"
Splunk フォワーダー、および Windows システムイベントログのインデックス作成を有効にして、インス
トーラをサイレントモードで実⾏
msiexec.exe /i Splunk.msi SPLUNK_APP="SplunkForwarder" FORWARD_SERVER="<server:port>" WINEVENTLOG_SYS_ENABLE=1
/quiet
"<server:port>"
は、このマシンがデータを送信する Splunk サーバーおよびポートです。
次に⾏う作業
Splunk Enterprise をインストールしたら、次に何を⾏えば 良いのでしょうか？
また、『データの取り込み』マニュアルで、Windows データのモニター⽅法を決定するための検討事項を参照す
ることもできます。
Windows インストール時に選択したユーザーの修正
Splunk Enterprise インストール時にその他のユーザーを選択し、そのユーザーが存在していないか、または⼊⼒
した情報が誤っていた場合、Windows のサービスコントロールマネージャで正しい情報を指定することができま
す (ただし、まだ Splunk を開始していない場合 )。Splunk を開始してしまった場合は、それを終了してアン
インストールした後に、再インストールする必要があります。
Windows GUI インストールプロセスで無効なユーザーを指定した場合、エラーを⽰す 2 つのポップアップウィ
ンドウが表⽰されます。
ユーザーを変更するには：
1. [コントロールパネル] > [管理ツール] > [サービス] で、splunkd および splunkweb サービスを探します。これらの
サービスは開始されておらず、現在 Local System ユーザーが保有しています。
2. 各サービスを右クリックして、[プロパティ] を選択します。そのサービスのプロパティダイアログが表⽰され
ます。
3. [ログオン] タブを選択します。
4. [アカウント] ラジオボタンを選択して、正しいドメイン\ユーザー名とパスワードを⼊⼒します。
5. [適⽤ ] をクリックします。
6. [OK] をクリックします。
7. 別のサービスに対しても、ステップ 2〜6 を繰り返します (この作業は、splunkd と
う必要があります)。
splunkweb
の両⽅に対して⾏
8. サービスマネージャまたは Splunk コマンドラインインターフェイスを使って、両⽅のサービスを開始できるよ
うになります。
Linux、Windows、または Mac OS X への Splunk
Enterprise のインストール
Linux へのインストール
Linux に Splunk をインストールするには、RPM または DEB パッケージ、または tar ファイルを使⽤します。
28
注意： Splunk のユニバーサルフォワーダー をインストールする場合は、『データの転送』マニュアルの「ユニ
バーサルフォワーダーのデプロイの概要」を参照してください。 ⼀部の機能を無効化または変更した完全版の
Splunk Enterprise インスタンスであるヘビー/ライトフォワーダー と違い、ユニバーサルフォワーダーはまった
く別の実⾏形式ファイルで、インストール⼿順も異なっています。フォワーダーの概要については、「転送と受信
について」を参照してください。
アップグレード？
Splunk をアップグレードする場合は、実施する前に「Splunk のアップグレード⽅法」を参考に、移⾏⽅法と移
⾏の検討事項を確認してください。
Tar ファイルのインストール
Splunk Enterprise を Linux システムにインストールするには、tar コマンドを使って tar ファイルを適切なディ
レクトリに展開します。
tar xvzf splunk_package_name.tgz
デフォルトのインストールディレクトリは、現在の作業ディレクトリ内の splunk ディレクトリになりま
す。/opt/splunk をインストールするには、以下のコマンドを使⽤します。
tar xvzf splunk_package_name.tgz -C /opt
注意： tar ファイルを使って Splunk Enterprise をインストールする場合：
⼀部の⾮ GNU バージョンの tar では、-C 引数が利⽤できないことがあります。このような場合
に、/opt/splunk にインストールするには、cd で /opt に移動するか、または tar コマンドを実⾏する前に tar
ファイルを /opt に保管します。この⽅法は、ご利⽤のマシンのファイルシステムでアクセスできる、任意の
ディレクトリに対して利⽤できます。
Splunk が splunk ユーザーを⾃動的に作成することはありません。Splunk を特定のユーザーとして実⾏す
る場合は、インストール前に⼿動でユーザーを作成する必要があります。
ディスクパーティションには、インデックスを作成するデータを保持するために、⼗分な量のスペースがあ
ることを確認してください。
RedHat RPM のインストール
⽬的の Splunk ビルド rpm パッケージが、ターゲットサーバー上でローカルに利⽤できることを確認します。
Splunk ユーザーが、ファイルを読み取り/実⾏可能なことを確認します。必要に応じてアクセス権を変更しま
す。
chmod 744 splunk_package_name.rpm
Splunk RPM をデフォルトディレクトリ
/opt/splunk
にインストールするには：
rpm -i splunk_package_name.rpm
別のディレクトリに Splunk をインストールする場合は、--prefix フラグを使⽤します。
rpm -i --prefix=/opt/new_directory splunk_package_name.rpm
注意 ：デフォルト以外のディレクトリに rpm をインストールすることはお勧めできません。RPM には、アップ
グレード時の安全対策が⽤意されていません。--prefix が⼀致しないと、アップグレードは失敗します。
/opt/splunk にある既存の Splunk Enterprise インストールを、RPM を使ってアップグレードするには：
rpm -U splunk_package_name.rpm
注意 ：rpm のアップグレードは、rpm パッケージをアップグレードします。Splunk Enterprise をアップグレー
ドするのではありません。rpm のアップグレードは、過去に rpm を使⽤した場合にのみ⾏えます。tar インス
トールから rpm インストールへの、⼿軽な移⾏⼿段はありません。これは Splunk の問題ではなく、根本的な
パッケージに関する問題です。
別のディレクトリにインストールされている既存の Splunk をアップグレードするには、--prefix フラグを使⽤し
ます。
rpm -U --prefix=/opt/existing_directory splunk_package_name.rpm
注意： --prefix で既存のディレクトリを指定しない場合、rpm はデフォルトの
す。
たとえば、既存のディレクトリ
$SPLUNK_HOME=/opt/apps/splunk
29
/opt/splunk
にインストールされま
にアップグレードするには、以下のように⼊⼒しま
す。
rpm -U --prefix=/opt/apps splunk_package_name.rpm
既存の Splunk Enterprise インストールを置換するには
rpm -i --replacepkgs --prefix=/splunkdirectory/ splunk_package_name.rpm
RPM インストールを kickstart で⾃動化するには、kickstart ファイルに以下の項⽬を追加します。
./splunk start --accept-license
./splunk enable boot-start
注意： 2 ⾏⽬はオプションで省略可能です。
システムブート時に Splunk Enterprise を開始するには、それを /etc/init.d/ に追加します。このコマンドを
root として、または sudo を利⽤して実⾏し、Splunk Enterprise を実⾏するユーザーを指定します。
./splunk enable boot-start -user splunkuser
Debian DEB のインストール
Splunk DEB パッケージをインストールするには：
dpkg -i splunk_package_name.deb
注意： Splunk DEB パッケージはデフォルトの
/opt/splunk
にのみインストールできます。
インストールされる内容
Splunk パッケージステータス：
dpkg --status splunk
すべてのパッケージを⼀覧表⽰：
dpkg --list
Splunk の開始
Splunk Enterprise は、ローカルシステム上の任意のユーザーとして動作することができます。root 以外のユー
ザーとして実⾏する場合は、指定した⼊⼒からデータを読み込むために適切な権限を持っていることを確認してく
ださい。詳細は、Splunk Enterprise を⾮ root ユーザーとして動作させる⽅法の説明を参照してください。
コマンドラインインターフェイスから Splunk Enterprise を開始するには、$SPLUNK_HOME/bin ディレクトリから以
下のコマンドを実⾏します ($SPLUNK_HOME は、Splunk をインストールしたディレクトリ)。
./splunk start
このドキュメントでは、以下の表記規則を使⽤しています。
$SPLUNK_HOME
は、Splunk のインストールパスを⽰します。
は、コマンドラインインターフェイスの場所を⽰します。
$SPLUNK_HOME/bin/
スタートアップオプション
新たにインストールした後初めて Splunk Enterprise を起動する場合、使⽤許諾契約に同意する必要がありま
す。1 ステップで Splunk Enterprise を開始して使⽤許諾契約に同意するには：
$SPLUNK_HOME/bin/splunk start --accept-license
注意： accept-license オプションの前には 2 つのダッシュがあります。
Splunk Web の起動とログイン
Splunk Enterprise を開始して使⽤許諾契約に同意したら：
30
1. ブラウザウィンドウから、http://<hostname>:port にある Splunk Web にアクセスします。
はホストマシンを表しています。
は、インストール時に指定したポート番号です (デフォルトのポートは 8000)。
hostname
port
注意：初めて Splunk にアクセスする場合は、HTTP を使⽤してください。
2. ログイン情報 (デフォルトはユーザー名 admin、パスワード changeme) の⼊⼒を要求するプロンプトが表⽰されま
す。無料版の Splunk Free に切り替えた場合、それ以降のセッションでこのログインページは表⽰されません。
次に⾏う作業
Splunk Enterprise をインストールしたら、次に何を⾏えば 良いのでしょうか？
Splunk Enterprise のアンインストール
Splunk Enterprise のアンインストールについては、このマニュアルの「Splunk Enterprise のアンインストー
ル」を参照してください。
Solaris へのインストール
Splunk Enterprise を Solaris に、PKG パッケージまたは tar ファイルを使ってインストールすることができま
す。
アップグレード？
Splunk をアップグレードする場合は、実施する前に「Splunk のアップグレード⽅法」を参考に、移⾏⽅法と移
⾏の検討事項を確認してください。
Splunk のインストール
Solaris 版の Splunk Enterprise は、PKG ファイルまたは tar ファイルで提供されています。
PKG ファイルのインストール
PKG インストールパッケージには、Splunk のインストール前にいくつかの質問への回答を要求する、リクエス
トファイルが含まれています。
pkgadd -d ./splunk_product_name.pkg
利⽤可能なパッケージのリストが表⽰されます。
処理するパッケージを選択します (デフォルトは「all」)。
ベースインストールディレクトリの指定を要求するメッセージが表⽰されます。
デフォルトの
/opt/splunk
ディレクトリにインストールする場合は、空のままにしてください。
PKG ファイルによるアップグレード
既存の Splunk Enterprise を PKG ファイルを使ってアップグレードするには、システムのデフォルトパッケージ
インストール設定ファイル (/var/sadm/install/admin/default) または⾃分で定義して呼び出している独⾃の設定ファ
イル内で、instance パラメータを使⽤する必要があります。
デフォルトまたは独⾃の設定ファイル内に、instance=overwrite を設定します。これにより、アップグレードで 2
個⽬の splunk パッケージを作成することを防⽌する (instance=unique)、または失敗させる (instance=quit) ことがで
きます。instance パラメータの詳細は、Solaris の man ページ (man -s4 admin) を参照してください。
システムのデフォルトのパッケージインストールファイルを使って Splunk Enterprise をアップグレードするに
は、初めてインストールする場合と同じコマンドを使⽤します。
pkgadd -d
./splunk_product_name.pkg
変更された各ファイルを上書きするかどうかを問い合わせるメッセージが表⽰されます。すべてに対して yes と
回答してください。
独⾃の設定ファイルを使ってアップグレードするには、以下のように⼊⼒します。
pkgadd -a conf_file -d ./splunk_product_name.pkg
サイレントアップグレードを実⾏する (そして、各ファイルの上書き問い合わせへの回答を不要にする) には、以
下のように⼊⼒します。
pkgadd -n -d
./splunk_product_name.pkg
31
pkgadd -n -d
./splunk_product_name.pkg
tar ファイルのインストール
Splunk Enterprise を Solaris システムにインストールするには、tar コマンドを使って tar ファイルを適切な
ディレクトリに展開します。
tar xvzf splunk_package_name.tar.Z
デフォルトのインストールディレクトリは、現在の作業ディレクトリ内の splunk ディレクトリになりま
す。/opt/splunk をインストールするには、以下のコマンドを使⽤します。
tar xvzf splunk_package_name.tar.Z -C /opt
注意： tar ファイルを使って Splunk Enterprise をインストールする場合：
⼀部の⾮ GNU バージョンの tar では、-C 引数が利⽤できないことがあります。このような場合
に、/opt/splunk にインストールするには、cd で /opt に移動するか、または tar コマンドを実⾏する前に tar
ファイルを /opt に保管します。この⽅法は、ご利⽤のマシンのファイルシステムでアクセスできる、任意の
ディレクトリに対して利⽤できます。
システム上に gzip バイナリがない場合、代わりに uncompress コマンドを使⽤することができます。
