インストールマニュアル Splunk Enterprise 6.2docs.splunk.com/images/8/8b/Splunk-6.2.0-ja_JP-Installation.pdf · Splunk Enterprise インストールマニュアルによう

Splunk Enterprise 6.2.0Splunk Enterprise 6.2.0

インストールマニュアルインストールマニュアル

作成：2014 年 11 ⽉ 21 ⽇午後 4 時 16 分

Copyright (c) 2015 Splunk Inc. All Rights Reserved

4444

44459

10

12

121212121212

13131315

202428

2828

28313335373839

4141414343

44444444

44444546484949

Table of ContentsTable of ContentsSplunk Enterprise インストールマニュアルにようこそSplunk Enterprise インストールマニュアルにようこそ

このマニュアルの内容このマニュアルの各部について

Splunk Enterprise インストールのプランニングSplunk Enterprise インストールのプランニングインストールの概要システム要件Splunk Enterprise のアーキテクチャとプロセスSplunk Enterprise で配布されている Windows 版のサードパーティ製バイナリに関する情報インストール⼿順

Splunk Enterprise インストールのセキュリティSplunk Enterprise インストールのセキュリティSplunk Enterprise のセキュリティについてSplunk Enterprise をインストールする前のシステムの保護Splunk Enterprise の安全なインストールその他の Splunk Enterprise の保護⼿段

Windows への Splunk Enterprise のインストールWindows への Splunk Enterprise のインストールSplunk Enterprise を実⾏するためのユーザーの選択ネットワークまたはドメインユーザーとしての、Splunk Enterpriseインストール⽤ Windows ネットワークの準備Windows へのインストールコマンドラインを使った Windows へのインストールWindows インストール時に選択したユーザーの修正

Linux、Windows、または Mac OS X への Splunk Enterprise のイLinux、Windows、または Mac OS X への Splunk Enterprise のインストールンストール

Linux へのインストールSolaris へのインストールMac OS X へのインストールFreeBSD へのインストールAIX へのインストールHP-UX へのインストールSplunk Enterprise を別のユーザーまたは⾮ root ユーザーとして実⾏

Splunk Enterprise の使⽤開始Splunk Enterprise の使⽤開始初めての Splunk の起動次は何？Splunk Enterprise のアクセシビリティについて

Splunk Enterprise ライセンスのインストールSplunk Enterprise ライセンスのインストールSplunk Enterprise のライセンスについてライセンスのインストール

Splunk Enterprise のアップグレードまたは移⾏Splunk Enterprise のアップグレードまたは移⾏Splunk Enterprise のアップグレード⽅法6.2 へのアップグレードについて - 最初にお読みくださいバージョン 5 からバージョン 6 への Splunk Web の操作の変更Splunk App 開発者向けの変更UNIX での 6.2 へのアップグレード

515254

555555

575757

Windows での 6.2 へのアップグレードSplunk Enterprise インスタンスの移⾏新しい Splunk Enterprise ライセンサーへの移⾏

Splunk Enterprise のアンインストールSplunk Enterprise のアンインストールSplunk Enterprise のアンインストール

参考情報参考情報PGP 公開鍵

Splunk Enterprise インストールマニュアルにようSplunk Enterprise インストールマニュアルにようこそこそこのマニュアルの内容このマニュアルの内容

Splunk Enterprise のインストール⽅法を学習するには、『インストールマニュアル』を使⽤します。

このマニュアルでは、以下の事項について説明しています。

システム要件ライセンス情報インストール⼿順古いバージョンからのアップグレード⼿順

その他の情報も取り上げています。

注意：『インストール・マニュアル』は、完全版 Splunk Enterprise のインストールのみを説明していま注意：『インストール・マニュアル』は、完全版 Splunk Enterprise のインストールのみを説明しています。す。Splunk のユニバーサルフォワーダーユニバーサルフォワーダーをインストールする場合は、『データの転送』マニュアルの「ユニバーサルフォワーダーのデプロイの概要」を参照してください。⼀部の機能を無効化または変更した完全版のSplunk Enterprise インスタンスであるヘビー/ライトフォワーダーフォワーダーと違い、ユニバーサルフォワーダーはまったく別の実⾏形式ファイルで、インストール⼿順も異なっています。フォワーダーの概要については、「転送と受信について」を参照してください。

⽬的の記事の検索⽬的の記事の検索

このパネルの左側にある⽬次を使うか、または右上のサーチボックスに探したい項⽬を⼊⼒してサーチを⾏ってください。

特定の状況に関する事項やベストプラクティスについては、Splunk コミュニティ Wiki で他のユーザーの体験談や意⾒をご覧ください。

PDF を作成PDF を作成

このマニュアルの PDF 版が欲しい場合は、このページの⽬次の左下にある⾚い [Download the AdminDownload the AdminManual as PDFManual as PDF] リンクをクリックしてください。PDF 版のマニュアルがその場で作成されます。作成されたPDF は後で利⽤するために保存、印刷することができます。

このマニュアルの各部についてこのマニュアルの各部について

内容をより分かりやすく、当社のお客様が⽬的の情報を簡単にご利⽤いただけるように、Splunk Enterprise のインストールに直接的な関係のないすべての情報を、このマニュアルから他のマニュアルに移動いたしました。

これらの情報の⼤半は、このマニュアルと『分散デプロイ』マニュアルの内容を引き継いだ、『キャパシティ・プランニング』マニュアルに移⾏されています。

Splunk Enterprise インストールのプランニングSplunk Enterprise インストールのプランニングインストールの概要インストールの概要

ここでは、Splunk Enterprise をコンピュータにインストールするために必要な⼿順を説明していきます。インストールを実施する前に、このトピックおよびこの章の内容をお読みになることを強くお勧めします。

インストールの基本インストールの基本

Splunk Enterprise のインストール⽅法を以下に⽰します。

1.1.インストールのシステム要件を確認します。Splunk Enterprise をインストールするオペレーティングシステム、および Splunk Enterprise の使⽤⽅法によっては、他の条件も適⽤される場合があります。

2.2.「Splunk Enterprise デプロイのコンポーネント」で Splunk Enterprise のエコシステムについて、また「Splunk のアーキテクチャとプロセス」でインストーラがコンピュータに何をインストールするのかを学習します。

3.3.「Splunk Enterprise インストールのセキュリティ」の章を参照し、必要に応じて Splunk Enterprise をインストールする予定のマシンを保護してください。

4.4.Splunk Enterprise のダウンロードページから、ご利⽤のシステムに適したインストールパッケージをダウンロードします。

5.5.ご⾃分のオペレーティングシステムに対応したインストール⼿順を使って、インストールを実⾏します。

6.6.Splunk Enterprise を初めてインストールする場合は、『Splunk サーチチュートリアル』を読んで、データのインデックス作成⽅法およびサーチ⾔語を使ったデータのサーチの概要を学習することをお勧めします。

7.7.Splunk Enterprise をインストールしたら、データのインデックス作成に必要なディスクスペースを計算するこ

4

とができます。詳細は、「ストレージ要件の⾒積もり」を参照してください。

8.8.実際の運⽤環境で Splunk Enterprise を実⾏する予定で、その環境に必要なハードウェアを⾒積もる⽅法については、『キャパシティ・プランニング』マニュアルを参照してください。

