インストールマニュアル Splunk Enterprise 6.5 · PDF fileSplunk Enterprise インストールマニュアルにようこそこのマニュアルの内容インストールマニュアルでは、完全版の

Splunk Splunk ®® Enterprise 6.5.0 Enterprise 6.5.0

インストールマニュアルインストールマニュアル

作成: 2016/09/26 23:23

Copyright (c) 2017 Splunk Inc. All Rights Reserved

444

44449

10

11

121212121212

13131315

192226

2626

26282930323232

3434343636

37373737

3838383945484950

Table of Content sTable of Content sSplunk Enterpr ise インストールマニュアルにようこそSplunk Enterpr ise インストールマニュアルにようこそ

このマニュアルの内容

Splunk Enterpr ise インストールのプランニングSplunk Enterpr ise インストールのプランニングインストールの概要オンプレミスでの Splunk Enterprise 使⽤のシステム要件Splunk Enterprise のアーキテクチャとプロセスSplunk Enterprise で配布されている Windows 版のサードパーティ製バイナリに関する情報インストール⼿順

Splunk Enterpr ise インストールのセキュリティSplunk Enterpr ise インストールのセキュリティSplunk Enterprise のセキュリティについてSplunk Enterprise をインストールする前のシステムの保護Splunk Enterprise の安全なインストールその他の Splunk Enterprise の保護⼿段

Windows への Splunk Enterpr ise のインストールWindows への Splunk Enterpr ise のインストールSplunk Enterprise を実⾏するためのユーザーの選択ネットワークまたはドメインユーザーとしての、インストール⽤Windows ネットワークの準備Windows へのインストールコマンドラインを使った Windows へのインストールWindows インストール時に選択したユーザーの変更

Linux、Windows、または Mac OS X への Splunk Enterpr ise のLinux、Windows、または Mac OS X への Splunk Enterpr ise のインストールインストール

Linux へのインストールSolaris へのインストールMac OS X へのインストールFreeBSD へのユニバーサルフォワーダーのインストールAIX へのユニバーサルフォワーダーのインストールHP-UX へのユニバーサルフォワーダーのインストールSplunk Enterprise を別のユーザーまたは⾮ root ユーザーとして実⾏

Splunk Enterpr ise の使⽤開始Splunk Enterpr ise の使⽤開始初めての Splunk Enterprise の起動次は何ですか？Splunk Enterprise のアクセシビリティについて

Splunk Enterpr ise ライセンスのインストールSplunk Enterpr ise ライセンスのインストールSplunk Enterprise のライセンスについてライセンスのインストール

Splunk Enterpr ise のアップグレードまたは移⾏Splunk Enterpr ise のアップグレードまたは移⾏Splunk Enterprise のアップグレード⽅法6.5 へのアップグレードについて - 最初にお読みください分散 Splunk Enterprise 環境へのアップグレード⽅法バージョン 5 からバージョン 6 への Splunk Web の操作の変更Splunk App 開発者向けの変更UNIX での 6.5 へのアップグレード

515253

545454

565656

Windows での 6.5 へのアップグレードSplunk Enterprise インスタンスの移⾏新しい Splunk Enterprise ライセンサーへの移⾏

Splunk Enterpr ise のアンインストールSplunk Enterpr ise のアンインストールSplunk Enterprise のアンインストール

参考情報参考情報PGP 公開鍵

Splunk Enterprise インストールマニュアルにSplunk Enterprise インストールマニュアルにようこそようこそこのマニュアルの内容このマニュアルの内容

インストールマニュアルでは、完全版の Splunk Enterprise のインストールに必要な情報を確認していただけます。

システム要件ライセンス情報インストール⼿順古いバージョンからのアップグレード⼿順

その他の情報も取り上げています。

ユニバーサルフォワーダーのインストールユニバーサルフォワーダーのインストール

Splunk ユニバーサルフォワーダーユニバーサルフォワーダーのインストールについては、『ユニバーサルフォワーダー』マニュアルの「ユニバーサルフォワーダーのソフトウェアのインストール」を参照してください。ユニバーサルフォワーダーは別の実⾏形式ファイルで、独⾃のインストール⼿順が存在しています。フォワーダーの基本については、『データの転送』マニュアルの「転送と受信について」を参照してください。

Splunk Enterprise インストールのプランニンSplunk Enterprise インストールのプランニンググインストールの概要インストールの概要

Splunk Enterprise をホストにインストールすることが、データから得られる価値を理解する最初のステップです。インストールを開始する前に、このトピックと本章の解説をよくお読みください。

インストールの基本インストールの基本

1. インストールのシステム要件を確認します。Splunk Enterprise をインストールするオペレーティングシステム、および Splunk Enterprise の使⽤⽅法によっては、他の要件も適⽤される場合があります。

2. (任意)「Splunk Enterprise デプロイのコンポーネント」で Splunk Enterprise のエコシステムについて、また「Splunk のアーキテクチャとプロセス」でインストーラーがコンピューターに何をインストールするのかを学習します。

3. 「Splunk Enterprise インストールのセキュリティ」を参照し、必要に応じて Splunk Enterprise をインストールするホストを保護してください。

4. Splunk Enterprise のダウンロードページから、ご利⽤のシステムにインストールパッケージをダウンロードします。

5. お使いのオペレーティングシステムに対応したインストール⼿順を使って、インストールを実⾏します。6. (任意) Splunk Enterprise を初めてインストールする場合は、サーチチュートリアルを読んで、Splunk へ

のデータのインデックス作成⽅法および Splunk Enterprise のサーチ⾔語を使ったデータのサーチの概要を学習することをお勧めします。

7. (任意) Splunk Enterprise をインストールした後、データが使う空き容量を計算します。「ストレージ要件の⾒積もり」を参照してください。

8. 実際の運⽤環境で Splunk Enterprise を実⾏し、その環境に必要なハードウェアを⾒積もるには、『キャパシティプランニング』マニュアルを参照してください。

Splunk Enterpr ise インスタンスのアップグレードまたは移⾏Splunk Enterpr ise インスタンスのアップグレードまたは移⾏

古いバージョンの Splunk Enterprise からアップグレードする場合は、このマニュアルの「Splunk Enterpriseのアップグレード⽅法」と所定の⼿順を参照してください。他のバージョンへの移⾏に関するヒントについては、アップグレードするバージョンの「アップグレードについて：最初にお読みください」を参照してください。このトピックは、本マニュアルの「Splunk Enterprise のアップグレードまたは移⾏」にあります。

別のシステムに Splunk Enterprise インスタンスを移動する場合は、このマニュアルの「Splunk インスタンスの移⾏」を参照してください。

オンプレミスでの Splunk Enterpr ise 使⽤のシステム要件オンプレミスでの Splunk Enterpr ise 使⽤のシステム要件

オンプレミス⽤ Splunk Enterprise のダウンロードやインストールを⾏う前に、Splunk がサポートするコンピューティング環境について学習してください。最新版については、「Splunk Enterprise のダウンロード」を参照してください。既知の問題および修正された問題の詳細は、リリース・ノートを参照してください。

実際の運⽤環境でのデプロイに関するハードウェアプランニングの詳細は、『キャパシティプランニング』の「Splunk Enterprise でのキャパシティプランニングについて」を参照してください。

現在 Splunk 契約があり、新機能についてのご意⾒やご要望をお持ちの⽅は、Splunk サポートにリクエストをオープンしてください。

サポートするサーバーのハードウェアアーキテクチャサポートするサーバーのハードウェアアーキテクチャ

4

Splunk は、⼀部のプラットフォームに対して、32 ビットおよび 64 ビットのアーキテクチャをサポートしています。

サポートしているオペレーティングシステムサポートしているオペレーティングシステム

次の表は、Splunk Enterprise で利⽤できるコンピューティングプラットフォームの⼀覧です。最初の表には、*nix 系の、2 番⽬の表には Windows 系の情報が記載されています。これらの表を使⽤して、Splunk Enterpriseがプラットフォームで使⽤できるかどうかを確認します。

それぞれの表には⼀連のボックスがあり、利⽤可能なコンピュータープラットフォーム (オペレーティングシステムとアーキテクチャ) や Splunk ソフトウェアのタイプを定義しています。ご⾃分のコンピューティングプラットフォームと⽬的の Splunk ソフトウェア単位の交点に「✔ (チェックマーク)」が記載されていれば、そのプラットフォームで Splunk ソフトウェアをご利⽤いただけます。

ボックスが空の場合は、そのプラットフォームやタイプで Splunk ソフトウェアはご利⽤いただけません。

お探しのオペレーティングシステムまたはアーキテクチャがリストにない場合は、そのプラットフォームまたはアーキテクチャでソフトウェアはご利⽤いただけません。Splunk がそのプラットフォームへのサポートを終了したことを意味する場合もあります。リリースノートの「廃⽌される機能」の廃⽌および削除されたコンピューティングプラットフォームのリストを参照してください。

⼀部のボックスにはその他の⽂字が表⽰されています。それぞれの表の下で⽂字の意味や、インストールに影響する可能性を確認してください。

コンピューティングプラットフォームに対するサポートを確認しますコンピューティングプラットフォームに対するサポートを確認します

1. Splunk Enterprise をインストールする「オペレーティングシステムオペレーティングシステム」を探します。2. お使いの環境に最適な「アーキテクチャアーキテクチャ」列にあるコンピューティングアーキテクチャを中央列から探しま

す。3. Splunk Enterprise、Splunk Free、Splunk Trial、または Splunk ユニバーサルフォワーダーを使⽤した

い Splunk ソフトウェアのバージョンを探します。4. Splunk ソフトウェアがコンピューティングプラットフォームや必要なソフトウェアタイプで利⽤可能な場

合は、ダウンロードページに進み取得します。

UNIXUNIX

オペレーティングシステムオペレーティングシステムアーキテクアーキテクチャチャ EnterpriseEnterprise FreeFree トライトライ

アルアルユニバーサルフォユニバーサルフォ

ワーダーワーダー

Solaris 10 および 11

x86 (64 ビット) D D D ✔

SPARC ✔

Linux、2.6 以降

x86 (64 ビット) ✔ ✔ ✔ ✔

x86 (32 ビット) D

Linux、3.x 以降

x86 (64 ビット) ✔ ✔ ✔ ✔

x86 (32 ビット) D

PowerLinux、2.6 以降 PowerPC ✔

zLinux、2.6 以降 s390x ✔

FreeBSD 9 x86 (64 ビット) ✔

FreeBSD 10 x86 (64 ビット) ✔

Mac OS X 10.10 および 10.11 Intel ✔ ✔ ✔

AIX 7.1 および 7.2 PowerPC ✔

AIX 6.1 PowerPC D

HP/UX† 11i v3 Itanium ✔

ARM Linux ARM A

A このプラットフォーム⽤ソフトウェアは splunk.com からダウンロードできますが、プラットフォームの公式5

A このプラットフォーム⽤ソフトウェアは splunk.com からダウンロードできますが、プラットフォームの公式サポートはありません。D Splunk はこのプラットフォームおよびアーキテクチャをサポートしますが、今後サポートを停⽌する可能性があります。廃⽌に関する詳細はリリースノートの「廃⽌される機能」を参照してください。† HP/UX インストールアーカイブを解凍するには、gnu tar を使⽤する必要があります。

WindowsWindows

以下の表には、Splunk Enterprise がサポートしている Windows コンピューティングプラットフォームが記載されています。

オペレーティングシステムオペレーティングシステムアーキテクアーキテクチャチャ EnterpriseEnterprise FreeFree トライトライ

アルアルユニバーサルフォユニバーサルフォ

ワーダーワーダー

Windows Server 2008 R2 x86 (64 ビット) D D D D

Windows Server 2012 およびServer 2012 R2

x86 (64 ビット) ✔ ✔ ✔ ✔

Windows 8、8.1、および 10

x86 (64 ビット) ✔ ✔ ✔

x86 (32 ビット) *** *** ✔

D Splunk はこのプラットフォームおよびアーキテクチャをサポートしますが、今後サポートを停⽌する可能性があります。廃⽌に関する詳細はリリースノートの「廃⽌される機能」を参照してください。*** Splunk は対応しているものの、このプラットフォームとアーキテクチャでの Splunk Enterprise の使⽤は推奨されません。

オペレーティングシステムに関する注意オペレーティングシステムに関する注意

WindowsWindows

Windows 上の Splunk Enterprise の機能の⼀部は、正常に動作するために適切なユーザー権限が必要になります。権限の昇格を必要とするコンポーネント、および Windows 上で Splunk Enterprise を設定する⽅法の詳細については、以下のトピックを参照してください。

「Splunk のアーキテクチャとプロセス」Splunk を実⾏するためのユーザーの選択『データの取り込み』の「リモート Windows データの監視⽅法を決定するための検討事項」

分散管理コンソール (DMC) に対応するオペレーティングシステム分散管理コンソール (DMC) に対応するオペレーティングシステム

Splunk Enterprise DMC は Linux、Solaris 、Windows の特定のバージョンでしか機能しません。サポートされている DMC 向けのプラットフォームのアーキテクチャに関する情報については、『トラブルシューティング』マニュアルの「対応プラットフォーム」をご覧ください。DMCのその他の前提条件については、『分散管理コンソール』の「DMC の前提条件」を参照してください。

⾮推奨のオペレーティング・システムと機能⾮推奨のオペレーティング・システムと機能

Splunk 製品のバージョンアップにしたがって、古いオペレーティングシステムのサポートを廃⽌し、削除を⾏っております。廃⽌または完全に削除されたプラットフォームと機能の詳細については、リリースノートの「廃⽌される機能」を参照してください。

いくつかの *nix オペレーティングシステムへのサポートは終了しました。いくつかの *nix オペレーティングシステムへのサポートは終了しました。

このバージョンの Splunk Enterprise のリリースと共に、Splunk は FreeBSD、AIX、HP-UX、および 32 ビットバージョンの Linux kernel での Splunk Enterprise に対するサポートを終了しました。上記プラットフォームで利⽤可能なユニバーサルフォワーダーはまだ存在し、インストール⼿順も上記システムにユニバーサルフォワーダーをインストールするために更新されています。

FreeBSD へのユニバーサルフォワーダーのインストールAIX へのユニバーサルフォワーダーのインストールHP-UX へのユニバーサルフォワーダーのインストール

UTF-8 ⽂字セットのエンコーディングを使⽤しない OS での設定ファイルの作成と編集UTF-8 ⽂字セットのエンコーディングを使⽤しない OS での設定ファイルの作成と編集

Splunk Enterprise は、ASCII または UTF-8 形式の設定ファイルを前提にしています。UTF-8 ⽂字コードのエンコーディングを使⽤しない OS 上で設定ファイルを編集または作成する場合、使⽤しているエディタがASCII/UTF-8 形式で保存可能なことを確認してください。

IPv6 プラットフォームサポートIPv6 プラットフォームサポート

Splunk がサポートするすべての OS プラットフォームでは、下記を除く IPv6 ネットワーク設定を使⽤できます。

AIX6

PA-RISC アーキテクチャ上の HP/UX

Splunk Enterprise でサポートされている IPv6 の詳細については、『管理』マニュアルの「Splunk の IPv6 設定」を参照してください。

サポートするブラウザサポートするブラウザ

Splunk Enterprise は以下のブラウザをサポートしています。

Firefox (最新版)Internet Explorer 11Safari (最新版)Chrome (最新版)

推奨ハードウェア推奨ハードウェア

実際に運⽤されるデプロイについて Splunk Enterprise を評価する場合は、実際の運⽤環境に適したハードウェアを使⽤してください。このハードウェアは、推奨ハードウェア要件を満たしているか、またはそれ以上でなければなりません。

実際の運⽤環境でのデプロイに関するハードウェアプランニングの詳細は、『キャパシティプランニング』の「Splunk Enterprise でのキャパシティプランニングについて」を参照してください。

Splunk Enterprise と仮想マシンSplunk Enterprise と仮想マシン

Splunk Enterprise をプラットフォーム上の仮想マシン (VM) で実⾏する場合、パフォーマンスが低下します。これは、システム上のハードウェアがリソースプールに抽出されることで仮想化が機能しているためです。システムで定義する仮想マシンは、これらのリソースを利⽤します。Splunk Enterprise はインデックス作成処理のために、ディスク I/O などのさまざまなリソースに持続的にアクセスする必要があります。仮想マシン上またはその他の仮想マシンとともに Splunk Enterprise を実⾏すると、インデックス作成とサーチのパフォーマンスが低下する可能性があります。

推奨するハードウェアキャパシティ推奨するハードウェアキャパシティ

下記の要件は、使⽤頻度が低い、または中程度の単⼀のインスタンスのインストールに適⽤されます。重要な社内デプロイや分散デプロイについては、『キャパシティプランニング』を参照してください。

プラットフォームプラットフォーム推奨するハードウェア要件推奨するハードウェア要件

Windows 以外のプラットフォーム

2x 6 コア、2+ GHz CPU、12 GB RAM、RAID 0 または 1+0、64 ビット版OS 使⽤

Windows プラットフォーム 2x 6 コア、2+ GHz CPU、12 GB RAM、RAID 0 または 1+0、64 ビット版OS 使⽤

RAID 0 ディスク構成は障害対策を提供していません。RAID 0 システムに Splunk Enterprise インデクサーをデプロイする前に、RAID 0 構成がご⾃分のデータ信頼性のニーズを満たしているかどうかを確認してください。

インデックスに必要なスペースのほか、フォワーダーなどの Splunk インスタンスに最低 5 GB 以上のハードディスクスペースを確保することが推奨されます。必要なスペースを⾒積もる⼿順については、『キャパシティプランニング』の「ストレージ要件の⾒積もり」を参照してください。この程度の空きスペースがないと、パフォーマンスを低下させ、オペレーティングシステムの障害、データの消失が発⽣する可能性があります。

ユニバーサルフォワーダーおよびライトフォワーダーのハードウェア要件ユニバーサルフォワーダーおよびライトフォワーダーのハードウェア要件

ユニバーサルフォワーダーには独⾃のハードウェア要件があります。『ユニバーサルフォワーダー』マニュアルで上記要件を参照してください。

サポートしているファイルシステムサポートしているファイルシステム

この表に表⽰されていないファイルシステム上で Splunk Enterprise を実⾏すると、そのファイルシステムの実⾏可能性を確認するための locktest と呼ばれるスタートアップユーティリティがソフトウェアによって実⾏される場合があります。locktest が失敗した場合、ファイルシステムが Splunk Enterprise との使⽤に適していないことになります。

プラットフォームプラットフォームファイルシステムファイルシステム

Linux ext2、ext3、ext4、btrfs、XFS、NFS 3/4

Solaris UFS、ZFS、VXFS、NFS 3/4

FreeBSD FFS、UFS、NFS 3/4、ZFS

Mac OS X HFS、NFS 3/4

AIX JFS、JFS2、NFS 3/4

HP-UX VXFS、NFS 3/4

Windows NTFS、FAT32

ネットワークファイルシステム (NFS) の検討事項ネットワークファイルシステム (NFS) の検討事項7

Splunk インデックス作成⽤のストレージメディアとしてネットワークファイルシステム (NFS) を使⽤する場合、ファイルレベルのストレージが及ぼす可能性のある、あらゆる悪影響について検討してください。

データのインデックス作成には、ファイルレベルのストレージではなく、ブロックレベルのストレージを使⽤します。

信頼できる広帯域幅、低遅延のリンクを使⽤する環境、または⾼可⽤性のクラスタ構成ネットワークストレージを提供するベンダーを使⽤する環境では、NFS が妥当な選択になり得ます。ただし、この⼿段を採⽤する場合は、ご利⽤のハードウェアメーカーと協⼒して、使⽤するストレージプラットフォームがパフォーマンスとデータ整合性の両⾯で、⽬的の性能やメーカー仕様を満たせるかどうかを調査する必要があります。

NFS を使⽤する場合は下記の問題に注意してください。

NFS をホットまたはウォームインデックスバケツバケツをホストするために使⽤しないでください。NFS の失敗がデータロスを⽣じさせる場合があります。NFS はコールドまたはフローズンバケツで最適に動作します。NFS をコールドまたはフローズンバケツをインデクサークラスタ内で共有するために使⽤しないでください。これにより、単⼀障害点が⽣じる場合があります。Splunk Enterprise は NFS の「ソフト」マウントをサポートしていません。これらは、マウント上でファイル操作を試みているプログラムに、障害発⽣時にエラーを報告させてそのまま続⾏させるマウントです。Splunk Enterprise の信頼性を保つために、NFS ハードマウント (障害発⽣時に、クライアントにサーバーとの通信試⾏を継続させるマウント) のみを使⽤してください。属性のキャッシングは無効にしないでください。属性のキャッシングを無効にする、または減らすような他のアプリケーションを使⽤している場合、Splunk Enterprise には別個の属性キャッシングが有効なマウントを割り当てる必要があります。WAN 経由の NFS は使⽤しないでください。使⽤するとパフォーマンス上の問題が発⽣し、データの消失につながる可能性があります。

*nix システムにおけるシステム全体のリソース制限に関する考察*nix システムにおけるシステム全体のリソース制限に関する考察

Splunk Enterprise は、*nix システム上にファイル記述⼦やユーザープロセス等のシステム全体のリソースを、監視、転送、デプロイ、サーチ等に割り当てます。ulimit コマンドはこれらのリソースへのアクセスを制限します。Splunk Enterprise が *nix システムで正常に動作するには、リソースを適切なレベルに設定する必要があります。

以下のテーブルはソフトウェアが使⽤するシステム全体リソースを表しています。フォワーダーではないインスタンス (インデクサー、サーチヘッド、クラスタマスター、ライセンスマスター、デプロイサーバー、モニター⽤コンソール (MC) 等) のリソースの最低推奨設定を提供します。

システム全体リソースシステム全体リソース ulimit 呼び出しulimit 呼び出し推奨最低値推奨最低値

オープンファイル ulimit -n 8192

ユーザープロセス ulimit -u 1024

データセグメントサイズ ulimit -d 1073741824

Splunk Enterprise インスタンスが⾏う作業が増えると、より多くのリソースが必要になります。リソース数の制限値が低いために問題が発⽣しているような場合は、ulimit の値を増やす必要があります。『トラブルシューティング』マニュアルの「splunkd.log で ulimit に関するエラーが発⽣します」を参照してください。

この検討事項は、Windows ベースのシステムには当てはまりません。

SSD に関する検討事項SSD に関する検討事項

SSD は従来のハードドライブと⽐べ、ブルームフィルタと組み合わせて Splunk のレアサーチ (⼤量のデータに対して少量の結果を要求するサーチ) を実⾏する場合に、⼤幅に優れたパフォーマンスを発揮します。また、同時サーチを実⾏する場合にもパフォーマンスを発揮します。

CIFS/SMB に関する検討事項CIFS/SMB に関する検討事項

Splunk Enterprise では、Windows のホストだけにホストされる部分について、下記の⽬的で CIFS/SMB プロトコルを使⽤することができます。

サーチヘッドプーリングサーチヘッドプーリング (サーチヘッドプーリングは廃⽌される機能です)コールドまたはフローズンインデックスバケツインデックスバケツのストレージ

CIFS リソースをストレージとして使⽤する場合は、ファイルレベルと共有レベルの両⽅でリソースに接続するユーザーに対して、リソースに書き込み権限を与えるよう設定する必要があります。サードパーティ製のストレージデバイスを使⽤する場合、その CIFS の実装内容が、クライアントとして動作する Splunk Enterprise インスタンスの実装内容と互換性があることを確認してください。

Windows 上でマップされたネットワークドライブへのデータのインデックス作成は⾏わないでください (例：外部共有にマップされた「Y:\」)。Splunk Enterprise は、⾮物理ドライブ⽂字を持つドライブのインデックス作成を無効にします。

透過的かつ膨⼤なページのメモリ管理スキームを使⽤する環境についての検討事項透過的かつ膨⼤なページのメモリ管理スキームを使⽤する環境についての検討事項

透過的かつ膨⼤なメモリのページを使⽤する Unix 環境を実⾏する場合は、Splunk Enterprise をインストールする前に「透過的かつ膨⼤なメモリのページと Splunk パフォーマンス」を参照してください。

8

この検討事項は、Windows オペレーティングシステムには当てはまりません。

Splunk Enterpr ise のアーキテクチャとプロセスSplunk Enterpr ise のアーキテクチャとプロセス

ここでは、Splunk Enterprise の内部アーキテクチャとプロセスの詳細を説明していきます。Splunk Enterpriseで使われているサードパーティ製コンポーネントに関する情報をお探しの場合は、リリースノートの該当するセクションを参照してください。

Splunk Enterpr ise のプロセスSplunk Enterpr ise のプロセス

Splunk Enterprise サーバーは、ホストにプロセス splunkd をインストールします。

splunkd は、配信される IT データにアクセス、処理、インデックス作成を⾏う、分散 C/C++ サーバーです。また、サーチリクエストも処理します。⼀連のパイプラインにデータを通して、データの splunkd 処理とインデックスの作成を⾏います。各パイプラインは、⼀連のプロセッサから成り⽴っています。

パイプラインパイプラインは、splunkd プロセス内のスレッドで、それぞれが単⼀の XML スニペットで設定されています。プロセッサプロセッサは、再利⽤可能な C または C++ 関数で、パイプラインを通過する IT データストリームの処理を⾏います。あるパイプラインから別のパイプラインに、キューキュー経由でデータを渡すことができます。バージョン 6.2 では、splunkd が Splunk Web インターフェイスも提供しています。ユーザーは Web インターフェイスからデータのサーチや参照が可能なほか、Splunk Enterprise のデプロイを管理できます。REST (REpresentational State Transfer) を介して Web ブラウザと通信します。splunkd は、ポート 8089 で Web サーバーを実⾏します。SSL/HTTPS は、デフォルトで有効になっています。また、ポート 8000 でも Web サーバーを実⾏します。こちらで SSL/HTTPS は、デフォルトで無効になっています。

splunkweb はレガシー専⽤サービスとして Windows にのみインストールされます。6.2 以前のバージョンでは、このサービスが Splunk Enterprise ⽤の Web インターフェイスを提供していました。現在でも、インストール、実⾏されますが、すぐに終了します。「レガシーモード」で実⾏するには、設定パラメータを変更します。

Windows システムで splunkweb.exe は、サードパーティ製のオープンソース実⾏形式ファイルで、Splunk ではpythonservice.exe から名前を変更して使⽤されています。これは名前が変更されたファイルのため、他のWindows 版 Splunk Enterprise バイナリと同じバージョン情報を保有していません。

Splunk Enterprise に同梱されている他のサードパーティ製バイナリについての情報はここを参照してください。

Splunk Enterprise とセーフモードの WindowsSplunk Enterprise とセーフモードの Windows

Windows がセーフモードである場合、Splunk サービスは開始しません。セーフモードで [スタート] メニューから Splunk Enterprise を起動しようとしても、サービスが動作していないことを知らせるメッセージは表⽰されません。