Splunk Enterprise が splunk ユーザーを⾃動的に作成することはありません。特定のユーザーとして実⾏す
る場合は、インストール前に⼿動でユーザーを作成する必要があります。
ディスクパーティションには、インデックスを作成するデータを保持するために、⼗分な量のスペースがあ
ることを確認してください。
インストールされる内容
Splunk パッケージ情報：
pkginfo -l splunk
すべてのパッケージを⼀覧表⽰：
pkginfo
Splunk の開始
Splunk Enterprise は、ローカルシステム上の任意のユーザーとして動作することができます。root 以外のユー
ザーとして実⾏する場合は、指定した⼊⼒からデータを読み込むために適切な権限を持っていることを確認してく
ださい。詳細は、Splunk を⾮ root ユーザーとして動作させる⽅法の説明を参照してください。
コマンドラインインターフェイスから Splunk Enterprise を開始するには、$SPLUNK_HOME/bin ディレクトリから以
下のコマンドを実⾏します ($SPLUNK_HOME は、Splunk をインストールしたディレクトリ)。
./splunk start
慣例的に、Splunk ドキュメントでは、以下の規則を使⽤しています。
$SPLUNK_HOME
は、Splunk のインストールパスを⽰します。
は、コマンドラインインターフェイスの場所を⽰します。
$SPLUNK_HOME/bin/
スタートアップオプション
新たにインストールした後初めて Splunk Enterprise を起動する場合、使⽤許諾契約に同意する必要がありま
す。1 ステップで Splunk Enterprise を開始して使⽤許諾契約に同意するには：
$SPLUNK_HOME/bin/splunk start --accept-license
注意： accept-license オプションの前には 2 つのダッシュがあります。
Splunk Web の起動とログイン
Splunk Enterprise を開始して使⽤許諾契約に同意したら：
1. ブラウザウィンドウから、http://mysplunkhost:port にある Splunk Web にアクセスします。ここで：
はホストマシンを表しています。
は、インストール時に指定したポート (8000) です。
mysplunkhost
port
2. ログイン情報 (デフォルトはユーザー名 admin、パスワード changeme) の⼊⼒を要求するプロンプトが表⽰されま
す。無料版の Splunk Free に切り替えた場合、それ以降のセッションでこのログインページは表⽰されません。
32
次に⾏う作業
Splunk Enterprise をインストールしたら、次に何を⾏えば 良いのでしょうか？
Splunk Enterprise のアンインストール
Splunk Enterprise のアンインストールについては、このマニュアルの「Splunk Enterprise のアンインストー
ル」を参照してください。
Mac OS X へのインストール
Splunk Enterprise を Mac OS X にインストールするには、DMG パッケージまたは tar ファイルを使⽤できま
す。
アップグレード？
アップグレードする場合は、実施する前に「Splunk Enterprise のアップグレード⽅法」を参考に、移⾏⽅法と移
⾏の検討事項を確認してください。
インストールオプション
Mac OS ビルドは、DMG パッケージと tar ファイルの 2 種類の形式で提供されています。ここでは、以下の⽅
法について説明していきます。
DMG ファイルを使ったグラフィカルな (基本) インストール、およびコマンドラインによるインストール。
tar ファイルによるインストール。
注意：同じホスト上の別の場所に 2 つインストールする必要がある場合は、tar ファイルを使⽤します。pkg イン
ストーラの場合、2 番⽬のインスタンスをインストールすることはできません。すでに 1 つ存在している場合、2
番⽬のインストールが正常に完了すると、最初の⽅が削除されてしまいます。
グラフィカルなインストール
1. DMG ファイルをダブルクリックします。
splunk.pkg を含む Finder ウィンドウが表⽰されます。
2. Finder ウィンドウで、splunk.pkg をダブルクリックします。
Splunk Enterprise インストーラが起動し、[Introduction] (紹介) にバージョンおよび著作権情報が表⽰されま
す。
3. [続⾏] をクリックします。
[Select a Destination] (宛先の選択) ウィンドウが表⽰されます。
4. Splunk Enterprise のインストール先を選択します。
デフォルトのディレクトリ /Applications/splunk にインストールするには、ハードドライブアイコンをクリッ
クします。
別の場所を選択する場合は、[Choose Folder...] (フォルダを選択...) を選択します。
5. [続⾏] をクリックします。
インストール前のサマリーが表⽰されます。何か変更する必要がある場合：
新しいフォルダを選択するには、[Change Install Location] (インストール先の変更) をクリックしま
す。または、
[Back] (戻る) をクリックして、前のステップに戻ります。
6. [インストール] をクリックします。
インストールが開始されます。この処理には数分ほどかかる場合があります。
7. インストールが完了したら、[Finish] をクリックします。デスクトップにショートカットが配置されます。
コマンドラインによるインストール
ターミナルウィンドウからインストールするには、以下の⼿順に従ってください。
重要：Mac OS X に Splunk Enterprise をコマンドラインからインストールする場合、root ユーザーを
使⽤するか、または sudo コマンドを使って特権を昇格する必要があります。 sudo を使⽤する場合は、管理者
レベルのアカウントでなければなりません。
1. To mount the dmg:
sudo hdid splunk_package_name.dmg
Finder は、デスクトップにディスクイメージをマウントします。このイメージは、/Volumes/SplunkForwarder
<バージョン> (スペースに注意) 下にあります。
33
2. インストールするには：
root ボリュームで：
cd /Volumes/SplunkForwarder\ <version>
sudo installer -pkg .payload/splunk.pkg -target /
注意： ディスクイメージ名にはスペースが存在しています。円記号 (バックスラッシュ) でスペースをエスケープ
処理するか、または引⽤符でディスクイメージ名を囲んでください。
別のパーティションのディスクに：
cd /Volumes/SplunkForwarder\ <version>
sudo installer -pkg .payload/splunk.pkg -target /Volumes\ Disk
注意： ディスクイメージ名にはスペースが存在しています。円記号 (バックスラッシュ) でスペースをエスケープ
処理するか、または引⽤符でディスクイメージ名を囲んでください。
は、他のディスクなどのターゲットボリュームを⽰します。Splunk は
ルされます。
-target
/Applications/splunk
にインストー
ボリュームの /Applications/splunk 以外のディレクトリにインストールする場合は、前述のグラフィカルなインス
トーラを使⽤します。
tar ファイルのインストール
Splunk Enterprise を Mac OS Xにインストールするには、tar コマンドを使って tar ファイルを適切なディレク
トリに展開します。
tar xvzf splunk_package_name.tgz
デフォルトのインストールディレクトリは、現在の作業ディレクトリ内の splunk ディレクトリになりま
す。/Applications/splunk をインストールするには、以下のコマンドを使⽤します。
tar xvzf splunk_package_name.tgz -C /Applications
注意： tar ファイルを使って Splunk Enterprise をインストールする場合：
Splunk Enterprise が splunk ユーザーを⾃動的に作成することはありません。特定のユーザーとして実⾏す
る場合は、インストール前に⼿動でユーザーを作成する必要があります。
ディスクパーティションには、インデックスを作成するデータを保持するために、⼗分な量のスペースがあ
ることを確認してください。
Splunk の開始
Splunk Enterprise は、ローカルシステム上の任意のユーザーとして動作することができます。root 以外のユー
ザーとして実⾏する場合は、指定した⼊⼒からデータを読み込むために適切な権限を持っていることを確認してく
ださい。
Finder からの Splunk Enterprise の開始
Finder から Splunk Enterprise を開始するには、デスクトップの Splunk アイコンをダブルクリックして、
「Splunk's Little Helper」という名前のヘルパーアプリケーションを起動します。
注意： 初めてヘルパーアプリケーションを実⾏した場合、簡単な初期化を実⾏する必要があることを知らせる
メッセージが表⽰されます。Splunk Enterprise による初期化とトライアルライセンスの設定を許可する場合
は、[OK] をクリックします。
ヘルパーアプリケーションが読み込まれたら、複数の選択項⽬がダイアログに表⽰されます。
Start and Show Splunk ：このオプションは、Splunk Enterprise を開始して、Web ブラウザに Splunk
Web を表⽰します。
Only Start Splunk ：これを選択すると、Splunk Enterprise は起動しますが、ブラウザに Splunk Web
は表⽰されません。
キャンセル ：ヘルパーアプリケーションを終了します。この操作は Splunk Enterprise インスタンス⾃体
には影響を与えません。ヘルパーアプリケーションのみが終了します。
適切なオプションを選択すると、ヘルパーアプリケーションは所定の操作を⾏った後に終了します。ヘルパーアプ
リケーションをもう⼀度実⾏して、Splunk Web を表⽰したり、Splunk を終了したりすることができます。
ヘルパーアプリケーションは、すでに動作している Splunk を終了するためにも使⽤できます。
コマンドラインからの Splunk Enterprise の開始
コマンドラインインターフェイスから Splunk Enterprise を開始するには、$SPLUNK_HOME/bin ディレクトリから以
34
下のコマンドを実⾏します ($SPLUNK_HOME は、Splunk Enterprise をインストールしたディレクトリ)。
./splunk start
このドキュメントでは、以下の表記規則を使⽤しています。
$SPLUNK_HOME
は、Splunk のインストールパスを⽰します。
は、コマンドラインインターフェイスの場所を⽰します。
$SPLUNK_HOME/bin/
スタートアップオプション
新たにインストールした後初めて Splunk Enterprise を起動する場合、使⽤許諾契約に同意する必要がありま
す。1 ステップで Splunk Enterprise を開始して使⽤許諾契約に同意するには：
$SPLUNK_HOME/bin/splunk start --accept-license
注意： accept-license オプションの前には 2 つのダッシュがあります。
Splunk Web の起動とログイン
Splunk Enterprise を開始して使⽤許諾契約に同意したら：
1. ブラウザウィンドウから、Splunk Web にアクセスします：
http://<hostname>:port
はホストマシンを表しています。
は、インストール時に指定したポート番号です (デフォルトのポートは 8000)。
hostname
port
2. ログイン情報 (デフォルトはユーザー名 admin、パスワード changeme) の⼊⼒を要求するプロンプトが表⽰されま
す。無料版の Splunk Free に切り替えた場合、それ以降のセッションでこのログインページは表⽰されません。
次に⾏う作業
Splunk Enterprise をインストールしたら、次に何を⾏えば 良いのでしょうか？
Splunk Enterprise のアンインストール
Splunk Enterprise のアンインストールについては、このマニュアルの「Splunk Enterprise のアンインストー
ル」を参照してください。
FreeBSD へのインストール
FreeBSD 版の Splunk Enterprise は、インストーラ (5.4-intel) および tar ファイル (i386) の 2種類の形式で提
供されています。両⽅とも gzip された tar (.tgz) ファイルです。
アップグレード？
アップグレードする場合は、実施する前に「Splunk Enterprise のアップグレード⽅法」を参考に、移⾏⽅法と移
⾏の検討事項を確認してください。
前提条件
FreeBSD 8 の場合、Splunk Enterprise には互換性パッケージが必要です。互換性パッケージをインストールす
るには：
1.ポートをインストール：
portsnap fetch update
cd /usr/ports/misc/compat7x/ && make install clean
2.パッケージを追加：
pkg_add -r compat7x-amd64
基本インストール
intel インストーラを使って FreeBSD 版 Splunk Enterprise をインストールするには：
pkg_add splunk_package_name-6.1-intel.tgz
重要： この場合、Splunk Enterprise はデフォルトのディレクトリ /opt/splunk にインストールされます。/opt が
存在しない場合、install コマンドを実⾏する前に、ディレクトリを作成する必要があります。作成していない場
合、エラーメッセージが表⽰されます。FreeBSD のベストプラクティスは、⼩さな root (/) ファイルシステムを
維持することです。そこで、他のファイルシステムへのシンボリックリンクを作成して、そこにインストールする
35
ことをお勧めします。
Splunk Enterprise を別のディレクトリにインストールするには：
pkg_add -v -p /usr/splunk splunk_package_name-6.1-intel.tgz
FreeBSD パッケージシステムには、ネイティブのアップグレードサポートがありません。管理するためのアドオ
ンユーティリティがいくつか存在していますが、それらは正しくテストされていません。FreeBSD 上のパッケー
ジをアップグレードするには、前のパッケージをアンインストールして、新しいパッケージをインストールする
か、または tar ファイルを使って既存のインストールをアップグレードします。
tar ファイルのインストール
Splunk Enterprise を FreeBSD システムにインストールするには、tar コマンドを使ってファイルを適切なディ
レクトリに展開します。
tar xvzf splunk_package_name.tgz