Splunk Enterprise インスタンスのアップグレードまたは移⾏Splunk Enterprise インスタンスのアップグレードまたは移⾏

古いバージョンの Splunk Enterprise からアップグレードする場合は、このマニュアルの「Splunk Enterpriseのアップグレード⽅法」を参照してください。あるバージョンから他のバージョンへの移⾏に関するヒントや注意事項については、アップグレードするバージョンの「最初にお読みください」を参照してください。このトピックは、このマニュアルの「Splunk Enterprise のアップグレードまたは移⾏」にあります。

あるシステムから別のシステムに Splunk Enterprise インスタンスを移動する場合は、このマニュアルの「Splunk インスタンスの移⾏」を参照してください。

システム要件システム要件

Splunk Enterprise をダウンロード、インストールする前に、このトピックをお読みになり Splunk がサポートするコンピューティング環境を学習してください。最新版をダウンロードするには、ダウンロードページを参照してください。既知の問題および修正された問題の詳細は、リリース・ノートを参照してください。

デプロイ⽤のハードウェア・プランニングについては、『キャパシティ・プランニング』マニュアルを参照してください。

将来のリリースでの、新しい機能に関するご意⾒やご要望がある場合は、Splunk サポートにご連絡ください。また、当社の製品ロードマップもご覧ください。

サポートするサーバーのハードウェアアーキテクチャサポートするサーバーのハードウェアアーキテクチャ

Splunk は、⼀部のプラットフォームに対して、32 ビットおよび 64 ビットのアーキテクチャをサポートしています。詳細はダウンロードページを参照してください。

サポートしている OSサポートしている OS

重要：重要：システム要件を調べる場合は、以下の表を⼊念にご確認ください。Splunk の要件は前のバージョンと⼤幅に変更されています。

以下の表には、Splunk を利⽤できるコンピューティングプラットフォームが記載されています。最初の表には、*nix 系の、2 番⽬の表には Windows 系の情報が記載されています。

ご利⽤のプラットフォームで Splunk を利⽤できるかどうかを確認するには：

1.1.左列から Splunk をインストールするオペレーティングシステムを探します。

2.2.次に中央列にある説明を参考に、ご⾃分の環境に最適なコンピューティングアーキテクチャを探します。

この表では、Splunk Enterprise/トライアルと Splunk ユニバーサルフォワーダーの、2 種類の Splunk の利⽤可否が右列に記載されています。ご⾃分のコンピューティングプラットフォームと⽬的の Splunk 単位の交点に「âœ”」が記載されていれば、そのプラットフォームで Splunk をご利⽤いただけます。ボックスが空の場合は、そのプラットフォームでそのタイプの Splunk はご利⽤いただけません。プラットフォームまたはアーキテクチャが記載されていない場合は、そのプラットフォームやアーキテクチャで Splunk は利⽤できません。

⼀部のボックスには、「âœ”」の代わりにその他の⽂字が記載されています。それらの⽂字の意味については、各表の下部の説明を参照してください。

UNIXUNIX

オペレーティングシステムオペレーティングシステムアーキテクアーキテクチャチャ EnterpriseEnterprise FreeFree トライトライ

アルアルユニバーサルフォユニバーサルフォ

ワーダー：ワーダー：

Solaris 10 および 11*

x86 (64 ビット) ✔ ✔ ✔ ✔

SPARC ✔ ✔ ✔ ✔

x86 (32 ビット) * * * *

Linux、2.6 以上

x86 (64 ビット) ✔ ✔ ✔ ✔

x86 (32 ビット) ✔ ✔ ✔ ✔

Linux、3.0 以上

x86 (64 ビット) ✔ ✔ ✔ ✔

x86 (32 ビット) ✔ ✔ ✔ ✔

5

PowerLinux、2.6 以上 PowerPC ✔

zLinux、2.6 以上 s390x ✔

FreeBSD 7** x86 (32 ビット) ✔

FreeBSD 8

x86 (64 ビット) ✔ ✔ ✔ ✔

x86 (32 ビット) ✔

FreeBSD 9 x86 (64 ビット) ✔ ✔ ✔ ✔

Mac OS X 10.8 および 10.9 Intel ✔ ✔ ✔ ✔

AIX 6.1 および 7.1 PowerPC ✔ ✔ ✔ ✔

HP/UX†11i v2 および 11i v3 Itanium ✔

* Solaris 10 でSplunk を利⽤できます (サポートあり)。Solaris 11 は 32 ビット版 Splunk のインストールをサポートしていません。** 以下の FreeBSD 7 互換性に関する重要な注意をご覧ください。† HP/UX インストールアーカイブを解凍するには、gnu tar を使⽤する必要があります。

WindowsWindows

以下の表には、Splunk を利⽤できる Windows コンピューティングプラットフォームが記載されています。

オペレーティングシステムオペレーティングシステムアーキテクアーキテクチャチャ EnterpriseEnterprise FreeFree トライトライ

アルアルユニバーサルフォユニバーサルフォ

ワーダー：ワーダー：

Windows Server 2003 およびServer 2003 R2

x86 (64 ビット) ✔

x86 (32 ビット) ✔

Windows Server 2008

x86 (64 ビット) ✔ ✔ ✔ ✔

x86 (32 ビット) *** *** *** ✔

Windows Server 2008 R2、Server 2012、および Server2012 R2

x86 (64 ビット) ✔ ✔ ✔ ✔

Windows 7

x86 (64 ビット) ✔ ✔ ✔

x86 (32 ビット) *** *** ✔

Windows 8

x86 (64 ビット) ✔ ✔ ✔

x86 (32 ビット) *** *** ✔

Windows 8.1

x86 (64 ビット) ✔ ✔ ✔

x86 (32 ビット) *** *** ✔

*** このバージョンの Splunk は利⽤でき、サポートされていますが、このプラットフォームおよびアーキテクチャでの使⽤はお勧めできません。

オペレーティングシステムに関する注意事項と追加情報オペレーティングシステムに関する注意事項と追加情報

6

WindowsWindows

Windows 上の Splunk の機能の⼀部は、正常に動作するために適切なユーザー権限が必要になります。必要な事項に関する情報は、以下のトピックを参照してください。

このマニュアルの「Splunk のアーキテクチャとプロセス」。このマニュアルの「Splunk を動作させるユーザーの選択」。『データの取り込み』マニュアルの「リモート Windows データの監視⽅法を決定するための検討事項」。

FreeBSD 7.xFreeBSD 7.x

32 ビット版の FreeBSD 7.x 上で Splunk 6.x を実⾏するには、compat6x ライブラリをインストールします。Splunk サポートは、FreeBSD 7.x を利⽤しているユーザーの⽅向けに、「ベストエフォート」サポートを提供いたします。詳細は、コミュニティ Wiki の「Install Splunk on FreeBSD 7」を参照してください。

⾮推奨のオペレーティング・システムと機能⾮推奨のオペレーティング・システムと機能

Splunk 製品を進化させていく上で、徐々に古いオペレーティングシステムのサポートを廃⽌していく予定です。廃⽌予定または完全に削除されたプラットフォームと機能の詳細については、リリースノートの「⾮推奨の機能」または「廃⽌予定の機能」を参照してください。