Windows 版 Splunk Enterpr ise の追加プロセスWindows 版 Splunk Enterpr ise の追加プロセス

Windows 版の Splunk Enterprise インスタンスには、前述の 2 つのサービスに加えて、Splunk Enterprise インスタンス上で特定のデータ⼊⼒を作成する際に使⽤される追加のプロセスが存在しています。これらの⼊⼒は、特定の種類の Windows 固有のデータ⼊⼒の設定時に実⾏されます。

splunk.exesplunk.exe

splunk.exe は、Windows 版 Splunk Enterprise の制御アプリケーションです。プログラムにコマンドラインインターフェイス (CLI) を提供します。*nix splunk のプログラムと同様に、Splunk Enterprise の起動、停⽌、設定が可能です。

splunkd と splunkweb プロセスを制御する仕組みのため、splunk.exe バイナリには、上位のコンテキストが必要です。このプログラムに Windows システムでの適切な権限を与えていない場合、Splunk Enterprise が正常に動作しない可能性があります。Splunk Enterprise を Local System ユーザーとしてインストールした場合、これは問題にはなりません。

splunk-admonsplunk-admon

splunk-admon.exe はActive Directory (AD) モニター⼊⼒を設定した場合に開始されます。splunkd は利⽤可能なもっとも近い Active Directory ドメインコントローラに接続し、Active Directory が⽣成した変更イベントを収集する splunk-admon を⽣成します。Splunk Enterprise では上記イベントがインデックスに保存されます。

splunk-perfmonsplunk-perfmon

splunk-perfmon.exe はローカル Windows マシン上のパフォーマンスデータをモニターするように SplunkEnterprise を設定した場合に実⾏されます。このバイナリは、システム上のパフォーマンスライブラリにクエリを⾏って、その時点のパフォーマンス測定基準とパフォーマンス測定基準履歴の両⽅を収集する、パフォーマンスデータヘルパーライブラリに接続します。

splunk-netmonsplunk-netmon

splunk-netmon はローカルマシン上の Windows ネットワーク情報をモニターするように Splunk Enterprise を設

9

定した場合に実⾏されます。

splunk-regmonsplunk-regmon

splunk-regmon.exe は、Splunk でレジストリのモニター⼊⼒を設定した場合に実⾏されます。この⼊⼒は、まず現在の状態のレジストリのベースラインを書き込んで (必要な場合)、次にその後のレジストリの変更をモニターしていきます。

splunk-winevtlogsplunk-winevtlog

このユーティリティを使って、定義したイベントログのコレクションをテストすることができます。また、収集したイベントを調査のために出⼒できます。Splunk Enterprise のエンジンには、Windows イベントログ⼊⼒プロセッサが組み込まれています。

splunk-winhostmonsplunk-winhostmon

splunk-winhostmon は、Splunk で Windows ホストのモニター⼊⼒を設定した場合に実⾏されます。この⼊⼒は、Windows ホストに関する詳細情報を取得します。

splunk-winprintmonsplunk-winprintmon

splunk-winprintmon は、Splunk で Windows 印刷モニター⼊⼒を設定した場合に実⾏されます。この⼊⼒は、ローカルシステム上の、Windows プリンタおよび印刷ジョブの詳細情報を取得します。

splunk-wmisplunk-wmi

リモートコンピューターに対してパフォーマンスのモニタリング、イベントログ、および他の⼊⼒を設定した場合、このプログラムが開始されます。⼊⼒の設定内容に応じて、このプログラムはマシンに接続して送信されてくる Windows イベントログを読み込むか、または指定したリモートマシン上の Windows ManagementInstrumentation (WMI) プロバイダに対して、Windows クエリ⾔語 (WQL) によるクエリを実⾏します。

アーキテクチャの概要図アーキテクチャの概要図

Splunk Enterpr ise で配布されている Windows 版のサードパーSplunk Enterpr ise で配布されている Windows 版のサードパーティ製バイナリに関する情報ティ製バイナリに関する情報

このトピックは、Splunk Enterprise および Splunk ユニバーサルフォワーダーに含まれている、サードパーティ製の Windows バイナリに関する情報を取り上げています。

ユニバーサルフォワーダーの詳細は、『データの転送』マニュアルの「データの転送と受信について」を参照してください。

Splunk Enterpr ise に含まれているサードパーティ製の Windows バイナリSplunk Enterpr ise に含まれているサードパーティ製の Windows バイナリ

Splunk Enterprise には、以下のサードパーティ製 Windows バイナリが同梱されています。特に明⽰のない限り、これらのバイナリは Splunk Enterprise 製品にのみ含まれています。

それぞれに説明があるように、これらのバイナリは Splunk Enterprise に機能を提供しています。これらのバイナリには、ファイルのバージョン情報や authenticode 署名 (バイナリファイルの信頼性を証明する証明書) は含まれていません。また Splunk Enterprise は、サードパーティ製モジュールに関連する、デバッグシンボルのサポートは提供していません。

注意：注意：Splunk Enterprise に同梱されているサードパーティ製のバイナリ、App 、およびスクリプトのみ、Certified for Windows Server 2008 R2 (CFW2008R2) Windows Logo 準拠のテストが⾏われています。他のバイナリ、App、またはスクリプト (インターネットからダウンロードしたものなど) については、準拠しているかどうかのテストが⾏われていません。

10

Archive.dllArchive.dll

Libarchive.dll マルチフォーマットのアーカイブ/圧縮ライブラリです。

Splunk Enterprise と Splunk ユニバーサルフォワーダーの両⽅に、このバイナリが含まれています。

Bzip2.exeBzip2.exe

Bzip2 は、パテントフリーの⾼品質データ圧縮機能です。⼀般的には、利⽤可能な最⾼の技術 (統計的コンプレッサーの PPM ファミリー) の 10%〜15% までファイルを圧縮しながら、圧縮速度は約 2 倍、解凍速度は約 6 倍も⾼速に処理を⾏うことができます。

Jsmin.exeJsmin.exe

Jsmin.exe は、JavaScript ファイルから空⽩⽂字とコメントを削除し、そのサイズを削減します。

Libexslt .dllLibexslt .dll

Libexslt.dll は、libxslt 向けに開発された (GNOME プロジェクトの⼀環として) EXSLT ダイナミックリンク Cライブラリの拡張機能です。


Libxml2.dllLibxml2.dll

Libxml2.dll は、XML C パーサーとツールキットライブラリです。このライブラリは GNOME プロジェクト向けに開発されたものの、GNOME プラットフォーム以外でも利⽤できます。


Libxslt .dllLibxslt .dll

Libxslt.dll は、GNOME プロジェクト向けに開発された、変換 (XSLT) ダイナミックリンク C ライブラリ⽤XML スタイルシート⾔語です。XSLT ⾃体が、XML の変換を定義する XML ⾔語です。Libxslt は、GNOME プロジェクトで開発された XML C ライブラリの libxml2 をベースにしています。また、プロセッサポータブル拡張機能の EXSLT セットの⼤半、および Saxon の評価/表現拡張機能の⼀部も実装しています。


Minigzip.exeMinigzip.exe

Minigzip.exe は、「gzip」圧縮ツールの最低実装バージョンです。

Openssl.exeOpenssl.exe

OpenSSL プロジェクトは、SSL v2/v3 と TLS v1 および強度の⾼い汎⽤⽬的暗号化ライブラリを実装した、堅牢で商⽤品質の、機能を完備したオープンソースツールキットを開発するための協同作業です。


Python.exePython.exe

Python.exe は、Windows ⽤の Python プログラミング⾔語バイナリです。

Pythoncom.dllPythoncom.dll

Pythoncom.dll は、Python ⽤ OLE オートメーション API をカプセル化したモジュールです。

Pywintypes27.dllPywintypes27.dll

Pywintypes27.dll は、Python バージョン 2.7 の Windows タイプをカプセル化したモジュールです。

インストール⼿順インストール⼿順

ご利⽤のオペレーティングシステムの詳細なインストール⼿順については、以下から 1 つお選びください。

WindowsWindows (コマンドラインから)LinuxSolarisMac OS X

AIX、F reeBSD、および HP -UX での完全版 Splunk Enterpr ise のサポートはありAIX、F reeBSD、および HP -UX での完全版 Splunk Enterpr ise のサポートはありませんません

バージョン 6.3.0 現在、Splunk Enterprise は以下のオペレーティングシステムでは利⽤できません。これらのオペレーティングシステムに Splunk Enterprise をインストールして使⽤するには、6.3.0 以前のバージョンを使⽤

11

する必要があります。

ユニバーサルフォワーダーは以下のプラットフォームにインストールできます。以下のリンクをクリックしてユニバーサルフォワーダーのインストール⼿順に進みます：

FreeBSDAIXHP-UX

Splunk Enterprise インストールのセキュリSplunk Enterprise インストールのセキュリティティSplunk Enterpr ise のセキュリティについてSplunk Enterpr ise のセキュリティについて

新しくインストールまたはアップグレードした Splunk Enterprise の設定が完了し使⽤を開始する際は、SplunkEnterprise とデータを保護するための追加⼿順を実⾏します。適切な⼿順を踏んで Splunk Enterprise を保護すれば、攻撃の⼿がかりを減らし、脆弱性のリスクや影響を低減することができます。

このセクションでは、インストール前、インストール中、およびインストール後の Splunk Enterprise を保護する⽅法について説明していきます。『Splunk Enterprise のセキュリティ』マニュアルには、Splunk Enterpriseを保護するための詳細な⽅法が記載されています。

Splunk Enterpr ise をインストールする前のシステムの保護Splunk Enterpr ise をインストールする前のシステムの保護

Splunk Enterprise をインストールする前に、ご利⽤のオペレーティングシステムを保護してください。すべてのSplunk Enterprise サーバーオペレーティングシステムの保護を強化します。

社内セキュリティ標準ガイドラインがない場合は、CIS セキュリティ強化規則を使⽤します。最低でも、Splunk Enterprise サーバーへのシェル/コマンドラインアクセスを制限してください。すべての Splunk Enterprise サーバーへの物理的なアクセスを制限してください。Splunk Enterprise エンドユーザーに、物理セキュリティとエンドポイントセキュリティに関する教育を⾏ってください。

Splunk Enterpr ise の安全なインストールSplunk Enterpr ise の安全なインストール

Splunk Enterprise のダウンロード/インストールの際には、Splunk の整合性と署名について検証を⾏ってください。

整合性の検証整合性の検証

MD5 や SHA-512 などのハッシュ機能を使ってハッシュを⽐較して、Splunk Enterprise ダウンロードを検証します。信頼できるバージョンの OpenSSL を使⽤してください。

MD5MD5

1.1. https://www.splunk.com/en_us/download/splunk-enterprise/thank-you-for-downloading.html

2.2.バー内のMD5 ダウンロードリンクをクリックします

3.3.結果を⽐較します

SHA512SHA512

1.1.ダウンロードのリンク名をコピーします

2.2.SHA512 を追加します

3.3. https://download.splunk.com/products/splunk/releases/6.4.3/windows/splunk-6.4.3-b03109c2bad4-x64-release.msi.sha512

署名の検証署名の検証

ダウンロードした RPM パッケージの信頼性は、Splunk GnuPG の公開鍵を使って検証します。

1. GnuPG 公開鍵ファイルをダウンロードします(このリンクはトランスポート・レイヤー・セキュリティ(TLS) 上です)。

2. 鍵をインストールします。

rpm --import <filename>

3. パッケージの署名を検証します。

rpm -K <filename>

その他の Splunk Enterpr ise の保護⼿段その他の Splunk Enterpr ise の保護⼿段

12

Splunk Enterprise をインストールした後は、さまざまな⼿段を使って設定を保護します。

ユーザー認証とロールベースのアクセス制御の設定ユーザー認証とロールベースのアクセス制御の設定

ユーザーを設定して、アクセスを制御するためにロールを使⽤します。Splunk Enterprise では複数の⽅法でユーザーを設定できます。『Splunk Enterprise のセキュリティ』で次の項⽬を確認してください。

ビルトイン認証システム「Splunk Enterprise のネイティブ認証を使ったユーザー認証の設定」を参照してください。LDAP：「LDAP によるユーザー認証の設定」を参照してください。外部認証システム (PAM や RADIUS など) を使⽤するためのスクリプトによる認証 API「外部システムによるユーザー認証の設定」を参照してください。

ユーザーを設定したら、権限やアクセスレベルを決定、制御するロールを割り当てます。「ロールベースのユーザーアクセスについて」を参照してください。

SSL 証明書を使った、暗号化と認証の設定SSL 証明書を使った、暗号化と認証の設定

Splunk Enterprise にはデフォルトの証明書とキーのセットが⽤意されています。これを有効にするとデータの暗号化とデータ圧縮機能を利⽤することができます。また独⾃の証明書とキーを使って、ブラウザと Splunk Web間の通信やフォワーダーからレシーバーレシーバー (インデクサーなど) に送信されるデータを保護することができます。

このマニュアルの「SSL を使った Splunk の保護について」を参照してください。

Splunk Enterpr ise の監査Splunk Enterpr ise の監査

Splunk Enterprise には、データの信頼性を追跡するための監査機能が⽤意されています。

『データの取り込み』の「ファイルとディレクトリの監視」『Splunk Enterprise のセキュリティ』の「監査イベントのサーチ」

Splunk Enterpr ise インストールのセキュリティの強化Splunk Enterpr ise インストールのセキュリティの強化

インストールの保護強化については、『Splunk Enterprise のセキュリティ』の次のトピックを参照してください。

複数のサーバーへの保護パスワードのデプロイ

Splunk Enterprise のアクセス制御リストの使⽤

サービスアカウントの保護

不要な Splunk Enterprise コンポーネントの無効化

ネットワーク上の Splunk Enterprise の保護

Windows への Splunk Enterprise のインスWindows への Splunk Enterprise のインストールトールSplunk Enterpr ise を実⾏するためのユーザーの選択Splunk Enterpr ise を実⾏するためのユーザーの選択

Splunk Enterprise を Windows にインストールすると、実⾏する Windows ユーザーを選択する機会が与えられます。

選択するユーザーは Splunk Enterpr ise で何をモニターするのかによって異なる選択するユーザーは Splunk Enterpr ise で何をモニターするのかによって異なる

Splunk Enterprise をどのユーザーとして実⾏させるかによって、何をモニターできるのかが決まります。LocalSystem ユーザーは、ローカルマシン上のすべてのデータにアクセスできますが、それ以外にアクセスすることはできません。Local System 以外のユーザーは、任意のデータにアクセスできますが、Splunk Enterprise をインストールする前に、使⽤するユーザーに⽬的のデータにアクセスできる権限を与える必要があります。

Local System のユーザーとその他のユーザーの選択についてLocal System のユーザーとその他のユーザーの選択について

Windows Splunk Enterprise インストーラは 2 種類のインストール⽅法を提供します：

ローカルシステムユーザーとして。Windows コンピュータまたはネットワークに既存の別のユーザーとして (指定します)。

Splunk Enterprise で以下のいずれかの作業を⾏うには、ドメインユーザーとしてインストールする必要があります。

イベントログをリモートに読み込むパフォーマンスカウンタをリモートに収集するネットワーク共有のログファイルを読み込むActive Directory 監視を使って Active Directory スキーマにアクセスする

指定するユーザーは、以下の条件を満たしている必要があります。ユーザーが要件を満たしていない場合、Splunk Enterprise のインストールが失敗することがあります。インストールは正常に完了しても、Splunk

13

Enterprise が正常に動作しない、またはまったく動作しないことがあります。

モニターする Active Directory ドメインまたはフォレストのメンバーである (Active Directory を使⽤している場合)。Splunk Enterprise をインストールするサーバーのローカル Administrators グループのメンバーである。特定のユーザーセキュリティ権限を割当てられている。

Splunk Enterprise をどのユーザーとして実⾏させるのかが分からない場合は、『データの取り込み』マニュアルの「リモート Windows データのモニター⽅法を決定するための検討事項」を参照して、Splunk Enterprise ユーザーとそれに必要なアクセス権の設定⽅法を学習してください。

ユーザーアカウントとパスワードの注意事項ユーザーアカウントとパスワードの注意事項

Splunk Enterprise の実⾏者として選択したユーザーにはまた、固有のパスワード制約があります。

Windows ネットワークにパスワード強制セキュリティポリシーがある場合、そのポリシーがパスワードの妥当性を判断します。Windows ホストまたはネットワークがパスワード変更を要求する場合は、以下のいずれかを⾏いSplunk Enterprise サービスの稼働を維持します。

パスワードの失効前にそれを変更して、各ホストが変更後のパスワードを使⽤するように SplunkEnterprise サービスを再設定した後、各ホストで Splunk Enterprise を再起動する。パスワードが失効しないようにアカウントを設定する。管理されたサービスアカウントを使⽤する。このトピックの「Windows Server 2008、Windows Server2012、Windows 7、および Windows 8.x での管理されたサービスアカウントの使⽤」を参照してください。

管理されたサービスアカウントを使⽤する。管理されたサービスアカウントを使⽤する。

Active Directory で Windows Server 2008 以降の Windows Server バージョン、または Windows 7 以降のWindows バージョンを実⾏し、AD ドメインが Windows Server 2008 R2 以降が動作するドメインコントローラを 1 つ以上持っている場合、管理されたサービスアカウント (MSA) とともに動作するよう Splunk Enterpriseをインストールすることができます。

MSA 使⽤の利点を以下に⽰します。

サービスのアカウントを隔離することで、セキュリティが向上する。管理者が資格情報やアカウントを管理する必要がない。期限切れとなったパスワードは⾃動的に変更されます。パスワードの⼿動設定やアカウントに関連するサービスの再起動は必要ありません。管理者は、これらのアカウントの管理作業を他のユーザーに委任できる。

MSA については、Splunk Enterprise のインストールを⾏う前に、以下の事項を理解しておく必要があります。

MSA には、Splunk Enterprise を実⾏するホスト上のドメインアカウントと同じ権限/アクセス許可が必要になります。MSA は、Splunk Enterprise を実⾏するホストのローカル管理者でなければなりません。別のホストで、ドメインアカウントとして使⽤するアカウントと同じアカウントを使⽤することはできません。マシンに Splunk Enterprise をインストールする前に、Splunk Enterprise を実⾏するホスト上に MSA を正しくインストール、設定する必要があります。MS Technet の『サービスアカウントのステップバイステップガイド』 (http://technet.microsoft.com/en-us/library/dd548356%28WS.10%29.aspx) を参照してください。

MSA を使って Splunk Enterprise をインストールするには、「Splunk Enterprise をネットワークまたはドメインユーザーとしてインストールするための Windows ネットワークの準備」を参照してください。

セキュリティとリモートアクセスの検討事項セキュリティとリモートアクセスの検討事項

アクセス許可/権限の最低要件アクセス許可/権限の最低要件

Splunk Enterprise をドメインユーザーとしてインストールする場合、そのインスタンスを実⾏するホストはいくつかのデフォルト権限の変更を必要とします。

splunkd と splunkforwarder サービスは、ドメインユーザーを使⽤して Splunk Enterprise をインストールする際に特定のユーザー権限が必要です。モニターするデータのソースによっては、Splunk Enterprise ユーザーに他のアクセス権限が必要なこともあります。上記権限の設定に失敗すると、Splunk Enterprise のインストールに失敗したり、またはインストールが適切に動作しません。

splunkd またはまたは splunkforwarder サービスに必要な基本権限/アクセス許可サービスに必要な基本権限/アクセス許可

Splunk Enterprise のインストールディレクトリに対するフルコントロールインデックスを作成するファイルに対する読み取りアクセス

splunkd またはまたは splunkforwarder サービスに必要なローカル/ドメインセキュリティポリシーのユーザーアクセス許可割りサービスに必要なローカル/ドメインセキュリティポリシーのユーザーアクセス許可割り当て当て

サービスとしてログオンするアクセス許可バッチジョブとしてログオンするアクセス許可プロセスレベルのトークンを置換するアクセス許可オペレーティングシステムの⼀部として動作するアクセス許可⾛査チェックをバイパスするアクセス許可

14

これらのアクセス許可の割り当て⽅法これらのアクセス許可の割り当て⽅法

このセクションでは、Splunk Enterprise をインストールする前に、Splunk Enterprise サービスアカウントに適切なユーザー権限/アクセス許可を割り当てる⽅法を説明していきます。⼿順については、「ネットワークまたはドメインユーザーとしての、Splunk Enterprise インストール⽤ Windows ネットワークの準備」を参照してください。

グループポリシーを使った複数マシンへの権限の割り当てグループポリシーを使った複数マシンへの権限の割り当て

ポリシー設定を Active Directory ドメインまたはフォレスト内の複数のワークステーションやサーバーに割り当てるには、グループポリシーオブジェクト (GPO) にこれらの権限を定義して、それをドメインにデプロイすることができます。

GPO を作成して有効にすると、ドメイン内のホストは、次回にスケジュールされている Active Directory レプリケーションサイクル (通常は 1.5〜2 時間) または次回の起動時に変更内容を取得します。または、グループポリシーを更新するホスト上で GPUPDATE コマンドラインユーティリティを使って、Active Directory レプリケーションを強制することができます。

GPO によるユーザー権限の設定時には、それらの権限が、マシン上の同じローカルセキュリティポリシー権限に優先します。この設定を変更することはできません。ローカルセキュリティポリシー権限を保持するには、GPO内でそれらの権限を割り当てる必要があります。

権限に関する問題のトラブルシューティング権限に関する問題のトラブルシューティング

権限は、splunkd および splunkforwarder サービスが必要とする権限です。アクセスに必要なデータは、追加の権限の割り当てを必要とする可能性があります。さまざまなユーザー権限割り当てや他のグループポリシーの制限により、Splunk Enterprise の動作が阻害されることもあります。何か問題がある場合は、プロセスモニターやGPRESULT などのツールを使って、環境内の GPO アプリケーションのトラブルシューティングを⾏ってください。

ネットワークまたはドメインユーザーとしての、インストール⽤ネットワークまたはドメインユーザーとしての、インストール⽤Windows ネットワークの準備Windows ネットワークの準備

Windows ネットワークに Splunk Enterprise を「Local System」ユーザーではなく、ネットワークまたはドメインユーザーとしてインストールするために必要な Windows ネットワークを準備可能です。

この説明は Windows Server 2008 R2、Windows Server 2012、および Windows Server 2012 R2 でテストされており、他のバージョンの Windows では異なる可能性があります。

また、ここの⼿順を使って割り当てる権限は、正常に Splunk Enterprise をインストールするために必要な最低限の権限です。Splunk Enterprise が⽬的のデータにアクセスできるように、ローカルセキュリティポリシーやグループポリシーオブジェクト (GPO) を使って、または作成したユーザーまたはグループアカウントに、他の権限を割り当てなければならないことがあります。

セキュリティ要件およびグループポリシーを通してシステムデフォルトを変更するこセキュリティ要件およびグループポリシーを通してシステムデフォルトを変更することによる問題を理解するとによる問題を理解する

この⼿順を実施するには、Splunk Enterprise の使⽤準備を⾏うホストまたは Active Directory ドメインに対して、管理者権限でのアクセスが必要になります。このアクセス権がない場合は、この⼿順を実⾏しないでください。

Splunk Enterprise 操作の低レベルアクセス要件により、Local System 以外のユーザーとして SplunkEnterprise を実⾏する場合は、これらの変更が必要になります。この⼿順を完了するには Windows ネットワークに変更を加える必要があります。重要なセキュリティ上のリスクが発⽣する可能性があります。

そのようなリスクをできる限り回避するために、Splunk Enterprise が動作するユーザーの対話型ログインを禁⽌して、またユーザーがログインできるワークステーション数を制限してください。代替⽅法として、WindowsServer 2008 R2 以降では管理されたユーザーアカウント (MSA) をセットアップしてさらにリスクを抑えることができます。

作業に伴うセキュリティ上のリスクを理解できない場合は、この⼿順を⾏わないでください。

ドメインユーザーとして Splunk をインストールするための Active Directory の準ドメインユーザーとして Splunk をインストールするための Active Directory の準備備

Splunk Enterprise または Splunk ユニバーサルフォワーダーをドメインユーザーとしてインストールするための、Active Directory を準備します。

ユーザーやグループを作成する際には、Microsoft のベストプラクティス (http://technet.microsoft.com/en-us/library/bb727085.aspx) に従ってください。

PowerShell を使って Active Directory を設定するには、このトピック後半の「PowerShell を使った ActiveDirectory ドメインの設定」を参照してください。

前提条件前提条件

この⼿順を実⾏するには以下の要件を満たす必要があります。

Windows 環境で Active Directory が動作する。設定する Active Directory ドメインのドメイン管理者である。インストールホストがこの AD ドメインのメンバーである。

15

インストールホストがこの AD ドメインのメンバーである。

グループの作成グループの作成

1. [スタート > 管理ツール > Active Directory ユーザーとコンピューター][スタート > 管理ツール > Active Directory ユーザーとコンピューター] を選択して、[ActiveDirectory ユーザーとコンピューター] ツールを実⾏します。

2. プログラムがロードされたら、Splunk Enterprise 操作の準備をするドメインを選択します。3. 既存のコンテナフォルダをダブルクリックするか、[アクションアクション] メニューで [新規 > グループ新規 > グループ] を選択し

て組織単位を作成します。4. [アクション > 新規 > グループアクション > 新規 > グループ] を選択します。5. 「Splunk アカウント」といった Splunk Enterprise ユーザーアカウントを⽰す名前を⼊⼒します。6. [グループのスコープグループのスコープ] に [ドメインローカルドメインローカル] を、[グループの種類グループの種類] に [セキュリティセキュリティ] を設定します。7. [OKOK] をクリックして、グループを作成します。8. 2 番⽬のグループを作成し、「Splunk Enabled Computers」のように、Splunk Enterprise を有効にした

コンピューターを表す名前を指定します。このグループには、Splunk Enterprise をドメインユーザーとして実⾏するための権限を受信するコンピューターアカウントが含まれます。

9. [グループのスコープグループのスコープ] に [ドメインローカルドメインローカル] であり、[グループの種類グループの種類] に [セキュリティセキュリティ] であることを確認します。

グループへのユーザーとコンピューターの割り当てグループへのユーザーとコンピューターの割り当て

1. Splunk Enterprise の実⾏に使⽤するユーザーアカウントを作成していない場合は、それを作成します。独⾃のポリシーを策定していない場合は、Microsoft のユーザーとグループを作成するためのベストプラクティスに従ってください。

2. アカウントを Splunk アカウントSplunk アカウントグループに追加します。3. Splunk Enterprise を実⾏するコンピューターのコンピューターアカウントを Splunk が有効なコンSplunk が有効なコン

ピューターピューターのグループに追加します。4. Active Directory ユーザーとコンピューターActive Directory ユーザーとコンピューターを終了します。

グループポリシーオブジェクト (GPO) の定義グループポリシーオブジェクト (GPO) の定義

1. [スタート] > [管理ツール] > [グループポリシーの管理][スタート] > [管理ツール] > [グループポリシーの管理] を選択して、[グループポリシー管理コンソーグループポリシー管理コンソール (GPMC)ル (GPMC)] ツールを実⾏します。

2. 左側のツリービューで、[ドメインドメイン] を選択します。3. [グループポリシーオブジェクトグループポリシーオブジェクト] フォルダをクリックします。4. [ドメイン内のグループポリシーオブジェクトドメイン内のグループポリシーオブジェクト] フォルダで、右クリックして [新規新規] を選択します。5. GPO がサーバーにユーザー権限を割り当てることを⽰す名前を指定します。例：「Splunk Access」6. [ソーススターター GPOソーススターター GPO] フィールドに [(なし)] を設定します。7. [OKOK] をクリックして、GPO を保存します。