デフォルトのインストールディレクトリは、現在の作業ディレクトリ内の splunk ディレクトリになりま
す。/opt/splunk をインストールするには、以下のコマンドを使⽤します。
tar xvzf splunk_package_name.tgz -C /opt
注意： tar ファイルを使って Splunk Enterprise をインストールする場合：
⼀部の⾮ GNU バージョンの tar では、-C 引数が利⽤できないことがあります。このような場合
に、/opt/splunk にインストールするには、cd で /opt に移動するか、または tar コマンドを実⾏する前に tar
ファイルを /opt に保管します。この⽅法は、ご利⽤のマシンのファイルシステムでアクセスできる、任意の
ディレクトリに対して利⽤できます。
Splunk Enterprise が splunk ユーザーを⾃動的に作成することはありません。Splunk Enterprise を特定の
ユーザーとして実⾏する場合は、インストール前に⼿動でユーザーを作成する必要があります。
ディスクパーティションには、インデックスを作成するデータを保持するために、⼗分な量のスペースがあ
ることを確認してください。
インストール後
FreeBSD 上で Splunk Enterprise の機能が正常に動作していることを確認するために、以下の作業を⾏う必要が
あります。
1. 次のファイルに以下の項⽬を追加します：
/boot/loader.conf
kern.maxdsiz="2147483648" # 2GB
kern.dfldsiz="2147483648" # 2GB
machdep.hlt_cpus=0
2. /etc/sysctl.conf に以下の項⽬を追加します。
vm.max_proc_mmap=2147483647
変更内容を有効にするには、FreeBSD を再起動する必要があります。
サーバーのメモリーが 2 GB 未満の場合は、それに応じて値を減らしてください。
インストールされる内容
Splunk Enterprise パッケージの⼀覧を表⽰するには：
pkg_info -L splunk
すべてのパッケージを⼀覧表⽰するには：
pkg_info
Splunk Enterprise の開始
Splunk Enterprise は、ローカルシステム上の任意のユーザーとして動作することができます。root 以外のユー
ザーとして実⾏する場合は、指定した⼊⼒からデータを読み込むために適切な権限を持っていることを確認してく
ださい。
コマンドラインインターフェイスから Splunk Enterprise を開始するには、$SPLUNK_HOME/bin ディレクトリから以
下のコマンドを実⾏します ($SPLUNK_HOME は、Splunk Enterprise をインストールしたディレクトリ)。
36
./splunk start
このドキュメントでは、以下の表記規則を使⽤しています。
$SPLUNK_HOME
は、Splunk のインストールパスを⽰します。
は、コマンドラインインターフェイスの場所を⽰します。
$SPLUNK_HOME/bin/
スタートアップオプション
新たにインストールした後初めて Splunk Enterprise を起動する場合、使⽤許諾契約に同意する必要がありま
す。1 ステップで Splunk Enterprise を開始して使⽤許諾契約に同意するには：
$SPLUNK_HOME/bin/splunk start --accept-license
注意： accept-license オプションの前には 2 つのダッシュがあります。
Splunk Web の起動とログイン
Splunk Enterprise を開始して使⽤許諾契約に同意したら：
1. ブラウザウィンドウから、Splunk Web にアクセスします：
http://<hostname>:port
はホストマシンを表しています。
は、インストール時に指定したポート番号です (デフォルトのポートは 8000)。
hostname
port
2. ログイン情報 (デフォルトはユーザー名 admin、パスワード changeme) の⼊⼒を要求するプロンプトが表⽰されま
す。無料版の Splunk Free に切り替えた場合、それ以降のセッションでこのログインページは表⽰されません。
次に⾏う作業
Splunk Enterprise をインストールしたら、次に何を⾏えば 良いのでしょうか？
Splunk Enterprise のアンインストール
Splunk Enterprise のアンインストールについては、このマニュアルの「Splunk Enterprise のアンインストー
ル」を参照してください。
AIX へのインストール
tar ファイルを使って、AIX に Splunk Enterprise をインストールすることができます。
重要： Splunk としてインストールされるユーザーには、/dev/random および
す。保有していない場合は、インストールが失敗してしまいます。
/dev/urandom
の読み取り権限が必要で
アップグレード？
アップグレードする場合は、実施する前に「Splunk Enterprise のアップグレード⽅法」を参考に、移⾏⽅法と移
⾏の検討事項を確認してください。
Splunk Enterprise のインストール
AIX インストールは、tar ファイル形式で提供されています。
tar ファイルを使ってインストールする場合：
Splunk Enterprise が splunk ユーザーを⾃動的に作成することはありません。Splunk Enterprise を特定の
ユーザーとして実⾏する場合は、⼿動でユーザーを作成する必要があります。
ディスクパーティションには、インデックスを作成するデータを保持するために、⼗分な量のスペースがあ
ることを確認してください。
AIX tar は、⻑いファイル名のアンパック、ファイルの上書きに失敗する、または他の問題が発⽣する可能
性があるため、tar ファイルのアンパックには GNU tar を使⽤することをお勧めします。システム tar を使
⽤する必要がある場合は、出⼒のエラーメッセージを確認してください。
AIX システムに Splunk Enterprise をインストールするには、tar ファイルを適切なディレクトリに展開します。
デフォルトのインストールディレクトリは、/opt/splunk です。
AIX 5.3 の場合、サービスパックが最新のものであることを確認してください。Splunk Enterprise には、以下
のサービスレベルが必要です。
$ oslevel -r
5300-005
Splunk Enterprise の開始
37
Splunk Enterprise は、ローカルシステム上の任意のユーザーとして動作することができます。root 以外のユー
ザーとして実⾏する場合は、指定した⼊⼒からデータを読み込むために適切な権限を持っていることを確認してく
ださい。詳細は、Splunk Enterprise を⾮ root ユーザーとして動作させる⽅法の説明を参照してください。
コマンドラインインターフェイスから Splunk Enterprise を開始するには、$SPLUNK_HOME/bin ディレクトリから以
下のコマンドを実⾏します ($SPLUNK_HOME は、Splunk をインストールしたディレクトリ)。
./splunk start
このドキュメントでは、以下の表記規則を使⽤しています。
$SPLUNK_HOME
は、Splunk のインストールパスを⽰します。
は、コマンドラインインターフェイスの場所を⽰します。
$SPLUNK_HOME/bin/
注意： AIX 版の Splunk は、再起動時の⾃動開始を登録しません。ただし、プロンプトで
クトリから以下のコマンドを実⾏して登録することは可能です。
$SPLUNK_HOME/bin
ディレ
./splunk enable boot-start
このコマンドは、以下のシステムコマンドを実⾏して、システムのサブシステムリソースコントローラに、
Splunk Enterprise と Splunk Web を登録します。
mkssys -G splunk -s splunkd -p <path to splunkd> -u <splunk user> -a _internal_exec_splunkd -S -n 2 -f 9
mkssys -G splunk -s splunkweb -p <path to python> -u <splunk user> -a _internal_exec_splunkweb -S -n 15 -f 9
コマンドライン引数の詳細は、IBM pSeries および AIX Information Center Web サイトにある、
「Mkssys command」 (http://publib.boulder.ibm.com/infocenter/pseries/v5r3/index.jsp?
topic=/com.ibm.aix.cmds/doc/aixcmds3/mkssys.htm) を参照してください。
mkssys
スタートアップオプション
新たにインストールした後初めて Splunk Enterprise を起動する場合、使⽤許諾契約に同意する必要がありま
す。1 ステップで Splunk Enterprise を開始して使⽤許諾契約に同意するには：
$SPLUNK_HOME/bin/splunk start --accept-license
注意： accept-license オプションの前には 2 つのダッシュがあります。
詳細は、このマニュアルの「Splunk Enterprise スタートアップオプション」を参照してください。
Splunk Web の起動とログイン
Splunk Enterprise を開始して使⽤許諾契約に同意したら：
1. ブラウザウィンドウから、Splunk Web にアクセスします：
http://<hostname>:port
はホストマシンを表しています。
は、インストール時に指定したポート番号です (デフォルトのポートは 8000)。
hostname
port
2. ログイン情報 (デフォルトはユーザー名 admin、パスワード changeme) の⼊⼒を要求するプロンプトが表⽰されま
す。無料版の Splunk Free に切り替えた場合、それ以降のセッションでこのログインページは表⽰されません。
次に⾏う作業
Splunk Enterprise をインストールしたら、次に何を⾏えば 良いのでしょうか？
Splunk Enterprise のアンインストール
Splunk Enterprise のアンインストールについては、このマニュアルの「Splunk Enterprise のアンインストー
ル」を参照してください。
HP-UX へのインストール
tar ファイルを使って、HP/UX に Splunk Enterprise をインストールすることができます。
HP/UX システムに Splunk Enterprise をインストールするには、GNU tar を使って tar ファイルを適切なディ
レクトリに展開します。デフォルトのインストールディレクトリは、/opt/splunk です。
注意： HP-UX のシステムデフォルト tar では、Splunk Enterprise tar ファイルを正常に抽出できません。GNU
tar を使⽤するか、または tar を他のプラットフォーム上で解凍してください。
tar ファイルを使ってインストールする場合：
Splunk Enterprise が splunk ユーザーを⾃動的に作成することはありません。Splunk Enterprise を特定の
ユーザーとして実⾏する場合は、⼿動でユーザーを作成する必要があります。
38
ディスクパーティションには、インデックスを作成するデータを保持するために、⼗分な量のスペースがあ
ることを確認してください。
アップグレード？
アップグレードする場合は、実施する前に「Splunk Enterprise のアップグレード⽅法」を参考に、移⾏⽅法と移
⾏の検討事項を確認してください。
Splunk Enterprise の開始
Splunk Enterprise は、ローカルシステム上の任意のユーザーとして動作することができます。root 以外のユー
ザーとして実⾏する場合は、指定した⼊⼒からデータを読み込むために適切な権限を持っていることを確認してく
ださい。
コマンドラインインターフェイスから Splunk Enterprise を開始するには、$SPLUNK_HOME/bin ディレクトリから以
下のコマンドを実⾏します ($SPLUNK_HOME は、Splunk Enterprise をインストールしたディレクトリ)。
./splunk start
このドキュメントでは、以下の表記規則を使⽤しています。
$SPLUNK_HOME
は、Splunk のインストールパスを⽰します。
は、コマンドラインインターフェイスの場所を⽰します。
$SPLUNK_HOME/bin/
注意： HP-UX 版の Splunk Enterprise は、再起動時の⾃動開始を登録しません。ただし、シェルプロンプトで
$SPLUNK_HOME/bin ディレクトリから以下のコマンドを実⾏して登録することは可能です。
./splunk enable boot-start
スタートアップオプション
新たにインストールした後初めて Splunk Enterprise を起動する場合、使⽤許諾契約に同意する必要がありま
す。1 ステップで Splunk Enterprise を開始して使⽤許諾契約に同意するには：
$SPLUNK_HOME/bin/splunk start --accept-license
注意： accept-license オプションの前には 2 つのダッシュがあります。
Splunk Web の起動とログイン
Splunk Enterprise を開始して使⽤許諾契約に同意したら：
1. ブラウザウィンドウから、Splunk Web にアクセスします：
http://<hostname>:port
はホストマシンを表しています。
は、インストール時に指定したポート番号です (デフォルトのポートは 8000)。
hostname
port
2. ログイン情報 (デフォルトはユーザー名 admin、パスワード changeme) の⼊⼒を要求するプロンプトが表⽰されま
す。無料版の Splunk Free に切り替えた場合、それ以降のセッションでこのログインページは表⽰されません。
次に⾏う作業
Splunk Enterprise をインストールしたら、次に何を⾏えば 良いのでしょうか？
Splunk Enterprise のアンインストール
Splunk Enterprise のアンインストールについては、このマニュアルの「Splunk Enterprise のアンインストー
ル」を参照してください。
Splunk Enterprise を別のユーザーまたは⾮ root ユーザーとして実
⾏
重要： このトピックは Windows 以外のオペレーティングシステム専⽤です。ユーザーを使った Windows への
Splunk Enterprise のインストールについては、このマニュアルの「Splunk Enterprise を実⾏するユーザーの選
択」を参照してください。
Splunk Enterprise は、ローカルシステム上の任意のユーザーとして動作することができます。root 以外のユー
ザーとして実⾏する場合は、以下の作業を⾏うために適切な権限を保有していることを確認してください。
ファイルやディレクトリを読み込む (設定されている場合)。⼀部のログファイルやディレクトリを読み込ん
でインデックスを作成するには、root または superuser 権限でのアクセスが必要なことがあります。