UTF-8 以外の OS での設定ファイルの作成と編集UTF-8 以外の OS での設定ファイルの作成と編集

Splunk は、ASCII またはUTF-8 形式の設定ファイルを前提にしています。UTF-8 ⽂字セットを使⽤しない OS上で設定ファイルを編集または作成する場合、使⽤しているエディタが ASCII/UTF-8 形式で保存するように設定されていることを確認する必要があります。

IPv6 プラットフォームサポートIPv6 プラットフォームサポート

Splunk がサポートするすべての OS プラットフォームは、以下を除いて IPv6 設定での使⽤がサポートされています。

AIXPA-RISC アーキテクチャ上の HP/UXSolaris 9

Splunk の IPv6 サポートの詳細は、『管理マニュアル』の「Splunk の IPv6 の設定」を参照してください。

サポートするブラウザサポートするブラウザ

Splunk Enterprise は以下のブラウザをサポートしています。

Firefox ESR (24.2) 以降Internet Explorer 9、10、および 11Safari (最新版)Chrome (最新版)

また、JSChart モジュールがサポートしていないオプションを使⽤するグラフを表⽰する場合は、最新版のAdobe Flash もインストールする必要があります。詳細は、『データの視覚化』マニュアルの「JSChart について」を参照してください。

推奨ハードウェア推奨ハードウェア

Splunk Enterprise は⾼性能のアプリケーションです。⽣産環境での Splunk 利⽤の総合的な評価を⾏っている場合、ご⾃分の環境で⼀般的なハードウェアを利⽤することをお勧めします。このハードウェアは、以下に説明する推奨ハードゥエア要件を満たしているか、またはそれ以上満たしているか、またはそれ以上でなければなりません。

分散 Splunk デプロイ環境のハードウェア・プランニングの詳細は、『キャパシティ・プランニング』マ分散 Splunk デプロイ環境のハードウェア・プランニングの詳細は、『キャパシティ・プランニング』マニュアルの「Splunk Enterprise のキャパシティ・プランニングについて」を参照してください。ニュアルの「Splunk Enterprise のキャパシティ・プランニングについて」を参照してください。

Splunk と仮想マシンSplunk と仮想マシン

Splunk Enterprise をプラットフォーム上の仮想マシン (VM) で実⾏する場合、パフォーマンスが低下します。これは、システムのハードウェアをリソースプールとしてとらえ、システム上の各仮想マシンはそこから必要に応じてリソースを利⽤しているためです。Splunk Enterprise はインデックス作成処理のために、ディスク I/O などのさまざまなリソースに持続的にアクセスする必要があります。他の仮想マシンとともに、Splunk を仮想マシン上で実⾏すると、インデックス作成とサーチのパフォーマンスが低下する可能性があります。

推奨するハードウェア要件と最低要件推奨するハードウェア要件と最低要件

プラットフォームプラットフォーム推奨するハードウェア要件推奨するハードウェア要件サポートする最低ハードウェアサポートする最低ハードウェア要件要件

Windows 以外のプラットフォーム

2x 6 コア、2+ GHz CPU、12 GB RAM、RAID 0 または 1+0、64 ビット版 OS 使⽤。 1x1.4 GHz CPU、1 GB RAM

Windows プラットフォーム

2x 6 コア、2+ GHz CPU、12 GB RAM、RAID 0 または 1+0、64 ビット版 OS 使⽤。

Intel Nehalem または同等の2GHz CPU、2 GB RAM

注意注意：RAID 0 構成は障害対策は提供していません。RAID 0 システムに Splunk インデクサーをデプロイする前7

に、RAID 0 構成がご⾃分のデータ信頼性のニーズを満たしているかどうかを確認してください。

ユニバーサルフォワーダーとライトフォワーダーを除き、他のすべてのインスタンスは推奨ハードウェア要件を満たしている必要があります。最低ハードウェア要件は、Splunk の個⼈利⽤を前提にしています。⽣産環境での Splunk 使⽤の要件は、⼤幅に⾼くなっています。

重要：重要：フォワーダーを含めたすべての Splunk インストールで、インデックス作成に必要なディスクスペースインデックス作成に必要なディスクスペースの他にの他に 5 GB 以上のディスクスペースが必要です。詳細は、このマニュアルの「ストレージ要件の⾒積もり」を参照してください。

ユニバーサルフォワーダーおよびライトフォワーダーのハードウェア要件ユニバーサルフォワーダーおよびライトフォワーダーのハードウェア要件

推奨デュアルコア 1.5 GHz+ プロセッサ、1 GB+ RAM

最⼩ 1.0 GHz プロセッサ、512 MB RAM

サポートしているファイルシステムサポートしているファイルシステム

プラットフォームプラットフォームファイルシステムファイルシステム

Linux ext2/3/4、reiser3、XFS、NFS 3/4

Solaris UFS、ZFS、VXFS、NFS 3/4

FreeBSD FFS、UFS、NFS 3/4、ZFS

Mac OS X HFS、NFS 3/4

AIX JFS、JFS2、NFS 3/4

HP-UX VXFS、NFS 3/4

Windows NTFS、FAT32

注意：注意：上記に記載されていないファイルシステム上で Splunk Enterprise を実⾏した場合、そのファイルシステムで Splunk を実⾏できるかどうかを確認するために、スタートアップユーティリティ locktest が実⾏されることがあります。Locktestは、起動プロセスをテストするプログラムです。locktest を実⾏したけれども失敗した場合、そのファイルシステムで Splunk を実⾏することはできません。

*nix システムでのファイル記述⼦ (FD) 制限に関する検討事項*nix システムでのファイル記述⼦ (FD) 制限に関する検討事項

Splunk Enterprise は、*nix システム上で監視対象ファイル、フォワーダー接続、デプロイクライアント、およびサーチを実⾏しているユーザーなどに、ファイル記述⼦を割り当てます。

⼀般的に、デフォルトのファイル記述⼦数の限度 (*nix ベースの OS 上で ulimit -n コマンドを使って管理) は1024 です。Splunk 管理者は、適切な値を決定する必要があります。最低でも 8192 にする必要があります。上記の各アクティビティに対して Splunk がそれぞれ 1 つのファイル記述⼦を割り当てる場合でも、数百件のファイルを監視し、数百台のフォワーダーがデータを送信し、数⼈のとてもアクティブなユーザーがデータストアから読み書きを⾏うと、デフォルトの設定ではあっという間に制限値に達してしまいます。

Splunk Enterprise インスタンスが⾏う作業が増えると、より多くのファイル記述⼦が必要になります。そのため、ファイル記述⼦数の制限値が低いために問題が発⽣しているような場合は、ulimit の値を増やす必要があります。

詳細は、『トラブルシューティングマニュアル』の ulimit に関する項⽬を参照してください。

この検討事項は、Windows ベースのシステムには当てはまりません。

ネットワークファイルシステム (NFS) の検討事項ネットワークファイルシステム (NFS) の検討事項

Splunk インデックス作成⽤のストレージメディアとしてネットワークファイルシステム (NFS) を使⽤する場合、ファイルレベルのストレージのすべての悪影響を検討する必要があります。