GPO への権限の追加GPO への権限の追加

1. GPMC で、新しく作成したグループポリシーオブジェクトを右クリックし、[編集編集] を選択します。2. グループポリシー管理エディターグループポリシー管理エディターの左パネルで、[コンピューターの構成] > [ポリシー] > [Windows[コンピューターの構成] > [ポリシー] > [Windows

の設定] > [セキュリティの設定] > [ローカルポリシー] > [ユーザー権限の割り当て]の設定] > [セキュリティの設定] > [ローカルポリシー] > [ユーザー権限の割り当て]に移動します。1. 右側のパネルで、[オペレーティングシステムの⼀部として機能][オペレーティングシステムの⼀部として機能] をダブルクリックします。2. 表⽰されるウィンドウで、[これらのポリシーの設定を定義する][これらのポリシーの設定を定義する] チェックボックスを選択します。3. [ユーザーまたはグループの追加...][ユーザーまたはグループの追加...] をクリックします。4. 表⽰されるダイアログで、[参照...][参照...] をクリックします。5. 表⽰される [ユーザー、コンピューター、サービスアカウント、またはグループの選択][ユーザー、コンピューター、サービスアカウント、またはグループの選択] ダイアロ

グに、先ほど作成した「Splunk Accounts」グループの名前を⼊⼒し、[名前の確認...][名前の確認...] をクリックします。名前が有効な場合、下線が付けられます。そうでない場合は、オブジェクトが⾒つからないことを知らせるメッセージが表⽰され、もう⼀度オブジェクト名の⼊⼒が要求されます。

6. [OK] をクリックして [ユーザーの選択 ...] ダイアログを閉じます。7. もう⼀度 [OK] をクリックして [ユーザーまたはグループの追加] ダイアログを閉じます。8. もう⼀度 [OK] をクリックして、権限のプロパティダイアログを閉じます。

3. 次の追加権限に対して、ステップ 2a〜2h を繰り返します。⾛査チェックのバイパス⾛査チェックのバイパスバッチジョブとしてログオンバッチジョブとしてログオンサービスとしてログオンサービスとしてログオンプロセスレベルトークンの置き換えプロセスレベルトークンの置き換え

各ホストで管理グループのメンバーシップを変更します各ホストで管理グループのメンバーシップを変更します

この⼿順は、この GPO を適⽤するホスト上で誰が Administrators グループのメンバーかを制限します。

警告：警告：各ホストの Administrators グループにアクセスが必要なアカウントすべてが、制限されたグループのポリシー設定に追加されていることを確認してください。そうしないと、この GPO を適⽤するホストに管理者権限でアクセスできない可能性があります。

1. [グループポリシー管理エディター] ウィンドウの左パネルで、[コンピューターの構成] > [ポリシー] >[コンピューターの構成] > [ポリシー] >[Windows の設定] > [セキュリティの設定] > [制限されたグループ][Windows の設定] > [セキュリティの設定] > [制限されたグループ] に移動します。

1. 右パネルで、右クリックして表⽰されるメニューから、[グループの追加[グループの追加 . . .]. . .] を選択します。2. 表⽰されるダイアログで、[管理者][管理者] と⼊⼒して [OK] をクリックします。3. 表⽰されるプロパティダイアログで、[このグループのメンバー][このグループのメンバー] の隣にある [追加][追加] ボタンをクリッ

クします。4. 表⽰される [メンバーの追加][メンバーの追加] ダイアログで、[参照[参照 . . .]. . .] をクリックします。5. 表⽰される [ユーザー、コンピューター、サービスアカウント、またはグループの選択][ユーザー、コンピューター、サービスアカウント、またはグループの選択] ダイアロ

グに、先ほど作成した「Splunk Accounts」グループの名前を⼊⼒し、[名前の確認...][名前の確認...] をクリックします。名前が有効な場合、下線が付けられます。そうでない場合は、オブジェクトが⾒つからないことを知らせるメッセージが表⽰され、もう⼀度オブジェクト名の⼊⼒が要求されます。

6. [OK] をクリックして [ユーザーの選択[ユーザーの選択 . . .]. . .] ダイアログを閉じます。7. もう⼀度 [OK] をクリックして [ユーザーまたはグループの追加] ダイアログを閉じます。

16

8. もう⼀度 [OK] をクリックして、グループのプロパティダイアログを閉じます。2. 以下の追加のユーザーまたはグループに対して、1a〜1h の⼿順を繰り返します。

Domain AdminsGPO を適⽤する各ホスト上の管理者グループのメンバーにする必要がある、他の任意のユーザー

3. [グループポリシーの管理エディター] ウィンドウを閉じて GPO を保存します。

コンピューターを選択するための GPO アプリケーションの制限コンピューターを選択するための GPO アプリケーションの制限

1. GPMC の左パネルで、作成して権限を追加した GPO を選択します (まだ選択していない場合)。GPMC の右パネルに GPO に関する情報が表⽰されます。

2. 右側のパネルの [セキュリティフィルタ処理][セキュリティフィルタ処理] 下にある [追加...][追加...] をクリックします。3. 表⽰される [ユーザー、コンピューター、またはグループの選択ユーザー、コンピューター、またはグループの選択] ダイアログに、「Splunk が有効なコン

ピューター」と (または、先ほど作成した Splunk ⽤コンピューターを表すグループの名前を) ⼊⼒します。4. [名前の確認名前の確認] をクリックします。グループが有効な場合、名前に下線が付けられます。そうでない場合は、

オブジェクトが⾒つからないことを知らせるメッセージが表⽰され、もう⼀度オブジェクト名の⼊⼒が要求されます。

5. [OK] をクリックして、GPO 情報ウィンドウに戻ります。6. ステップ 2〜5 を繰り返して、「Splunk Accounts」グループを追加します (先ほど作成した Splunk ユー

ザーアカウントを表すグループ)。7. [セキュリティフィルタ処理セキュリティフィルタ処理] 下の [認証ユーザー認証ユーザー] をクリックして強調表⽰します。8. [削除削除] をクリックします。「Authenticated Users」が [セキュリティフィルタ処理] フィールドから削除

され、「Splunk Accounts」および「Splunk Enabled Computers」のみが残ります。

GPO の適⽤GPO の適⽤

注意：グループポリシーが更新され、ドメイン内のホストに GPO が適⽤される時期は、Active Directory によって制御されています。通常の条件下では、レプリケーションは、90〜120 分ごとに⾏われます。上記の時間待機してから Splunk をドメインユーザーとしてインストールしようとするか、または GPUPDATE /FORCE をグループポリシーを更新したいホストのコマンドプロンプトから実⾏することでグループポリシーの更新を強制します。

1. GPMC の左パネルで、作成したグループポリシーオブジェクトを適⽤するドメインを選択します。2. ドメインを右クリックして表⽰されるメニューから、[既存の GPO のリンク[既存の GPO のリンク . . .]. . .] を選択します。

注意：注意：前に作成した OU に対してのみ GPO を適⽤する場合は、右クリックしてポップアップメニューを表⽰する代わりに OU を選択します。

3. 表⽰される [GPO の選択GPO の選択] ダイアログから、作成、編集した GPO を選択して、[OKOK] をクリックします。選択したドメインに GPO が適⽤されます。

4. GPMC のメニューから [ファイル] > [終了][ファイル] > [終了] を選択して、GPMC を閉じます。

管理されたシステムアカウントを使った Splunk のインストール管理されたシステムアカウントを使った Splunk のインストール

別の管理されたシステムアカウントを使って Splunk Enterprise をインストールすることができます。

このトピックの前半にある「Splunk Enterprise をドメインアカウントとして実⾏するための Active Directoryの準備」の説明に従って、MSA に適切なセキュリティポリシー権限とグループメンバーシップを割り当てることができます。

インストール後に MSA へのファイル権限を与えるには、Splunk Enterprise インストールディレクトリの親ディレクトリからの NTFS アクセス許可の継承を破棄して、インストールディレクトリとそのサブディレクトリに明⽰的にアクセス許可を割り当てなければならないこともあります。

Windows は、サービス制御パネルを使⽤して Splunk サービスに変更を加える場合、[サービスとしてログオン]権限を⾃動的に MSA に与えます。

1. Windows データのモニターに使⽤する MSA を作成、設定します。2. インストール完了後 Splunk Enterprise を起動しないように、コマンドラインから Splunk をインストール

して LAUNCHSPLUNK=0 フラグを使⽤する必要があります。3. インストール完了後、Windows エクスプローラまたは ICACLS コマンドラインを使って、Splunk

Enterprise のインストールディレクトリとそのすべてのサブディレクトリに、MSA 「Full Control」アクセス許可を割り当てます。

4. 本マニュアルのトピック [Windows インストール時に選択したユーザーの修正] に記載の通り、デフォルトユーザーを splunkd と splunkweb サービスアカウントに変更します。注意：注意：MSA が機能するように、このステップの完了時にはユーザー名の最後にドル記号 ($) を追加する必要があります。たとえば MSA が SPLUNKDOCS\splunk1 の場合、サービスのプロパティダイアログの適切なフィールドには SPLUNKDOCS\splunk1$ と⼊⼒する必要があります。これは、splunkd および splunkweb の両⽅のサービスに対して⾏う必要があります。

5. MSA に「サービスとしてログオンサービスとしてログオン」権限があることを確認します。6. Splunk Enterprise を開始します。先ほど設定した MSA として実⾏され、MSA がアクセスできるすべて

のデータにアクセスできます。

P owerShell を使った Active Directory ドメインの設定P owerShell を使った Active Directory ドメインの設定

PowerShell を使って Splunk Enterprise サービスを利⽤するための、Active Directory 環境の設定を⾏うことができます。

Splunk ユーザーアカウントの作成Splunk ユーザーアカウントの作成

1. PowerShell 画⾯を開きます。2. 必要に応じて ActiveDirectory PowerShell モジュールをインポートします。

> Import-Module ActiveDirectory

3. 新規ユーザーを作成します：

17

> New-ADUser -Name <user> `-SamAccountName <user> `

-Description 'Splunk Service Account' `-DisplayName 'Service:Splunk' `-Path '<organizational unit LDAP path>' `-AccountPassword (Read-Host -AsSecureString 'Account Password') `-CannotChangePassword $true `

-ChangePasswordAtLogon $false `

-PasswordNeverExpires $true `

-PasswordNotRequired $false `

-SmartcardLogonRequired $false `

-Enabled $true `

-LogonWorkstations '<server>' `

この例では：

このコマンドは、パスワードを変更できない、初回ログイン後にパスワードの変更が強制されない、そして有効期限がないアカウントを作成します。<user> は、作成するユーザーの名前です。<organizational unit LDAP path> は新しいユーザーを配置する OU 名で CN=Managed ServiceAccounts,DC=splk,DC=com などの X.500 形式で指定します。<server> は、アカウントがログインできるホストを⽰します。複数のサーバーを指定する場合は、カンマで区切ります。

注意：注意：LogonWorkstations 引数は省略することができます。ただし、この引数を利⽤すれば、管理されたサービスアカウントがドメインにログインできるワークステーションを制限することができます。

Splunk Enterprise サーバーの設定Splunk Enterprise サーバーの設定

ユーザーアカウントの設定後、PowerShell を使って、Splunk Enterprise を実⾏するための、適切な権限を持つサーバーを設定することができます。

注意：注意：これは⾼度な⼿順です。AD へ不適切な変更が⾏われた場合は、使⽤不能になることがあります。この⼿順を使⽤する場合は、想定される問題点や悪影響などを⼗分に理解した場合のみ (⼊⼒ミスや不適切なフォーマットのファイルなどによる問題を含む)、⾃⼰の責任において⾏ってください。

以下の例で：

<user> は、先ほど作成した Splunk Enterprise を実⾏するユーザー名です。<domain> は、ユーザーが存在するドメインです。<computer> は、変更を⾏うために接続するリモートコンピューターです。

PowerShell でローカルセキュリティポリシーを設定するには：

1. 設定するホストに接続します。ローカルホストを使⽤する場合は、ログインして PowerShell プロンプトを開きます (まだそうしていない場合)。リモートホストに接続する場合、以下の例で⽰されているように、リモートホスト上に新しいPSSession を作成します。リモート接続を⾏うために、Windows ファイアウォールを無効にしなければならないこともあります。⽅法については、MS TechNet の「Need to Disable Windows Firewall」を参照してください(Windows Server 2008 R2 までの Windows サーバー⽤)。また、MS TechNet の「WindowsPowerShell によるセキュリティ管理が強化された Windows ファイアウォール」も参照してください。

> Enter-PSSession -Computername <computer>

2. ローカルの Administrators グループにサービスアカウントを追加します。

> $group = [ADSI]'WinNT://<server>/Administrators,group'> $group.Add('WinNT://<domain>/<user>')

3. ローカルマシン上の現在のユーザー権利設定状態を含む、バックアップファイルを作成します。

> secedit /export /areas USER_RIGHTS /cfg OldUserRights.inf

4. バックアップを使って、インポート時に Splunk Enterprise ユーザーの権限を昇格するための、新しいユーザー権利情報ファイルを作成します。

> Get-Content OldUserRights.inf `

| Select-String -Pattern `'(SeTcbPrivilege|SeChangeNotify|SeBatchLogon|SeServiceLogon|SeAssignPrimaryToken|SeSystemProfile)' `| %{ '$_,<domain>\<user>' } | Out-File NewUserRights.inf

5. 新しいポリシー情報ファイルのヘッダーを作成し、ヘッダーと新しい情報ファイルを連結します。

> ( '[Unicode]', 'Unicode=yes' ) | Out-File Header.inf> ( '[Version]', 'signature=`'`$CHICAGO`$`'', 'Revision=1') | Out-File 'Append Header.inf> ( '[Privilege Rights]' ) | Out-File -Append Header.inf> Get-Content NewUserRights.inf | Out-File -Append Header.inf

18

6. ポリシー情報ファイルを参照して、ヘッダーが適切に書き込まれ、ファイルの構⽂誤りがないことを確認します。

7. ファイルをホストにあるローカルセキュリティポリシーデータベースにインポートします。

> secedit /import /cfg Header.inf /db C:\splunk-lsp.sdb

> secedit /configure /db C:\splunk-lsp.sdb

Splunk Enterpr ise インストールのためのローカルマシンまたは⾮ ActiveSplunk Enterpr ise インストールのためのローカルマシンまたは⾮ ActiveDirectory ネットワークの準備Directory ネットワークの準備

Active Directory を使⽤しない場合は、以下の⼿順に従って Splunk Enterprise をインストールするホスト上で、Splunk Enterprise を動作させるユーザーに管理者アクセスを与えます。

1. 管理者権限を与えるには、Splunk Enterprise を動作させるユーザーをローカル Administrators グループに追加します。

2. [スタート] > [管理ツール] > [ローカルセキュリティポリシー][スタート] > [管理ツール] > [ローカルセキュリティポリシー] を選択して、ローカルセキュリティポリシーを開始します。ローカルセキュリティポリシーが起動し、ローカルセキュリティ設定が表⽰されます。

3. 左パネルで、[ローカルポリシーローカルポリシー] を展開して [ユーザー権限の割り当てユーザー権限の割り当て] をクリックします。1. 右側のパネルで、[オペレーティングシステムの⼀部として機能][オペレーティングシステムの⼀部として機能] をダブルクリックします。2. [ユーザーまたはグループの追加...][ユーザーまたはグループの追加...] をクリックします。3. 表⽰されるダイアログで、[参照...][参照...] をクリックします。4. 表⽰される [ユーザー、コンピューター、サービスアカウント、またはグループの選択][ユーザー、コンピューター、サービスアカウント、またはグループの選択] ダイアロ

グに、先ほど作成した「Splunk Computers」グループの名前を⼊⼒し、[名前の確認][名前の確認] をクリックします。名前が有効な場合、下線が付けられます。そうでない場合は、オブジェクトが⾒つからないことを知らせるメッセージが表⽰され、もう⼀度オブジェクト名の⼊⼒が要求されます。

5. [OK] をクリックして [ユーザーの選択 ...] ダイアログを閉じます。6. もう⼀度 [OK] をクリックして [ユーザーまたはグループの追加] ダイアログを閉じます。7. もう⼀度 [OK] をクリックして、権限のプロパティダイアログを閉じます。

4. 次の追加権限に対して、ステップ 3a〜3g を繰り返します。⾛査チェックのバイパス⾛査チェックのバイパスバッチジョブとしてログオンバッチジョブとしてログオンサービスとしてログオンサービスとしてログオンプロセスレベルトークンの置き換えプロセスレベルトークンの置き換え

これらのステップを完了した後、次に⽬的のユーザーとして Splunk Enterprise をインストールできます。

Windows へのインストールWindows へのインストール

グラフィカルユーザーインターフェイス (GUI) ベースのインストーラ、またはコマンドラインから、SplunkEnterprise を Windows にインストールすることができます。コマンドラインからインストールすると、他のオプション (サイレントインストール等) が利⽤可能です。コマンドラインインストール⼿順については、「コマンドラインから Windows へのインストール」を参照してください。

32 ビット版の Windows ⽤ Splunk Enterprise を、64 ビット Windows システムにインストールや実⾏することはできなくなりました。また、サポートされていない OS が動作しているマシン (例：Windows Server 2003が動作するマシン) に Splunk Enterprise をインストールすることもできません。「システム要件」を参照してください。そのような環境でインストーラーを実⾏すると、警告が表⽰されインストールは⾏うことはできません。

ユニバーサルフォワーダーのインストールユニバーサルフォワーダーのインストール

Splunk ユニバーサルフォワーダーユニバーサルフォワーダーをインストールしたい場合は、『ユニバーサルフォワーダー』マニュアルの「インストーラーを使った Windows ユニバーサルフォワーダーのインストール」を参照してください。ユニバーサルフォワーダーは、Splunk Enterprise とは別にインストールします。

アップグレード？アップグレード？

Splunk Enterprise をアップグレードする予定の場合は、実施する前に「Splunk Enterprise のアップグレード⽅法」を参考に、移⾏⽅法と移⾏の検討事項を確認してください。

インストールの前にインストールの前に

Splunk を実⾏するためのユーザーの選択Splunk を実⾏するためのユーザーの選択

インストール前に、ご⾃分のニーズに対応するために、「Splunk を実⾏するためのユーザーの選択」を参照して、Splunk を実⾏するユーザーアカウントを決定してください。選択するユーザーは、ソフトウェアのインストール前に⾏う必要がある作業、およびその他の事項に影響します。

可能な場合ウィルス対策ソフトウェアを無効化または制限します可能な場合ウィルス対策ソフトウェアを無効化または制限します

Splunk Enterprise のインデックス作成サブシステムは、⾼いディスクスループットを必要としています。Splunk Enterprise とオペレーティングシステム間を中継するデバイスドライバを持つソフトウェアが、SplunkEnterprise で利⽤可能な処理能⼒を制限し、処理の低速化やシステムの応答不可を発⽣させる可能性があります。これにはウィルス対策ソフトウェアが含まれています。

Splunk Enterprise のインストールを開始する前に、このようなソフトウェアが Splunk インストールディレクトリやプロセスのスキャンをすることを防⽌するように設定することが必要です。

GUI インストーラーを使った Splunk Enterpr ise のインストールGUI インストーラーを使った Splunk Enterpr ise のインストール

Windows インストーラーは MSI ファイルです。19

インストールを開始します。インストールを開始します。

1. インストーラーを開始するには、splunk.msi ファイルをダブルクリックします。インストーラーが実⾏され、[Splunk Enterprise インストーラーSplunk Enterprise インストーラー] パネルが表⽰されます。

2. インストールを続⾏するには、[Check this box to accept the License Agreement] (使⽤許諾契約に同意するにはこのボックスを選択) チェックボックスを選択します。[Customize Installation] (カスタマイズインストール)および [Install] (インストール)ボタンが有効になります。

3. (任意) 使⽤許諾契約を表⽰する場合は、[View License Agreement] (使⽤許諾契約を⾒る) をクリックします。

インストール・オプションインストール・オプション

デフォルト設定でのインストールと、インストール前にすべての設定を⾏う⽅法の 2 種類のインストール⽅法が選択できるようになりました。

デフォルト設定でインストールする場合、インストーラーは以下のことを⾏います：

システムドライブ (Windows システムをブートするドライブ) の \Program Files\Splunk に SplunkEnterprise をインストールします。デフォルトの管理⽤ポートと Web ポートでインストールします。Local System ユーザーとして実⾏するように Splunk Enterprise を設定します。[スタート] メニューにソフトウェア⽤のショートカットを作成します。

これらのデフォルトのインストール設定を変更する場合、[Customize Options] (オプションのカスタマイズ) ボタンをクリックして、このトピックの「オプションのカスタマイズ」の⼿順を参照してください。あるいは、[インストール] ボタンをクリックしてデフォルト設定でソフトウェアをインストールし、このトピックで後述する[インストールの完了] にそって続⾏します。

インストール中にオプションをカスタマイズするインストール中にオプションをカスタマイズする

インストール中に、様々なオプションをカスタマイズできます。オプションをカスタマイズする場合、インストーラーは [Install Splunk Enterprise to] (Splunk Enterprise のインストール先) パネルを表⽰します。

デフォルトで、Splunk Enterprise はシステムドライブの \Program Files\Splunk にインストールされます。このドキュメントでは、Splunk Enterprise のインストールディレクトリを $SPLUNK_HOME または %SPLUNK_HOME% で表しています。

Splunk Enterprise は、splunkd と splunkweb の 2 つの Windows サービスをインストール、実⾏します。splunkd

サービスがすべての Splunk Enterprise 操作を担当するようになりました。splunkweb サービスは、レガシーモードの実⾏⽬的でのみインストールされます。

上記サービスは [Splunk Enterprise を実⾏するユーザーの選択] パネルで指定したユーザーとしてインストールし、実⾏します。Splunk Enterprise を Local System ユーザーまたは他のユーザーとして実⾏することを選択できます。

Splunk Enterprise をインストールするユーザーをインストーラーが確認した場合、ユーザー名を domain\usernameフォーマットで指定する必要があります。ユーザーは、セキュリティコンテキスト内の有効なユーザーで、ActiveDirectory ドメイン内のアクティブなメンバーでなければなりません。Splunk Enterprise は、Local System アカウント、または有効なパスワードとローカル管理者権限を持つ、有効なユーザーアカウントで実⾏する必要があります。ユーザーにドメインを含めないと、インストールが失敗します。

20

1. Splunk Enterprise を別の場所にインストールするには、[変更...] をクリックします。または、[次へ] をクリックして、デフォルト値をそのまま使⽤します。[Choose the user Splunk Enterprise should run as](Splunk Enterprise の実⾏に使⽤するユーザーの選択) パネルが表⽰されます。

2. ユーザータイプを選択して、[次へ次へ] をクリックします。3. Local System ユーザーを選択した場合は、ステップ 5 に進んでください。それ以外の場合は、[ログオンログオン

情報：ユーザー名とパスワードを指定する情報：ユーザー名とパスワードを指定する] パネルが表⽰されます。

4. ユーザー権限を選択して、[次へ次へ] をクリックします。インストーラーにインストール情報を⽰すパネルが表⽰されます。

5. インストールを続⾏するには、[Install] (インストール) をクリックします。

インストールの完了インストールの完了

インストーラーが実⾏され、ソフトウェアをインストールすると、[Installat ion Completed][Installat ion Completed] (インストール完了) パネルが表⽰されます。

インストール作業中に誤ったユーザーを指定した場合、その旨を⽰す 2 つのポップアップウィンドウにエラーが表⽰されます。これが発⽣した場合、デフォルトでは Local System ユーザーとしてインストールされます。この場合、Splunk Enterprise が⾃動的に開始されることはありません。インストールの最後のパネルで、[Launchbrowser with Splunk] (ブラウザで Splunk を起動) チェックボックスの選択を解除することで、ブラウザの起動を防⽌することができます。次にこれらの説明に従って、正しいユーザーに切り替えてから Splunk を起動してください。

1. (任意) [Launch browser with SplunkLaunch browser with Splunk] (Splunk をブラウザで起動) および [Create Start MenuCreate Start MenuShortcutShortcut ] ([スタート] メニューのショートカットを作成) ボックスを選択します。

21

2. [完了完了] をクリックします。適切なボックスを選択した場合、インストールが完了したら、サポートされているブラウザ内で Splunk Enterprise が開始されます。

Splunk Web での Internet Explorer の強化されたセキュリティポップアップの防⽌Splunk Web での Internet Explorer の強化されたセキュリティポップアップの防⽌

Internet Explorer を使って Splunk Web にアクセスする場合、[強化されたセキュリティ] ポップアップが表⽰されないように、以下の URL を許可するイントラネットグループまたは完全に信頼するグループに追加してください。

quickdraw.splunk.com

Splunk Enterprise インスタンスの URL

ライセンスのインストールまたはアップグレードライセンスのインストールまたはアップグレード

Splunk Enterprise を新たにインストールする場合、またはあるライセンスタイプから別のライセンスタイプに切り替える場合、ライセンスをインストールまたは更新する必要があります。「ライセンスのインストール」を参照してください。

次のステップ次のステップ

Splunk Enterprise をインストールしたので、Splunk Enterprise の使⽤を開始する⽅法を学びましょう。「次は何ですか？」を参照してください。

代わりに、Windows データの追加については、『データの取り込み』の以下のトピックを参照してください：

Windows イベントログデータのモニターWindows レジストリデータのモニターWMI ベースのデータのモニターリモート Windows データのモニター⽅法決定の検討事項

コマンドラインを使った Windows へのインストールコマンドラインを使った Windows へのインストール

コマンドラインから Windows に Splunk Enterprise をインストールできます。

32 ビットのインストーラーを 64 ビットシステムで実⾏しないでください。この場合、インストーラーより警告を受けてインストールが妨げられます。

Splunk ユニバーサルフォワーダーユニバーサルフォワーダーをコマンドラインからインストールしたい場合は、『ユニバーサルフォワーダー』マニュアルの「コマンドラインを使った Windows ユニバーサルフォワーダーのインストール」を参照してください。

コマンドラインからインストールする場合コマンドラインからインストールする場合

コマンドプロンプトまたは PowerShell ウィンドウから、個別のマシンに⼿動で Splunk Enterprise をインストールすることができます。コマンドラインからのインストールが役に⽴つシナリオの例を以下に⽰します。

Splunk Enterprise をインストールしたいけれども、すぐには開始したくない場合。スクリプトを使って、Splunk Enterprise のインストールを⾃動化したい場合。後ほど複製するシステム上に Splunk Enterprise をインストールしたい場合。グループポリシーや、System Center Configuration Manager などのデプロイツールを使⽤する場合。Windows Server Core が動作しているシステム上に、Splunk Enterprise をインストールする場合。

P owerShell を使ったインストールP owerShell を使ったインストール

PowerShell ウィンドウから Splunk Enterprise をインストールできます。そのための⼿順は、コマンドプロンプトからインストールする場合に使⽤する⼿順と同じです。


Splunk Enterprise をアップグレードするには、「Splunk のアップグレード⽅法」を参考に、移⾏⽅法と移⾏の検討事項を参照してください。

アップグレード時の管理⽤ポートや Splunk Web ポートの変更を、Splunk Enterprise はサポートしていないことに注意してください。

インストールの前にインストールの前に

Splunk Enterprise を実⾏するためのユーザーの選択Splunk Enterprise を実⾏するためのユーザーの選択

インストール前に「Splunk を実⾏するためのユーザーの選択」を参照し、Splunk Enterprise を実⾏するユーザーアカウントを決定してデータの収集に関するニーズに対応してください。選択するユーザーは、ソフトウェアのインストール前に⾏う必要がある作業に影響します。