Splunk Enterprise のディレクトリへの書き込み、およびアラートやスクリプト⼊⼒と連携する スクリプト
を実⾏する。
待機しているネットワークポートにバインドする。1024 未満のネットワークポートは予約されており、
root ユーザーのみがバインドできます。
39
注意： 1024 未満のポートは root アクセス専⽤として予約されています。そのため、Splunk が root として実⾏
されている場合にのみ、ポート 514 (デフォルトの syslog 待機ポート) で待機することができます。ただし、他
のユーティリティ (syslog-ng など) をインストールして、syslog データをファイルに書き込んで、そのファイル
を Splunk にモニターさせることは可能です。
⼿順
Splunk Enterprise を root 以外のユーザーとして実⾏するには、まず Splunk Enterprise を root としてインス
トールする必要があります。次に、初めて Splunk Enterprise を起動する前に 、$SPLUNK_HOME ディレクトリの
所有権を⽬的のユーザーに変更します。Splunk Enterprise のインストール、およびそれを root 以外のユーザー
splunk として実⾏する⼿順を以下に⽰します。
注意： 以下の例で
$SPLUNK_HOME
は、Splunk Enterprise インストールディレクトリへのパスを表しています。
1. root ユーザーとして、ユーザーとグループ
splunk
を作成します。
Linux、Solaris、および FreeBSD の場合：
useradd splunk
groupadd splunk
Mac OS の場合：
[システム環境設定] > [アカウント] パネルを使って、ユーザーとグループを追加することができます。
2. root ユーザーとして、いずれかのパッケージを使⽤して (tar ファイルではない)、インストールを実⾏します。
重要： まだ Splunk Enterprise は開始しないでください。
3. root ユーザーとして、chown コマンドを実⾏して、splunk ディレクトリおよびその下のすべてを、⽬的のユー
ザーが所有するように変更します。
chown -R splunk:splunk $SPLUNK_HOME
注意： システムの chown バイナリがファイルのグループ所有権の変更をサポートしていない場合は、chgrp コマン
ドを使⽤してください。詳細はシステムの man ページを参照してください。
4. root アカウントからログアウトして⾮ root ユーザーとしてログインするか、または
root ユーザーになります。
su
コマンドを使って⾮
5. ⾮ root ユーザーとして Splunk Enterprise を開始します。
$SPLUNK_HOME/bin/splunk start
また、別のユーザーとしてログインしている時に、Splunk Enterprise を
は、sudo コマンドを使⽤します。
splunk
ユーザーとして実⾏したい場合
sudo -H -u splunk $SPLUNK_HOME/bin/splunk start
この例のコマンドは、以下の事項を前提にしています。
Splunk Enterprise が別の場所にインストールされている場合は、コマンド内のパスをそれに応じて変更し
てください。
システムに sudo がインストールされていない場合があります。そのような場合は、su を使⽤してくださ
い。
tar ファイルを使ったインストールで、Splunk Enterprise を特定のユーザー (splunk など) として実⾏させ
たい場合は、そのユーザーを⼿動で作成する必要があります。
splunk ユーザーには、製品の証明書を⽣成するために、/dev/urandom へのアクセス権が必要です。
Solaris 10 の権限
ユーザーとして Solaris 10 にインストールする場合、splunkd を開始して予約ポートにバインドするため
に、追加の権限を設定する必要があります。
splunk
Solaris 10 で
splunkd
を、splunk ユーザーとして開始するには：
# usermod -K defaultpriv=basic,net_privaddr,proc_exec,proc_fork splunk
Solaris 10 で
します。
splunk
ユーザーによる予約ポートへのバインドを許可するには、root として以下のコマンドを実⾏
# usermod -K defaultpriv=basic,net_privaddr splunk
40
Splunk Enterprise の使⽤開始
初めての Splunk の起動
重要なセキュリティ上のヒント
新しくアップグレードまたはインストールした Splunk Enterprise の使⽤を開始する前に、Splunk やデータが
安全かどうかを確認する必要があります。詳細は、『Splunk Enterprise のセキュリティ』マニュアルの「標準
環境の強化」を参照してください。
Splunk Enterprise を開始するには：
Windows の場合
Windows で Splunk Enterprise を開始するには、コマンドラインまたは Windows サービスマネージャをするこ
とができます。コマンドラインの⽅がより多くのオプションを利⽤することができます (後述)。cmd ウィンドウ
で、C:\Program Files\Splunk\bin に移動し、以下のコマンドを⼊⼒します。
splunk start
(Windows ユーザーの場合：Splunk をデフォルトの場所にインストールしている場合は、以降の例や情報
で、$SPLUNK_HOME を C:\Program Files\Splunk に置き換えてください。また、[システムのプロパティ] ダイアログの
[詳細] タブで、%SPLUNK_HOME% をシステム全体の環境変数として追加することもできます。)
UNIXの場合
Splunk Enterprise コマンドラインインターフェイス (CLI) を使⽤：
$SPLUNK_HOME/bin/splunk start
起動処理を実⾏する前に、使⽤許諾契約が表⽰され、それに同意するように要求するメッセージが表⽰されます。
Mac OS X 上で
Splunk Enterprise は、ローカルシステム上の任意のユーザーとして動作することができます。Splunk
Enterprise を root 以外のユーザーとして実⾏する場合は、指定した⼊⼒からデータを読み込むために適切な権限
を持っていることを確認してください。
Find er からの S p lu nk Enterp rise の開始
Finder から Splunk Enterprise を開始するには、デスクトップの Splunk アイコンをダブルクリックして、
「Splunk's Little Helper」という名前のヘルパーアプリケーションを起動します。
注意： 初めてヘルパーアプリケーションを実⾏した場合、簡単な初期化を実⾏する必要があることを知らせる
メッセージが表⽰されます。Splunk による初期化とトライアルライセンスの設定を許可する場合は、[OK] をク
リックします。
ヘルパーアプリケーションが読み込まれたら、複数の選択項⽬がダイアログに表⽰されます。
Start and Show Splunk ：このオプションは、Splunk を開始して、Web ブラウザに Splunk Web を表
⽰します。
Only Start Splunk ：これを選択すると、Splunk は起動しますが、ブラウザに Splunk Web は表⽰され
ません。
キャンセル ：ヘルパーアプリケーションを終了します。この操作は Splunk Enterprise インスタンス⾃体
には影響を与えません。ヘルパーアプリケーションのみが終了します。
適切なオプションを選択すると、ヘルパーアプリケーションは所定の操作を⾏った後に終了します。ヘルパーアプ
リケーションをもう⼀度実⾏して、Splunk Web を表⽰したり、Splunk Enterprise を終了したりすることができ
ます。
ヘルパーアプリケーションは、すでに動作している Splunk Enterprise を終了するためにも使⽤できます。
コマンドラインからの S p lu nk Enterp rise の開始
コマンドラインインターフェイスから Splunk Enterprise を開始するには、$SPLUNK_HOME/bin ディレクトリから以
下のコマンドを実⾏します ($SPLUNK_HOME は、Splunk Enterprise をインストールしたディレクトリ、デ
フォルトは /Applications/splunk)。
./splunk start
その他の起動オプション
初めての Splunk Enterprise 起動時に、使⽤許諾契約に⾃動的に同意するには、start コマンドに
41
accept-license
オプションを追加します。
$SPLUNK_HOME/bin/splunk start --accept-license
起動処理時に以下のメッセージが表⽰されます。
Checking prerequisites...
Checking http port [8000]: open
Checking mgmt port [8089]: open
Verifying configuration.
This may take a while...
Finished verifying configuration.
Checking index directory...
Verifying databases...
Verified databases: _audit, _blocksignature, _internal, _thefishbucket, history, main, sampledata, splunklogger,
summary
Checking index files
All index checks passed.
All preliminary checks passed.
Starting splunkd...
Starting splunkweb...
Splunk Server started.
The Splunk web interface is at http://<hostname>:8000
注意： デフォルトのポートがすでに使⽤されている (または利⽤できない) 場合、次に利⽤可能なポートが提⽰さ
れます。このオプションを承諾することも、使⽤するポートを指定することも可能です。
他にも 2 種類の
start
オプションがあります：no-promptおよび
answer-yes。
を実⾏した場合、Splunk Enterprise は何かユーザーによる回答が
必要な所まで、スタートアップ処理を続⾏します。次にその質問および終了理由を表⽰して、処理を終了し
ます。
SPLUNK_HOME/bin/splunk start --answer-yes を実⾏した場合、Splunk Enterprise はスタートアップ処理を続⾏
します。何か質問に対する回答が必要な場合は、すべて⾃動的に「はい」 (yes) と応答します。質問と回答
は画⾯に表⽰されます。
$SPLUNK_HOME/bin/splunk start --no-prompt
以下の例のように start コマンドを、3 つのオプションすべてを 1 ⾏に指定して実⾏した場合：
$SPLUNK_HOME/bin/splunk start --answer-yes --no-prompt --accept-license
使⽤許諾契約への同意を求めるメッセージは表⽰されません。
回答を求める質問は、すべて「はい」 (yes) が回答されます。
はい/いいえで回答できない質問があった場合は、処理が終了します。
個別のプロセスの開始と無効化
コマンドに、個別の Splunk Enterprise プロセスをオブジェクトとして追加して、個別のプロセスを開始/
停⽌することができます。オブジェクトには以下のものが含まれます。
start
splunkd、Splunk
サーバーデーモン。
Web インターフェイスプロセス。
splunkweb、Splunk
たとえば、splunkd のみを開始するには：
$SPLUNK_HOME/bin/splunk start splunkd
splunkweb
を無効にするには：
$SPLUNK_HOME/bin/splunk disable webserver
start
の詳細は、CLI のヘルプを参照してください。
$SPLUNK_HOME/bin/splunk help start
Splunk Web の起動
以下の URL に移動します。
http://mysplunkhost:8000
host および port には、インストール時に指定したホストとポートを指定します。
42
Splunk Enterprise に初めてログインする場合、デフォルトのログイン情報は以下のようになります。
ユーザー名 - admin
パスワード - changeme
Splunk Free には、アクセス制御機能はありません。
次は何？
サーバーに Splunk Enterprise をインストールしたら、何を始めましょうか？ここには、いくつかの参考になる
リンクを記載しています。
Splunk Enterprise の概要、機能、およびその違いの学習。
Splunk Enterprise へのデータの追加、取り込み⽅法。
ユーザーの追加と管理。
データの保管については、「必要なスペース量の⾒積もり」を参照してください。
Splunk Enterprise デプロイのプランニング (処理量がギガバイト〜テラバイト/⽇)。
サーチ、モニター、レポート⽅法などの学習。
従来のテクノロジーと Splunk Enterprise の⼤きな違いとして、サーチ時にデータを分類して解釈するこ
と が挙げられます。このことの意味と使⽤⽅法を学習してください。
App が同梱された Splunk Enterprise (例：Splunk + WebSphere) をダウンロードした場合は、Splunk Web
で App を選択して、その App の設定ページに移動できます。同梱されている App の設定とデプロイの詳細につ
いては、Splunk Apps でその App 名を検索してください。
Splunk Enterprise のアクセシビリティについて
Splunk は、⽶国 Rehabilitation Act of 1973 の Section 508 に従い、またユーザビリティのベストプラクティ
スの観点から、⽀援技術を利⽤している⽅向けの、アクセシビリティやユーザビリティを維持、強化するために⽇
夜努⼒しています。ここでは、⽀援技術のユーザーの⽅のために、製品のアクセシビリティに Splunk がどのよう
に取り組んでいるのかを説明していきます。
Splunk Web と CLI のアクセシビリティ
Splunk Enterprise のコマンドラインインターフェイス (CLI) には、Splunk Web で利⽤できる機能よりも多く
の機能が⽤意されており、⼿軽に利⽤することができます。CLI は、アクセシビリティのニーズに関係なくすべて
のユーザーが⼿軽に利⽤できることを⽬的に設計されており、⽀援技術のユーザーの⽅は CLI をご利⽤になるこ
とをお勧めしています (特に視⼒が弱いまたは⾒えない⽅や⾏動に制限がある⽅)。
Splunk は、たとえ⽬の⾒えない⽅でも GUI の使⽤を希望する場合があることも理解しています。そのため、
Splunk Web には以下のようなアクセシビリティ機能が⽤意されています。
フォームフィールドおよびダイアログボックスは、Web ブラウザがサポートしている画⾯上のフォーカス指