データのインデックス作成には、ファイルレベルのストレージではなく、ブロックレベルのストレージを使⽤することを強くお勧めします。

⾼信頼で広帯域幅、低遅延のリンクを使⽤する環境、または⾼可⽤性のクラスタ構成ネットワークストレージを提供するベンダーを使⽤する環境の場合、NFS は妥当な選択になり得ます。ただし、この⼿段の採⽤を考えている場合は、ご利⽤のハードウェアメーカーと協⼒して、使⽤するストレージプラットフォームがパフォーマンスとデータ整合性の両⾯で、⽬的の性能や仕様を満たせるかどうかを綿密に調査する必要があります。

NFS を使⽤する場合は、以下の事項に注意する必要があります。

Splunk Enterprise は NFS の「ソフト」マウントをサポートしていません (障害発⽣時に、マウント上でファイル操作を試みているプログラムに、エラーを報告させて、そのまま続⾏させるようなマウント)。Splunk の信頼性を保つために、NFS ハード・マウント (障害発⽣時に、クライアントにサーバーとの通信試⾏を継続させるようなマウント) のみを利⽤できます。属性のキャッシングは無効にしないでください。属性のキャッシングを無効にする、または減らすような他のアプリケーションを使⽤している場合、Splunk には別個の属性キャッシングが有効なマウントを割り当てる必要があります。WAN 経由の NFS は使⽤しないでください。使⽤するとパフォーマンス上の問題が発⽣し、データの消失につながる可能性があります。

8

SSD に関する検討事項SSD に関する検討事項

SSD は従来のハードドライブと⽐べ、ブルームフィルタと組み合わせて Splunk のレアサーチ (⼤量のデータに対して少量の結果を要求するサーチ) を実⾏する場合に、⼤幅に優れたパフォーマンスを発揮します。また、同時サーチを実⾏する場合にもパフォーマンスを発揮します。

CIFS/SMB に関する検討事項CIFS/SMB に関する検討事項

Splunk Enterprise では、データストレージメディアとして、CIFS/SMB プロトコルを利⽤することができます。ストレージとして CIFS リソースを使⽤する場合、ファイルレベルと共有レベルの両⽅で、リソースに接続するユーザーに書き込み権限を与えるように設定する必要があります。サードパーティ製のストレージデバイスを使⽤する場合、その CIFS の実装内容が、クライアントとして動作する Splunk Enterprise インスタンスの実装内容と互換性があることを確認してください。

マップされたネットワーク・ドライブへのデータのインデックス作成は⾏わないでください (例：外部共有にマップされた「Y:\」)。Splunk Enterprise は、⾮物理ドライブ⽂字を持つドライブのインデックス作成を無効にします。

Splunk Enterprise のアーキテクチャとプロセスSplunk Enterprise のアーキテクチャとプロセス

ここでは、Splunk Enterprise の内部アーキテクチャとプロセスの詳細を説明していきます。Splunk で使われているサードパーティ製コンポーネントに関する情報をお探しの場合は、リリースノートの該当するセクションを参照してください。

プロセスプロセス

Splunk Enterprise サーバーは、ホストにプロセス splunkd をインストールします。

splunkd は、配信される IT データにアクセス、処理、インデックス作成を⾏う、分散 C/C++ サーバーです。また、サーチリクエストも処理します。splunkdは、⼀連のパイプラインにデータを通して、データの処理とインデックスの作成を⾏います。各パイプラインは、⼀連のプロセッサから成り⽴っています。

パイプラインパイプラインは、splunkd 内のスレッドで、それぞれが単⼀の XML スニペットで設定されています。プロセッサプロセッサは、再利⽤可能な C または C++ 関数で、パイプラインを通過する IT データストリームの処理を⾏います。あるパイプラインから別のパイプラインに、キューキュー経由でデータを渡せます。splunkdでは、サーチの実⾏と結果の表⽰のための、コマンドラインインターフェイスを利⽤できます。バージョン 6.2 では、splunkd が Splunk Web インターフェイスも提供しています。ユーザーはこれを利⽤して、Splunk サーバーが保管しているデータをサーチ、参照し、また Splunk デプロイ環境を管理することができます。REST (REpresentational State Transfer) を介して Web ブラウザと通信します。splunkd は、ポート 8089 で Web サーバーを実⾏します。SSL/HTTPS は、デフォルトで有効になっています。また、ポート 8000 でも Web サーバーを実⾏します。こちらで SSL/HTTPS は、デフォルトで無効になっています。

splunkweb は、レガシー専⽤サービスとして Windows にのみインストールされます。6.2 より前にバージョンでは、このサービスが Splunk ⽤の Web インターフェイスを提供していました。現在でも、インストール、実⾏されますが、即座に終了されます。「レガシー・モード」で実⾏するには、設定パラメータを変更します。

Windows システムで splunkweb.exe は、サードパーティ製のオープンソース実⾏形式ファイルで、Splunk ではpythonservice.exe から名前を変更して使⽤されています。これは名前が変更されたファイルのため、他のWindows 版 Splunk バイナリと同じバージョン情報を保有していません。

Splunk で配布されている他のサードパーティ製バイナリについての情報はここを参照してください。

Splunk Enterprise とセーフモードの WindowsSplunk Enterprise とセーフモードの Windows

Windows がセーフモードの場合、splunkd、splunkweb、SplunkForwarder サービスは起動しません。また、セーフモードで [スタート] メニューから Splunk を起動しようとしても、サービスが動作していないことを知らせるメッセージは表⽰されません。

Windows 版 Splunk Enterprise の追加プロセスWindows 版 Splunk Enterprise の追加プロセス

Windows 版の Splunk インスタンスには、前述の 2 つのサービスに加えて、Splunk インスタンス上で特定のデータ⼊⼒を作成する際に使⽤される、追加のプロセスが存在しています。これらの⼊⼒は、特定の種類のWindows 固有のデータ⼊⼒の設定時に実⾏されます。

splunk.exesplunk.exe

splunk.exe は、Windows 版 Splunk の制御アプリケーションです。プログラムのコマンドラインインターフェイス (CLI) を提供しており、これを利⽤して Splunk の開始、停⽌、および設定を⾏えます。*nix 版の splunk プログラムと似ています。

重要：重要：splunk.exeを実⾏するには、splunkd および splunkweb プロセスを制御する仕組みのため、上位のコンテキストが必要です。この実⾏形式に Windows システムでの適切な権限を与えていない場合、Splunk が正常に動作しない可能性があります。Splunk を Local System ユーザーとしてインストールした場合、これは問題にはなりま