ドメインユーザーとして Splunk Enterprise をインストールするためのドメインの準備ドメインユーザーとして Splunk Enterprise をインストールするためのドメインの準備

また、インストールを実⾏する前に、「ネットワークまたはドメインユーザーとしての、Splunk Enterprise インストール⽤ Windows ネットワークの準備」を参照し、Splunk Enterprise を実⾏するためのドメインの設定⽅法を確認してください。

22

可能な場合ウィルス対策ソフトウェアを無効化または制限します可能な場合ウィルス対策ソフトウェアを無効化または制限します

Splunk Enterprise のインデックス作成サブシステムは、⾼いディスクスループットを必要としています。Splunk Enterprise とオペレーティングシステム間を中継するデバイスドライバを持つソフトウェアが、SplunkEnterprise で利⽤可能な処理能⼒を制限し、処理の低速化やシステムの応答不可を発⽣させる可能性があります。これにはウィルス対策ソフトウェアが含まれています。

Splunk Enterprise のインストールを開始する前に、このようなソフトウェアが Splunk インストールディレクトリやプロセスのスキャンをすることを防⽌するように設定することが必要です。

コマンドラインからの Splunk Enterpr ise のインストールコマンドラインからの Splunk Enterpr ise のインストール

msiexec.exe を起動して Splunk Enterprise をコマンドラインまたは PowerShell プロンプトからインストールします。

32 ビット版プラットフォームの場合は、splunk-<...>-x86-release.msi を使⽤します。

msiexec.exe /i splunk-<...>-x86-release.msi [<flag>]... [/quiet]

64 ビット版プラットフォームの場合は、splunk-<...>-x64-release.msi を使⽤します。

msiexec.exe /i splunk-<...>-x64-release.msi [<flag>]... [/quiet]

<...> の値はリリースによって異なります (例：splunk-6.3.2-aaff59bb082c-x64-release.msi)。

コマンドラインのフラグにより、インストール時に Splunk Enterprise を設定できます。コマンドラインフラグを使⽤して、さまざまな事項を指定できます。以下に例を⽰します。

インデックスを作成する Windows イベントログ。モニターする Windows レジストリハイブ。収集する WMI データ。Splunk Enterprise を動作させるユーザー。Splunk インスタンスをインストールするユーザーのタイプについては、「Splunk Enterprise を実⾏する Windows ユーザーの選択」を参照してください。有効にする Splunk で⾏うアプリケーション設定 (ライトフォワーダーなど)。インストール完了時に Splunk Enterprise を⾃動的に開始するかどうか。

サポートしているフラグサポートしているフラグ

コマンドラインで Windows 版 Splunk Enterprise をインストールする場合に使⽤できる、フラグの⼀覧を以下に⽰します。

Splunk ユニバーサルフォワーダーは個別の実⾏形式ファイルで、独⾃のインストールフラグが存在しています。ユニバーサルフォワーダーがサポートしているインストール⽤フラグについては、『ユニバーサルフォワーダー』マニュアルの「コマンドラインを使った Windows ユニバーサルフォワーダーのデプロイ」を参照してください。

フラグフラグ⽬的⽬的デフォルトデフォルト

AGREETOLICENSE=Yes|No EULA に同意する場合にこのフラグを使⽤します。サイレントインストールを⾏うには、このフラグに Yesを設定する必要があります。

No

INSTALLDIR="<directory_path>"

インストールするディレクトリを指定する場合、このフラグを使⽤します。このドキュメントで Splunk のインストールディレクトリは、$SPLUNK_HOME または%SPLUNK_HOME% として表しています。

C:\Program

Files\Splunk

SPLUNKD_PORT=<port number>

このフラグは、splunkd および splunkweb が使⽤するポートを指定する場合に使⽤します。

指定したポートが利⽤できない場合、Splunk が次に利⽤可能なポートを⾃動的に選択します。

8089

WEB_PORT=<port number>

このフラグは、splunkd および splunkweb が使⽤するポートを指定する場合に使⽤します。

指定したポートが利⽤できない場合、Splunk が次に利⽤可能なポートを⾃動的に選択します。

8000

WINEVENTLOG_APP_ENABLE=1/0

WINEVENTLOG_SEC_ENABLE=1/0

WINEVENTLOG_SYS_ENABLE=1/0

WINEVENTLOG_FWD_ENABLE=1/0

これらのフラグは、特定の Windows イベントログのインデックスを作成するかどうかを指定する場合に使⽤します。複数のフラグを指定することができます。

アプリケーションログ

セキュリティログ

システムログ

0 (off)

23

WINEVENTLOG_FWD_ENABLE=1/0

WINEVENTLOG_SET_ENABLE=1/0

フォワーダーログ

セットアップログ

REGISTRYCHECK_U=1/0

REGISTRYCHECK_BASELINE_U=1/0

このフラグは、Splunk が

Windows レジストリマシンハイブ

のベースラインスナップショットを捕捉して、

そのイベントのインデックスを作成するかどうかを⽰します (HKEY_CURRENT_USER)。

注意：注意：これらの両⽅を同時に設定することができます。

0 (off)

REGISTRYCHECK_LM=1/0

REGISTRYCHECK_BASELINE_LM=1/0

このフラグは、Splunk が

Windows レジストリマシンハイブ

のベースラインスナップショットを捕捉して、

そのイベントのインデックスを作成するかどうかを⽰します (HKEY_LOCAL_MACHINE)。

注意：注意：これらの両⽅を同時に設定することができます。

0 (off)

WMICHECK_CPUTIME=1/0

WMICHECK_LOCALDISK=1/0

WMICHECK_FREEDISK=1/0

WMICHECK_MEMORY=1/0

上記フラグを使って、Splunk がインデックスを作成する WMI ベースのパフォーマンス測定基準を指定できます。

CPU 使⽤状況

ローカルディスク使⽤状況

空きディスクスペース

メモリー統計

注意：注意：この Splunk インスタンスにリモートWindows データをモニターさせる必要がある場合は、LOGON_USERNAME および LOGON_PASSWORD フラグも指定する必要があります。Splunk は、明⽰的にアクセスできないリモートデータを収集することはできません。また、指定するユーザーには特定の権限、管理者特権、および他のアクセス許可が必要で、これらはインストール前に設定しておく必要があります。必要な資格情報の詳細は、このマニュアルの「Splunk を実⾏する Windows ユーザーの選択」を参照してください。

他にもさまざまな WMI ベースの測定基準のインデックスを作成することができます。詳細は、『データの取り込み』マニュアルの「WMI データのモニター」を参照してください。

0 (off)

LOGON_USERNAME="<domain\username>"

LOGON_PASSWORD="<pass>"

Splunk を実⾏するユーザーの、ドメイン\ユーザー名およびパスワード情報を指定する場合に、これらのフラグを使⽤します。splunkd および splunkweb サービスは、これらの資格情報で設定されます。LOGON_USERNAME

フラグの場合、ドメインとユーザー名は「domain\username」の形式で指定する必要があります。

Splunk Enterprise にリモートデータをモニターさせる場合に、これらのフラグが必要になります。使⽤する資格情報については、このマニュアルの「Splunkを実⾏する Windows ユーザーの選択」を参照してください。

なし

この Splunk インストールで有効にする、 Splunk アプリケーション設定を指定する場合に、このフラグを使⽤します。<SplunkApp> で現在サポートされているオプションは、SplunkLightForwarder およびSplunkForwarder です。これらの設定は、それぞれSplunk がライトフォワーダーまたはヘビーフォワーダーとして動作することを⽰しています。詳細は、『データの転送』マニュアルの「転送と受信について」を参照してください。

24

SPLUNK_APP="<SplunkApp>"

ここに Splunk フォワーダーまたはライトフォワーダーを指定した場合は、FORWARD_SERVER="<server:port>" も指定する必要があります。

アプリケーションを指定せずに Splunk Enterprise をインストールする場合は、このフラグを省略してください。

注意：注意：完全版の Splunk では、ユニバーサルフォワーダーが有効になることはありません。ユニバーサルフォワーダーはダウンロード可能な別の実⾏形式ファイルで、独⾃のインストールフラグが存在しています。

なし

FORWARD_SERVER="<server:port>"

このフラグは、SPLUNK_APP フラグを使って、Splunk ヘビー/ライトフォワーダーを有効にする場合にのみ使⽤します。このフォワーダーがデータを送信するSplunk サーバーおよびポートを指定します。

なし

DEPLOYMENT_SERVER="<host:port>"設定の更新を配布するための、デプロイサーバーの指定に使⽤します。デプロイサーバー名 (ホスト名または IP アドレス) とポートを⼊⼒してください。

なし

LAUNCHSPLUNK=0/1

システム起動時に Splunk を⾃動的に開始するかどうかを指定します。

注意：注意：SPLUNK_APP フラグを使って Splunk フォワーダーを有効にした場合、Splunk は⾃動的に開始するように設定され、このフラグは無視されます。

1 (on)

INSTALL_SHORTCUT=0/1 デスクトップと [スタート] メニューに、Splunk へのショートカットを作成するかどうかを指定します。

1 (on)

サイレントインストールサイレントインストール

サイレントインストールを実⾏する場合、インストールコマンド⽂字列の最後に /quiet を指定します。システムで UAC が有効になっている場合 (⼀部のシステムではデフォルト)、Administrator (管理者) としてインストールを実⾏する必要があります。⽅法：

コマンドプロンプトまたは PowerShell ウィンドウを開く際に、右クリックして [管理者として実⾏] を選択します。このコマンドウィンドウから、サイレントインストール⽤のコマンドを実⾏します。

例例

さまざまなフラグの使⽤例を以下に⽰します。

Local System ユーザーとして実⾏するための Splunk Enterprise のサイレントインストールLocal System ユーザーとして実⾏するための Splunk Enterprise のサイレントインストール

msiexec.exe /i Splunk.msi /quiet

Splunk ヘビーフォワーダーを有効にして Splunk Enterprise を実⾏するユーザーの資格情報を指定Splunk ヘビーフォワーダーを有効にして Splunk Enterprise を実⾏するユーザーの資格情報を指定

msiexec.exe /i Splunk.msi SPLUNK_APP="SplunkForwarder" FORWARD_SERVER="<server:port>" LOGON_USERNAME="AD\splunk"

LOGON_PASSWORD="splunk123"

Splunk ヘビーフォワーダー、および Windows システムイベントログのインデックス作成を有効にしSplunk ヘビーフォワーダー、および Windows システムイベントログのインデックス作成を有効にして、インストーラーをサイレントモードで実⾏て、インストーラーをサイレントモードで実⾏

msiexec.exe /i Splunk.msi SPLUNK_APP="SplunkForwarder" FORWARD_SERVER="<server:port>" WINEVENTLOG_SYS_ENABLE=1

/quiet

"<server:port>" は、このマシンがデータを送信する Splunk サーバーおよびポートです。

Internet Explorer ( IE) の強化されたセキュリティポップアップの防⽌Internet Explorer ( IE) の強化されたセキュリティポップアップの防⽌

IE の強化されたセキュリティポップアップを防⽌するために、以下の URL を IE のイントラネットグループまたは完全に信頼するグループに追加してください。

quickdraw.splunk.comSplunk インスタンスの URL

次に⾏う作業次に⾏う作業

Splunk Enterprise をインストールしたら、次は何ですか？次は何ですか？をご覧ください。

25

また、『データの取り込み』マニュアルで、Windows データのモニター⽅法を決定するための検討事項を参照することもできます。

Windows インストール時に選択したユーザーの変更Windows インストール時に選択したユーザーの変更

ソフトウェアを初めて開始する前に、Splunk Enterprise またはユニバーサルフォワーダーをインストールしたWindows ユーザーを変更することができます。

この作業を⾏うことが役⽴つシナリオは複数あります。

Splunk Enterprise インストール中に「ドメインユーザー」を選択し、そのユーザーが存在しない、または情報を誤⼊⼒した場合。Splunk Enterprise を管理されたシステムアカウント (MSA) としてインストールする必要がある場合。ZIP ファイルからソフトウェアをインストールし、Splunk Enterprise サービスの Windows ユーザーをデフォルトの SYSTEM ユーザーに変更したい場合。

この⼿順は Splunk Enterprise を開始する前に⾏う必要があります。Splunk Enterprise を開始してしまった場合は、それを終了してアンインストールした後に、再インストールしてください。

1. [コントロールパネル] > [管理ツール] > [サービス][コントロールパネル] > [管理ツール] > [サービス] で、splunkd および splunkweb (ユニバーサルフォワーダーでは splunkforwarder) サービスを探します。これらのサービスを開始してはいけません。デフォルトでは、ローカルシステムユーザーが所有しています。

2. それぞれのサービスを右クリックして、[プロパティプロパティ] を選択します。3. [ログオンログオン] タブをクリックします。4. [アカウントアカウント] ボタンをクリックして、正しいドメイン\ユーザー名とパスワードを⼊⼒します。5. [適⽤適⽤] をクリックします。6. [OK][OK] をクリックします。7. (任意) レガシーモードで Splunk Enterprise を実⾏する場合は、2 つ⽬のサービスでもステップ 2 から 6

を繰り返します。8. サービス管理またはコマンドラインインターフェイスを使って、Splunk Enterprise サービスを開始しま

す。

Linux、Windows、または Mac OS X へのLinux、Windows、または Mac OS X へのSplunk Enterprise のインストールSplunk Enterprise のインストールLinux へのインストールLinux へのインストール

ホストが実⾏している Linux のバージョンに応じて、RPM または DEB パッケージまたは tar ファイルを使ってSplunk Enterprise を Linux にインストールすることができます。

Splunk ユニバーサルフォワーダーユニバーサルフォワーダーのインストールについては、『ユニバーサルフォワーダー』マニュアルの「*nix ユニバーサルフォワーダーのインストール」を参照してください。ユニバーサルフォワーダーは別の実⾏形式ファイルで、独⾃のインストール⼿順が存在しています。


Splunk をアップグレードする場合は、実施する前に「Splunk のアップグレード⽅法」を参考に、移⾏⽅法と移⾏の検討事項を確認してください。

Tar ファイルのインストールTar ファイルのインストール

Tar ファイルはインストールのマニュアル形式です。tar ファイルを使って Splunk Enterprise をインストールする場合：

⼀部の⾮ GNU バージョンの tar では、-C 引数が利⽤できないことがあります。このような場合に、/opt/splunk にインストールするには、cd で /opt に移動するか、または tar コマンドを実⾏する前に tarファイルを /opt に保管します。この⽅法は、ご利⽤のホストのファイルシステムでアクセスできる、任意のディレクトリに対して利⽤できます。Splunk Enterprise が splunk ユーザーを作成することはありません。Splunk Enterprise を特定のユーザーとして実⾏する場合は、インストール前に⼿動でユーザーを作成する必要があります。ディスクパーティションには、インデックスを作成するデータを保持するために、⼗分な量のスペースがあることを確認してください。

Splunk Enterprise を Linux システムにインストールするには、tar コマンドを使って tar ファイルを適切なディレクトリに展開します。

tar xvzf splunk_package_name.tgz

デフォルトのインストールディレクトリは、現在の作業ディレクトリ内の splunk になります。/opt/splunk をインストールするには、以下のコマンドを使⽤します。

tar xvzf splunk_package_name.tgz -C /opt

RedHat RP M のインストールRedHat RP M のインストール

26

RPM パッケージは Red Hat、CentOS、および Linux の類似バージョンで利⽤可能です。

希望する RPM パッケージが、ターゲットホスト上でローカルに利⽤できることを確認します。SplunkEnterprise ユーザーがファイルにアクセス可能で読み取り可能であることを確認します。

1. 必要があれば、ファイルの権限を変更します。

chmod 744 splunk_package_name.rpm

2. 以下のコマンドを起動して Splunk Enterprise RPM をデフォルトディレクトリ /opt/splunk にインストールします。

rpm -i splunk_package_name.rpm

3. (任意) 別のディレクトリに Splunk をインストールする場合は、--prefix フラグを使⽤します。

rpm -i --prefix=/opt/new_directory splunk_package_name.rpm

注意：注意：rpm 実⾏可能ファイルにはアップグレード時の安全対策が⽤意されていません。--prefix フラグを使⽤して別のディレクトリにインストール可能ですが、フラグで指定したディレクトリが最初にソフトウェアをインストールしたディレクトリと⼀致しない場合は、アップグレードの問題が発⽣する場合があります。

既存の Splunk Enterprise インストールを RPM パッケージと置き換える既存の Splunk Enterprise インストールを RPM パッケージと置き換える

rpm を、既存の Splunk Enterprise ディレクトリを参照する --prefix フラグで実⾏します。

rpm -i --replacepkgs --prefix=/splunkdirectory/ splunk_package_name.rpm

Red Hat Linux Kickstart で RPM インストールを⾃動化Red Hat Linux Kickstart で RPM インストールを⾃動化

RPM インストールを Kickstart で⾃動化するには、kickstart ファイルを編集し、以下の項⽬を追加します。

./splunk start --accept-license

./splunk enable boot-start

注意：注意： enable boot-start 列は任意です。

Debian .DEB のインストールDebian .DEB のインストール

インストールの前提条件インストールの前提条件

Splunk Enterprise Debian パッケージは、デフォルト場所 /opt/splunk にのみインストールできます。その場所は正規ディレクトリであり、シンボリックリンクであってはいけません。パッケージをインストールするには、root ユーザーへのアクセスが可能であること、または sudo 権限が必要です。パッケージは Splunk Enterprise インストールディレクトリにアクセスするための環境変数は作成しません。それらの変数はご⾃⾝で設定する必要があります。

Splunk Enterprise を別の場所にインストールする必要がある場合、または /opt/splunk のインストールにシンボリックリンクを使⽤する場合は、tar ファイルを使⽤してソフトウェアをインストールします。

dpkg インストーラを、Splunk Enterprise Debian パッケージ名を引数として実⾏します。

dpkg -i splunk_package_name.deb

インストールされる内容インストールされる内容

Splunk パッケージステータス：

dpkg --status splunk

すべてのパッケージを⼀覧表⽰：

dpkg --list

次のステップ次のステップ

Splunk Enterprise をインストールしました。

起動していない場合は、起動します。次に何をするか学習します。「次は何ですか？」を参照してください。

27

Splunk Enterpr ise のアンインストールSplunk Enterpr ise のアンインストール

Splunk Enterprise のアンインストールについては、「Splunk Enterprise のアンインストール」を参照してください。

Solar is へのインストールSolar is へのインストール

Splunk Enterprise を Solaris に、PKG パッケージまたは tar ファイルを使ってインストールすることができます。



Splunk をアップグレードする場合は、実施する前に「Splunk のアップグレード⽅法」を参考に、移⾏⽅法と移⾏の検討事項を確認してください。

Splunk のインストールSplunk のインストール

Solaris 版の Splunk Enterprise は、PKG ファイルまたは tar ファイルで提供されています。

PKG ファイルのインストールPKG ファイルのインストール

PKG インストールパッケージには、Splunk のインストール前にいくつかの質問への回答を要求する、リクエストファイルが含まれています。

pkgadd -d ./splunk_product_name.pkg

利⽤可能なパッケージのリストが表⽰されます。

処理するパッケージを選択します (デフォルトは「all」)。

ベースインストールディレクトリの指定を要求するメッセージが表⽰されます。

デフォルトの /opt/splunk ディレクトリにインストールする場合は、空のままにしてください。

tar ファイルのインストールtar ファイルのインストール

tar ファイルはインストールのマニュアル形式です。tar ファイルを使って Splunk Enterprise をインストールする場合：

⼀部の⾮ GNU バージョンの tar では、-C 引数が利⽤できないことがあります。このような場合に、/opt/splunk にインストールするには、cd で /opt に移動するか、または tar コマンドを実⾏する前に tarファイルを /opt に保管します。この⽅法は、ご利⽤のマシンのファイルシステムでアクセスできる、任意のディレクトリに対して利⽤できます。システム上に gzip バイナリがない場合、代わりに uncompress コマンドを使⽤することができます。Splunk Enterprise が splunk ユーザーを⾃動的に作成することはありません。特定のユーザーとして実⾏する場合は、インストール前に⼿動でユーザーを作成する必要があります。ディスクパーティションには、インデックスを作成するデータを保持するために、⼗分な量のスペースがあることを確認してください。

Splunk Enterprise を Solaris システムにインストールするには、tar コマンドを使って tar ファイルを適切なディレクトリに展開します。

tar xvzf splunk_package_name.tar.Z

デフォルトのインストールディレクトリは、現在の作業ディレクトリ内の splunk ディレクトリになります。/opt/splunk をインストールするには、以下のコマンドを使⽤します。

tar xvzf splunk_package_name.tar.Z -C /opt

インストールされる内容インストールされる内容

Splunk Enterprise パッケージとそれがインストール対象についての詳細は、以下のコマンドを実⾏します。

pkginfo -l splunk

ホストにインストールされたすべてのパッケージをリストアップするには：

28

pkginfo



起動していない場合は、起動します。次は何ですか？を参照してください。


Splunk Enterprise のアンインストールについては、このマニュアルの「Splunk Enterprise のアンインストール」を参照してください。

Mac OS X へのインストールMac OS X へのインストール

Splunk Enterprise を Mac OS X にインストールするには、DMG パッケージまたは tar ファイルを使⽤できます。



アップグレードする場合は、実施する前に「Splunk Enterprise のアップグレード⽅法」を参考に、移⾏⽅法と移⾏の検討事項を確認してください。

インストールオプションインストールオプション

Mac OS ビルドは、DMG パッケージと tar ファイルの 2 種類の形式で提供されています。

同じホスト上の別の場所に 2 つインストールする必要がある場合は、tar ファイルを使⽤します。pkg インストーラーの場合、2 番⽬のインスタンスをインストールすることはできません。すでに 1 つ存在している場合、2 番⽬のインストールが正常に完了すると、最初のインスタンスが削除されてしまいます。

グラフィカルなインストールグラフィカルなインストール

1.1.DMG ファイルをダブルクリックします。

splunk.pkg を含むファインダーファインダーウィンドウが表⽰されます。

2.2.ファインダーファインダーウィンドウで、splunk.pkg をダブルクリックします。

インストーラーが起動し、[IntroductionIntroduction] (紹介) にバージョンおよび著作権情報が表⽰されます。

3.3.[続⾏続⾏] をクリックします。

[Select a Dest inat ionSelect a Dest inat ion] (宛先の選択) ウィンドウが表⽰されます。

4.4.Splunk Enterprise のインストール先を選択します。

デフォルトのディレクトリ /Applications/splunk にインストールするには、ハードドライブアイコンをクリックします。別の場所を選択する場合は、[Choose Folder...Choose Folder... ] (フォルダを選択...) をクリックします。

5.5.[続⾏続⾏] をクリックします。

インストール前のサマリーが表⽰されます。何か変更する必要がある場合：

新しいフォルダを選択するには、[Change Install LocationChange Install Location] (インストール先の変更) をクリックします。または、[BackBack] (戻る) をクリックして、前のステップに戻ります。

6.6.[インストールインストール] をクリックします。

インストールが開始されます。完了するには数分ほどかかる場合があります。

7.7.インストールが完了したら、[完了完了] をクリックします。デスクトップにショートカットが配置されます。

コマンドラインによるインストールコマンドラインによるインストール

Mac OS X に Splunk Enterprise をコマンドラインからインストールする場合、root ユーザーを使⽤するか、または sudo コマンドを使って権限を昇格する必要があります。sudo を使⽤する場合は、管理者レベルのアカウンを使⽤する場合は、管理者レベルのアカウントでなければなりません。トでなければなりません。

1. To mount the dmg:

sudo hdid splunk_package_name.dmg

29

Finder は、デスクトップにディスクイメージをマウントします。このイメージは、/Volumes/SplunkForwarder <バージョン> (スペースに注意) 下にあります。

2.2.インストールするには：

root ボリュームで：

cd /Volumes/SplunkForwarder\ <version>

sudo installer -pkg .payload/splunk.pkg -target /

注意注意：ディスクイメージ名にはスペースが存在しています。円記号 (バックスラッシュ) でスペースをエスケープ処理するか、または引⽤符でディスクイメージ名を囲んでください。

別のパーティションのディスクに：

cd /Volumes/SplunkForwarder\ <version>

sudo installer -pkg .payload/splunk.pkg -target /Volumes\ Disk

注意注意：ディスクイメージ名にはスペースが存在しています。円記号 (バックスラッシュ) でスペースをエスケープ処理するか、または引⽤符でディスクイメージ名を囲んでください。

-target は、他のディスクなどのターゲットボリュームを⽰します。Splunk は /Applications/splunk にインストールされます。

ボリュームの /Applications/splunk 以外のディレクトリにインストールする場合は、前述のグラフィカルなインストーラーを使⽤します。

tar ファイルのインストールtar ファイルのインストール

tar ファイルはインストールのマニュアル形式です。tar ファイルを使って Splunk Enterprise をインストールする場合：

Splunk Enterprise が splunk ユーザーを⾃動的に作成することはありません。特定のユーザーとして実⾏する場合は、インストール前に⼿動でユーザーを作成する必要があります。ディスクパーティションには、インデックスを作成するデータを保持するために、⼗分な量のスペースがあることを確認してください。

Splunk Enterprise を Mac OS Xにインストールするには、tar コマンドを使って tar ファイルを適切なディレクトリに展開します。

tar xvzf splunk_package_name.tgz

デフォルトのインストールディレクトリは、現在の作業ディレクトリ内の splunk ディレクトリになります。/Applications/splunk をインストールするには、以下のコマンドを使⽤します。

tar xvzf splunk_package_name.tgz -C /Applications



起動していない場合は、起動します。次は何ですか？を参照してください。


Splunk Enterprise のアンインストールについては、このマニュアルの「Splunk Enterprise のアンインストール」を参照してください。

FreeBSD へのユニバーサルフォワーダーのインストールFreeBSD へのユニバーサルフォワーダーのインストール

重要重要： Splunk は Splunk Enterprise on FreeBSD 向けのインストールパッケージを提供していません。しかし、FreeBSD バージョン 9 および 10 向けのユニバーサルフォワーダーインストールパッケージを提供しています。この⼿順はユニバーサルフォワーダーを上記バージョンの FreeBSD にインストールする⽅法について説明します。

Splunk Enterprise を FreeBSD で使⽤するには、古いバージョンの Splunk ソフトウェアをダウンロードする必要があります。

基本インストール基本インストール

注意注意：これはユニバーサルフォワーダーだけをインストールするための⼿順です。FreeBSD に利⽤可能な現在のバージョンの Splunk Enterprise はありません。

この⼿順はユニバーサルフォワーダーをデフォルトディレクトリ、/opt/splunkforwarder にインストールしま

30

す。/opt が存在せず作成してもいない場合は、エラーメッセージを受信する場合があります。

FreeBSD のベストプラクティスは、⼩さな root ファイルシステムを維持することです。/opt へのインストールを試みるよりも、他のファイルシステムへのシンボリックリンクを作成してそこに Splunk をインストールしたい場合もあります。