⽰に対応しています。
リンク、ボタン、または他のブラウザにビジュアルフォーカスが実装されていない要素に対する、オンスク
リーンフォーカス機能は採⽤していません。
フォームフィールドに⼀貫して適切なラベルが付いており、ALT テキストが機能要素と画像を説明していま
す。
Splunk Web が、ユーザーが定義したスタイルシートを変更することはありません。
Splunk Web のデータ視覚化には、マウスカーソルを要素の上に移動すると取得できるデータがあり、その
データをデータテーブルとして出⼒することもできます。そのため、⾊付きの情報を、⾊が分からなくても
利⽤できます。
データテーブルの⼤半は HTML を実装しており、必要に応じてヘッダーやマークアップを使ってデータを
識別できます。
Flash を使って表⽰されているデータテーブルは、視覚的にヘッダーを表⽰しています。それのカンマ区切
り (CSV) 形式のデータ出⼒には、データを識別するための適切なヘッダーが付けられています。
アクセシビリティとリアルタイムサーチ
Splunk Web には、点滅するコンポーネントは含まれていません。ただし、リアルタイムサーチを使⽤すると、
ページが更新されます。リアルタイムサーチは、デプロイまたはユーザー/ロールレベルで簡単に無効化すること
ができます。使いやすさとユーザビリティの観点から、補助技術 (特に画⾯読み上げ技術など) のユーザーの⽅に
対しては、リアルタイム機能を無効にした CLI を使⽤することをお勧めします。リアルタイムサーチの無効化に
ついては、『サーチマニュアル』の「リアルタイムサーチの利⽤の制限⽅法」を参照してください。
Firefox および Mac OS X を使ったキーボードナビゲーション
Mac OS X 上の Firefoxで Tab キーによるナビゲーションを有効にするには、ブラウザの設定ではなく、システ
ム設定を使⽤します。キーボードによるナビゲーションを有効にするには：
1. メニューバーで、[Apple アイコン] > [システム環境設定] > [キーボード] をクリックして、キーボード設
定ダイアログを表⽰します。
2. キーボード設定ダイアログの上部にある、[キーボードショートカット] ボタンをクリックします。
3. ダイアログの下部にある [フルキーボードアクセス] で、[すべてのコントロール] ラジオボタンをクリックし
ます。
4. キーボード設定ダイアログを閉じます。
5. Firefox がすでに動作している場合は、ブラウザを終了した後再起動します。
43
Splunk Enterprise ライセンスのインストール
Splunk Enterprise のライセンスについて
Splunk Enterprise は指定されたソースからデータを取り込んで、それを分析⽤に処理します。この処理を「イン
デックス作成 」と呼んでいます。インデックス作成プロセスについては、『データの取り込み』マニュアルの
「Splunk Enterprise によるデータの処理」を参照してください。
Splunk Enterprise ライセンスは、1 ⽇あたりにインデックスを作成できるデータ量を表しています。
Splunk ライセンスの詳細は、以下の項⽬を参照してください。
『管理マニュアル』の「Splunk ライセンスの仕組み」。
『管理マニュアル』の「Splunk Enterprise ライセンスの種類」。
『管理マニュアル』の「Splunk Free の詳細」。
ライセンスのインストール
このトピックは、Splunk Enterprise への新しいライセンスのインストール⽅法について説明しています。続⾏す
る前に、ライセンスに関する以下の記事も参考にしてください。
Splunk ライセンスの概要については、『管理マニュアル』の「Splunk ライセンスの仕組み」を参照してく
ださい。
Splunk ライセンス⽤語については、『管理マニュアル』の「グループ、スタック、プール、およびその他
の⽤語」を参照してください。
新規ライセンスの追加
新規ライセンスを追加するには：
1. [設定] > [ライセンス] に移動します。
2. [ライセンスの追加] をクリックします。
3. [ファイルを選択] をクリックしてライセンスファイルの場所に移動してそれを選択するか、または [ライセン
ス XML を直接コピーして貼り付けてください...] をクリックして、フィールドにライセンスファイルのテキス
トを貼り付けます。
4. [インストール] をクリックします。ライセンスがインストールされます。これが最初にインストールする
Enterprise ライセンスの場合は、Splunk を再起動する必要があります。
ライセンス違反
違反は、お⼿持ちのライセンスで許可されている最⼤インデックス作成ボリュームを超えた場合に発⽣します。あ
る 1 暦⽇にライセンスで許可されている⽇次ボリュームを超えた場合、違反の警告が通知されます。このメッ
セージは 14 ⽇間に渡って表⽰されます。任意の 30 ⽇間の期間内に、Enterprise ライセンスで 5 回以上の
警告が⾏われた場合、または Free ライセンスで 3 回の警告が⾏われた場合、ライセンス 違反 状態とな
り、サーチが無効になります。 サーチ機能は、過去 30 ⽇間の警告数が 5 (Enterprise) または 3 (Free) 回を下
回った場合、または⼀時的なリセットライセンス (Enterprise でのみ利⽤可) を適⽤した場合に回復します。リ
セットライセンスを⼊⼿するには、営業担当までお問い合わせください。
注意： サマリーインデックスの量は、ライセンスの考慮対象とはなりません。
違反の警告が表⽰された場合、午前 0 時 (ライセンスマスターの時刻が基準) までにそれを解決しないと、過去
30 ⽇間の期間内の合計警告数としてカウントされます。
ライセンス違反期間中は：
データのインデックス作成処理は中断されません。ライセンス超過中は、単にサーチがブロックされます。
_internal インデックスに対するサーチは無効になりません。つまり、インデックスステータスダッシュボー
ドには引き続きアクセスでき、また _internal に対してサーチを⾏い、ライセンス上の問題を診断すること
ができます。
ライセンス違反が発⽣しましたか？『管理マニュアル』の「ライセンス違反について」または Splunk
Community Wiki の「Troubleshooting indexed data volume」を参照してください。
『管理マニュアル』の「Splunk ライセンスの管理」には、ライセンスに関する詳細な情報が記載されています。
Splunk Enterprise のアップグレードまたは移⾏
44
Splunk Enterprise のアップグレード⽅法
ここでは、Splunk Enterprise およびそのコンポーネントを、あるバージョンから別のバージョンにアップグレー
ドする⽅法について説明していきます。
多くの場合、Splunk Enterprise をアップグレードするには、既存のインストール上に最新版のパッケージをイン
ストールします。Windows システム上で、インストーラパッケージはインストールされているバージョンを検出
し、アップグレードを⾏います。
注意： Splunk Enterprise をアップグレードする場合は、管理者レベルのユーザーアカウントを使⽤してくださ
い。
バージョン 6.2 の新機能と利点
6.2 で提供されているすべての新機能については、リリースノートの「」を「Meet Splunk Enterprise 6.2」参照
してください。
リリースノートには、そのリリースで既知の問題の⼀覧と対処⽅法も記載されています。
常に既存のデプロイ環境をまずバックアップ
アップグレードまたは移⾏を⾏う前には、常に既存の Splunk Enterprise デプロイ環境をバックアップするよう
にしてください。
外部のバックアップ⼿段、ディスク/ファイルシステムのスナップショット、または他の⼿段を使って、アップグ
レード前の状態に Splunk Enterprise とデータを復元できる技術を採⽤することで、リスク管理を⾏うことがで
きます。Splunk Enterprise データをバックアップする際には、$SPLUNK_HOME ディレクトリおよびそれ以外
の場所に保管されているインデックスを考慮してください。
Splunk Enterprise デプロイ環境のバックアップの詳細は、『管理マニュアル』の「設定情報のバックアップ」お
よび『インデクサーとクラスタの管理』マニュアルの「インデックス作成されたデータのバックアップ」を参照し
てください。
環境に応じて適切なアップグレード⼿順を選択する
単⼀の Splunk インスタンスを使⽤しているのか、または複数の Splunk インスタンスを接続して使⽤しているの
かによって、Splunk Enterprise のアップグレード⽅法は異なります。Splunk インスタンスをクラスタ構成で利
⽤している場合は、さらに⼤きな違いがあります。
分散環境のアップグレード
分散 Splunk Enterprise 環境 (1 つまたは複数のサーチヘッドプール を保有する環境を含む) をアップグレード
する場合は、『分散デプロイ』マニュアルの「分散環境のアップグレード」を参照してください。
クラスタ環境のアップグレード
クラスタ構成の Splunk Enterprise 環境をアップグレードする場合は、『インデクサーとクラスタ』マニュアル
の「クラスタ構成デプロイ環境のアップグレード」を参照してください。このトピックのアップグレードに関する
説明は、このマニュアルの説明に優先します。
重要： クラスタ構成 Splunk Enterprise 環境内のすべてのノードで、同じバージョンの Splunk Enterprise を動
作させる必要があります。クラスタ構成の環境をアップグレードする場合は、クラスタ内のすべてのノード (サー
チヘッド、マスターノード、ピアノードを含む) を同時にアップグレードする必要があります。
次に、アップグレード前に重要な移⾏に関する情報を参照する
重要： アップグレード前には、必ず「6.2 へのアップグレードについて：最初にお読みください」を参照して、特
定の移⾏作業に関するヒントやご⾃分の環境に影響する情報を確認してください。
5.0 以降からのアップグレード
Splunk Enterprise は、バージョン 5.0 以降からバージョン 6.2 への直接のアップグレードをサポートしていま
す。
Linux、Solaris、FreeBSD、HP-UX、AIX、および MacOS での 6.2 へのアップグレード
Windows での 6.2 へのアップグレード
4.3 以前からのアップグレード
バージョン 4.3 以前からバージョン 6.2 への直接のアップグレードは、公式にはサポートされていません。
バージョン 4.3 をご利⽤の場合は、まずバージョン 6.0 にアップグレードしてから、6.2 にアップグレード
してください。
バージョン 4.2 をご利⽤の場合は、まずバージョン 5.0 にアップグレードしてから、6.2 にアップグレード
してください。
4.2 より前のバージョンをご利⽤の場合は、まずバージョン 4.3 にアップグレードしてから、次に 6.0 に
アップグレードします。それから、6.2 にアップグレードしてください。バージョン 4.3 へのアップグレー
ド⽅法の詳細は、「4.3 へのアップグレードについて：最初にお読みください」を参照してください。
ユニバーサルフォワーダーのアップグレード
45
ユニバーサルフォワーダーのアップグレード⼿順は、Splunk Enterprise とは異なっています。ユニバーサルフォ
ワーダーをアップグレードする前に、ご利⽤のオペレーティングシステムに応じて適切なトピックを参照してくだ
さい。
Windows ユニバーサルフォワーダーのアップグレード
UNIX ユニバーサルフォワーダーのアップグレード
インデクサーとユニバーサルフォワーダー間の相互運⽤性と互換性については、『データの転送』マニュアルの
「インデクサーとユニバーサルフォワーダーの互換性」を参照してください。
6.2 へのアップグレードについて - 最初にお読みください
ここには、古いバージョンからバージョン 6.2 にアップグレードするための、重要な情報とヒントが記載されて
います。Splunk 環境をアップグレードする前にご覧ください。
重要： Splunk Enterprise 6.2 と互換性がない Splunk App やアドオンが存在しています。本リリースへのアッ
プグレードを検討している場合は、Splunk Apps を参照して、ご利⽤の App が Splunk Enterprise 6.2 と互換
性があるかどうかを確認してください。
クラスタ環境のアップグレード
Splunk クラスタをアップグレードする場合は、『インデクサーとクラスタ』マニュアルの「クラスタ構成デプロ
イ環境のアップグレード」を参照してください。そのトピックに記載されている情報は、このマニュアルに記載さ
れているアップグレードに関する説明に優先します。
重要： クラスタ構成 Splunk 環境内のすべてのノードが、同じバージョンの Splunk Enterprise を稼働させる必
要があります。クラスタ構成の環境をアップグレードする場合は、クラスタ内のすべてのノード (サーチヘッド、
マスターノード、ピアノードを含む) を同時にアップグレードする必要があります。
アップグレードパス
Splunk Enterprise は、以下のバージョン 6.2 へのアップグレードパスをサポートしています。
完全版 Splunk Enterprise をバージョン 5.0 以降から 6.2。
ユニバーサルフォワーダーをバージョン 5.0 以降から 6.2。
バージョン 4.3 の Splunk Enterprise をご利⽤の場合は、まずバージョン 6.0 にアップグレードしてから、6.2
にアップグレードしてください。詳細は、「6.0 へのアップグレードについて - 最初にお読みください」を参照し
てください。
4.3 より前のバージョンの Splunk Enterprise をご利⽤の場合は、まず 5.0 にアップグレードしてから、6.2 に
アップグレードしてください。バージョン 5.0 への移⾏⽅法に関するヒントについては、「5.0 へのアップグレー
ドについて：最初にお読みください」を参照してください。
留意事項
5.0 以降から 6.2 へのアップグレードは簡単ですが、新しいバージョンのインストール時には、いくつかの留意事
項があります。
splunkweb サービスは splunkd サービスと統合されました
Splunk Web の全操作を担当し、リクエストを splunkd サービスに送信していた splunkweb サービスは無効化され
ました。現在は splunkd サービスが、標準環境におけるすべての Splunk Enterprise サービスを担当しています。
Windows では splunkweb サービスがインストールされますが、実⾏はされません。このトピックの「Windows 固
有の変更」にある「Splunk Web サービスはインストールされるけれども実⾏されない」を参照してください。
必要に応じて、Splunk Enterprise を「レガシー・モード」で実⾏して、splunkweb を個別のサービスとして実⾏
することができます。「Splunk Enterprise の開始と停⽌」を参照してください。
重要：Splunk Web をレガシー・モードで常時使⽤することは避けてください。 レガシー・モードは、新た
なユーザー・インターフェイスと splunkd サービスの統合により発⽣した問題に対処する⽬的で、⼀時的に使⽤
してください。問題を解決したら、できる限り早く Splunk Web を標準モードに戻してください。