9

せん。

splunk-admonsplunk-admon

splunk-admon.exe は、Active Directory モニター⼊⼒を設定した場合に、splunkd により開始されます。splunk-

admonの⽬的は、利⽤可能なもっとも近い Active Directory ドメインコントローラに接続し、Active Directory が⽣成した変更イベントを収集することにあります。Splunk はそれらのイベントを適切なインデックスに保管します。

splunk-perfmonsplunk-perfmon

splunk-perfmon.exe は、ローカルマシン上のパフォーマンスデータをモニターするように Splunk を設定した場合に実⾏されます。このサービスは、システム上のパフォーマンスライブラリにクエリを⾏って、その時点のパフォーマンス測定基準とパフォーマンス測定基準履歴の両⽅を収集する、パフォーマンスデータヘルパーライブラリに接続します。

splunk-netmonsplunk-netmon

splunk-netmon は、ローカルマシン上の Windows ネットワーク情報をモニターするように Splunk を設定した場合に実⾏されます。

splunk-regmonsplunk-regmon

splunk-regmon.exe は、Splunk でレジストリのモニター⼊⼒を設定した場合に実⾏されます。この⼊⼒は、まず現在の状態のレジストリのベースラインを書き込んで (必要な場合)、次にその後のレジストリの変更をモニターしていきます。これらの変更は、Splunk にサーチ可能なイベントとして保管されます。

splunk-winevtlogsplunk-winevtlog

このユーティリティを使って、定義したイベントログのコレクションをテストすることができます。また、収集したイベントを調査のために出⼒できます。Splunk のエンジンには、Windows イベントログ⼊⼒プロセッサが組み込まれています。

splunk-winhostmonsplunk-winhostmon

splunk-winhostmon は、Splunk で Windows ホストのモニター⼊⼒を設定した場合に実⾏されます。この⼊⼒は、Windows ホストに関する詳細情報を取得します。

splunk-winprintmonsplunk-winprintmon

splunk-winprintmon は、Splunk で Windows 印刷のモニター⼊⼒を設定した場合に実⾏されます。この⼊⼒は、ローカルシステム上の、Windows プリンタおよび印刷ジョブの詳細情報を取得します。

splunk-wmisplunk-wmi

リモートコンピュータに対してパフォーマンスのモニタリング、イベントログ、および他の⼊⼒を設定した場合、このプログラムが開始されます。⼊⼒の設定内容に応じて、このプログラムはマシンに接続して送信されてくるWindows イベントログを読み込むか、または指定したリモートマシン上の Windows ManagementInstrumentation (WMI) プロバイダに対して、Windows クエリ⾔語 (WQL) によるクエリを実⾏します。Splunkは取得したイベントを保管します。

アーキテクチャの概要図アーキテクチャの概要図

Splunk Enterprise で配布されている Windows 版のサードパーティSplunk Enterprise で配布されている Windows 版のサードパーティ製バイナリに関する情報製バイナリに関する情報

10

このトピックは、Splunk Enterprise および Splunk ユニバーサルフォワーダーに含まれている、サードパーティ製の Windows バイナリに関する情報を取り上げています。

Splunk ユニバーサルフォワーダーの詳細は、『データの転送』マニュアルの「ユニバーサルフォワーダーのデプロイ」を参照してください。

Splunk Enterprise に含まれているサードパーティ製の Windows バイナリSplunk Enterprise に含まれているサードパーティ製の Windows バイナリ

Splunk Enterprise には、以下のサードパーティ製 Windows バイナリが同梱されています。特に明⽰のない限り、これらのバイナリは Splunk Enterprise 製品にのみ含まれています。

それぞれに説明があるように、これらのバイナリは Splunk Enterprise に機能を提供しています。これらのバイナリには、ファイルのバージョン情報や authenticode 署名 (バイナリファイルの信頼性を証明する証明書) は含まれていません。また Splunk は、サードパーティ製モジュールに関連する、デバッグシンボルのサポートは提供していません。

注意：注意：Splunk Enterprise に同梱されているサードパーティ製のバイナリ、App 、およびスクリプトのみが、Certified for Windows Server 2008 R2 (CFW2008R2) Windows Logo 準拠のテストが⾏われています。他のバイナリ、App、またはスクリプト (Splunk の機能を拡張する⽬的でインターネットからダウンロードしたものなど) は、準拠しているかどうかのテストは⾏われていません。

Archive.dllArchive.dll

Libarchive.dll マルチフォーマットのアーカイブ/圧縮ライブラリです。

Splunk Enterprise と Splunk ユニバーサルフォワーダーの両⽅に、このバイナリが含まれています。

Bzip2.exeBzip2.exe

Bzip2 は無料で利⽤できる、パテントフリー (後述) の⾼品質データ圧縮機能です。⼀般的には、利⽤可能な最⾼の技術 (統計的コンプレッサーの PPM ファミリー) の 10%〜15% までファイルを圧縮しながら、圧縮速度は約 2倍、解凍速度は約 6 倍も⾼速に処理を⾏えます。

Jsmin.exeJsmin.exe

Jsmin.exe は、JavaScript ファイルから空⽩⽂字とコメントを削除し、そのサイズを削減します。

Libexslt.dllLibexslt.dll

Libexslt.dll は、libxslt 向けに開発された (GNOME プロジェクトの⼀環として) EXSLT ダイナミックリンク Cライブラリの拡張機能です。


Libxml2.dllLibxml2.dll

Libxml2.dll は、GNOME プロジェクト向けに開発された (ただし、GNOME プラットフォーム外でも利⽤可能な) XML C パーサーおよびツールキットです。


Libxslt.dllLibxslt.dll

Libxslt.dll は、GNOME プロジェクト向けに開発された、変換 (XSLT) ダイナミックリンク C ライブラリ⽤XML スタイルシート⾔語です。XSLT ⾃体が、XML の変換を定義する XML ⾔語です。Libxslt は、GNOME プロジェクトで開発された XML C ライブラリの libxml2 をベースにしています。また、プロセッサポータブル拡張機能の EXSLT セットの⼤半、および Saxon の評価/表現拡張機能の⼀部も実装しています。


Minigzip.exeMinigzip.exe

Minigzip.exe は、「gzip」圧縮ツールの最低実装バージョンです。

Openssl.exeOpenssl.exe

OpenSSL プロジェクトは、SSL v2/v3 と TLS v1 および強度の⾼い汎⽤⽬的暗号化ライブラリを実装した、堅牢で商⽤品質の、機能を完備したオープンソースツールキットを開発するための協同作業です。


Python.exePython.exe

Python.exe は、Windows ⽤の Python プログラミング⾔語バイナリです。

Pythoncom.dllPythoncom.dll

Pythoncom.dll は、Python ⽤ OLE オートメーション API をカプセル化したモジュールです。

11

Pywintypes27.dllPywintypes27.dll

Pywintypes27.dll は、Python バージョン 2.7 の Windows タイプをカプセル化したモジュールです。

インストール⼿順インストール⼿順

Splunk Enterprise の概要とインストールに必要な事項を学習したら、ご利⽤のオペレーティングシステムに対応した詳細なインストール⼿順にお進みください。

WindowsWindows (コマンドラインから)LinuxSolarisMac OS XFreeBSDAIXHP-UX

Splunk Enterprise インストールのセキュリティSplunk Enterprise インストールのセキュリティSplunk Enterprise のセキュリティについてSplunk Enterprise のセキュリティについて

新しくインストールまたはアップグレードした Splunk Enterprise の設定が完了し、使⽤を開始したらすぐに、Splunk Enterprise とデータを保護するためにいくつかの作業を実施する必要があります。適切な⼿順を踏んでSplunk Enterprise を保護すれば、攻撃の⼿がかりを減らし、脆弱性のリスクや影響を低減することができます。

この章では、インストール前、インストール中、およびインストール後の Splunk Enterprise を保護する⽅法について説明していきます。『Splunk Enterprise のセキュリティ』マニュアルには、Splunk Enterprise を保護するためのさまざまな⽅法が詳しく紹介されています。

Splunk Enterprise をインストールする前のシステムの保護Splunk Enterprise をインストールする前のシステムの保護

Splunk Enterprise をインストールする前に、オペレーティングシステムの安全性を確保するためにいくつかの作業を⾏ってください。すべての Splunk サーバーの OS のセキュリティを強化することを強くお勧めします。