1.1./opt/splunkforwarder ディレクトリがあることを確認します。ない場合は、作成するか、または他のファイルシステムにリンクします。

2.2.Intel インストーラーを使⽤してユニバーサルフォワーダーを FreeBSD にインストールします。

pkg_add splunkforwarder-intel.tgz

Splunk Enterprise を別のディレクトリにインストールするには：

pkg_add -v -p /usr/splunk splunkforwarder-intel.tgz

tar ファイルtar ファイル

tar ファイルはインストールのマニュアル形式です。

これはユニバーサルフォワーダーだけをインストールするための⼿順です。FreeBSD に利⽤可能な現在のバージョンの Splunk Enterprise はありません。

tar ファイルを使ってユニバーサルフォワーダーをインストールする場合：

⼀部の⾮ GNU バージョンの tar では、-C 引数が利⽤できないことがあります。このような場合に、/opt/splunkforwarder にインストールするには、cd で /opt に移動するか、または tar コマンドを実⾏する前に tar ファイルを /opt に保管します。この⽅法は、ご利⽤のマシンのファイルシステムでアクセスできる、任意のディレクトリに対して利⽤できます。フォワーダーが splunk ユーザーを⾃動的に作成することはありません。Splunk Enterprise を特定のユーザーとして実⾏する場合は、インストール前に⼿動でユーザーを作成する必要があります。ディスクパーティションには、インデックスを作成するデータを保持するために、⼗分な量のスペースがあることを確認してください。

tar コマンドを使って、適切なディレクトリにユニバーサルフォワーダー tar ファイルを展開します。デフォルトのインストールディレクトリは、現在の作業ディレクトリ内の splunkforwarder ディレクトリになります。

tar xvzf splunkforwarder.tgz

/opt/splunkforwarder にインストールするには、以下を実⾏します。

tar xvzf splunkforwarder.tgz -C /opt

インストール後インストール後

フォワーダーが FreeBSD で適切に機能することを確認するには、インストール後に追加のアクティビティを実⾏する必要があります。設定プロセスや仮想メモリ制限が含まれます。

以下の図は 2GB の物理メモリのあるホストを⽰しています。ホストのメモリが 2 GB 未満の場合は、それに応じて値を減らしてください。

1.1./boot/loader.conf に以下の項⽬を追加します。

kern.maxdsiz="2147483648" # 2GB

kern.dfldsiz="2147483648" # 2GB

machdep.hlt_cpus=0

2.2./etc/sysctl.conf に以下の項⽬を追加します。

vm.max_proc_mmap=2147483647

3.3.変更内容を有効にするために、FreeBSD を再起動します。


Splunk ユニバーサルフォワーダーをインストールしました。『ユニバーサルフォワーダー』マニュアルを以下で確認します。

データを取得し転送するための設定⽅法を学ぶ発⾏可能なコマンドについて学ぶ

31

AIX へのユニバーサルフォワーダーのインストールAIX へのユニバーサルフォワーダーのインストール

重要重要： Splunk は Splunk Enterprise on AIX 向けのインストールパッケージを提供していません。しかし、AIXバージョン 6.1 および 7.1 向けのユニバーサルフォワーダーインストールパッケージを提供しています。この⼿順はユニバーサルフォワーダーを上記バージョンの AIX にインストールする⽅法について説明します。

Splunk Enterprise を AIX で使⽤するには、古いバージョンの Splunk ソフトウェアをダウンロードする必要があります。


ユニバーサルフォワーダーをインストールするユーザーは /dev/random および /dev/urandom の読み取り権限が必要です。そうしないと、インストールは失敗します。


AIX ユニバーサルフォワーダーインストールは、tar ファイル形式で提供されています。AIX に利⽤可能な現在のバージョンの Splunk Enterprise はありません。

tar ファイルを使ってインストールする場合：

Splunk Enterprise が splunk ユーザーを⾃動的に作成することはありません。Splunk Enterprise を特定のユーザーとして実⾏する場合は、⼿動でユーザーを作成する必要があります。ディスクパーティションには、インデックスを作成するデータを保持するために、⼗分な量のスペースがあることを確認してください。AIX tar は、⻑いファイル名のアンパック、ファイルの上書き失敗、またはその他の問題が発⽣する可能性があるため、tar ファイルのアンパックには GNU tar を使⽤することをお勧めします。システム tar を使⽤する必要がある場合は、出⼒のエラーメッセージを確認してください。GNUtar は通常、LinuxApplications パッケージ /opt/freeware/bin/tar の AIX Toolbox の⼀部としてインストールされます。

AIX システムにユニバーサルフォワーダーをインストールするには、tar ファイルを適切なディレクトリに展開します。デフォルトのインストールディレクトリは、/opt/splunkforwarder です。


Splunk ユニバーサルフォワーダーをインストールしました。ユニバーサルフォワーダーマニュアルを以下で確認します。


HP-UX へのユニバーサルフォワーダーのインストールHP-UX へのユニバーサルフォワーダーのインストール

重要重要： Splunk は Splunk Enterprise on HP-UX 向けのインストールパッケージを提供していません。しかし、HP-UX バージョン 11iv3 向けのユニバーサルフォワーダーインストールパッケージを提供しています。この⼿順はユニバーサルフォワーダーを上記バージョンの HP-UX にインストールする⽅法について説明します。

Splunk Enterprise を HP-UX で使⽤するには、古いバージョンの Splunk ソフトウェアをダウンロードする必要があります。


HP/UX システムにユニバーサルフォワーダーをインストールするには、GNU tar を使って tar ファイルを適切なディレクトリに展開します。デフォルトのインストールディレクトリは、/opt/splunkforwarder です。

tar ファイルを使ってインストールする場合：

フォワーダーが splunk ユーザーを⾃動的に作成することはありません。フォワーダーを特定のユーザーとして実⾏する場合は、⼿動でユーザーを作成する必要があります。ディスクパーティションには、インデックスを作成するデータを保持するために、⼗分な量のスペースがあることを確認してください。


Splunk ユニバーサルフォワーダーをインストールしました。ユニバーサルフォワーダーマニュアルを以下で確認します。


Splunk Enterpr ise を別のユーザーまたは⾮ root ユーザーとしSplunk Enterpr ise を別のユーザーまたは⾮ root ユーザーとして実⾏て実⾏

重要：重要：このトピックは Windows 以外のオペレーティングシステム専⽤です。管理者以外のユーザーを使ったWindows への Splunk Enterprise のインストールについては、このマニュアルの「Splunk Enterprise を実⾏するユーザーの選択」を参照してください。Splunk Enterprise サービスが使⽤する Windows ユーザーの変更⽅法を知るには、このマニュアルの「Windows インストール中に選択したユーザーの変更」を参照してください。

32

Splunk Enterprise は、ローカルシステム上の任意のユーザーとして動作することができます。root 以外のユーザーとして実⾏する場合は、以下の作業を⾏うために適切な権限を保有していることを確認してください。

ファイルやディレクトリを読み込む (設定されている場合)。⼀部のログファイルやディレクトリを読み込んでインデックスを作成するには、root または superuser 権限でのアクセスが必要なことがあります。Splunk Enterprise のディレクトリへの書き込み、およびアラートやスクリプト⼊⼒と連携するスクリプトを実⾏する。待機しているネットワークポートにバインドする。1024 未満のネットワークポートは予約されており、root ユーザーのみがバインドできます。

注意：注意：1024 未満のポートは root アクセス専⽤として予約されています。そのため、Splunk Enterprise が rootとして実⾏されている場合にのみ、ポート 514 (デフォルトの syslog 待機ポート) で待機することができます。ただし、他のユーティリティ (syslog-ng など) をインストールして、syslog データをファイルに書き込んで、そのファイルを Splunk にモニターさせることは可能です。

⼿順⼿順

Splunk Enterprise を root 以外のユーザーとして実⾏するには、まず Splunk Enterprise を root としてインストールする必要があります。次に、初めて Splunk Enterprise を起動する前に初めて Splunk Enterprise を起動する前に、$SPLUNK_HOME ディレクトリの所有権を⽬的のユーザーに変更します。Splunk Enterprise のインストール、およびそれを⾮ root ユーザーsplunk として実⾏する⼿順を以下に⽰します。

以下の例で $SPLUNK_HOME は、Splunk Enterprise インストールディレクトリへのパスを表しています。

1.1.root ユーザーとして、ユーザーとグループ splunk を作成します。

Linux、Solaris、および FreeBSD の場合：Linux、Solaris、および FreeBSD の場合：

useradd splunk

groupadd splunk

Mac OS X の場合：Mac OS X の場合：

[システム環境設定] > [アカウント][システム環境設定] > [アカウント] パネルを使って、ユーザーとグループを追加することができます。

2.2.root ユーザーとして、いずれかのパッケージ、または望ましくは tar ファイルを使⽤して、インストールを実⾏します。

注意注意：まだ Splunk Enterprise を開始しないでください。

3.3.root ユーザーとして、chown コマンドを実⾏して、splunk ディレクトリおよびその下のディレクトリを、⽬的のユーザーが所有するように変更します。

chown -R splunk:splunk $SPLUNK_HOME

注意：注意：システムの chown バイナリがファイルのグループ所有権の変更をサポートしていない場合は、chgrp コマンドを使⽤してください。グループ所有権の変更に関する詳細は、お使いのシステムの man ページを参照してください。

4.4.root アカウントからログアウトして⾮ root ユーザーとしてログインするか、または su コマンドを使って⾮root ユーザーになります。

5.5.⾮ root ユーザーとして Splunk Enterprise を開始します。

$SPLUNK_HOME/bin/splunk start

また、別のユーザーとしてログインしている時に、Splunk Enterprise を splunk ユーザーとして実⾏したい場合は、sudo コマンドを使⽤します。

sudo -H -u splunk $SPLUNK_HOME/bin/splunk start

この例のコマンドは、以下の事項を前提にしています。

Splunk Enterprise が別の場所にインストールされている場合は、コマンド内のパスをそれに応じて変更してください。システムに sudo がインストールされていない場合があります。そのような場合は、su を使⽤してください。tar ファイルを使ったインストールで、Splunk Enterprise を特定のユーザー (splunk など) として実⾏させたい場合は、そのユーザーを⼿動で作成する必要があります。splunk ユーザーには、製品の証明書を⽣成するために、/dev/urandom へのアクセス権が必要です。

Solar is 10 の権限Solar is 10 の権限

splunk ユーザーとして Solaris 10 にインストールする場合、splunkd を開始して予約ポートにバインドするために、追加の権限を設定する必要があります。

33

Solaris 10 で splunkd を、splunk ユーザーとして開始するには：

# usermod -K defaultpriv=basic,net_privaddr,proc_exec,proc_fork splunk

Solaris 10 で splunk ユーザーによる予約ポートへのバインドを許可するには、root として以下のコマンドを実⾏します。

# usermod -K defaultpriv=basic,net_privaddr splunk

Splunk Enterprise の使⽤開始Splunk Enterprise の使⽤開始初めての Splunk Enterpr ise の起動初めての Splunk Enterpr ise の起動

重要なセキュリティ上のヒント重要なセキュリティ上のヒント

新しくアップグレードまたはインストールした Splunk Enterprise の使⽤を開始する前に、ソフトウェアやデータが安全かどうかを確認する必要があります。詳細は、Splunk Enterprise のセキュリティマニュアルの「標準環境の強化」を参照してください。

Splunk Enterprise を開始するには：

Windows の場合Windows の場合

Windows で Splunk Enterprise を開始するには、コマンドラインまたはサービスコントロールパネルを利⽤することができます。コマンドラインの使⽤のほうがより多くのオプションを提供します。コマンドプロンプトで、C:\Program Files\Splunk\bin に移動し、以下のコマンドを⼊⼒します：

splunk start

(Windows ユーザーの場合：Splunk をデフォルトの場所にインストールしている場合は、以降の例や情報で、$SPLUNK_HOME を C:\Program Files\Splunk に置き換えてください。また、[システムのプロパティ] ダイアログボックスの [詳細] タブで、%SPLUNK_HOME% をシステム全体の環境変数として追加することもできます)。

UNIXの場合UNIXの場合

Splunk Enterprise コマンドラインインターフェイス (CLI) を使⽤：

<Splunk Enterprise installation directory>/bin/splunk start

起動処理を実⾏する前に、使⽤許諾契約が表⽰され、それに同意するように要求するメッセージが表⽰されます。

任意で SPLUNK_HOME 環境変数を Splunk Enterprise インストールディレクトリに設定し、ソフトウェアを以下のように開始することができます：

export SPLUNK_HOME=<Splunk Enterprise installation directory>

$SPLUNK_HOME/bin/splunk start

環境変数を設定することで、正確な位置を記憶していなくても後からインストールディレクトリに参照することが可能になります。

Mac OS X 上でMac OS X 上で

ファインダーからの Splunk Enterprise の開始ファインダーからの Splunk Enterprise の開始

ファインダーから Splunk Enterprise を開始するには、デスクトップの SplunkSplunk アイコンをダブルクリックして、「Splunk's Little Helper」という名前のヘルパーアプリケーションを起動します。

初めてヘルパーアプリケーションを実⾏した場合、簡単な初期化を実⾏する必要があることを知らせるメッセージが表⽰されます。Splunk による初期化とトライアルライセンスの設定を許可する場合は、[OKOK] をクリックします。

ヘルパーアプリケーションが読み込まれたら、複数の選択項⽬がダイアログに表⽰されます。

Start and Show SplunkStart and Show Splunk：このオプションは、Splunk Enterprise を開始して、Web ブラウザにSplunk Web を表⽰します。Only Start SplunkOnly Start Splunk：これを選択すると、Splunk Enterprise は起動しますが、ブラウザに Splunk Webは表⽰されません。CancelCancel：ヘルパーアプリケーションを終了します。この操作は Splunk Enterprise インスタンス⾃体には影響を与えません。ヘルパーアプリケーションのみが終了します。

適切なオプションを選択すると、ヘルパーアプリケーションは所定の操作を⾏った後に終了します。ヘルパーアプリケーションをもう⼀度実⾏して、Splunk Web を表⽰したり、Splunk Enterprise を終了したりすることがで

34

きます。

ヘルパーアプリケーションは、すでに動作している Splunk Enterprise を終了するためにも使⽤できます。

コマンドラインからの Splunk Enter pr ise の開始コマンドラインからの Splunk Enter pr ise の開始

コマンドラインインターフェイスから Splunk Enterprise を開始するには、$SPLUNK_HOME/bin ディレクトリから以下のコマンドを実⾏します ($SPLUNK_HOME は、Splunk Enterprise をインストールしたディレクトリ、デフォルトは /Applications/splunk)。

./splunk start

デフォルトの管理および Splunk Web ポートがすでに使⽤されている (または利⽤できない) 場合、SplunkEnterprise は次に利⽤可能なポートを提⽰します。このオプションを承諾することも、使⽤するポートを指定することも可能です。

その他の起動オプションその他の起動オプション

初めての Splunk Enterprise 起動時に、使⽤許諾契約に⾃動的に同意するには、start コマンドに accept-licenseオプションを追加します。

$SPLUNK_HOME/bin/splunk start --accept-license

起動処理時に以下のメッセージが表⽰されます。

Splunk> All batbelt. No tights.

Checking prerequisites...

Checking http port [8000]: open

Checking mgmt port [8089]: open

Checking appserver port [127.0.0.1:8065]: open

Checking kvstore port [8191]: open

Checking configuration... Done.

Checking critical directories... Done

Checking indexes...

Validated: _audit _blocksignature _internal _introspection _thefishbucket history main msad

msexchange perfmon sf_food_health sos sos_summary_daily summary windows wineventlog winevents

Done

Checking filesystem compatibility... Done

Checking conf files for problems...

Done

All preliminary checks passed.

Starting splunk server daemon (splunkd)...

Done

[ OK ]

Waiting for web server at http://127.0.0.1:8000 to be available... Done

If you get stuck, we're here to help.

Look for answers here: http://docs.splunk.com

The Splunk web interface is at http://localhost:8000

他にも、no-prompt および answer-yes という 2 つの start オプションがあります：

$SPLUNK_HOME/bin/splunk start --no-prompt を実⾏した場合、Splunk Enterprise は何かユーザーによる回答が必要な所まで、スタートアップ処理を続⾏します。次にその質問および終了理由を表⽰して、処理を終了します。SPLUNK_HOME/bin/splunk start --answer-yes を実⾏した場合、Splunk Enterprise はスタートアップ処理を続⾏します。何か質問に対する回答が必要な場合は、すべて⾃動的に「はい」 (yes) と応答します。質問と回答は画⾯に表⽰されます。

以下の例のように、3 つのオプションすべてを 1 ⾏に指定して start コマンドを実⾏した場合：

$SPLUNK_HOME/bin/splunk start --answer-yes --no-prompt --accept-license

使⽤許諾契約への同意を求めるメッセージは表⽰されません。回答を求める質問は、すべて「はい」 (yes) が回答されます。はい/いいえで回答できない質問があった場合は、処理が終了します。

35

Splunk Enterpr ise を起動する場所と⽅法の変更Splunk Enterpr ise を起動する場所と⽅法の変更

Splunk Enterprise の起動と操作の⽅法を制御するシステム環境変数の変更については、『管理』マニュアルの「環境変数の設定または変更」を参照してください。

Splunk Web の起動Splunk Web の起動

サポートされている Web ブラウザで、以下に進みます。

http://<host name or ip address>:8000

host および port には、インストール時に指定したホストとポートを指定します。

Splunk Enterprise に初めてログインする場合、デフォルトのログイン情報は以下のようになります。ユーザー名 - ユーザー名 - adminadminパスワード - パスワード - changemechangeme

次は何ですか？次は何ですか？

サーバーに Splunk Enterprise をインストールしたら、何を始めましょうか？ここには、いくつかの参考になるリンクを記載しています。

Splunk Enterprise の概要、機能、およびその違いの学習。Splunk Enterprise へのデータの追加、取り込み⽅法。ユーザーの追加と管理。データの保管については、「必要なスペース量の⾒積もり」を参照してください。Splunk Enterprise デプロイのプランニング (処理量がギガバイト〜テラバイト/⽇)。サーチ、モニター、レポート⽅法などの学習。従来のテクノロジーと Splunk Enterprise の⼤きな違いとして、サーチ時にデータを分類して解釈するこサーチ時にデータを分類して解釈することとが挙げられます。このことの意味と使⽤⽅法を学習してください。

AppApp が同梱された Splunk Enterprise (例：Splunk + WebSphere) をダウンロードした場合は、Splunk Webで App を選択して、その App の設定ページに移動できます。同梱されている App の設定とデプロイの詳細については、Splunkbase でその App 名を検索してください。

Splunk Enterpr ise のアクセシビリティについてSplunk Enterpr ise のアクセシビリティについて

Splunk は、⽶国 Rehabilitation Act of 1973 の Section 508 に従い、またユーザビリティのベストプラクティスの観点から、⽀援技術を利⽤している⽅向けの、アクセシビリティやユーザビリティを維持、強化するために⽇夜努⼒しています。ここでは、⽀援技術のユーザーの⽅のために、製品のアクセシビリティに Splunk がどのように取り組んでいるのかを説明していきます。

Splunk Web と CLI のアクセシビリティSplunk Web と CLI のアクセシビリティ

Splunk Enterprise のコマンドラインインターフェイス (CLI) には、Splunk Web で利⽤できる機能よりも多くの機能が⽤意されており、⼿軽に利⽤することができます。CLI は、アクセシビリティのニーズに関係なくすべてのユーザーが⼿軽に利⽤できることを⽬的に設計されており、⽀援技術のユーザーの⽅は CLI をご利⽤になることをお勧めしています (特に視⼒が弱いまたは⾒えない⽅や⾏動に制限がある⽅)。

Splunk は、たとえ⽬の⾒えない⽅でも GUI の使⽤を希望する場合があることも理解しています。そのため、Splunk Web には以下のようなアクセシビリティ機能が⽤意されています。

フォームフィールドおよびダイアログボックスは、Web ブラウザがサポートしている画⾯上のフォーカス指⽰に対応しています。リンク、ボタン、または他のブラウザにビジュアルフォーカスが実装されていない要素に対する、オンスクリーンフォーカス機能は採⽤していません。フォームフィールドに⼀貫して適切なラベルが付いており、ALT テキストが機能要素と画像を説明しています。Splunk Web が、ユーザーが定義したスタイルシートを変更することはありません。Splunk Web のデータ視覚化には、マウスカーソルを要素の上に移動すると取得できるデータがあり、そのデータをデータテーブルとして出⼒することもできます。そのため、⾊付きの情報を、⾊が分からなくても利⽤できます。データテーブルの⼤半は HTML を実装しており、必要に応じてヘッダーやマークアップを使ってデータを識別できます。Flash を使って表⽰されているデータテーブルは、視覚的にヘッダーを表⽰しています。それのカンマ区切り (CSV) 形式のデータ出⼒には、データを識別するための適切なヘッダーが付けられています。

アクセシビリティとリアルタイムサーチアクセシビリティとリアルタイムサーチ

Splunk Web には、点滅するコンポーネントは含まれていません。ただし、リアルタイムサーチを使⽤すると、ページが更新されます。リアルタイムサーチは、デプロイまたはユーザー/ロールレベルで簡単に無効化することができます。使いやすさとユーザビリティの観点から、補助技術 (特に画⾯読み上げ技術など) のユーザーの⽅に対しては、リアルタイム機能を無効にした CLI を使⽤することをお勧めします。リアルタイムサーチの無効化については、『サーチ』マニュアルの「リアルタイムサーチの利⽤の制限⽅法」を参照してください。

F irefox および Mac OS X を使ったキーボードナビゲーションF irefox および Mac OS X を使ったキーボードナビゲーション

Mac OS X 上の Firefoxで Tab キーによるナビゲーションを有効にするには、ブラウザの設定ではなく、システム設定を使⽤します。キーボードによるナビゲーションを有効にするには：

36

1.1.メニューバーで、[Apple アイコン] > [システム環境設定] > [キーボード][Apple アイコン] > [システム環境設定] > [キーボード] をクリックして、キーボード設定ダイアログを表⽰します。

2.2.キーボード設定ダイアログの上部にある、[キーボードショートカットキーボードショートカット] ボタンをクリックします。

3.3.ダイアログの下部にある [フルキーボードアクセスフルキーボードアクセス] で、[すべてのコントロールすべてのコントロール] ラジオボタンをクリックします。

4.4.キーボード設定ダイアログを閉じます。

5.5.Firefox がすでに動作している場合は、ブラウザを終了した後再起動します。

Splunk Enterprise ライセンスのインストールSplunk Enterprise ライセンスのインストールSplunk Enterpr ise のライセンスについてSplunk Enterpr ise のライセンスについて

Splunk Enterprise は指定されたソースからデータを取り込んで、それを分析⽤に処理します。この処理を「イインデックス作成ンデックス作成」と呼んでいます。インデックス作成プロセスについては、『データの取り込み』マニュアルの「Splunk Enterprise によるデータの処理」を参照してください。

Splunk Enterprise ライセンスは、1 ⽇あたりにインデックスを作成できるデータ量を表しています。

Splunk ライセンスの詳細は、以下の項⽬を参照してください。

管理マニュアルの「Splunk ライセンスの仕組み」。管理マニュアルの「Splunk Enterprise ライセンスの種類」。管理マニュアルの「Splunk Free の詳細」。

ライセンスのインストールライセンスのインストール

Splunk Enterprise をインストールした後、製品の全機能を使い続けるには 60 ⽇以内にライセンスをインストールする必要があります。

続⾏する前に、ライセンスに関する以下の記事も参考にしてください。

Splunk ライセンスの概要については、『管理』マニュアルの「Splunk ライセンスの仕組み」を参照してください。Splunk ライセンス⽤語については、『管理』マニュアルの「グループ、スタック、プール、およびその他の⽤語」を参照してください。ライセンスの種類を⽐較し、組み合わせることが可能なライセンスと可能ではないライセンスについて学ぶには、『管理』マニュアルの「Splunk ソフトウェアライセンスの種類」を参照してください。

新規ライセンスの追加新規ライセンスの追加

Enterprise ライセンスで Dev/Test ライセンスをインストールすると、Enterprise ライセンスファイルは置き換えられます。

1. [設定] > [ライセンス][設定] > [ライセンス] に移動します。2. [ライセンスの追加ライセンスの追加] をクリックします。

3. [ファイルを選択ファイルを選択] をクリックしてライセンスファイルの場所に移動してそれを選択するか、または [ライセライセンス XML を直接コピーして貼り付けンス XML を直接コピーして貼り付け] をクリックして、フィールドにライセンスファイルのテキストを貼り付けます。

4. [インストールインストール] をクリックします。Splunk Enterprise がライセンスをインストールします。5. これが最初にインストールする Enterprise ライセンスの場合は、Splunk Enterprise を再起動します。

ライセンス違反ライセンス違反

ライセンス違反は、お⼿持ちのライセンスで許可されている 1 ⽇の最⼤インデックス作成ボリュームを超えた場合に発⽣します。ある 1 暦⽇にライセンスで許可されている⽇次ボリュームを超えた場合、違反の警告が通知されます。この警告は 14 ⽇間に渡って表⽰されます。任意の 30 ⽇間の期間内に、Enterprise ライセンスで 5 回以上の警告を受けた場合、または Free ライセンスで 3 回の警告を受けた場合、ライセンス違反状態となります。

Splunk Enterprise 6.5.0 以降の「⾮強制」ライセンスをお持ちでなければ、Splunk Enterprise は違反ライセンスプールのサーチを無効にします。サーチ機能は、過去 30 ⽇間の警告数が 5 (Enterprise) または 3 (Free) 回を下回った場合、または⼀時的なリセットライセンス (Enterprise でのみ利⽤可) を適⽤した場合に回復します。リセットまたは「⾮強制」ライセンスを⼊⼿するには、営業担当までお問い合わせください。

サマリーインデックスの量は、ライセンスの考慮対象とはなりません。

違反の警告が表⽰された場合、午前 0 時 (ライセンスマスターの時刻が基準) までにそれを解決しないと、過去 30⽇間の期間内の合計警告数としてカウントされます。

37

ライセンス違反期間中は：

Splunk はデータのインデックス作成処理を中断しません。ライセンス超過中は、単にサーチがブロックされます。_internal インデックスに対するサーチは無効になりません。つまり、インデックスステータスダッシュボードには引き続きアクセスでき、また _internal に対してサーチを⾏い、ライセンス上の問題を診断することができます。

ライセンス違反状態となっている場合、『管理』マニュアルの「ライセンス違反について」または SplunkCommunity Wiki で「インデックス作成されたデータ量のトラブルシューティング」を参照してください。

『管理』マニュアルの「Splunk ライセンスの管理」には、ライセンスに関する詳細な情報が記載されています。

Splunk Enterprise のアップグレードまたは移Splunk Enterprise のアップグレードまたは移⾏⾏Splunk Enterpr ise のアップグレード⽅法Splunk Enterpr ise のアップグレード⽅法

単⼀の Splunk Enterprise インスタンスのアップグレードは簡単です。多くの場合、ソフトウェアをアップグレードするには、既存のインストール上に最新版のパッケージをインストールします。Windows システムをアップグレードする際、インストーラーパッケージは以前にインストールしたバージョンを検出し、アップグレードを⾏います。

Splunk Enterprise は、管理権限を持ち、インスタンスディレクトリやそのすべてのサブディレクトリに書き込むことができるユーザーアカウントでアップグレードする必要があります。