スタンドアロンのサーチヘッドまたはサーチヘッド・プーリングからサーチヘッド・クラスタリングへの移
⾏はサポートされていません
現在スタンドアロンのサーチヘッド、またはサーチヘッド・プーリングを使⽤している場合、それをサーチヘッ
ド・クラスタリングに移⾏する⽅法はありません。新機能を利⽤するには、サーチヘッド・プーリングを削除し
て、アップグレード後にサーチヘッド・クラスタリングを設定する必要があります。
新しくインストールされるサービスは追加のネットワーク・ポートを開く
Splunk Enterprise は、KV ストアと App サーバーの 2 つのサービスをインストール、実⾏します。 これによ
り、ローカル・マシン上ではデフォルトで 8191 (KV ストア⽤) および 8065 (App サーバー⽤) の、2 つのネッ
トワーク・ポートが開かれます。マシン上で動作するファイアウォールが、これらのポートをブロックすることが
ないようにしてください。KV ストア・サービスは、mongod プロセスも開始します。必要に応じて、server.conf を
編集して、dbPath 属性の値を Splunk Enterprise インスタンスがアクセスできる有効なファイル・システム・パ
スに変更することで、KV ストアを無効にすることができます。『管理マニュアル』の「App キー・バリュー・ス
トアについて」を参照してください。
46
新たな App キー・バリュー・ストアによりディスク・スペース使⽤量が増加する可能性
アプリケーション内のデータを保管、取り出すことで、その情報を維持管理する⼿段を提供する、App キー・バ
リュー・ストア (KV ストア) サービスは、実⾏する App 数によってディスク使⽤量が増加する可能性がありま
す。KV ストア・サービスのデータの保管場所を変更するには、server.conf を編集します。KV ストアが使⽤した
データを復元するには、CLI コマンドの splunk clean を使⽤します。『管理マニュアル』の「App キー・バ
リュー・ストアについて」を参照してください。
データ・ブロック署名が削除されました
データ・ブロック署名は Splunk Enterprise 6.2 で削除されました。この機能は、まもなく廃⽌されます。
introspection ディレクトリに正しい権限があることを確認する
Linux で Splunk Enterprise を⾮ root ユーザーとして実⾏しており、アップグレードに RPM を使⽤する場合、
RPM は root として $SPLUNK_HOME/var/log/introspection ディレクトリに書き込みます。これにより、その後インス
タンスを開始する際に、エラーが発⽣することがあります。この問題を防⽌するには、アップグレード後、
Splunk Enterprise を再起動する前に、Splunk Enterprise を実⾏するユーザーに対して
$SPLUNK_HOME/var/log/introspection ディレクトリの chown を実⾏します。
Splunk DB Connect App がデータ⼊⼒の問題を発⽣する可能性
Splunk DB Connect App バージョン 1.1.4 の設計上の⽋陥により、この App がインストールされている状態で
Splunk Enterprise インスタンスをアップグレードすると、[データ⼊⼒] ページの [転送⼊⼒] セクションが消え
てしまいます。この問題に対処するには、本体のアップグレード前に App をバージョン 1.1.5 にアップグレード
してください。
⼀部の属性の新たなデフォルト値が SSL 経由の Splunk 操作に影響する可能性
いくつかの新たなデフォルト値により、SSL 経由の Splunk Enterprise の使⽤に影響が出る可能性があります。
Splunk Enterprise による SSL クライアントの処理を制御する、supportSSLv3Only 属性のデフォルト設定が
true になりました。この場合 SSL v3 プロトコルを使⽤できるクライアントのみが、Splunk Enterprise イ
ンスタンスに接続できます。
SSL で使⽤できる暗号プロトコルを制御する、cipherSuite 属性のデフォルト設定は TLSV1+HIGH:@STRENGTH に
なりました。この場合、トランスポート層セキュリティ (TLS) v1 暗号に「high」が設定されている暗号ス
イートのみが、Splunk Enterprise インスタンスに接続できます。
[ログイン] ページをカスタマイズできなくなりました
6.2 では、[ログイン] ページをカスタマイズできなくなりました。アップグレード後は、[ログイン] ページのヘッ
ダーとフッターのみを変更できます。
Windows 固有の変更
新しいインストール/アップグレード⼿順
Windows 版の Splunk Enterprise では、インストール/アップグレード作業がより効率化されました。インス
トーラには、特定のデフォルト値が⽤意されており (新規インストール⽤)、また既存の設定はそのまま保持されま
す (アップグレード⽤)。インストール時にデフォルト値を変更する場合は、[オプションのカスタマイズ] ボタンを
選択する必要があります。アップグレード時には、使⽤許諾契約に同意するオプションのみが利⽤できます。「イ
ンストール・オプション」を参照してください。
Splunk Web サービスはインストールされるけれども実⾏されない
Splunk Enterprise v6.2 からは、splunkd サービスがすべての Splunk Web 操作を担当します。ただし Windows
インスタンスでは、splunkweb サービスが引き続きインストールされます。標準動作時に、このサービスは起動し
ても即座に終了されます。レガシー・モードでサービスを実⾏するように設定するには、web.conf の設定パラメー
タを変更します。『管理マニュアル』の「Windows での Splunk Enterprise のレガシー・モードでの実⾏」を参
照してください。
重要：Splunk Web をレガシー・モードで常時使⽤することは避けてください。 レガシー・モードは、新た
なユーザー・インターフェイスと splunkd サービスの統合により発⽣した問題に対処する⽬的で、⼀時的に使⽤
します。問題を解決したら、できる限り早く Splunk Web を標準モードに戻してください。
Windows ではサーチヘッド・クラスタリングのサポートがない
現時点でサーチヘッド・クラスタリング機能は、*nix ホスト上で動作する Splunk Enterprise でのみ利⽤できま
す。サーチヘッド・クラスタリングを使⽤するには、*nix 版の Splunk Enterprise インスタンスをインストール
して、それらのインスタンス上でサーチヘッド・クラスタリングを設定する必要があります。
アップグレード後に FIPS 有効化のサポートはありません
SSL を有効にした Splunk Enterprise システムから FIPS を有効にしたシステムへの、サポートされているアッ
プグレードパスはありません。FIPS を有効にする必要がある場合は、新たにインストールを⾏う必要がありま
す。
47
バージョン 5 からバージョン 6 への Splunk Web の操作の変更
ここでは、Splunk Web を使って作業を⾏う場合の、バージョン 5.x とバージョン 6.2 の主な違いについて説明
しています。
変更内容
⼿順/タスク
従来
今回
Splunk Enterprise へ
の初回ログイン
5.x の Splunk Enterprise には、
[ようこそ] タブと [Splunk ホーム]
タブの 2 種類のタブがありまし
た。[ようこそ] では、データの追加
とサーチ App の起動を⾏えまし
6.2 の Splunk Enterprise では、[ホーム] が表⽰
されます。ホームの主な構成要素として、
Splunk Enterprise ナビゲーション・バー、
[App] パネル、Splunk Enterprise の探索パネ
ル、およびデフォルトのカスタム・ダッシュボー
ド (ここには表⽰されていません) などがありま
す。
た。
ホームに戻る
5.x でホームに戻るには、App メ
ニューからホーム App を選択して
いました。
アカウント情報の編集
5.x では、アカウント情報にアクセ 6.2 では、Splunk ナビゲーションの [管理者] >
ス (名前、メールアドレス、デフォ [アカウントの編集] からアカウント情報に直接ア
ルト App、タイムゾーン、パス
クセスできます。
ワードの変更) するために、[管理]
> [ユーザーと認証] > 「ご⾃分のア
カウント」に移動していました。
Splunk Enterprise か
らのログアウト
5.x では、ナビゲーション バーの
6.2 では、[管理者] > [ログアウト] を選択しま
[ログアウト] ボタンをクリックして す。(Administrator としてログインしてない場合
いました。
は、ログインしているユーザーのフル・ネームが
表⽰されます。この名前をクリックすると、[ロ
グアウト] オプションが表⽰されます)
管理/設定
5.x では、すべてのオブジェクト/
6.2 では、[設定] メニューからこれらの設定に直
システム設定の編集を、[管理] ペー 接アクセスすることができます。個別の [管理]
ジまたはナビゲーションバーの
ページはありません。
「管理者」リンクから⾏っていま
した。
App の管理：インス
トールされた App の
権限の編集、新しい
App の作成、または
5.x では、[管理] -> [App] を使⽤す 6.2 では、ナビゲーションバーの [App] メ
るか、または App メニューから選 ニュー、またはホーム ページの [App] にある⻭
択していました。
⾞アイコンを使⽤します。
48
6.2 では、ナビゲーション・バーの左上にある、
Splunk ロゴをクリックします。そうすること
で、いつでもホームに戻ることができます。
コミュニティ App の
ための Splunk Apps
の参照
サーチ
サマリー、サーチ
サーチ
サーチとレポート
レポート
ダッシュボードとビュー
ダッシュボード
フィールドの抽出また
はソース表⽰
サーチ結果で、イベントのタイム
スタンプの左にある⽮印をクリッ
クして、[フィールドの抽出] または
[ソースの表⽰] を選択します。
サーチ結果で、イベントのタイムスタンプの左に
ある⽮印をクリックして、[イベント・アクショ
ン] をクリックします。[ フィールドの抽出]また
は [ソースの表⽰] を選択します。
アラートリストの検索
ナビゲーション バーで [アラート]
を選択していました。
ナビゲーション・バーで [アクティビティ] > [⽣
成されたアラート] を選択します。
タイムラインの検索
5.x ではサーチの実⾏後、ダッシュ
ボードの⼀部として常にタイムラ
インが表⽰されていました。タイ
ムラインは⾮表⽰にすることがで
きます。
6.2 では、サーチの実⾏後に [イベント] タブを表
⽰している場合にのみ、タイムラインを参照でき
ます。
Splunk App 開発者向けの変更
Splunk Enterprise ⽤の App を開発している場合はこのトピックを参照して、バージョン 6.2 での Splunk
Enterprise と App の変更、および既存の App を新しいバージョンで正常に使⽤するための移⾏⽅法を学習して
ください。
シンプル XML の⼀部のエレメントを廃⽌する予定
以下のエレメントを含めて、シンプル XML のいくつかのイベントを廃⽌する予定です。
エレメント：panel オブジェクトでこのエレメントを利⽤できなくなりました。
⾏のグループ化：代わりに panel コンストラクトを使⽤してください。⾏のグループ化はこのコンストラク
トに⾃動変換されます。
searchString、searchTemplate、searchPostProcess、populatingSearch、および populatingSavedSearch エレメン
ト：代わりに新たな search コンストラクトを使⽤してください。
earliestTime および latestTime エレメント：代わりに earliest および latest を使⽤してください。
list
新しいプレビルト「panels」オブジェクトを導⼊しました
開発者はこのオブジェクトを利⽤して、再利⽤可能なダッシュボード・パネルをパッケージに収録することができ
ます。これはシステム内の新たなナレッジ・オブジェクトで、アプリケーション内にパッケージ化することができ
ます。『Developing Views and Apps for Splunk Web』マニュアルを参照してください。
UNIX での 6.2 へのアップグレード
ここでは、バージョン 5.0 以降の Splunk Enterprise インスタンスを、バージョン 6.2 にアップグレードする⼿
順を説明していきます。
49
アップグレードする前に
続⾏する前に、この情報と以下の情報をお読みください。
ファイルのバックアップ
アップグレードを実⾏する前に、Splunk Enterprise 設定、インデックスデータ、およびバイナリを含めて、すべ
てのファイルをバックアップする ことを強くお勧めします。
Splunk Enterprise には、前のバージョンへのダウングレード⼿段を提供していません。古いバージョンの
Splunk リリースに戻す必要がある場合は、単純にそれを再インストールしてください。
データのバックアップについては、『インデクサーとクラスタの管理』マニュアルの「インデックス作成された
データのバックアップ」を参照してください。
設定のバックアップの詳細は、『管理マニュアル』の「設定情報のバックアップ」を参照してください。
アップグレードの仕組み
新しいバージョンのインストール後、再起動するまでの間 Splunk Enterprise は設定の変更を⾏いません。その
時点で移⾏プレビューユーティリティを実⾏して、ファイルの更新前に何が変更されるのかを確認することができ
ます。
続⾏する前に変更内容を確認することを選択した場合、アップグレードスクリプトは提案する変更を
$SPLUNK_HOME/var/log/splunk/migration.log.<timestamp> ファイルに書き込みます。
アップグレード⼿順
1.
$SPLUNK_HOME/bin/splunk stop
コマンドを実⾏します。
重要： 他のプロセスが Splunk Enterprise を⾃動的に開始できることがないように注意してください (Solaris
SMF など)。
2. バージョン $VERSION 以降からアップグレード/移⾏するには、既存のデプロイ環境に Splunk Enterprise
パッケージをインストールします。
ファイルを使⽤する場合、既存の Splunk Enterprise インスタンスと同じディレクトリに、同じ所有権
で解凍します。これにより、⼀致するファイルは上書き、置換されますが、独⾃のファイルが削除されるこ
とはありません。
.tar
注意： root 以外のユーザーとして実⾏した場合、AIX tar は正常にファイルを上書きすることができ
ません。この問題を回避するには、GNU tar (gtar) を使⽤してください。
RPM などのパッケージマネージャを使⽤する場合は、次のように⼊⼒します：
rpm -U
splunk_package_name.rpm
.dmg ファイル (MacOS X で) を使⽤する場合は、ファイルをダブルクリックした後、指⽰に従って作業を
⾏います。既存のインストールと同じインストールディレクトリを指定してください。
3.