社内セキュリティ標準ガイドラインがない場合は、CIS セキュリティ強化規則をお勧めします。最低でも、Splunk Enterprise サーバーへのシェル/コマンドラインアクセスを制限してください。すべての Splunk Enterprise サーバーへの物理的なアクセスを制限してください。Splunk Enterprise エンドユーザーに、物理セキュリティとエンドポイントセキュリティについて教育してください。

Splunk Enterprise の安全なインストールSplunk Enterprise の安全なインストール

Splunk のダウンロード、インストール時には、以下の⼿順に従ってください。

整合性の検証整合性の検証

MD5 や SHA-512 などのハッシュ機能を使ってハッシュを⽐較して、Splunk Enterprise ダウンロードを検証します。信頼できるバージョンの OpenSSL を使⽤してください。例：./openssl dgst -md5 <filename-splunk-downloaded.zip>

または ./openssl dgst -sha512 <filename-splunk-downloaded.zip>

署名の検証署名の検証

ダウンロードした RPM パッケージの信頼性は、以下のように GnuPG 公開鍵を使って検証することができます。

1.1.GnuPG 公開鍵ファイル (このリンクは TLS 経由) をダウンロードします。

2.2.鍵のインストールには、以下のコマンドを使⽤します。

rpm --import <filename>

3.3.次のコマンドでパッケージの署名を検証します：

rpm -K <filename>

その他の Splunk Enterprise の保護⼿段その他の Splunk Enterprise の保護⼿段

Splunk Enterprise をインストールした後にも、設定を保護するためのさまざまな⼿段が存在しています。

12

ユーザー認証とロールベースのアクセス制御の設定ユーザー認証とロールベースのアクセス制御の設定

ユーザーを設定して、アクセスを制御するためにロールを使⽤します。Splunk Enterprise では 3 種類の⽅法でユーザーを設定できます。

独⾃のビルトイン認証システム、「Splunk 認証システムを使ったユーザー認証の設定」を参照してください。LDAP、「LDAP を使ったユーザー認証の設定」を参照してください。外部認証システム (PAM や RADIUS など) を使⽤するためのスクリプトによる認証 API、「外部システムを使ったユーザー認証の設定」を参照してください。

ユーザーを設定したら、権限やアクセスレベルを決定、制御するロールを割り当てられます。ロールと権限の詳細は、「ロールベースのユーザーアクセスについて」を参照してください。

SSL 証明書を使った、暗号化と認証の設定SSL 証明書を使った、暗号化と認証の設定

Splunk Enterprise にはデフォルトの証明書とキーのセットが⽤意されています。これを有効にするとデータの暗号化とデータ圧縮機能を利⽤することができます。また独⾃の証明書とキーを使って、ブラウザと Splunk Web間の通信やフォワーダーからレシーバーレシーバー (インデクサーなど) に送信されるデータを保護することができます。

SSL を使った Splunk 通信の保護⽅法の詳細は、このマニュアルの「SSL を使った Splunk の保護について」を参照してください。

Splunk Enterprise の監査Splunk Enterprise の監査

Splunk Enterprise には、データの信頼性を追跡するための監査機能が⽤意されています。Splunk Enterprise を監査できるように、以下のような⼿段を検討することをお勧めします。

ファイルとディレクトリのモニター

Splunk アクティビティの監査

監査イベントの暗号署名

アーカイブの署名について

Splunk Enterprise インストールのセキュリティの強化Splunk Enterprise インストールのセキュリティの強化

以下の⼿順に従って、Splunk Enterprise インストールのセキュリティを強化することもお勧めします。

複数のサーバーへの保護パスワードのデプロイ

Splunk のアクセス制御リストの使⽤

サービスアカウントの保護

不要な Splunk コンポーネントの無効化

ネットワーク上の Splunk の保護

Windows への Splunk Enterprise のインストールWindows への Splunk Enterprise のインストールSplunk Enterprise を実⾏するためのユーザーの選択Splunk Enterprise を実⾏するためのユーザーの選択

このトピックは、Windows に Splunk Enterprise をインストールする際に、どのユーザーとして実⾏させるかを選択するための⼿順について説明しています。

Windows 版 Splunk Enterprise インストーラの実⾏時、Splunk Enterprise を実⾏するユーザーを選択するオプションが表⽰されます。ユーザーの選択による影響を理解するために、インストール前にこのトピックをお読みになることを強くお勧めします。

このトピックは、Windows への Splunk Enterprise のインストールにのみ適⽤されます。

選択するユーザーは Splunk Enterprise で何をモニターするのかによって異なる選択するユーザーは Splunk Enterprise で何をモニターするのかによって異なる

Splunk Enterprise をどのユーザーとして実⾏させるかによって、何をモニターできるのかが決まります。LocalSystem ユーザーは、ローカルマシン上のすべてのデータにアクセスできますが、それ以外にアクセスすることはできません。Local System 以外のユーザーは、任意のデータにアクセスさせることが可能ですが、SplunkEnterprise をインストールする前に、使⽤するユーザーに⽬的のデータにアクセスできる権限を与える必要があります。

Splunk Enterprise をインストールするコンピュータがリモート Windows のデータにアクセスしないこSplunk Enterprise をインストールするコンピュータがリモート Windows のデータにアクセスしないことがすでに分かっている場合とがすでに分かっている場合は、このマニュアルの「Windows へのインストール」に進むことができます (コマンドプロンプトを使ってインストールする場合は、「コマンドラインを使った Windows へのインストール」)。

リモート Windows のデータにアクセスしなければならない可能性がある場合、または分からない場合リモート Windows のデータにアクセスしなければならない可能性がある場合、または分からない場合は、このトピックを参照してください。このトピックには、Splunk Enterprise を実⾏させるユーザーに関する重要な情報が含まれています。

13

「Local System ユーザー」と「その他のユーザー」の選択について「Local System ユーザー」と「その他のユーザー」の選択について

基本基本

Windows 版 Splunk Enterprise インストーラには、2 種類のインストール⽅法が⽤意されています。「LocalSystem」ユーザーとしてインストールするか、または Windows コンピュータまたはネットワーク上に存在する他の既存のユーザーとしてインストールします。

Splunk Enterprise で以下のいずれかの作業を⾏う予定の場合は、ドメインユーザーとしてインストールする必要があります。

リモートのイベントログを読み込むリモートのパフォーマンスカウンタを収集するネットワーク共有のログファイルを読み込むActive Directory 監視を使って Active Directory スキーマを列挙する

注意：注意：これ以外にも適⽤される条件があります。

指定するユーザーは、最低でも以下の条件最低でも以下の条件を満たしている必要があります。

モニターする Active Directory ドメインまたはフォレストのメンバーである (Active Directory を使⽤している場合)。Splunk Enterprise をインストールするサーバーのローカル Administrators グループのメンバーである。Splunk をインストールする前に、そのユーザーに適切なユーザーセキュリティ権限を割り当てている。詳細は、後述する「権限の最低要件」を参照してください。

警告：警告：ユーザーが最低要件最低要件を満たしていない場合、Splunk Enterprise のインストールが失敗することがあります。この場合、インストールは正常に完了しても、Splunk Enterprise が正常に動作しない、またはまったく動作しないことがあります。