バージョン 6.5 の新機能と利点バージョン 6.5 の新機能と利点

6.5 で提供されているすべての新機能については、リリースノートの「Splunk Enterprise 6.5 について」を参照してください。

リリースノートには、そのリリースで既知の問題の⼀覧と対処⽅法も記載されています。

既存デプロイのバックアップ既存デプロイのバックアップ

アップグレードや移⾏を⾏う前には、既存の Splunk Enterprise のデプロイを必ずバックアップしてください。

外部のバックアップ⼿段、ディスク/ファイルシステムのスナップショット、または他の⼿段であっても、アップグレード前の状態に Splunk Enterprise とデータを復元できる技術を採⽤することで、アップグレードリスクを管理できます。Splunk Enterprise データをバックアップする際には、$SPLUNK_HOME ディレクトリおよびそれ以外の場所のインデックスを考慮してください。

Splunk Enterprise デプロイ環境のバックアップの詳細は、『管理』マニュアルの「設定情報のバックアップ」および『インデクサーとクラスタの管理』マニュアルの「インデックス作成されたデータのバックアップ」を参照してください。

環境に応じて適切なアップグレード⼿順を選択する環境に応じて適切なアップグレード⼿順を選択する

単⼀の Splunk Enterprise インスタンスを使⽤しているのか、または複数のインスタンスを接続して使⽤しているのかによって、Splunk Enterprise のアップグレード⽅法は異なります。インスタンスをクラスタ構成で利⽤している場合は、さらに⼤きな違いがあります。

分散環境のアップグレード分散環境のアップグレード

1 つまたは複数のサーチヘッドプールサーチヘッドプールを保有する環境など、分散 Splunk Enterprise 環境をアップグレードする場合は、「分散 Splunk Enterprise デプロイのアップグレード⽅法」を参照してください。

クラスタ環境のアップグレードクラスタ環境のアップグレード

インデクサークラスタやサーチヘッドクラスタのアップグレードには特別な要件があります。以下のトピックのアップグレードに関する説明は、このマニュアルの説明に優先します。

インデクサークラスタをアップグレードするには、『インデクサーとクラスタの管理』マニュアルの「インデクサークラスタのアップグレード」を参照してください。サーチヘッドクラスタをアップグレードするには、『分散サーチ』マニュアルの「サーチヘッドクラスタのアップグレード」を参照してください。

アップグレードに関する重要な情報と変更アップグレードに関する重要な情報と変更

アップグレードする際の特定の移⾏作業に関するヒントやご⾃分の環境に影響する情報については、「6.5 へのアップグレードについて：最初にお読みください」を参照してください。

6.0 以降からのアップグレード6.0 以降からのアップグレード

Splunk Enterprise は、バージョン 6.0 以降からバージョン 6.5 への直接のアップグレードをサポートしています。

38

*nix での 6.5 へのアップグレードWindows での 6.5 へのアップグレード

5.0 以前からのアップグレード5.0 以前からのアップグレード

バージョン 5.0 以前からバージョン 6.5 への直接のアップグレードは、公式にはサポートされていません。

バージョン 5.0 をご利⽤の場合は、まずバージョン 6.3 にアップグレードしてから、6.5 にアップグレードしてください。バージョン 4.3 をご利⽤の場合は、まずバージョン 6.0 にアップグレードしてから、6.5 にアップグレードしてください。4.3 以前のバージョンをご利⽤の場合は、まずバージョン 4.3 にアップグレードしてから 6.0 にアップグレードします。それから、6.5 にアップグレードしてください。バージョン 4.3 へのアップグレード⽅法の詳細は、「4.3 へのアップグレードについて：最初にお読みください」を参照してください。

新たな「⾮強制」ライセンスの取得とインストール新たな「⾮強制」ライセンスの取得とインストール

Splunk は、ライセンスが違反状態となった後にサーチをブロックしない、新たな種類のライセンスを作成しました。

このライセンスは Splunk Enterprise の新たなインストールでは標準です。アップグレード後にこの種類のライセンスを使⽤する場合、取得し、個別に Splunk Enterprise にインストールする必要があります。これらのインスタンスは Splunk Enterprise 6.5.0 以降を実⾏できなければなりません。分散デプロイをご利⽤の場合、ライセンスマスターとして機能する Splunk Enterprise インスタンスは 6.5.0 以降を実⾏できなければなりません。新種類のライセンスを活⽤して頂くには、Splunk と良好な状態である必要があります。

新ライセンスに関する詳細については、『管理』マニュアルの「Splunk ソフトウェアライセンスの種類」を参照してください。

1. Splunk Enterprise 環境 (単⼀または分散デプロイ) を 6.5.0 以降にアップグレードします。2. 営業担当までお問い合わせ頂くと、個⼈情報を確認の上、「⾮強制」ライセンスキーを発⾏します。3. キーを Splunk Enterprise インスタンス、または分散デプロイの場合は、ライセンスマスターインスタンス

に適⽤します。4. 個別のホストまたはライセンスマスターで Splunk Enterprise を再起動し、新ライセンスを有効にします。

ユニバーサルフォワーダーのアップグレードユニバーサルフォワーダーのアップグレード

ユニバーサルフォワーダーのアップグレード⼿順は、Splunk Enterprise とは異なっています。ユニバーサルフォワーダーをアップグレードする前に、オペレーティングシステムに応じて適切なトピックを参照してください。

Windows ユニバーサルフォワーダーのアップグレード*nix システムのユニバーサルフォワーダーのアップグレード

インデクサーとユニバーサルフォワーダー間の相互運⽤性と互換性については、『データの転送』マニュアルの「インデクサーとユニバーサルフォワーダーの互換性」を参照してください。

6.5 へのアップグレードについて - 最初にお読みください6.5 へのアップグレードについて - 最初にお読みください

アップグレードする前にこのトピックをお読み頂き、以前のバージョンからバージョン 6.5 へのアップグレードプロセスに関する重要な情報やヒントを学びます。

Splunk App とアドオンの互換性Splunk App とアドオンの互換性

Splunk Enterprise 6.5 と互換性がない Splunk App やアドオンが存在しています。本リリースへのアップグレードを検討している場合は、SplunkBase を参照して、ご利⽤の App が Splunk Enterprise 6.5 と互換性があるかどうかを確認してください。

クラスタ環境のアップグレードクラスタ環境のアップグレード

インデクサークラスタをアップグレードするには、『インデクサーとクラスタの管理』マニュアルの「インデクサークラスタのアップグレード」を参照してください。この指⽰は、このマニュアルに記載されているアップグレードに関する説明に優先します。

サーチヘッドクラスタをアップグレードするには、『分散サーチ』マニュアルの「サーチヘッドクラスタのアップグレード」を参照してください。この指⽰は、このマニュアルに記載されているアップグレードに関する説明に優先します。

アップグレードパスアップグレードパス

Splunk Enterprise は、以下のバージョン 6.5 へのアップグレードパスをサポートしています。

完全版 Splunk Enterprise をバージョン 6.0 以降から 6.5。ユニバーサルフォワーダーをバージョン 5.0 以降から 6.5。

6.0 より前のバージョンの Splunk Enterprise をご利⽤の場合は、まず 6.0 にアップグレードしてから、6.5 にアップグレードしてください。Splunk Enterprise 5.0 の場合は、6.0 〜 6.3 にアップグレードしてから 6.5 にアップグレードします。バージョン 6.0 への移⾏⽅法に関するヒントについては、「6.0 へのアップグレードについて：最初にお読みください」を参照してください。

アップグレードに関する重要な情報と変更アップグレードに関する重要な情報と変更

39

新しいバージョンのインストール時には、いくつかの留意事項があります。

インデックス作成オペレーション中は、インデクサーのメモリ使⽤量が増加しますインデックス作成オペレーション中は、インデクサーのメモリ使⽤量が増加します

Splunk Enterprise バージョン 6.5 にアップグレードすると、インデックス作成オペレーション中にインデクサーが使⽤するメモリ量が増加します。インデクサーに並列化 (複数のインデックス作成パイプライン) を設定した場合、使⽤量が⼤幅に増加する可能性があります。

単⼀のインデックス作成パイプライン (Splunk Enterprise インストールのデフォルト状態) に設定したインデクサーでは、メモリ使⽤量が最⼤ 10% 増加する可能性があります。2 つのパイプラインを設定したインデクサーでは最⼤ 15% です。4 つのインデックス作成パイプラインを設定したインデクサーでは最⼤ 25% 増加します。

アップグレードを⾏う前に、インデクサーが『キャパシティプランニング』マニュアルで詳述している最低ハードウェア要件を満たしている、または超えていることを確認してください。各ホストのメモリ詳細については、「リファレンスハードウェア」を参照してください。

無料版 Splunk に App Key Value Store が含まれます無料版 Splunk に App Key Value Store が含まれます

Splunk Enterprise のバージョン 6.5 にアップグレードすると、Splunk Enterprise の無料版で App Key ValueStore 機能にアクセスできます。

この変更により、ホスト上で実⾏されている App Key Value Store をサポートするプロセスとなります。これらのプロセスは、メモリまたはディスク使⽤率の増加をもたらす可能性があります。

計装機能は新たな内部インデックスを追加し、ディスク使⽤率を増加させる可能性があります計装機能は新たな内部インデックスを追加し、ディスク使⽤率を増加させる可能性があります

オプトイン後に Splunk Enterprise パフォーマンス統計を Splunk と共有することを可能にする、SplunkEnterprise の計装機能は、アップグレードしたホストのディスク使⽤率を増加させる可能性がある新たな内部インデックスが含まれます。『管理』マニュアルの「パフォーマンスデータの共有」の指⽰に従うことで、パフォーマンスデータの共有からオプトアウトすることができます。

分散サーチはデフォルトで単⼀プロトコルになっています分散サーチはデフォルトで単⼀プロトコルになっています

サーチヘッドがサーチピアに接続する際の潜在的な問題を減らすために、複数の可変定数がこのプロセスを制御する distsearch.conf に追加または変更されました。

trySSLFirst 属性はサーチヘッドとサーチピア接続では意味をもたなくなりました。新しい属性 defaultUriScheme がサーチヘッドがサーチピアに接続する際に使⽤するプロトコルを制御し、http

または https に設定可能です。この属性は、属性の設定後にサーチヘッドに追加したピアのデフォルト接続スキームとして動作します。

アップグレード後に、distsearch.conf を⾒なおしてファイルが新しい可変定数で更新されているかを確認します。

この変更は Splunk Enterprise 6.4 に導⼊されたものの、以前のバージョンから 6.5 にアップグレードする場合のために維持されています。

特定の JSChart 制限が増加し、古いブラウザではパフォーマンスが低下する可能性があります特定の JSChart 制限が増加し、古いブラウザではパフォーマンスが低下する可能性があります

JSChart チャートエレメントが表⽰できるシリーズ、結果、およびデータポイントの数が増加します。

シリーズの数は 50 から 100 に倍増しました。表⽰できる結果の数は、1000 から 10,000 に増加しました。データポイントの総数は、20,000 から 50,000 に増加しました。

JSChart エレメントをデフォルトからすでに変更していない場合は、アップグレード後に JSChart エレメントのデータポイントが増加します。Splunk Enterprise との対話に古いブラウザを使⽤している場合、パフォーマンスのわずかな低下が⾒られる可能性があります。

インデックス削除を抑制する新機能「deleteIndexesAllowed」を追加インデックス削除を抑制する新機能「deleteIndexesAllowed」を追加

インデックスを削除できる前に、⾮管理者ユーザーロールによる保持を必要とする新たなユーザー機能を追加しました。アップグレード後、インデックスを削除できる前に、この機能を任意の⾮管理者ユーザーロールに割り当てる必要があります。

ユーザーロールはまた、「delete_by_keyword」機能を持っている必要があります。

データモデルまたはレポート⾼速化サマリーの数が⼤量の場合は移⾏時間が⾮常に⻑くなる場合がありますデータモデルまたはレポート⾼速化サマリーの数が⼤量の場合は移⾏時間が⾮常に⻑くなる場合があります

Splunk Enterprise バージョン 6.5 にアップグレードすると、ソフトウェアはデータモデルおよびレポート⾼速化サマリーのチェックサムを移⾏の⼀部として⽣成します。この操作はインデクサークラスタでのインデックスとの良好な互換性のためですが、すべてのデプロイで発⽣します。デプロイにデータモデルまたはレポート⾼速化サマリーが多数存在する場合は、チェックサム⽣成プロセスに⻑時間かかります。Splunk Enterprise は処理中にエントリーを migration.log に作成します。

Generating checksums for datamodel and report acceleration bucket summaries for all indexes.

If you have defined many indexes and summaries, summary checksum generation may take a long time.

Processed 1000 out of 10007 configured indexes.


[...]

40


Finished generating checksums for datamodel and report acceleration bucket summaries for all indexes.


inputcsv、outputcsv、および streamedcsv サーチコマンドの作業ディレクトリが変更になりますinputcsv、outputcsv、および streamedcsv サーチコマンドの作業ディレクトリが変更になります

inputcsv、outputcsv、および streamedcsv サーチコマンドの作業ディレクトリが変更になります。アップグレード後にこれらのサーチコマンドを実⾏すると、Splunk Enterprise は作成したファイルを $SPLUNK_HOME/var/run/splunkではなく $SPLUNK_HOME/var/run/splunk/csv に格納し、読み込みます。

アップグレードプロセスは既存の作業ファイルを新しいディレクトリに移動し以下のメッセージを migration.logに記録します。

Creating $SPLUNK_HOME/var/run/splunk/csv and moving inputcsv/outputcsv files into the created directory.

以下の移⾏に関する問題に注意してください：

コマンドまたは古い作業ディレクトリを参照する App、アドオン、またはスクリプトは、ディレクトリの場所が変わったため、悪影響を受ける場合があります。.csv ファイル拡張⼦で終わらない inputcsv と併せて使⽤するすべてのファイル、またはサブディレクトリに⼊っているすべてのファイルは、⼿動で移⾏する必要があります。outputcsv コマンドを使⽤する、Splunk Enterprise 外部のコンポーネントをお持ちの場合、コマンドを使⽤するコンポーネントのすべてのファイルまたはスクリプトのパスを⼿動でアップデートする必要があります。さらに、コンポーネントに outputcsv が⽣成したファイルが含まれていて、それらのファイルが .csv で終わらない、またはサブディレクトリに⼊っている場合、それらのファイルを新たな作業ディレクトリに⼿動で移⾏する必要があります。


ユーザーコンテキストのみに存在しているサーチコマンドは実⾏できませんユーザーコンテキストのみに存在しているサーチコマンドは実⾏できません

特定の Splunk Enterprise ユーザーのコンテキストで実⾏されるサーチコマンド($SPLUNK_HOME/etc/users/alice/local/commands.conf など、コマンドがそのユーザーのみに commands.conf で定義されていることを意味します) がある場合、それらのコマンドはアップグレードは実⾏できなくなります。

この問題を解決するには、コマンド設定を App レベル (設定を$SPLUNK_HOME/etc/apps/<app_name>/local/commands.conf に⼊れる)、またはシステムレベル($SPLUNK_HOME/etc/system/local/commands.conf) に移動します。


内部ディレクトリに正しい権限があることの確認内部ディレクトリに正しい権限があることの確認

Linux で Splunk Enterprise を⾮ root ユーザーとして実⾏しており、アップグレードに RPM を使⽤する場合、RPM は root として $SPLUNK_HOME/var/log/introspection ディレクトリに書き込みます。これにより、その後インスタンスを開始する際に、エラーが発⽣することがあります。この問題を防⽌するには、アップグレード後、Splunk Enterprise を再起動する前に、Splunk Enterprise を実⾏するユーザーに対して$SPLUNK_HOME/var/log/introspection ディレクトリの chown を実⾏します。


単⼀値視覚エフェクトの既存の「rangemap」設定に優先する Splunk Web ビジュアルエディタの変更単⼀値視覚エフェクトの既存の「rangemap」設定に優先する Splunk Web ビジュアルエディタの変更

rangemap サーチコマンドを使⽤し、ダッシュボードの単⼀値視覚エフェクトの範囲や⾊を定義する場合、アップグレード時にはフォーマットエディタを使⽤します。フォーマットエディタを使⽤してこれらの視覚エフェクトに⾏った変更は、rangemap 設定に優先します。さらに、rangemap コマンドを含まないクエリを使⽤して新しい単⼀値視覚エフェクトを⽣成し、フォーマットエディタを使⽤して範囲、⾊、追加設定を設定します。

= rangemap で⽣成された単⼀値視覚エフェクトにエディタを使って⾏った変更は、range map コマンドへの編集内容に優先します。また、エディタでは既存の設定が維持されるため、rangemap はこれらの種類の視覚エフェクトを⽣成する有効なコマンドとして認識されなくなります。


Splunk Enterprise は時間スキューの⼤きいサーチピアの追加を制限するようになりましたSplunk Enterprise は時間スキューの⼤きいサーチピアの追加を制限するようになりました

Splunk Enterprise 6.5 にアップグレードすると、Splunk Web を利⽤して 10 分以上の時間スキューのサーチピアを、ピアを追加するサーチヘッドから追加できなくなりました。

limits.conf をサーチヘッドで編集し addpeer_skew_limit をデフォルトの 600 (秒) 未満の正の整数に設定すること

41

で、この設定を変更できます。


複数のサーチを単⼀プロセスで実⾏するための Splunk Enterprise サポートはメモリ使⽤を増やします複数のサーチを単⼀プロセスで実⾏するための Splunk Enterprise サポートはメモリ使⽤を増やします

バージョン 6.5 から、Splunk Enterprise は *nix ホストで複数のサーチを単⼀プロセスで起動できるようになりました。

アップグレードすると、サーチパフォーマンスの改善にお気づきになると思いますが、メモリ使⽤量の増加にも気づかれるでしょう。

この変更は Splunk Enterprise の Windows インスタンスには該当しません。


デプロイモニター App のサポートの終了デプロイモニター App のサポートの終了

Splunk デプロイモニター App のサポートは終了しました。Splunk Enterprise 6.5 にアップグレードする際は、モニター⽤コンソールを使⽤して分散デプロイをモニタリングしてください。「Splunk Enterprise のモニタリング」を参照してください。


データブロック署名が削除されましたデータブロック署名が削除されました

データブロック署名は Splunk Enterprise で削除されました。この機能は、まもなく廃⽌されます。


アップグレード時の⾼速化カスタムデータモデルのサマリーの再作成アップグレード時の⾼速化カスタムデータモデルのサマリーの再作成

Splunk App for Enterprise Security で作成されたものなど、インスタンスにある⾼速化カスタムデータモデルのサマリーは Splunk Enterprise 6.5 へのアップグレード時に再作成されます。これは、作成されたデータモデルサーチの最適化が理由であり、これまでに作成されたサマリーとサーチの互換性はなくなります。

再作成のプロセスでは、CPU、メモリ、サマリーのあるインデクサーのディスク I/O 使⽤量が⼤幅に増加します。これらのデータモデルのサマリーを使⽤するサーチは⾮常に遅く、完全に機能しない場合もあります。

アップグレード時にこれらのサマリーが⾃動で再作成されないようにする必要がある場合は、アップグレードを開始する前に Splunk Enterprise の設定を次のように変更してください。

datamodels.conf で：

acceleration.manual_rebuilds = true

limits.conf で：

[tstats]

allow_old_summaries = true

この変更は Splunk Enterprise 6.3 で導⼊されたものの、6.3 から 6.5 へのアップグレードでも発⽣します。以前のバージョンから 6.5 にアップグレードする場合のために維持されています。

学習したソースタイプ数の制限学習したソースタイプ数の制限

Splunk Enterprise のすべてのバージョンでは、インスタンスがファイルのモニタリングやインデックス作成時に学習できるソースタイプの数が制限されています。

こうしたオペレーションで CPU やメモリ使⽤量が急上昇するインスタンスを減らすために、ファイルのモニタリングとファイル内容の分析時にインスタンスが学習するソースタイプの数を制御する新しい属性が作成されています。この制限は 1,000 ですが、limits.conf で次の属性を編集し、Splunk Enterprise を再起動すれば設定を変更できます。

learned_sourcetypes_limit = <number>

この設定でメモリや CPU の急上昇を回避できるものの、そのまま props.conf と inputs.conf を使⽤し、ソースタイプの定義と適⽤を⾏ってください。


データモデルのサマリーでの並列化の要約の有効化データモデルのサマリーでの並列化の要約の有効化

42

Splunk プラットフォームが⼀回に実⾏してデータモデルにサマリーファイルを⽣成するサーチ数は変更されています。

Splunk Enterprise 6.5 にアップグレードすると、1 つではなく 2 つの同時サーチジョブの実⾏によってサマリーファイルが⽣成されます。この変更は「並列化の要約」と呼ばれています。これにより、サーチジョブの実⾏中にデータモデルを含むインスタンス上の CPU やメモリの使⽤量が増加する場合がありますが、データモデルのサマリーは早く利⽤できるようになります。

この設定は個別のデータモデルごとに以前のデフォルト設定に戻すことができます。「ナレッジ管理マニュアル」の「並列化の要約」を参照してください。


Splunk Enterprise デバッグエンドポイントへのアクセスの有効化Splunk Enterprise デバッグエンドポイントへのアクセスの有効化

Splunk Enterprise ではデフォルトでデバッグエンドポイントにアクセスすることが可能でした。現在は使⽤することができません。アップグレードすると、web.conf で変更を⾏い、Splunk Enterprise を再起動するまで、デバッグエンドポイントにアクセスすることはできません。

[settings]

enableWebDebug = true


サーチヘッドプールからサーチヘッドクラスタへの移⾏サーチヘッドプールからサーチヘッドクラスタへの移⾏

サーチヘッドクラスタリングにスタンドアローンのサーチヘッド、または廃⽌されたサーチヘッドプーリングから移⾏する場合は、特別の⼿順に従い新しい Splunk Enterprise インスタンスをサーチヘッドクラスタメンバーに使⽤する必要があります。サーチヘッドクラスタリングへの移⾏についての詳細は『分散サーチ』マニュアルの以下のトピックを参照してください。

スタンドアローンサーチヘッドからの移⾏サーチヘッドプーリングからの移⾏

サーチヘッドクラスタはユーザーおよびロールベースのサーチ基準を考慮するようになりましたサーチヘッドクラスタはユーザーおよびロールベースのサーチ基準を考慮するようになりました

Splunk Enterprise 6.5 にアップグレードすると、展開したサーチヘッドクラスタはユーザーおよびロールに設定されたサーチ基準を考慮し施⾏します。これにより、同時にアクティブなサーチ数に応じて、実⾏されないサーチも発⽣します。この機能を無効にするには、以下の属性を limits.conf に設定します。

shc_role_quota_enforcement = false

shc_local_quota_check = true


新たな App Key Value Store によりディスクスペース使⽤量が増加する可能性新たな App Key Value Store によりディスクスペース使⽤量が増加する可能性

アプリケーション内のデータを保管、取り出すことで、その情報を維持管理する⼿段を提供する、App KeyValue Store (KV ストア) サービスは、実⾏する App 数によってディスク使⽤量が増加する可能性があります。KV ストアサービスのデータの保管場所を変更するには、server.conf を編集します。KV ストアが使⽤したデータを復元するには、splunk clean CLI コマンドを使⽤します。『管理』マニュアルの「App Key Value Store について」を参照してください。


Splunk Enterprise はパフォーマンスに悪影響を与える可能性のあるサーチコマンドを特定するようになSplunk Enterprise はパフォーマンスに悪影響を与える可能性のあるサーチコマンドを特定するようになりましたりました

セキュリティとパフォーマンスを向上しようと、いくつかのサーチ処理⾔語 (SPL) コマンドは可変定数とタグ付けされています。この可変定数は Splunk Enterprise がサーチクエリで使⽤される際のパフォーマンスの影響について警告するように促します。アップグレード後、実⾏したサーチにはリスクの⾼い副作⽤があると思われるコマンドがあると警告するメッセージが表⽰されます。

⾼速化されていないデータモデルの結果に⼀致する⾼速化データモデルの結果⾼速化されていないデータモデルの結果に⼀致する⾼速化データモデルの結果

⾼速化されていないデータモデルが、イベントのインデックスでクエリを⾏う⽅法が変更されています。

これらのモデルではデフォルトのインデックスだけでなく、すべてのインデックスでクエリが⾏われます。つまり、⾼速化されていないデータモデルの結果数が⾼速化されているデータモデルの結果数に⼀致することになります。

アップグレードした後は、⾼速化されていないデータモデルの結果がアップグレードする前より増える場合があります。

43


新しくインストールされるサービスは追加のネットワーク・ポートを開く新しくインストールされるサービスは追加のネットワーク・ポートを開く

Splunk Enterprise は、App Key Value Store と App サーバーの 2 つのサービスをインストール、実⾏します。これにより、ローカルマシン上ではデフォルトで 8065 (App サーバー⽤) および 8191 (App Key ValueStore ⽤) の、2 つのネットワークポートが開かれます。マシン上で動作するファイアウォールが、これらのポートをブロックすることがないようにしてください。App Key Value Store サービスは、mongod プロセスも開始します。必要に応じて、server.conf を編集し、 dbPath 属性を Splunk Enterprise インスタンスがアクセスできる有効なファイルシステムの有効なパスに変更することで、App Key Value Store を無効にできます。『管理』マニュアルの「App Key Value Store について」を参照してください。


単⼀値視覚エフェクトのフォーマッティングが変更されました単⼀値視覚エフェクトのフォーマッティングが変更されました

単⼀値視覚エフェクトのフォーマッティングが変更され、遠くからでも読めるように再設計されました。アップグレードする際に、視覚エフェクトを使⽤するダッシュボードは⾮常に⼤きな⽂字や数字で影響を受ける場合があります。

この問題に対処するには、以下のいずれかを⾏います。

クエリできる数値を表⽰する場合は、新しい時間コンテキストを利⽤します。Simple XML を使⽤してデフォルトの 115 ピクセルから単⼀値のパネル⾼さを減らします。または、単⼀値のパネルをカスタマイズされた HTML パネルと交換します。

アップグレードする前に追加情報を Splunk Answers で確認します。


⼀部の属性の新たなデフォルト値が SSL 経由の Splunk 操作に影響する可能性⼀部の属性の新たなデフォルト値が SSL 経由の Splunk 操作に影響する可能性

いくつかの新たなデフォルト値により、SSL 経由の Splunk Enterprise の使⽤に影響が出る可能性があります。

Splunk Enterprise による SSL クライアントの処理を制御する、supportSSLv3Only 属性のデフォルト設定がtrue になりました。この場合 SSL v3 プロトコルを使⽤できるクライアントのみが、Splunk Enterprise インスタンスに接続できます。SSL で使⽤できる暗号プロトコルを制御する、cipherSuite 属性のデフォルト設定は TLSV1+HIGH:@STRENGTH になりました。この場合、トランスポート層セキュリティ (TLS) v1 暗号に「high」が設定されている暗号スイートのみが、Splunk Enterprise インスタンスに接続できます。


[ログイン] ページをカスタマイズできなくなりました[ログイン] ページをカスタマイズできなくなりました

Splunk Enterprise 6.2 では、[ログイン] ページをカスタマイズできません。アップグレード後は、[ログイン]ページのフッターのみを変更できます。