$SPLUNK_HOME/bin/splunk start
コマンドを実⾏します。
Splunk Enterprise は以下の出⼒を表⽰します。
This appears to be an upgrade of Splunk.
-------------------------------------------------------------------------------Splunk has detected an older version of Splunk installed on this machine. To
finish upgrading to the new version, Splunk's installer will automatically
update and alter your current configuration files. Deprecated configuration
files will be renamed with a .deprecated extension.
You can choose to preview the changes that will be made to your configuration
files before proceeding with the migration and upgrade:
If you want to migrate and upgrade without previewing the changes that will be
made to your existing configuration files, choose 'y'.
If you want to see what changes will be made before you proceed with the
upgrade, choose 'n'.
Perform migration and upgrade without previewing configuration changes? [y/n]
4. 移⾏プレビュースクリプトを実⾏して既存の設定ファイルに対して⾏われる変更内容を確認するか、または移⾏
処理を続⾏してすぐにアップグレードを⾏うかを選択します。
5. 変更内容を確認することを選択した場合は、そのリストが表⽰されます。
6. 変更内容を確認し、移⾏とアップグレードを続⾏する準備ができた場合は、
実⾏します。
$SPLUNK_HOME/bin/splunk start
注意： ステップ 3〜5 は 1 ⾏で完了することができます。
ライセンスに同意して、アップグレードを続⾏する前に変更内容を表⽰ (回答は「n」) する場合：
50
を再
$SPLUNK_HOME/bin/splunk start --accept-license --answer-no
ライセンスに同意して、変更内容を確認せずにアップグレードを開始 (回答は「y」) する場合：
$SPLUNK_HOME/bin/splunk start --accept-license --answer-yes
Windows での 6.2 へのアップグレード
ここでは、バージョン 5.0 以降の Windows Splunk Enterprise インスタンスを、バージョン 6.2 にアップグ
レードする⼿順を説明していきます。GUI インストーラを使⽤するか、またはコマンドラインで msiexec ユーティ
リティを実⾏して (「コマンドラインを使った Windows へのインストール」を参照)、アップグレードを⾏えま
す。
アップグレードする前に
続⾏する前に、この情報と以下の情報をお読みください。
同じドメインユーザーを指定していることを確認してください
アップグレード時には、初回インストールで指定したのと同じドメインユーザーを、明⽰的に指定する必要があり
ます。同じユーザーを指定しない場合、デフォルトでは Local System ユーザーが使⽤されます。インストール時
に誤って違うユーザーを指定した場合は、Splunk を開始する前に これらの説明に従って、正しいユーザーに切
り替えてください。
ポートを変更しないでください
Splunk Enterprise はアップグレード時の管理⽤ポートや HTTP ポートの変更をサポートしていません。
ファイルのバックアップ
アップグレードを実⾏する前に、Splunk Enterprise 設定、インデックスデータ、およびバイナリを含めて、すべ
てのファイルをバックアップすることを強くお勧めします。古いバージョンにダウングレードする⼿段は⽤意され
ていません。古いバージョンの Splunk Enterprise に戻す必要がある場合は、古いリリースを再インストールし
てください。
データのバックアップについては、『インデクサーとクラスタの管理』マニュアルの「インデックス作成された
データのバックアップ」を参照してください。
設定のバックアップの詳細は、『管理マニュアル』の「設定情報のバックアップ」を参照してください。
注意： Windows で Splunk Enterprise 6.2 にアップグレードする場合、%SPLUNK_HOME%\etc\auth 内に作成した任意
のカスタムの認証局 (CA) 証明書が上書きされます。カスタム認証局ファイルがある場合は、アップグレード前に
忘れずにバックアップしてください。アップグレード後に、それを %SPLUNK_HOME%\etc\auth にコピーして、ファイ
ルを復元してください。証明書を復元したら、Splunk を再起動します。
アップグレード後にダウングレードは⾏わないでください
Splunk Enterprise をバージョン 6.2 にアップグレードした後にダウングレードする必要がある場合は、バージョ
ン 6.2 をアンインストールした後に、古いバージョンの Splunk Enterprise を再インストールする必要がありま
す。Splunk Enterprise 6.2 インストールに対して、古いバージョンのインストーラを使ったインストールは⾏わ
ないでください。そうしてしまうとインスタンスが壊れ、データが失われる可能性があります。
GUI インストーラを使ったアップグレード
1. Splunk のダウンロードページから、新しい MSI ファイルをダウンロードします。
2. MSI ファイルをダブルクリックします。インストーラが実⾏され、マシンにインストールされている既存の
Splunk Enterprise バージョンの検出が試みられます。古いバージョンが⾒つかった場合は、使⽤許諾契約に同意
するかどうかを問い合わせるパネルが表⽰されます。
3. 使⽤許諾契約を承認します。更新版の Splunk Enterprise がインストールされます。既存のインストールのす
べてのパラメータが保持されます。デフォルトでは、インストールが完了すると、Splunk Enterprise が再起動さ
れます。
アップグレード中に設定ファイルに対して⾏われた変更を記録したログは、%TEMP% に保管されます。
コマンドラインを使ったアップグレード
1. Splunk のダウンロードページから、新しい MSI ファイルをダウンロードします。
2. 「コマンドラインを使った Windows へのインストール」の説明に従って作業を⾏います。
Splunk が Local System ユーザー以外のユーザーとして動作している場合、コマンド・ラインにはその
ユーザーを明⽰的に指定する必要があります。
LAUNCHSPLUNK フラグを使って、完了時に Splunk Enterprise を⾃動起動するかどうかを指定できますが、そ
の他の設定を変更することはできません。
51
現時点では、ポート (SPLUNKD_PORT および
WEB_PORT)
を変更しないでください。
3. 指定内容に応じて、インストール完了時に Splunk Enterprise が⾃動的に開始されることがあります。
アップグレード中に設定ファイルに対して⾏われた変更を記録したログは、%TEMP% に保管されます。
Splunk Enterprise の開始
Windows の場合、デフォルトで Splunk Enterprise は
開始されます。
%SYSTEMDRIVE%\Program Files\Splunk
にインストールされ、
Windows の [サービス] コントロールパネルから、以下の Splunk Enterprise プロセスを開始/停⽌することがで
きます。
サーバーおよび Web インターフェイス：
%SYSTEMDRIVE%\Program Files\Splunk\bin
splunkd
に移動して、以下のコマンドを⼊⼒することで、両⽅のプロセスを開始、停
⽌、再起動することもできます。
#
splunk [start|stop|restart]
Splunk Enterprise インスタンスの移⾏
このトピックでは、インデックスデータ、設定、およびユーザーを維持しながら、あるサーバー、オペレーティン
グシステム、アーキテクチャ、またはファイルシステムから、もう⼀⽅に移⾏する⼿順について説明しています。
この作業は、インスタンスのアップグレードとは異なります。アップグレードは、古いインスタンスに単純に新し
いバージョンをインストールします (ただし、アップグレードも移⾏の形態の 1 つと⾔えます)。
移⾏理由
Splunk Enterprise インストールを移⾏する理由はさまざまです。
Splunk Enterprise が存在しているサーバーを退役させたい、または他の⽬的に使⽤したい。
組織または Splunk Enterprise がすでにサポートしていないオペレーティングに Splunk がインストールさ
れており、それをサポートされているオペレーティングシステム上に移動したい。
オペレーティングシステムを切り替える場合 (たとえば、*nix から Windows へ、またはその逆)。
Splunk Enterprise インストールを別のファイルシステムに移動したい。
32 ビットアーキテクチャにインストールされている Splunk Enterprise を、パフォーマンス向上のため 64
ビットアーキテクチャに移動したい。
古いアーキテクチャに Splunk Enterprise がインストールされており、新しいアーキテクチャにそれを移動
したい。
移⾏時の検討事項
多くの場合 Splunk Enterprise インスタンスの移⾏は単純な作業ですが、実施する際に検討する必要がある重要
な事項が存在しています。移⾏に関与するシステムのタイプ、バージョン、およびアーキテクチャによっては、複
数の事項を同時に考慮しなければならないこともあります。
Splunk Enterprise インスタンスを移⾏する場合、以下の事項に注意してください。
Endian
4.2 より前のバージョンの Splunk Enterprise でインデックスが作成されたデータがある場合、そのデータを構成
するインデックスファイルは、オペレーティングシステムの Endian (システムがバイナリファイル (または他の
データ構造) の個別のバイトを編成する⽅法) に依存しています。
big-endian (バイナリの最上位のバイトを先に保管) を使⽤するオペレーティングシステムもあれば、littleendian (最下位のバイトを先に保管) を使⽤するオペレーティングシステムもあります。これらのオペレーティン
グシステムは、同じ Endian のバイナリファイルを作成します。インデックスのバケツファイルはバイナリファイ
ルなので、バージョン 4.2 より前の Splunk の場合、バケツファイルの Endian は、それが作成されたオペレー
ティングシステムの Endian と同じになります。
プロセッサのアーキテクチャと Endian の⼀覧については、Wikipedia の Endianness に関する記事を参照して
ください。
バージョン 4.2 より前の Splunk Enterprise インスタンスから移⾏する場合、宛先システムが移⾏したデータを
正常に読み取れるように、同じ Endian を使⽤するシステムにインデックスファイルを転送する必要があります
(例：SPARC プロセッサ上で動作する NetBSD システムから、SPARC プロセッサが動作する Linux システム
に)。
同じ Endian を使⽤するシステムにインデックスを移動できない場合は (例：big-endian を使⽤するシステムか
ら little-endian を使⽤するシステムに移動したい場合)、big-endian システムから little-endian システムにデー
タを転送することで、移動することができます。すべてのデータを転送したら、big-endian システムを退役させ
ることができます。
Splunk Enterprise 4.2 以降のバージョンで作成されたインデックスファイルには、Endian に関する問題はあり
ません。
Windows と UNIX のパス区切り⽂字の違い
52
*nix と Windows のパス区切り⽂字 (パスの個別のディレクトリエレメントを区切るために使われる⽂字) は異
なっています。これらのオペレーティングシステム間でインデックスファイルを移動する場合、Splunk インス
トールの移動先のオペレーティングシステムに対して、正しいパス区切り⽂字を使⽤する必要があります。また、
各 Splunk 設定ファイル (特に indexes.conf) を、正しいパス区切り⽂字を使⽤するように更新する必要もありま
す。
Windows アクセス許可
Windows サーバー間で Splunk Enterprise インスタンスを移動する場合、宛先サーバーにはソースサーバーと同
じ権限/アクセス許可を割り当てていることを確認する必要があります。これには、以下の事項が含まれますが、
これに限定されるものではありません。
ターゲットサーバーのファイルシステム/共有アクセス許可が正しく、Splunk Enterprise を実⾏するユー
ザーにアクセスを許可していることを確認してください。
Local System ユーザー以外のアカウントで Splunk Enterprise を実⾏している場合、そのユーザーがロー
カル Administrators グループのメンバーで、グループポリシーオブジェクトにより、適切なローカルセ
キュリティポリシーまたはドメインポリシー権限が割り当てられていることを確認します。
アーキテクチャの変更
Splunk Enterprise インスタンスが動作しているアーキテクチャをダウングレードする場合 (例：64 ビットから
32 ビット)、64 ビットオペレーティングシステムや Splunk Enterprise インスタンスが作成した⼤量のファイル
が原因で、新しいサーバー上でのサーチパフォーマンスが低下する可能性があります。
分散およびクラスタ構成 Splunk 環境
分散Splunk インスタンス (サーチヘッドがイベントのサーチを実⾏するように設定されたサーバーグループの⼀
部であるインデクサー、またはインデクサーのデータをサーチするように設定されたサーチヘッド) 上のデータを
移⾏する場合、移⾏する前にそのインスタンスを分散環境から削除する必要があります。
バケツ ID と潜在的なバケツの競合
ある Splunk インスタンスを、既存の同名のインデックスを持つ他の Splunk インスタンスに移⾏する場合、それ
らのインデックス内の各バケツが、競合しないバケツ ID を持っていることを確認する必要があります。競合する
バケツ ID を持つバケツがあるインデックスが存在している場合、Splunk は開始されません。インデックスデー
タをコピーする場合、このような競合を防⽌するために、コピーしたバケツファイルの名前を変更しなければなら
ないことがあります。
移⾏⽅法
Splunk Enterprise インスタンスをあるシステムから別のシステムに移⾏するには、以下の⼿順に従ってくださ
い。
1. 移⾏するサーバー上で、Splunk Enterprise を停⽌します。