また、ユーザーには独⾃のパスワード制約があります。後述する「Splunk ユーザーアカウントとパスワードの注意事項」を参照してください。

Splunk Enterprise をどのユーザーとして実⾏させるのかが分からない場合は、Splunk ユーザーとそれに必要なアクセス権の設定⽅法を学習してください。『データの取り込み』マニュアルの「リモート Windows データのモニター⽅法を決定するための検討事項」を参照してください。

ユーザーアカウントとパスワードの注意事項ユーザーアカウントとパスワードの注意事項

また、Splunk Enterprise のインストール時のユーザーアカウントに関する他の重要な問題として、パスワード強制セキュリティポリシーにより、パスワードの妥当性が決まるということが挙げられます。Windows サーバーまたはネットワークでパスワードの変更が強制されている場合は、以下の事項を考慮する必要があります。

パスワードの失効前にそれを変更して、各マシンが変更後のパスワードを使⽤するように SplunkEnterprise サービスを再設定した後、Splunk Enterprise を再起動する。パスワードが失効しないようにアカウントを設定する。管理されたサービスアカウントを使⽤する (後述する「Windows Server 2008、Windows Server 2012、および Windows 7 での管理されたサービスアカウントの使⽤」を参照)。

Windows Server 2008、Windows Server 2012、Windows 7、およびWindows 8.x での管理されたWindows Server 2008、Windows Server 2012、Windows 7、およびWindows 8.x での管理されたサービスアカウントの使⽤サービスアカウントの使⽤

Active Directory で Windows Server 2008、Windows Server 2008 R2、Windows Server 2012、WindowsServer 2012 R2、Windows 7、または Windows 8.x を実⾏しており、Active Directory ドメインに最低 1 つのWindows Server 2008 R2 または Server 2012 ドメインコントローラが存在している場合、Splunk Enterpriseを管理されたサービスアカウント (MSA) として実⾏することができます。

MSA 使⽤の主な利点を以下に⽰します。

サービスのアカウントを隔離することで、セキュリティを向上する。管理者が資格情報やアカウントを管理する必要がない。このことは、パスワードは失効後に⾃動的に変更され、アカウントに関連するパスワードの⼿動設定やサービスの再起動が不要になることを意味しています。管理者は、これらのアカウントの管理作業を他のユーザーに委任できる。

MSA については、Splunk のインストールを⾏う前に、以下の事項を理解しておく必要があります。

MSA には、Splunk Enterprise を実⾏するマシン上のドメインアカウントと同じ権限/アクセス許可が必要になります。MSA は、Splunk Enterprise を実⾏するマシンのローカル管理者でなければなりません。別のコンピュータで、ドメインアカウントとして使⽤するアカウントと同じアカウントを使⽤することはできません。マシンに Splunk Enterprise をインストールする前に前に、Splunk Enterprise を実⾏するマシン上に MSA を正しくインストール、設定する必要があります。⽅法については、MS Technet の『サービスアカウントのステップバイステップガイド』 (http://technet.microsoft.com/ja-jp/library/dd548356%28WS.10%29.aspx) を参照してください。

MSA を使って Splunk Enterprise をインストールするには、このマニュアルの「Splunk Enterprise をネットワークまたはドメインユーザーとしてインストールするための Windows ネットワークの準備」を参照してください。

セキュリティとリモートアクセスの検討事項セキュリティとリモートアクセスの検討事項

アクセス許可/権限の最低要件アクセス許可/権限の最低要件14

Splunk Enterprise をドメインユーザーとしてインストールする場合、ソフトウェアを実⾏するサーバー上に最低限必要なアクセス許可/権限があります。

ドメイン・ユーザーで Splunk Enterprise をインストールする場合に、splunkd およびsplunkforwarder サービスに必要な最低限最低限のユーザー権限/アクセス許可を以下に⽰します。モニターするデータのソースによっては、Splunkユーザーに他のアクセス許可/権限が必要なこともあります。

splunkd またはまたは splunkforwarder サービスに必要な基本権限/アクセス許可サービスに必要な基本権限/アクセス許可

Splunk Enterprise のインストールディレクトリに対するフルコントロールインデックスを作成するフラットファイルに対する読み取りアクセス

splunkd またはまたは splunkforwarder サービスに必要なローカル/ドメインセキュリティポリシーのユーザーアクセス許可割りサービスに必要なローカル/ドメインセキュリティポリシーのユーザーアクセス許可割り当て当て

サービスとしてログオンするアクセス許可バッチジョブとしてログオンするアクセス許可プロセスレベルのトークンを置換するアクセス許可オペレーティングシステムの⼀部として動作するアクセス許可⾛査チェックをバイパスするアクセス許可

重要：重要：インストール前に、Splunk ユーザーにこれらのアクセス許可を割り当てないと、Splunk Enterprise インストールが失敗する、またはインストール後に正常に動作しない可能性があります。

注意：注意：Splunk Enterprise が Local System アカウントとして動作する場合、これらのアクセス許可は不要です。

これらのアクセス許可の割り当て⽅法これらのアクセス許可の割り当て⽅法

このセクションでは、Splunk をインストールする前に、Splunk サービスアカウントに適切なユーザー権限/アクセス許可を割り当てる⽅法を説明していきます。詳細な⼿順については、このマニュアルの「ネットワークまたはドメインユーザーとしての、Splunk Enterprise インストール⽤ Windows ネットワークの準備」を参照してください。

グループポリシーを使った複数マシンへの権限の割り当てグループポリシーを使った複数マシンへの権限の割り当て

前述のポリシー設定を、Active Directory ドメインまたはフォレスト内の複数のワークステーションやサーバーに割り当てたい場合、グループポリシーオブジェクト (GPO) にこれらの権限を定義して、それをドメインにデプロイすることができます。詳細については、このマニュアルの「ネットワークまたはドメインユーザーとしての、Splunk Enterprise インストール⽤ Windows ネットワークの準備」を参照してください。

GPO を作成して有効にすると、ドメイン内のワークステーションとサーバーは、次回にスケジュールされているActive Directory レプリケーションサイクル (通常は 1.5〜2 時間) または次回の起動時に変更内容を取得します。または、グループポリシーを更新するサーバー上で GPUPDATE コマンドを使って、Active Directory レプリケーションを強制することができます。

ユーザー権限の設定時には、GPO により割り当てられる権限が、マシン上の同じローカルセキュリティポリシー権限に優先することに注意してください。この設定を変更することはできません。マシン上にローカルセキュリティポリシーを使って明⽰的に定義されている既存の権限を保持したい場合は、GPO 内でもそれらの権限を割り当てる必要があります。

権限に関する問題のトラブルシューティング権限に関する問題のトラブルシューティング

上記の権限は、splunkd および splunkforwarder サービスが特に必要とする権限です。使⽤⽅法やアクセスするデータの種類によっては、その他の権限が必要なこともあります。また、さまざまなユーザー権限割り当てや他のグループポリシーの制限により、Splunk の動作が阻害されることもあります。何か問題がある場合は、プロセスモニターや GPRESULT などのツールを使って、環境内の GPO アプリケーションのトラブルシューティングを⾏ってください。

ネットワークまたはドメインユーザーとしての、Splunk Enterpriseネットワークまたはドメインユーザーとしての、Splunk Enterpriseインストール⽤ Windows ネットワークの準備インストール⽤ Windows ネットワークの準備