Windows 固有の変更Windows 固有の変更

Internet Explorer バージョン 9 および 10 のサポートを廃⽌Internet Explorer バージョン 9 および 10 のサポートを廃⽌

Microsoft は、バージョン 11 以前の Internet Explorer のサポートをすべてが 2016 年 1 ⽉ 12 ⽇に終了したと発表しました。この発表を受け、Splunk はそれらのバージョンの Splunk Web のサポートを終了しました。Internet での閲覧経験が準最適となる可能性があります。

アップグレードする際、使⽤する Internet Explorer のバージョンも、11 以降にアップグレードしてください。代替⽅法は、Splunk がサポートする別のブラウザを使⽤することです。

Windows ホストのモニター⼊⼒によるアプリケーション状態のモニタリングの終了Windows ホストのモニター⼊⼒によるアプリケーション状態のモニタリングの終了

Windows ホストのモニター⼊⼒は、インストール済みアプリケーションの状態をモニタリングしないよう変更されています。

Splunk Enterprise がアプリケーションの状態をモニタリングするために使⽤するシステムコールのバグが原因で、Windows インストーラーサービスはすべてのインストール済みアプリケーションの再設定を試みます。

アップグレードすると、「アプリケーション」属性を参照する Windows ホストのモニター⼊⼒スタンザは機能しなくなります。アプリケーションの状態に関するデータを⼊⼿するには、Windows イベントログモニターを使⽤し、イベント ID Nos. 11707 (インストール⽤) または 11724 (アンインストール/削除⽤) をサーチします。

パワーシェルスクリプト (Get-WmiObject -Class Win32_Product | Format-List -Property Name、InstallDate、InstallLocation、PackageCache、Vendor、Version、IdentifyingNum) または WMIC (wmicproduct get name、version、installdate) も使⽤できます。

この変更は Splunk Enterprise 6.3 に導⼊されたものの、以前のバージョンから 6.5 にアップグレードする場合の44

ために維持されています。

新しいインストール/アップグレード⼿順新しいインストール/アップグレード⼿順

Windows 版の Splunk Enterprise では、インストールとアップグレードのワークフローが合理化されています。インストーラーには、特定のデフォルト値が⽤意されており (新規インストール⽤)、また既存の設定はそのまま保持されます (アップグレード⽤)。インストール時にデフォルト値を変更する場合は、[オプションのカスタマイズ]ボタンを選択する必要があります。アップグレード時には、使⽤許諾契約に同意するオプションのみが利⽤できます。「インストールオプション」を参照してください。

この機能は Splunk Enterprise 6.2 で導⼊されたものの、以前のバージョンから 6.5 にアップグレードする場合のために維持されています。

Windows ⼊⼒のより詳細な承認をサポートするために⾏われた変更Windows ⼊⼒のより詳細な承認をサポートするために⾏われた変更

Splunk Enterprise は Network Monitoring および Host Monitoring などの Windows ⼊⼒をより制御できるように更新されました。他のロールから継承されたものではないロールのあるユーザーとして Splunk Enterpriseを使⽤する場合、ユーザーは特定の Windows ⼊⼒にアクセスできない可能性があります。


Splunk Web サービスはインストールされるけれども実⾏されないSplunk Web サービスはインストールされるけれども実⾏されない

splunkd サービスはすべての Splunk Web 操作を取り扱います。ただし Windows インスタンスでは、splunkweb

サービスが引き続きインストールされます。標準動作時に、このサービスは起動してもすぐに終了します。レガシーモードでサービスを実⾏するように設定するには、web.conf の設定パラメータを変更します。『管理』マニュアルの「Windows での Splunk Enterprise のレガシーモードでの実⾏」を参照してください。

重要：Splunk Web をレガシーモードで常時使⽤することは避けてください。重要：Splunk Web をレガシーモードで常時使⽤することは避けてください。レガシーモードは、新たなユーザーインターフェイスと splunkd サービスの統合により発⽣した問題に対処する⽬的で、⼀時的に使⽤します。問題を解決したら、できる限り早く Splunk Web を標準モードに戻してください。


アップグレード後に FIPS 有効化のサポートはありませんアップグレード後に FIPS 有効化のサポートはありません

SSL を有効にした Splunk Enterprise システムから FIPS を有効にしたシステムへの、サポートされているアップグレードパスはありません。FIPS を有効にする必要がある場合は、新たにインストールを⾏う必要があります。

Windows イベントログデータをモニター時のセキュリティ識別⼦ (SID) グローバル固有識別⼦Windows イベントログデータをモニター時のセキュリティ識別⼦ (SID) グローバル固有識別⼦(GUIDs) のデフォルト挙動が変更になりました(GUIDs) のデフォルト挙動が変更になりました

etc_resolve_ad_obj 属性は、イベントログチャネルのモニター時に Splunk Enterprise が SID および GUID の解決を試みるかどうかを制御しますが、デフォルトによりすべてのチャンネルで無効になっています。アップグレードすると、この属性を明⽰的に定義していない inputs.conf モニタースタンザはこの変換を実⾏しません。


アップグレードに関する既知の問題についてアップグレードに関する既知の問題について

アップグレードに関するその他の問題については、リリースノートの「既知の問題 - アップグレードに関する問題」のページを参照してください。

分散 Splunk Enterpr ise 環境へのアップグレード⽅法分散 Splunk Enterpr ise 環境へのアップグレード⽅法

分散 Splunk Enterprise 環境はばらつきが⼤きいです。いくつかは複数のインデクサーまたはサーチヘッドを持ち、いくつかはサーチヘッドプールを持ち、他はインデクサーとサーチヘッドクラスタを持っています。これらの種類の環境は、単⼀インスタンスインストールのアップグレードへの課題を提⽰します。

ご利⽤の環境で従うアップグレード⼿順を判断するご利⽤の環境で従うアップグレード⼿順を判断する

ご利⽤の分散環境に応じて、アップグレードを完了するには個別の指⽰に従う必要がある場合があります。このトピックは、インデックスまたはサーチヘッドクラスタ等のクラスタエレメントを持たない分散環境をアップグレードする⽅法を説明します。廃⽌されたサーチヘッドプールサーチヘッドプール機能を使う環境をアップグレードする⽅法についても説明します。インデクサークラスタやサーチヘッドクラスタ等のクラスタエレメントを持つ環境は、異なるトピックに異なるアップグレード⼿順があります。

サーチヘッドプールを持つ、またはクラスタエレメントを持たない分散環境をアップグレードするには、このトピックの⼿順に従ってください。インデックスクラスタを持つ環境をアップグレードするには、『インデクサーとインデクサーのクラスタの管理』の「インデクサークラスタのアップグレード」を参照してください。サーチヘッドクラスタを持つ環境をアップグレードするには、『分散サーチ』の「サーチヘッドクラスタのアップグレード」を参照してください。分散 Splunk Enterprise 環境のアップグレードに関するその他の質問がある場合は、Splunk サポートポータルで案件を登録してください。

45

分散コンポーネント間の複数バージョンの互換性分散コンポーネント間の複数バージョンの互換性

様々な Splunk ソフトウェアコンポーネント間の互換性にはばらつきがありますが、すべてが特定のバージョンであれば最⾼のパフォーマンスを発揮します。分散デプロイの 1 つ以上のコンポーネントをアップグレードする必要がある場合、アップグレードするコンポーネントとアップグレードしないコンポーネントの互換性が保たれることを確認してください。

異なるバージョンのサーチヘッドサーチヘッドとサーチピアサーチピア間の互換性については、『分散サーチ』の「分散サーチに関するシステム要件とその他のデプロイ上の検討事項」を参照してください。インデクサーとフォワーダー間の互換性については、『データの転送』の「フォワーダーとインデクサー間の互換性」を参照してください。

アップグレード前の App のテストアップグレード前の App のテスト

分散環境をアップグレードする前に、アップグレードするバージョンの Splunk Enterprise で Splunk App が動作することを確認してください。サーチヘッドプールを利⽤する分散環境をアップグレードする場合、プールにあるサーチヘッドは App や設定⽤に共有ストレージスペースを使⽤するため、App のテストが必要になります。

アップグレードすると、プールを使⽤するサーチヘッドをアップグレードする場合、そのための共有ストレージにApp をコピーする必要があることを警告するメッセージが表⽰されます。⾃動的にコピーされることはありません。アップグレード時には、Splunk Enterprise に同梱されている App も含めて (サーチ App など)、更新したApp を⼿動で共有ストレージにコピーする必要があります。そうしないと、アップグレードの完了後にユーザーインターフェイスに関する問題が発⽣する可能性があります。

1. リファレンスマシン上で、現在実⾏している Splunk Enterprise の完全版をインストールします。2. このインスタンス上に App をインストールします。3. App にアクセスし、想定通りに動作するかどうかを確認します。4. インスタンスをアップグレードします。5. App にもう⼀度アクセスし、動作しているかどうかを確認します。

App が正しく動作した場合、分散環境のアップグレード時に、それらを適切な場所に移動することができます。

プールを使わないサーチヘッドを使⽤している場合は、サーチヘッドのアップグレード時に App を各サーチヘッドの $SPLUNK_HOME/etc/apps に移動します。プールを使⽤するサーチヘッドの場合は、そのサーチヘッドが App を探す共有ストレージに App を移動します。

複数のインデクサーとプールを使⽤しないサーチヘッドを持つ分散環境のアップグ複数のインデクサーとプールを使⽤しないサーチヘッドを持つ分散環境のアップグレードレード

この⼿順は、可⽤性を保つため、まずサーチヘッドティアを、それからインデックス作成ティアをアップグレードします。

アップグレード準備アップグレード準備

1. プールを使わないサーチヘッドが使⽤しているすべての App が、アップグレード版の Splunk でも動作することを確認します (「アップグレード前の App のテスト」を参照)。

2. (任意) 環境内でデプロイサーバーデプロイサーバーを使⽤している場合は、⼀時的にそれを無効にします。こうすることによって、サーバーが無効な設定を他のコンポーネントに配布することを防⽌できます。

3. (任意) デプロイサーバーをアップグレードしますが、再起動は⾏わないでください。

サーチヘッドのアップグレードサーチヘッドのアップグレード

1. いずれかのサーチヘッドを無効にします。2. サーチヘッドをアップグレードします。再起動は許可しないでください。3. サーチヘッドをアップグレードしたら、正常動作を確認した App をサーチヘッドの $SPLUNK_HOME/etc/apps

ディレクトリに配置します。4. サーチヘッドを再度有効にして再起動します。5. サーチヘッドで App をテストし、操作と機能を確認します。6. サーチヘッドに何も問題がない場合は、残りのサーチヘッドも 1 台ずつ無効にしてアップグレードしていき

ます。環境にあるすべてのサーチヘッドに対して、この⼿順を繰り返します。7. (任意) 作業完了後に各サーチヘッドの動作や機能をテストしてください。8. 最後のサーチヘッドのアップグレードが完了した後、すべてのサーチヘッドの動作と機能をテストしてくだ

さい。

インデクサーのアップグレードインデクサーのアップグレード

1. インデクサーを 1 台ずつ無効にしてアップグレードします。アップグレード後はすぐにインデクサーを再起動することができます。

2. サーチヘッドがすべてのインデクサーでデータを探せるかどうかテストします。3. すべてのインデクサーをアップグレードしたら、デプロイサーバーを再起動します。

複数のインデクサーとプールを使⽤するサーチヘッドを持つ分散環境のアップグレー複数のインデクサーとプールを使⽤するサーチヘッドを持つ分散環境のアップグレードド

分散環境に、プールを使⽤しているサーチヘッドプールを使⽤しているサーチヘッドがある場合、環境のアップグレード⼿順は⼤幅に複雑になります。ダウンタイムに制約がある場合は、メンテナンスウィンドウを使ってアップグレードを⾏います。

こうした環境のアップグレードの主な概念は以下の通りです。

46

プールを使⽤しているサーチヘッドは、グループとして有効/無効にする必要があります。プール内のすべてのサーチヘッドの Splunk Enterprise バージョンは同じでなければなりません。サーチヘッドプールをアップグレードする前に、サーチヘッドが使⽤する App と設定をテストする必要があります。

ここに記載されている事項以外に何か疑問や懸念がある場合は、Splunk サポートポータルをご利⽤ください。

複数のインデクサーとプールを使⽤するサーチヘッドを持つ分散環境をアップグレードするには：

アップグレード準備アップグレード準備

各サーチヘッド上でサーチヘッドプールの使⽤を有効/無効にする⽅法については、『分散サーチ』マニュアルの「サーチヘッドプールの設定」を参照してください。

1. プールを使うサーチヘッドが使⽤するすべての App が、アップグレード版の Splunk Enterprise でも動作することを確認します (「アップグレード前の App のテスト」を参照)。

2. 環境内でデプロイサーバーデプロイサーバーを使⽤している場合は、⼀時的にそれを無効にします。こうすることによって、サーバーが無効な設定を他のコンポーネントに配布することを防⽌できます。

3. デプロイサーバーをアップグレードしますが、再起動は⾏わないでください。4. 機能および操作テストのためにアップグレードする、サーチヘッドプール内のサーチヘッドを指定します。5. この解説のリマインダとして、サーチヘッダを「サーチヘッド #1」とします。

注意：注意：サーチヘッドをアップグレードする前に、サーチヘッドプールからサーチヘッドを⼀時的に除外する必要があります。複数の理由からこの作業を実施する必要があります。

サーチヘッドプールの共有ストレージで提供されている App やユーザーオブジェクトの変更を防⽌する。アップグレード中の、不注意によるローカル App やシステム設定の共有ストレージへの移⾏を防⽌する。アップグレード中に問題があった場合に、その備えとして使⽤する有効なローカル設定を確保する。

アップグレードの結果問題が発⽣した場合に、バックアップ⼿段としてサーチヘッドを⼀時的に⾮プール構成で使⽤することができます。

サーチヘッドプールのアップグレードサーチヘッドプールのアップグレード

警告：警告：各サーチヘッドをアップグレードする前にサーチヘッドプールから各サーチヘッドを削除してください。アップグレード完了後に、プールに再び追加します。各サーチヘッドの動作と機能を確認する必要はありませんが、アップグレード作業中は 1 回に 1 台のサーチヘッドのみを稼働することができます。

1. 環境内のすべてのサーチヘッドを停⽌します。この時点でサーチ機能は使⽤できなくなります。この状態は、アップグレード後にすべてのサーチヘッドを再起動するまで続きます。

2. 確認が完了した App を、サーチヘッドプールの共有ストレージに配置します。3. サーチヘッド 1 をサーチヘッドから削除します。4. サーチヘッド 1 をアップグレードします。5. サーチヘッド 1 を再起動します。6. サーチヘッドをテストし、動作と機能を確認します。この場合、「動作と機能」とは、インスタンスが起動

し、正常にログインできるかどうかを意味しています。共有ストレージで提供されている App やオブジェクトを使⽤できるかどうかではありません。また、分散サーチが正常に実⾏されるかどうかでもありません。

7. アップグレードしたサーチヘッド 1 が⽬的通りに機能している場合は停⽌させます。8. サーチヘッドから共有ストレージに、App とユーザー基本設定をコピーします。9. サーチヘッドプールに再びサーチヘッドを追加します。

10. サーチヘッドを再起動します。11. この⼿順に従って、プール内の残りのサーチヘッドを 1 つずつアップグレードします。

サーチヘッドの再起動サーチヘッドの再起動

1. プール内の最後のサーチヘッドのアップグレードが完了した後、すべてのサーチヘッドを再起動します。2. すべてのサーチヘッドの機能と動作を、サーチヘッドプールが提供するすべての App とユーザーオブジェ

クトにまたがってテスト/確認します。3. すべてのインデクサーにまたがって、分散サーチをテスト/確認します。

インデクサーのアップグレードインデクサーのアップグレード

注意：サーチヘッドとインデクサー間のバージョンの互換性については、『分散サーチ』の「分散サーチに関するシステム要件とその他のデプロイ上の検討事項」を参照してください。

1. (ダウンタイムに関する懸念事項がない場合は任意) インデクサーを選択して環境での実⾏を維持し、「インデクサー #1」と指定します。

2. (ダウンタイムに関する懸念事項がない場合は任意) 2 つ⽬のインデクサーを選択して環境での実⾏を維持し、「インデクサー #2」と指定します。

3. アップタイムを維持する必要がある場合は、インデクサー #1を除くすべてのインデクサーを停⽌します。そうでない場合は、すべてのインデクサーを停⽌して⼿順 7 に進みます。

4. インデクサー #2 をアップグレードします。5. インデクサー #2 を起動して、正常に動作、機能するかどうかを確認します。6. インデクサー #2 が正常に動作、機能することを確認したら、インデクサー #1 を停⽌します。7. インデクサー #1、および残りすべてのインデクサーを⼀度に 1 台ずつアップグレードしていきます。アッ

プグレード後はインデクサーをすぐに再起動できます。8. すべてのインデクサーにまたがって、機能と動作をテスト/確認します。9. デプロイサーバーを再起動して、正常に動作、機能するかどうかを確認します。

フォワーダーのアップグレードフォワーダーのアップグレード

47

分散環境をアップグレードする場合、その環境内にあるユニバーサルフォワーダーもアップグレードすることができます。これは必須の作業ではありません。必要に応じて作業を⾏うかどうかを判断してください。フォワーダーは常にインデクサーの最新のバージョンと互換性があります。

ユニバーサルフォワーダーをアップグレードするには、『ユニバーサルフォワーダー』マニュアルの以下のトピックを参照してください。

Windows ユニバーサルフォワーダーのアップグレード*nix システムのユニバーサルフォワーダーのアップグレード

バージョン 5 からバージョン 6 への Splunk Web の操作の変更バージョン 5 からバージョン 6 への Splunk Web の操作の変更

ここでは、Splunk Web を使って作業を⾏う場合の、バージョン 5.x とバージョン 6.3 の主な違いについて説明しています。

変更内容変更内容

⼿順/タスク⼿順/タスク従来従来今回今回

Splunk Enterpriseへの初回ログイン

5.x の Splunk Enterprise には、[ようこそ] タブと [Splunk ホーム]タブの 2 種類のタブがありました。[ようこそ] では、データの追加とサーチ App の起動を⾏うことができました。

6.3 の Splunk Enterprise では、[ホーム] が表⽰されます。ホームの主な構成要素として、Splunk Enterprise ナビゲーションバー、[App] パネル、Splunk Enterprise の探索パネル、およびデフォルトのカスタムダッシュボード (ここには表⽰されていません) などがあります。

ホームに戻る 5.x でホームに戻るには、App メニューからホーム App を選択していました。

6.3 では、ナビゲーションバーの左上にある、Splunk ロゴをクリックします。そうすることで、いつでもホームに戻ることができます。

アカウント情報の編集

5.x では、アカウント情報にアクセス (名前、メールアドレス、デフォルト App、タイムゾーン、パスワードの変更) するために、[管理] >[ユーザーと認証] > [ご⾃分のアカウント] に移動していました。

6.3 では、Splunk ナビゲーションの [管理者] >[アカウントの編集] からアカウント情報に直接アクセスします。

Splunk Enterpriseからのログアウト

5.x では、ナビゲーションバーの[ログアウト] ボタンをクリックしていました。

6.3 では、[管理者] > [ログアウト] を選択します。(Administrator としてログインしてない場合は、ログインしているユーザーのフルネームが表⽰されます。この名前をクリックすると、[ログアウト] オプションが表⽰されます)

管理/設定 5.x では、すべてのオブジェクト/システム設定の編集を、[管理] ページまたはナビゲーションバーの [管理者] リンクから⾏っていました。

6.3 では、[設定] メニューからこれらの設定に直接アクセスすることができます。個別の [管理] ページはありません。

48

App の管理：インストールされた App の権限の編集、新しいApp の作成、またはコミュニティ App のための Splunk Appsの参照

5.x では、[管理] > [App] を使⽤するか、または App メニューから選択していました。

6.3 では、ナビゲーションバーの [App] メニュー、またはホームページの [App] にある⻭⾞アイコンを使⽤します。

サーチサマリー、サーチ

サーチおよびレポート

ダッシュボードおよびビュー

サーチ

レポート

ダッシュボード

フィールドの抽出またはソース表⽰

サーチ結果で、イベントのタイムスタンプの左にある⽮印をクリックして、[フィールドの抽出] または[ソースの表⽰] を選択していました。

サーチ結果で、イベントのタイムスタンプの左にある⽮印をクリックして、[イベントアクション] をクリックします。[フィールドの抽出] または [ソースの表⽰] を選択します。

アラートリストの検索

ナビゲーションバーで [アラート]を選択していました。

ナビゲーションバーで [アクティビティ] > [⽣成されたアラート] を選択します。

タイムラインの検索 5.x ではサーチの実⾏後、ダッシュボードの⼀部として常にタイムラインが表⽰されていました。タイムラインは⾮表⽰にすることができます。

6.3 では、サーチの実⾏後に [イベント] タブを表⽰している場合にのみ、タイムラインを参照できます。

Splunk App 開発者向けの変更Splunk App 開発者向けの変更

Splunk プラットフォーム⽤の App を開発する場合は、このトピックを参照し、ソフトウェアとバージョン 6.5の App との連動⽅法、および既存の App を新しいバージョンで使⽤するための移⾏⽅法の変更について確認してください。

⼤きな変更なし⼤きな変更なし

Splunk Enterprise のバージョン 6.4 とバージョン 6.5 の間では、Splunk App 開発者向けには⼤きな変更はありません。

新スタンドアロンアプリケーションで App を調査可能新スタンドアロンアプリケーションで App を調査可能

Splunk Enterprise バージョン 6.5 で、Splunk は AppInspect というスタンドアロン App をリリースします。このアプリケーションは、App を評価し、Splunk が Splunkbase からのダウンロードを App に認証することを

49

阻害する可能性がある問題について勧告します。

AppInspect の詳細については、Splunk 開発者向けポータルの「Splunk AppInspect の概要」を参照してください。

UNIX での 6.5 へのアップグレードUNIX での 6.5 へのアップグレード

アップグレードする前にアップグレードする前に

アップグレードする前に、既存のバージョンからアップグレードした場合に影響を及ぼす可能性がある、新バージョンの変更点の詳細について、「6.5 へのアップグレードについて：最初にお読みください」を参照してください。

Splunk Enterprise には、前のバージョンへのダウングレード⼿段を提供していません。古い Splunk リリースに戻す必要がある場合は、アップグレードしたバージョンをアンインストールして必要なバージョンを再インストールします。

ファイルのバックアップファイルのバックアップ

アップグレードを実⾏する前に、Splunk Enterprise 設定、インデックスデータ、およびバイナリを含めて、すすべてのファイルをバックアップべてのファイルをバックアップします。

データのバックアップについては、『インデクサーとクラスタの管理』マニュアルの「インデックス作成されたデータのバックアップ」を参照してください。

設定のバックアップの詳細は、『管理』マニュアルの「設定情報のバックアップ」を参照してください。

アップグレードの仕組みアップグレードの仕組み

Splunk Enterprise インストールをアップグレードするには、新バージョンを旧バージョンの真上 (同じインストールディレクトリ) にインストールする必要があります。アップグレード後に Splunk Enterprise を開始すると、ファイルが変更されたことを検知し、アップグレードを⾏う前に移⾏による変更をプレビューするかどうか確認します。

続⾏する前に変更内容を確認することを選択した場合、アップグレードスクリプトは提案する変更を$SPLUNK_HOME/var/log/splunk/migration.log.<timestamp> ファイルに書き込みます。

Splunk Enterprise は再起動するまで設定を変更しません。

Splunk Enterpr ise のアップグレードSplunk Enterpr ise のアップグレード

1. アップグレードするインスタンスを持つホストでシェルプロンプトを開きます。2. $SPLUNK_HOME/bin ディレクトリに移動します。3. $SPLUNK_HOME/bin/splunk stop コマンドを実⾏してインスタンスを停⽌します。4. Splunk Enterprise を⾃動的に開始できる他のプロセスがないことを確認します。5. アップグレード/移⾏するには、既存のデプロイ環境の真上に Splunk Enterprise パッケージをインストー

ルします。.tar ファイルを使⽤する場合、既存の Splunk Enterprise インスタンスと同じディレクトリに、同じ所有権で解凍します。これにより、⼀致するファイルは上書き、置換されますが、独⾃のファイルが削除されることはありません。tar zxf splunk-6.x.x-<version-info>.tgz -C /splunk/parent/directory

RPM などのパッケージマネージャーを使⽤する場合は、次のように⼊⼒します：rpm -U

splunk_package_name.rpm

.dmg ファイル (MacOS X で) を使⽤する場合は、ファイルをダブルクリックした後、指⽰に従って作業を⾏います。既存のインストールと同じインストールディレクトリを指定してください。

6. $SPLUNK_HOME/bin/splunk start コマンドを実⾏します。Splunk Enterprise は以下の出⼒を表⽰します。This appears to be an upgrade of Splunk.

--------------------------------------------------------------------------------

Splunk has detected an older version of Splunk installed on this machine. To

finish upgrading to the new version, Splunk's installer will automatically

update and alter your current configuration files. Deprecated configuration

files will be renamed with a .deprecated extension.

You can choose to preview the changes that will be made to your configuration

files before proceeding with the migration and upgrade:

If you want to migrate and upgrade without previewing the changes that will be

made to your existing configuration files, choose 'y'.

If you want to see what changes will be made before you proceed with the

upgrade, choose 'n'.