2. $SPLUNK_HOME ディレクトリのすべての内容を、新しいサーバーにコピーします。
重要： ファイルのコピー時には、前述の検討事項の中で、ご⾃分の環境に当てはまる事項を忘れずに考慮してく
ださい。
3. ターゲットプラットフォーム上に、適切なバージョンの Splunk Enterprise をインストールします。
注意：
*nix システムの場合、ダウンロードした tar ファイルを、新しいシステムにコピーしたファイル上に直接抽
出することができます。または、ダウンロードしたパッケージとパッケージマネージャを使⽤して、アップ
グレード作業を⾏います。
Windows システム上では、インストーラが Splunk ファイルを⾃動的に更新します。
4. インデックス設定ファイル (indexes.conf) に、デフォルト以外のインデックスの場所とパスが正しく設定され
ていることを確認します。
5. 新たなインスタンスで Splunk Enterprise を開始します。
注意： *nix システムの場合、Splunk Enterprise は移⾏しているのかどうかを検出して、アップグレードするか
どうかを問い合わせるメッセージを表⽰します。
6. Splunk Enterprise にログインします。既存の資格情報を使ってログインする必要があります。
7. ログインしたら、サーチを実⾏して、データが従来通りであることを確認します。
あるサーバーから別のサーバーへのインデックスバケツの移⾏⽅法
Splunk Enterprise サーバーを退役させる⽬的で即座にデータを他の Splunk サーバーに移動したい場合、以下の
条件を満たしている限りインデックス内の各バケツをサーバー間で移動することができます。
ソースおよびターゲットシステムの Endian が同じである。
4.2 以降のバージョンの Splunk で作成されたバケツを、4.2 未満のバージョンの Splunk に復元しようと
していない。
あるサーバーから別のサーバーにバケツを移⾏するには：
53
1. ソースシステムの任意のホットバケツを、ホットからウォームに移⾏します。
2. ターゲットシステム上で、ソースシステムと同⼀のインデックスを作成します。
注意： 古いシステムの indexes.conf を参照して、システム上のインデックスのリストを確認します。
3. ソースシステムからターゲットシステムに、インデックスバケツをコピーします。
注意： 個別のバケツファイルをコピーする場合、新しいシステム上でバケツ ID の競合が発⽣していないことを確
認する必要があります。そうでないと、Splunk Enterprise は開始されません。バケツディレクトリをソースシス
テムからターゲットシステムにコピーした後、個別のバケツディレクトリ名を変更しなければならないことがあり
ます。
4. Splunk Enterprise を再起動します。
新しい Splunk Enterprise ライセンサーへの移⾏
ここでは、4.2 未満の Splunk Enterprise デプロイのライセンス設定から、4.2 以降の新しいライセンサーモデル
への移⾏⽅法について説明していきます。
注意： このトピックは、Splunk Enterprise デプロイ環境全体のアップグレードについてはカバーしていませ
ん。Splunk Enterprise デプロイ環境をアップグレードする前に、『インストールマニュアル』の「Splunk の
アップグレード⽅法」を参照してください。
続⾏する前に、以下の記事も参考にしてください。
Splunk ライセンスの概要については、『管理マニュアル』の「Splunk ライセンスの仕組み」を参照してく
ださい。
Splunk ライセンス⽤語については、『管理マニュアル』の「グループ、スタック、プール、およびその他
の⽤語」を参照してください。
古いライセンス
古いバージョンから移⾏する⽅は、ほぼ以下の 2 種類に分類することができます。
現在 Splunk Enterprise 4.0 以降を実⾏している場合、ライセンスは 4.2 以降でも機能します。
4.0 未満のバージョンから移⾏する場合は、Splunk 営業担当に連絡して新しいライセンスを⼿配する必要が
あります。また、移⾏作業に着⼿する前に、移⾏に関するドキュメントを参照することをお勧めします。ご
利⽤の Splunk バージョンの古さによっては、設定を維持するために複数の段階を踏んで移⾏する⽅が良い
場合もあります (例：まずバージョン 4.0 に移⾏し、次に 4.1、4.2 へと移⾏して最終的に 5.0 以降に移⾏
する)。
サーチヘッドの移⾏
サーチヘッドが古いフォワーダーライセンスを使⽤している場合、それらは⾃動的に ダウンロードトライアルグ
ループ内に変換されます。続⾏する前に、サーチヘッドを確⽴された Enterprise ライセンスプールに追加するこ
とをお勧めします。インデックス作成量がない場合でも、これによりアラートや認証などの Enterprise 機能が有
効になります。
スタンドアロン・インスタンスの移⾏
単独の 4.1.x Splunk Enterprise インデクサーが存在し、それに単⼀のライセンスがインストールされている場
合、標準のようにアップグレードを続⾏できます。ご利⽤のプラットフォームに応じた『インストールマニュア
ル』の説明を参照し、移⾏する前に「最初にお読みください」を参照してください。
既存のライセンスは、新たなライセンサーで機能します。また、有効なスタック として表⽰されます。インデク
サーはデフォルトプールのメンバーとして表⽰されます。
分散インデックスデプロイ環境の移⾏
独⾃のライセンスを保有する、複数の 4.1.x インデクサーが存在する場合、デプロイを移⾏するためにこれらの⼿
順 に従ってください。
1. Splunk Enterprise インスタンスのいずれかを、ライセンスマスター として指名します。サーチヘッド がある
場合は、それが役に⽴つ選択肢となります。
2. 『Installation Manual』の指⽰に従って、ライセンスマスターとして選択した Splunk Enterprise インスタン
スを選択またはアップグレードします。
3. インデクサーからの接続を受け付けるようにライセンスマスターを設定.
4. 以下の⼿順に従って、各インデクサーを 1 回に 1 つずつアップグレードします。
『Installation Manual』の説明に従ってインデクサーを 5.0 にアップグレードします。以下の⼿順を実⾏す
るまでは、スタンドアロンのライセンスマスターとして動作します。
インデクサーの Enterprise ライセンスファイル (4.2 より前のライセンスファイルは、各インデクサーの
$SPLUNK_HOME/etc/splunk.license にあります) のコピーを作成し、それをライセンスマスター上にインストー
ルします。それを、インデクサーを追加するスタックとプールに追加します。
インデクサーをライセンススレーブ として設定し、それがライセンスマスターを指すようにします。
ライセンスマスター上で、ライセンススレーブが正しく接続していることを確認します。[設定] > [ライセ
ンス] に移動して、適切なプールに関連付けられたインデクサーのリストを参照してください。
ライセンススレーブが正しく接続していることを確認したら、同じ⼿順で次のインデクサーをアップグレー
54
ドします。
フォワーダーのアップグレード
ライトフォワーダー をデプロイしている場合は、この章の情報を参照してください。また、ユニバーサルフォ
ワーダーについては、『データの転送』マニュアルを参照してください。既存のライトフォワーダーを新たなユニ
バーサルフォワーダーにアップグレードすることができます。ライセンス設定は不要です。ユニバーサルフォワー
ダー⾃体にライセンスが含まれています。
ヘビーフォワーダー (他の Splunk Enterprise インスタンスに転送する前にインデックスを作成する Splunk のフ
ルインスタンス) をデプロイしている場合は、それをインデクサーと同じように取り扱えます。他のインデクサー
と⼀緒にライセンスプールに追加してください。
Splunk Enterprise のアンインストール
Splunk Enterprise のアンインストール
ここでは、システムからの Splunk Enterprise の削除⽅法について説明していきます。
アンインストールする前に、Splunk Enterprise を停⽌してください。$SPLUNK_HOME/bin に移動して、./splunk
(または、Windows の場合 splunk stop) と⼊⼒します。
stop
パッケージ管理ユーティリティを使った Splunk Enterprise のアンインストール
Splunk Enterprise をアンインストールするには、ローカルのパッケージ管理コマンドを使⽤します。たいていの
場合、当初パッケージがインストールしたのではないファイルはそのまま保持されます。これらのファイルには、
インストールディレクトリ下に保管されている設定ファイルやインデックスファイルが含まれます。
注意： $SPLUNK_HOMEは、Splunk のインストールディレクトリを表しています。Windows のデフォルトでは、
C:\Program Files\Splunk になります。⼤部分の UNIXプラットフォームでは、デフォルトのインストールディ
レクトリは /opt/splunk になります。Mac OSの場合は、/Applications/splunk になります。
Red Ha t L inu x
RedHat の Splunk Enterprise をアンインストールするには：
rpm -e splunk_product_name
Debia n L inu x
Debian の Splunk Enterprise をアンインストールするには：
dpkg -r splunk
Debian でパージ (設定ファイルを含めてすべてを削除) するには：
dpkg -P splunk
FreeBS D
FreeBSD のデフォルトの場所から Splunk Enterprise をアンインストールするには：
pkg_delete splunk
FreeBSD の別の場所から Splunk Enterprise をアンインストールするには：
pkg_delete -p /usr/splunk splunk
S ola ris
Solaris の Splunk Enterprise をアンインストールするには：
pkgrm splunk
HP-UX
HP-UX の Splunk Enterprise をアンインストールするには、Splunk を停⽌して、boot-startを無効にしてから
(設定している場合)、Splunk Enterprise インストールを削除する必要があります。
注意： $SPLUNK_HOME 変数は、Splunk Enterprise のインストールディレクトリを表しています。
55
1. Splunk Enterprise を停⽌します。
$SPLUNK_HOME/bin/splunk stop
2. boot-start を有効にした場合は、以下のコマンドを root として実⾏します。
$SPLUNK_HOME/bin/splunk disable boot-start
3. Splunk インストールディレクトリを削除します。
rm -rf $SPLUNK_HOME
その他の削除する事項：
インデックスを作成して、Splunk Enterprise のデフォルトパスを使⽤していない場合、それらのディレク
トリも削除する必要があります。
Splunk Enterprise 実⾏⽤ユーザーまたはグループを作成した場合は、それらも削除する必要があります。
Wind ows
Windows の Splunk Enterprise をアンインストールするには：
コントロールパネルの [プログラムの追加と削除] オプションを使⽤します。Windows 7 および Windows
Server 2008 の場合、このオプションは [プログラムと機能] 下で利⽤できます。
また、Splunk Enterprise インストーラパッケージに対して、msiexec 実⾏形式ファイルを使⽤することで、コマ
ンドラインから Splunk をアンインストールすることもできます。
C:\> msiexec /x splunk-<version>-x64.msi
注意： 状況によっては、アンインストール時に再起動を指⽰するメッセージが表⽰される場合があります。この
リクエストを無視して再起動しなくても構いません。
Splunk Enterprise の⼿動アンインストール
パッケージ管理コマンドを使⽤できない場合は、ここの説明に従って Splunk Enterprise をアンインストールし
てください。
注意： これらの作業では、作成した
init
スクリプトを削除することはありません。
1. Splunk Enterprise を停⽌します。
$SPLUNK_HOME/bin/splunk stop
2. 名前に「splunk」を含むプロセスを探して、kill します。
Linux および Solaris の場合：
kill -9 `ps -ef | grep splunk | grep -v grep | awk '{print $2;}'`
FreeBSD および Mac OS の場合
kill -9 `ps ax | grep splunk | grep -v grep | awk '{print $1;}'`
3. Splunk Enterprise インストールディレクトリの
$SPLUNK_HOME
を削除します。例：
rm -rf /opt/splunk
注意： Mac OS の場合、フォルダをゴミ箱にドラッグしてインストールディレクトリを削除することもできま
す。
3. トップレベルのディレクトリ外に存在している Splunk Enterprise データストアまたはインデックスがある場
合は、それを削除します。
rm -rf /opt/splunkdata
4. splunk ユーザーとグループが存在している場合、それを削除します。
Linux、Solaris、および FreeBSD の場合：
56
userdel splunk
groupdel splunk
Mac OS の場合： [システム設定] > [アカウント] パネルを使って、ユーザーとグループを管理することができ
ます。
Windows の場合： コマンドプロンプトを開いて、インストールした MSI パッケージに対して
ドを実⾏します。
msiexec /x
コマン
参考情報
PGP 公開鍵
ここでは、PGP 公開鍵とそのインストール⽅法を説明しています。ファイルは、HTTPS を使ってダウンロードす
ることもできます。
-----BEGIN PGP PUBLIC KEY BLOCK----Version: GnuPG v1.4.1 (GNU/Linux)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=Mz6T
-----END PGP PUBLIC KEY BLOCK-----
鍵のインストール
1. 鍵をコピーしてファイルに貼り付けるか、または HTTPS を使ってファイルをダウンロードします。
2. 鍵のインストールには、以下のコマンドを使⽤します。
rpm --import <filename>
57

Splunkによる コンプライアンス

ス​マ​ー​ト​グ​リ​ッ​ド

Splunk Enterprise 6.2.0 分散デプロイマニュアル

資料 - Iasa 日本支部 Iasa Japan

欧州での自動車用補修ガラス事業を強化 ポーランドのNordGlass社を買収

BarTenderプロンプト機能

Splunk Enterprise 6.2.0 分散サーチ

BarTender自動化の概要

（オーストリア） - Landeskrankenhaus Villach における安全性

QGG 動作環境

瞬快V11 ご紹介資料.ppt [互換モード] - 富士通