Perform migration and upgrade without previewing configuration changes? [y/n]

7. 移⾏プレビュースクリプトを実⾏して既存の設定ファイルに対して⾏われる変更内容を確認するかどうか、または移⾏処理を続⾏してすぐにアップグレードを⾏うかを選択します。変更内容を確認することを選択した場合は、そのリストが表⽰されます。

8. 変更内容を確認した後、移⾏とアップグレードを続⾏する準備ができた場合は、 $SPLUNK_HOME/bin/splunk

start を再実⾏します。

使⽤許諾契約のアップグレードと受諾を同時に⾏う使⽤許諾契約のアップグレードと受諾を同時に⾏う

50

新たなファイルを Splunk Enterprise インストールディレクトリに保管した後、1 つのコマンドで使⽤許諾を受諾し、アップグレードを⾏うことができます。

ライセンスに同意して、アップグレードを続⾏する前に変更内容を表⽰ (回答は「n」) するには、以下のコマンドを使⽤します：

$SPLUNK_HOME/bin/splunk start --accept-license --answer-no

ライセンスに同意して、変更内容を確認せずにアップグレードを開始 (回答は「y」) する場合：

$SPLUNK_HOME/bin/splunk start --accept-license --answer-yes

Windows での 6.5 へのアップグレードWindows での 6.5 へのアップグレード

GUI インストーラーを使⽤するか、またはコマンドラインで msiexec ユーティリティを実⾏して (「コマンドラインを使った Windows へのインストール」を参照)、アップグレードを⾏うことができます。

Splunk では、前のバージョンへのダウングレード⼿段を提供していません。

Splunk Enterprise をアップグレードした後にダウングレードする必要がある場合は、アップグレードしたバージョンをアンインストールした後に古いバージョンの Splunk Enterprise を再インストールする必要があります。以前のバージョンのインストーラーで、アップグレード済みインストール上にインストールしないでください。インスタンスの破損やデータ損失につながる可能性があります。

アップグレードする前にアップグレードする前に

アップグレードする前に、既存のバージョンからアップグレードした場合に影響を及ぼす可能性がある、新バージョンの変更点の詳細について、「6.5 へのアップグレードについて：最初にお読みください」を参照してください。

Splunk Enterprise には、前のバージョンへのダウングレード⼿段を提供していません。古い Splunk リリースに戻す必要がある場合は、アップグレードしたバージョンをアンインストールして必要なバージョンを再インストールします。

Windows ドメインユーザーは、インストール時に指定したものと⼀致する必要がありますWindows ドメインユーザーは、インストール時に指定したものと⼀致する必要があります

ドメインユーザーで Splunk Enterprise をインストールした場合は、アップグレード中に明⽰的に同じドメインユーザーを指定する必要があります。そうしない場合、Splunk Enterprise はアップグレードをローカルシステムユーザーとしてインストールします。これを⾏わない場合、またはアップグレード中に誤って間違ったユーザーを指定した場合、Splunk Enterprise を開始する前に正しいユーザーに切り替えるには、「インストール中に選択したユーザーを修正する」を参照してください。

アップグレード中の Splunk Enterprise ポートの変更は推奨しませんアップグレード中の Splunk Enterprise ポートの変更は推奨しません

アップグレード時の管理⽤ポートや Splunk Web ポートの変更を、Splunk Enterprise はサポートしていないことに注意してください。ポートを変更する必要がある場合は、アップグレードの前または後に実⾏します。

ファイルのバックアップファイルのバックアップ

アップグレード前に、Splunk Enterprise 設定、インデックスデータ、およびバイナリを含めて、すべてのファイルをバックアップします。

データのバックアップについては、『インデクサーとクラスタの管理』マニュアルの「インデックス作成されたデータのバックアップ」を参照してください。設定のバックアップの詳細は、『管理』マニュアルの「設定情報のバックアップ」を参照してください。

カスタム証明機関の証明控えを保管しますカスタム証明機関の証明控えを保管します

Windows でアップグレードする場合、%SPLUNK_HOME%\etc\auth 内に作成した任意のカスタムの認証局 (CA) 証明書が上書きされます。カスタム証明機関ファイルがある場合は、アップグレード前に忘れずにバックアップしてください。アップグレード後、%SPLUNK_HOME%\etc\auth に復元できます。証明書を復元したら、Splunk Enterprise を再起動します。

GUI インストーラーを使った Splunk Enterpr ise のアップグレードGUI インストーラーを使った Splunk Enterpr ise のアップグレード

1. Splunk のダウンロードページから、新しい MSI ファイルをダウンロードします。2. MSI ファイルをダブルクリックします。インストーラーが実⾏され、マシンにインストールされている既存

の Splunk Enterprise バージョンの検出が試みられます。古いバージョンが⾒つかった場合は、使⽤許諾契約に同意するかどうかを確認するパネルが表⽰されます。

3. 使⽤許諾契約を承認します。インストーラーがアップデート済み Splunk Enterprise をインストールします。このアップグレード⽅法は既存のインストールからすべてのパラメータを維持します。デフォルト設定により、インストーラーはアップグレード完了後に Splunk Enterprise を再起動し、アップグレード中に設定ファイルに⾏われた変更のログを %TEMP% に保管します。

コマンドラインを使ったアップグレードコマンドラインを使ったアップグレード

1. Splunk のダウンロードページから、新しい MSI ファイルをダウンロードします。2. 「コマンドラインを使った Windows へのインストール」の説明に従って、ソフトウェアをインストールし

ます。

51

Splunk が Local System ユーザー以外のユーザーとして動作している場合、コマンドラインにはそのユーザーを USERNAME フラグで指定します。LAUNCHSPLUNK フラグを使って、アップグレード完了時に Splunk Enterprise を⾃動起動するかどうかを指定できますが、その他の設定を変更することはできません。現時点では、ネットワークポート (SPLUNKD_PORT および WEB_PORT) を変更しないでください。

3. 指定内容に応じて、インストール完了時に Splunk Enterprise が⾃動的に開始されることがあります。

Splunk Enterpr ise インスタンスの移⾏Splunk Enterpr ise インスタンスの移⾏

重要：これらの移⾏⼿順はオンプレミスの Splunk Enterprise インスタンスだけを対象としています。重要：これらの移⾏⼿順はオンプレミスの Splunk Enterprise インスタンスだけを対象としています。

Splunk Cloud のユーザーの場合、または Splunk Enterprise から Splunk Cloud にデータを移⾏する場合は、これらの⼿順は使⽤しないでください。サポートが必要な場合は、プロフェッショナルサービスにお問い合わせください。

インデックスデータ、設定、およびユーザーを維持しながら、あるサーバー、オペレーティングシステム、アーキテクチャ、またはファイルシステムから、もう⼀⽅に移⾏することができます。Splunk Enterprise インスタンスの移⾏は、インスタンスのアップグレードとは異なります。アップグレードは、古いインスタンスに単純に新しいバージョンをインストールします。アップグレードも移⾏の形態の 1 つです。

上記の⼿順を使⽤して Splunk Enterprise インストールを Splunk Cloud に移⾏しないでください。データロスが⽣じる場合があります。情報および⼿順についてはプロフェッショナルサービスまたは Splunk Cloud 担当にお問い合わせください。

移⾏理由移⾏理由

Splunk Enterprise インストールを移⾏する理由はさまざまです。

Splunk Enterprise が存在しているホストを退役させたい、または他の⽬的に使⽤したい。組織または Splunk Enterprise がすでにサポートしていないオペレーティングシステムに Splunk がインストールされており、サポートがあるオペレーティングシステム上に移動したい。オペレーティングシステムを切り替える場合 (たとえば、*nix から Windows へ、またはその逆)。Splunk Enterprise インストールを別のファイルシステムに移動したい。32 ビットアーキテクチャにインストールされている Splunk Enterprise を、パフォーマンス向上のため 64ビットアーキテクチャに移動したい。サポートを停⽌する予定のアーキテクチャに Splunk Enterprise がインストールされており、新しいアーキテクチャにそれを移動したい。

Splunk Enterpr ise の移⾏に関する考察Splunk Enterpr ise の移⾏に関する考察

多くの場合 Splunk Enterprise インスタンスの移⾏は単純な作業ですが、実施する際に検討する必要がある重要な事項が存在しています。移⾏に関与するシステムのタイプ、バージョン、およびアーキテクチャによっては、複数の事項を同時に考慮しなければならないこともあります。

Splunk Enterprise インスタンスを移⾏する場合、以下の事項に注意してください。

EndianEndian

4.2 より前のバージョンの Splunk Enterprise でインデックスが作成されたデータがある場合、そのデータを構成するインデックスファイルは、オペレーティングシステムの Endian (システムがバイナリファイル (または他のデータ構造) の個別のバイトを編成する⽅法) に依存しています。

big-endian (コンピューターメモリ内の最上位のバイトを先に保管) を使⽤するオペレーティングシステムもあれば、little-endian (最下位のバイトを先に保管) を使⽤するオペレーティングシステムもあります。これらのオペレーティングシステムは、同じ Endian のバイナリファイルを作成します。インデックスのバケツファイルはバイナリファイルなので、バージョン 4.2 より前の Splunk Enterprise の場合、バケツファイルの Endian は、それが作成されたオペレーティングシステムの Endian と同じになります。

プロセッサのアーキテクチャと Endian の⼀覧については、Wikipedia の Endianness に関する記事を参照してください。

バージョン 4.2 より前の Splunk Enterprise インスタンスから移⾏する場合、宛先システムが移⾏したデータを正常に読み取れるように、同じ Endian を使⽤するシステムにインデックスファイルを転送する必要があります(例：SPARC プロセッサ上で動作する NetBSD システムから、SPARC プロセッサが動作する Linux システムに)。

同じ Endian を使⽤するシステムにインデックスを移動できない場合は (例：big-endian を使⽤するシステムからlittle-endian を使⽤するシステムに移動したい場合)、big-endian システムから little-endian システムにデータを転送することで、移動することができます。すべてのデータを転送した後、big-endian システムを退役させることができます。

Splunk Enterprise 4.2 以降のバージョンで作成されたインデックスファイルには、ホスト Endian に関する問題はありません。

Windows と UNIX のパス区切り⽂字の違いWindows と UNIX のパス区切り⽂字の違い

*nix と Windows のパス区切り⽂字 (パスの個別のディレクトリエレメントを区切るために使われる⽂字) は異なっています。これらのオペレーティングシステム間でインデックスファイルを移動する場合、使⽤するパス区切りがターゲットオペレーティングシステムに対して正しいことを確認する必要があります。また、各 Splunk 設定ファイル (特に indexes.conf) を、正しいパス区切り⽂字を使⽤するように更新する必要もあります。

52

パス区切りの Splunk Enterprise インストールへの影響の詳細については、『管理』マニュアルの「*nix とWindows の Splunk 操作の違い」を参照してください。

Windows アクセス許可Windows アクセス許可

Windows ホスト間で Splunk Enterprise インスタンスを移動する場合、宛先サーバーにはソースホストと同じ権限/アクセス許可を割り当てていることを確認する必要があります。これには、以下の事項が含まれますが、これに限定されるものではありません。

ターゲットホストのファイルシステム/共有アクセス許可が正しく、Splunk Enterprise を実⾏するユーザーにアクセスを許可していることを確認してください。Local System ユーザー以外のアカウントで Splunk Enterprise を実⾏している場合、そのユーザーがローカル Administrators グループのメンバーで、グループポリシーオブジェクトにより、適切なローカルセキュリティポリシーまたはドメインポリシー権限が割り当てられていることを確認します。

アーキテクチャの変更アーキテクチャの変更

Splunk Enterprise インスタンスが動作しているアーキテクチャをダウングレードする場合 (例：64 ビットから32 ビット)、64 ビットオペレーティングシステムや Splunk Enterprise インスタンスが作成した⼤量のファイルが原因で、新しいサーバー上でのサーチパフォーマンスが低下する可能性があります。

分散およびクラスタ構成 Splunk 環境分散およびクラスタ構成 Splunk 環境

分散 Splunk インスタンス (サーチピアのグループの⼀部であるインデクサー、またはインデクサーのデータをサーチするように設定されたサーチヘッド) 上のデータを移⾏する場合、移⾏する前にそのインスタンスを分散環境から削除する必要があります。

バケツ ID と潜在的なバケツの競合バケツ ID と潜在的なバケツの競合

ある Splunk Enterprise インスタンスを、既存の同名のインデックスを持つ他の Splunk インスタンスに移⾏する場合、それらのインデックス内の各バケツが、競合しないバケツ ID を持っていることを確認する必要があります。競合するバケツ ID を持つバケツのあるインデックスが存在している場合、Splunk Enterprise は開始されません。インデックスデータをコピーする場合、このような競合を防⽌するために、コピーしたバケツファイルの名前を変更しなければならないことがあります。

移⾏⽅法移⾏⽅法

*nix システムに移⾏する場合、ダウンロードした tar ファイルを、新しいシステムにコピーしたファイル上に直接抽出することができます。または、ダウンロードしたパッケージとパッケージマネージャを使⽤して、アップグレード作業を⾏います。Windows システム上では、インストーラーが Splunk ファイルを⾃動的に更新します。

1. 移⾏するサーバー上で、Splunk Enterprise を停⽌します。2. $SPLUNK_HOME ディレクトリのすべての内容を、古いホストから新しいホストにコピーします。3. ターゲットプラットフォーム上に、適切なバージョンの Splunk Enterprise をインストールします。4. インデックス設定ファイル (indexes.conf) に、デフォルト以外のインデックスの場所とパスが正しく設定さ

れていることを確認します。5. 新たなインスタンスで Splunk Enterprise を開始します。6. 認証情報を使って Splunk Enterprise にログインします。7. ログインした後、サーチを実⾏して、データが従来通りであることを確認します。

あるホストから別のホストへのインデックスバケツの移⾏⽅法あるホストから別のホストへのインデックスバケツの移⾏⽅法

Splunk Enterprise インスタンスを退役させる⽬的ですぐにデータを他のインスタンスに移動したい場合、以下の条件を満たしている限りインデックス内の各バケツをホスト間で移動することができます。

ソースおよびターゲットホストの Endian が同じである。4.2 以降のバージョンの Splunk Enterprise で作成されたバケツを、4.2 未満のバージョンの Splunk に復元しない。

注意：注意：個別のバケツファイルをコピーする場合、新しいシステム上でバケツ ID の競合が発⽣していないことを確認する必要があります。そうでないと、Splunk Enterprise は開始されません。バケツディレクトリをソースシステムからターゲットシステムにコピーした後、個別のバケツディレクトリ名を変更しなければならないことがあります。

1. ソースホストの任意のホットバケツを、ホットからウォームに移⾏します。2. 古いホストの indexes.conf を参照して、ホスト上のインデックスのリストを確認します。3. ターゲットホスト上で、ソースシステムと同⼀のインデックスを作成します。4. ソースホストからターゲットホストに、インデックスバケツをコピーします。5. Splunk Enterprise を再起動します。

新しい Splunk Enterpr ise ライセンサーへの移⾏新しい Splunk Enterpr ise ライセンサーへの移⾏

このトピックの⼿順に従って、4.2 以前のバージョンを実⾏する Splunk Enterprise デプロイから 4.2 以降のライセンスモデルにライセンス設定を移⾏する⽅法について学びます。

注意：注意：このトピックは、Splunk Enterprise デプロイ環境全体のアップグレードについてはカバーしていません。Splunk Enterprise デプロイ環境をアップグレードする前に、「Splunk のアップグレード⽅法」を参照してください。

続⾏する前に、以下を参照します。

53

Splunk ライセンスの概要については、『管理』マニュアルの「Splunk ライセンスの仕組み」を参照してください。Splunk ライセンス⽤語については、『管理』マニュアルの「グループ、スタック、プール、およびその他の⽤語」を参照してください。

古いライセンス古いライセンス

Splunk Enterprise の古いバージョンから移⾏する場合は、ほぼ以下の 2 種類に分類することができます。

Splunk Enterprise 4.0 以降を実⾏している場合、ライセンスは 4.2 以降でも機能します。Splunk Enterprise 4.0 未満のバージョンから移⾏する場合は、Splunk 営業担当に連絡して新しいライセンスを⼿配する必要があります。移⾏を進める前に、「4.0 にアップグレードする際に関する情報」を参照してください。ご利⽤の Splunk Enterprise バージョンの古さによっては、設定を維持するために複数の段階を踏んで移⾏する⽅が良い場合もあります (例：まずバージョン 4.0 に移⾏し、次に 4.1、4.2 へと移⾏して最終的に 5.0 以降に移⾏する)。

サーチヘッドの移⾏サーチヘッドの移⾏

サーチヘッドが古いフォワーダーライセンスを使⽤している場合、それらは⾃動的にダウンロードトライアルグループ内に変換されます。続⾏する前に、サーチヘッドを確⽴された Enterprise ライセンスプールに追加します。インデックス作成量がない場合でも、これによりアラートや認証などの Enterprise 機能が有効になります。

スタンドアロン・インスタンスの移⾏スタンドアロン・インスタンスの移⾏

単独の 4.1.x Splunk Enterprise インデクサーが存在し、それに単⼀のライセンスがインストールされている場合、標準のようにアップグレードを続⾏できます。⼿順については、「Splunk のアップグレード⽅法」を参照の上、移⾏の前に「最初にお読みください」⽂書を読んでください。

既存のライセンスは、新たなライセンサーで機能します。また、有効なスタックスタックとして表⽰されます。インデクサーはデフォルトプールのメンバーとして表⽰されます。

分散インデックスデプロイ環境の移⾏分散インデックスデプロイ環境の移⾏

独⾃のライセンスを保有する、複数の 4.1.x インデクサーが存在する場合、デプロイを移⾏するために次の⼿順⼿順に従ってください。

<il> Splunk Enterprise インスタンスのいずれかを、ライセンスマスターライセンスマスターとして指名します。可能な場合はサーチヘッドサーチヘッドが良い選択です。

1. このマニュアルの指⽰に従って、ライセンスマスターとして選択した Splunk Enterprise インスタンスを選択またはアップグレードします。

2. インデクサーからの接続を受け付けるようにライセンスマスターを設定します。3. 以下の⼿順に従って、各インデクサーを 1 回に 1 つずつアップグレードします。

1. このマニュアルの説明に従ってインデクサーを 5.0 にアップグレードします。以下の⼿順を実⾏するまでは、スタンドアロンのライセンスマスターとして動作します。

2. インデクサー Enterprise ライセンスファイルのコピーを作成します。4.2 以降のライセンスファイルを各インデクサーの $SPLUNK_HOME/etc/splunk.license に配置します。

4. ライセンスをライセンスマスターにインストールして、インデクサーを追加するスタックおよびプールに追加します。

5. インデクサーをライセンススレーブライセンススレーブとして設定し、それがライセンスマスターを指すようにします。6. ライセンスマスター上で、ライセンススレーブが正しく接続していることを確認します。[設定] > [ライセ[設定] > [ライセ

ンス]ンス] に移動して、適切なプールに関連付けられたインデクサーのリストを参照してください。7. ライセンススレーブが正しく接続していることを確認したら、同じ⼿順で次のインデクサーをアップグレー

ドします。

フォワーダーのアップグレードフォワーダーのアップグレード

ライトフォワーダーライトフォワーダーをデプロイしている場合は、『ユニバーサルフォワーダー』マニュアルの「ライトフォワーダーからの移⾏」を参照してください。既存のライトフォワーダーをユニバーサルフォワーダーにアップグレードすることができます。ユニバーサルフォワーダー⾃体にライセンスが含まれています。

ヘビーフォワーダー (他の Splunk Enterprise インスタンスに転送する前にインデックスを作成する Splunk のフルインスタンス) をデプロイしている場合は、それをインデクサーと同じように取り扱えます。他のインデクサーと⼀緒にライセンスプールに追加してください。

Splunk Enterprise のアンインストールSplunk Enterprise のアンインストールSplunk Enterpr ise のアンインストールSplunk Enterpr ise のアンインストール

このトピックの⼿順に従って、ホストから Splunk Enterprise を削除する⽅法を学びます。


1. 起動時に Splunk Enterprise を開始するように設定したい場合は、アンインストールする前に起動スクリプトから削除します。</br>

./splunk disable boot-start

2. Splunk Enterprise を停⽌します。$SPLUNK_HOME/bin に移動して、 Windows の場合は単に splunk stop、それ以外は ./splunk stopと⼊⼒します。

54

パッケージ管理ユーティリティを使った Splunk Enterpr ise のアンインストールパッケージ管理ユーティリティを使った Splunk Enterpr ise のアンインストール

Splunk Enterprise をアンインストールするには、ローカルのパッケージ管理コマンドを使⽤します。たいていの場合、当初パッケージがインストールしたのではないファイルはそのまま保持されます。これらのファイルには、インストールディレクトリ下に保管されている設定ファイルやインデックスファイルが含まれます。

この説明で、$SPLUNK_HOME は Splunk のインストールディレクトリを表しています。Windows の場合、デフォルトで Splunk は C:\Program Files\Splunk にインストールされます。⼤部分の UNIXプラットフォームでは、デフォルトのインストールディレクトリは /opt/splunk になります。Mac OS X の場合は、/Applications/splunk になります。

RedHat LinuxRedHat Linux

rpm -e splunk_product_name

Debian LinuxDebian Linux

dpkg -r splunk

設定ファイルを含め、すべての Splunk ファイルを削除設定ファイルを含め、すべての Splunk ファイルを削除

dpkg -P splunk

FreeBSDFreeBSD

pkg_delete splunk

別の場所から Splunk Enter pr ise をアンインストール別の場所から Splunk Enter pr ise をアンインストール

pkg_delete -p /usr/splunk splunk

SolarisSolaris

pkgrm splunk

HP-UXHP-UX

1. Splunk Enterprise を停⽌します。

$SPLUNK_HOME/bin/splunk stop

2. boot-start を有効にした場合は、以下のコマンドを root ユーザーとして実⾏します。

$SPLUNK_HOME/bin/splunk disable boot-start

3. Splunk インストールディレクトリを削除します。

rm -rf $SPLUNK_HOME

その他の削除する事項：

インデックスを作成して、Splunk Enterprise のデフォルトパスを使⽤していない場合、それらのディレクトリも削除する必要があります。Splunk Enterprise 実⾏⽤ユーザーまたはグループを作成した場合は、それらも削除する必要があります。

WindowsWindows

コントロールパネルの [プログラムの追加と削除プログラムの追加と削除] オプションを使⽤します。Windows 7、8.1、10、および Windows Server 2008 R2 および 2012 R2 の場合、このオプションは [プログラムと機能プログラムと機能] 下にあります。(任意) また、Splunk Enterprise インストーラパッケージに対して、msiexec 実⾏形式ファイルを使⽤することで、コマンドラインから Splunk をアンインストールすることもできます。

msiexec /x splunk-<version>-x64.msi

注意注意：状況によっては、アンインストール時に再起動を指⽰するメッセージが表⽰される場合があります。このリクエストを無視して再起動しなくても構いません。

Splunk Enterpr ise の⼿動アンインストールSplunk Enterpr ise の⼿動アンインストール

パッケージ管理コマンドを使⽤できない場合は、ここの説明に従って Splunk Enterprise をアンインストールしてください。

55

1. Splunk Enterprise を停⽌します。

$SPLUNK_HOME/bin/splunk stop

2. 名前に「splunk」を含むプロセスを探して、kill します。Linux および Solaris の場合：Linux および Solaris の場合：

kill -9 `ps -ef | grep splunk | grep -v grep | awk '{print $2;}'`

FreeBSD および Mac OS の場合FreeBSD および Mac OS の場合

kill -9 `ps ax | grep splunk | grep -v grep | awk '{print $1;}'`

3. Splunk Enterprise インストールディレクトリの $SPLUNK_HOME を削除します。

rm -rf /opt/splunk

Mac OS の場合、フォルダをゴミ箱にドラッグしてインストールディレクトリを除外できます。

4. トップレベルのディレクトリ外に存在している Splunk Enterprise データストアまたはインデックスがある場合は、それを削除します。

rm -rf /opt/splunkdata

5. splunk ユーザーとグループが存在している場合、それを削除します。Linux、Solaris、および FreeBSD の場合：Linux、Solaris、および FreeBSD の場合：userdel splunk

groupdel splunk

Mac OS の場合：Mac OS の場合：[システム設定] > [アカウント][システム設定] > [アカウント] パネルからユーザーとグループを管理します。

Windows の場合：Windows の場合：コマンドプロンプトを開き、Splunk Enterprise のインストールに使⽤した MSI パッケージに対してmsiexec /x コマンドを実⾏します。パッケージがない場合は、ダウンロードページから適切なバージョンを取得します。

参考情報参考情報PGP 公開鍵PGP 公開鍵

ここでは、PGP 公開鍵とそのインストール⽅法を説明しています。ファイルは、HTTPS を使ってダウンロードすることもできます。

-----BEGIN PGP PUBLIC KEY BLOCK-----

Version: GnuPG v1.4.1 (GNU/Linux)

mQGiBEbE21QRBADEMonUxCV2kQ2oxsJTjYXrYCWCtH5/OnmhK5lT2TQaE9QUTs+w

nM3sVInQqwRwBDH2qsHgqjJS0PIE867n+lVuk0gSVzS5SOlYzQjnSrisvyN452MF

2PgetHq8Lb884cPJnxR6xoFTHqOQueKEOXCovz1eVrjrjfpnmWKa/+5X8wCg/CJ7

pT7OXHFN4XOseVQabetEbWcEAIUaazF2i2x9QDJ+6twTAlX2oqAquqtBzJX5qaHn

OyRdBEU2g4ndiE3QAKybuq5f0UM7GXqdllihVUBatqafySfjlTBaMVzd4ttrDRpq

Wya4ppPMIWcnFG2CXf4+HuyTPgj2cry2oMBm2LMfGhxcqM5mpoyHqUiCn7591Ra/

J2/FA/0c2UAUh/eSiOn89I6FhFOicT5RPtRpxMoEM1Di15zJ7EXY+xBVF9rutqhR

5OI9kdHibYTwf4qjOOPOA7237N1by9GiXY/8s+rDWmSNKZB+xAaLyl7cDhYMv7CP

qFTutvE8BxTsF0MgRuzIHfJQE2quuxKJFs9lkSFGuZhvRuwRcrQgS2ltIFdhbGxh

Y2UgPHJlbGVhc2VAc3BsdW5rLmNvbT6IXgQTEQIAHgUCRsTbVAIbAwYLCQgHAwID

FQIDAxYCAQIeAQIXgAAKCRApYLH9ZT+xEhsPAKDimP8sdCr2ecPm8mre/8TK3Bha

pQCg3/xEickiRKKlpKnySUNLR/ZBh3m5Ag0ERsTbbRAIAIdfWiOBeCj8BqrcTXxm

6MMvdEkjdJCr4xmwaQpYmS4JKK/hJFfpyS8XUgHjBz/7zfR8Ipr2CU59Fy4vb5oU

HeOecK9ag5JFdG2i/VWH/vEJAMCkbN/6aWwhHt992PUZC7EHQ5ufRdxGGap8SPZT

iIKY0OrX6Km6usoVWMTYKNm/v7my8dJ2F46YJ7wIBF7arG/voMOg1Cbn7pCwCAtg

jOhgjdPXRJUEzZP3AfLIc3t5iq5n5FYLGAOpT7OIroM5AkgbVLfj+cjKaGD5UZW7

SO0akWhTbVHSCDJoZAGJrvJs5DHcEnCjVy9AJxTNMs9GOwWaixfyQ7jgMNWKHJp+

EyMAAwYH/RLNK0HHVSByPWnS2t5sXedIGAgm0fTHhVUCWQxN3knDIRMdkqDTnDKd

qcqYFsEljazI2kx1ZlWdUGmvU+Zb8FCH90ej8O6jdFLKJaq50/I/oY0+/+DRBZJG

3oKu/CK2NH2VnK1KLzAYnd2wZQAEja4O1CBV0hgutVf/ZxzDUAr/XqPHy5+EYg96

4Xz0PdZiZKOhJ5g4QjhhOL3jQwcBuyFbJADw8+Tsk8RJqZvHfuwPouVU+8F2vLJK

iF2HbKOUJvdH5GfFuk6o5V8nnir7xSrVj4abfP4xA6RVum3HtWoD7t//75gLcW77

kXDR8pmmnddm5VXnAuk+GTPGACj98+eISQQYEQIACQUCRsTbbQIbDAAKCRApYLH9

ZT+xEiVuAJ9INUCilkgXSNu9p27zxTZh1kL04QCg6YfWldq/MWPCwa1PgiHrVJng

p4s=

56

=Mz6T

-----END PGP PUBLIC KEY BLOCK-----

鍵のインストール鍵のインストール

1.1.鍵をコピーしてファイルに貼り付けるか、または HTTPS を使ってファイルをダウンロードします。

2.2.鍵のインストールには、以下のコマンドを使⽤します。

rpm --import <filename>

57

Documents

インストールマニュアル Splunk Enterprise 6.5 · PDF fileSplunk Enterprise インストールマニュアルに ようこそ このマニュアルの内容 インストールマニュアルでは、完全版の

インストールマニュアル Splunk Enterprise 6.5 · PDF fileSplunk Enterprise インストールマニュアルにようこそこのマニュアルの内容インストールマニュアルでは、完全版の