重要なセキュリティ情報重要なセキュリティ情報

これらの⼿順を実施するには、Splunk Enterprise の使⽤準備を⾏うコンピュータまたは Activeこれらの⼿順を実施するには、Splunk Enterprise の使⽤準備を⾏うコンピュータまたは ActiveDirectory ドメインに対して、管理者権限でのアクセスが必要になります。このアクセス権がない場合Directory ドメインに対して、管理者権限でのアクセスが必要になります。このアクセス権がない場合は、この⼿順を実⾏しないでください。は、この⼿順を実⾏しないでください。

この作業では、Windows ネットワークに変更を⾏う必要があります。Splunk Enterprise 操作の低レベル・アクセス要件により、Local System 以外のユーザーとして Splunk Enterprise を実⾏する場合は、これらの変更が必要になります。重要なセキュリティ上のリスクが発⽣する可能性があります。

そのようなリスクをできる限り回避するために、Splunk Enterprise が動作するユーザーの対話型ログインを禁⽌して、またユーザーがログインできるワークステーション数も制限してください。

作業に伴うセキュリティ上のリスクを理解できない場合は、この作業を⾏わないでください。Splunk Enterprise またはユニバーサル・フォワーダーを「Local System」ユーザーとしてインストールする場合は、この⼿順を実施しないでください。

15

Windows ネットワークに Splunk Enterprise を「Local System」ユーザーではなく、ネットワークまたはドメインユーザーとしてインストールするために必要な、Windows ネットワークの準備⼿順を以下に⽰します。

ここの説明は Windows Server 2008 R2、Windows Server 2012、および Windows Server 2012 R2 でテストされており、他のバージョンの Windows では多少異なる可能性があります。

また、ここの⼿順を使って割り当てる権限は、正常に Splunk をインストールするために必要な最低限の権限です。Splunk Enterprise が⽬的のデータにアクセスできるように、ローカルセキュリティポリシーやグループポリシーオブジェクト (GPO) を使って、または特定のユーザーまたはグループアカウントに、他の権限を割り当てなければならないことがあります。

ドメインユーザーとして Splunk をインストールするための Active Directory の準備ドメインユーザーとして Splunk をインストールするための Active Directory の準備

Splunk Enterprise または Splunk ユニバーサルフォワーダーをドメインアカウントとしてインストールするための、Active Directory の準備⼿順を以下に⽰します。

ユーザーやグループを作成する際には、Microsoft のベストプラクティス (http://technet.microsoft.com/en-us/library/bb727085.aspx) に従うことをお勧めします。⼀般的にこれには、組織内のグループ⽤の特定の組織単位の作成が含まれています。

これらの⼿順は、以下の事項を前提にしています。

Active Directory を実⾏している。設定する Active Directory ドメインのドメイン管理者である。Splunk Enterprise をインストールするコンピュータが、Active Directory ドメインのメンバーである。

グループの作成グループの作成

1.1.[スタート] > [管理ツール] > [Active Directory ユーザーとコンピュータ][スタート] > [管理ツール] > [Active Directory ユーザーとコンピュータ] を選択して、[Active[ActiveDirectory ユーザーとコンピュータ]Directory ユーザーとコンピュータ] ツールを実⾏します。

2.2.プログラムがロードされたら、Splunk 操作の準備をするドメインを選択します。

3.3.既存の適切なコンテナフォルダをダブルクリックして開くかまたは、[アクション][アクション] メニューで [新規] >[新規] > [グ [グループ]ループ] を選択して新しい組織単位を作成します。

4.4.[アクション][アクション] メニューで、[新規] > [グループ][新規] > [グループ] を選択します。

5.5.表⽰されるダイアログで、「Splunk Accounts」のような、Splunk ユーザーアカウントを表す名前を⼊⼒します。

[グループのスコープ][グループのスコープ] に [ドメインローカル][ドメインローカル] を、[グループの種類][グループの種類] に [セキュリティ][セキュリティ] を設定します。

6.6.[OK] をクリックして、グループを作成します。

7.7.2 番⽬のグループを作成し、「Splunk Enabled Computers」のように、Splunk Enterprise を有効にしたコンピュータを表す名前を指定します。このグループには、Splunk Enterprise をドメインユーザーとして実⾏するための、適切な権限が割り当てられたコンピュータアカウントが含まれます。

[グループのスコープ][グループのスコープ] に [ドメインローカル][ドメインローカル] を、[グループの種類][グループの種類] に [セキュリティ][セキュリティ] を設定します。

グループへのユーザーとコンピュータの割り当てグループへのユーザーとコンピュータの割り当て

Splunk Enterprise の実⾏に使⽤するユーザーアカウントをまだ作成していない場合は、それを作成します。独⾃のポリシーを策定していない場合は、Microsoft のユーザーとグループを作成するためのベストプラクティスに従ってください。

ユーザーアカウントを作成したら、アカウントを「Splunk AccountsSplunk Accounts」グループに追加して、SplunkEnterprise を実⾏するコンピュータのコンピュータアカウントを「Splunk Enabled ComputersSplunk Enabled Computers」グループに追加します。

作業を完了したら、[Active Directory ユーザーとコンピュータActive Directory ユーザーとコンピュータ] を終了できます。

グループポリシーオブジェクト (GPO) の定義グループポリシーオブジェクト (GPO) の定義

1.1.[スタート] > [管理ツール] > [グループポリシーの管理][スタート] > [管理ツール] > [グループポリシーの管理] を選択して、[グループポリシー管理コンソール][グループポリシー管理コンソール](GPMC) ツールを実⾏します。

2.2.左側のツリービューで、[ドメイン][ドメイン] を選択します。

3.3.[グループポリシーオブジェクト][グループポリシーオブジェクト] フォルダをクリックします。

4.4. [<ドメイン>内のグループポリシーオブジェクト] [<ドメイン>内のグループポリシーオブジェクト] フォルダで、右クリックして表⽰されるメニューから [新[新規]規] を選択します。

5.5.[新しい GPO] [新しい GPO] ダイアログで、「Splunk Access」のように、GPO がサーバーにユーザー権限を割り当てることを⽰す名前を指定します。

[ソーススターター GPOソーススターター GPO] フィールドに [(なし)] を設定します。

6.6.[OK][OK] をクリックして、GPO を保存します。

16

GPO への権限の追加GPO への権限の追加

1.1.GPMC で、新しく作成したグループポリシーオブジェクトを右クリックして、表⽰されるメニューから [編集][編集]を選択します。

2.2.表⽰されるグループポリシー管理エディターグループポリシー管理エディターの左パネルで、[コンピュータの構成] -> [ポリシー] ->[コンピュータの構成] -> [ポリシー] ->[Windows の設定] -> [セキュリティの設定] -> [ローカルポリシー] -> [ユーザー権利の割り当て][Windows の設定] -> [セキュリティの設定] -> [ローカルポリシー] -> [ユーザー権利の割り当て] に移動します。

a.a. 右側のパネルで、[オペレーティングシステムの⼀部として機能][オペレーティングシステムの⼀部として機能] をダブルクリックします。

b.b. 表⽰されるウィンドウで、[これらのポリシーの設定を定義する][これらのポリシーの設定を定義する] チェックボックスを選択します。

c.c. [ユーザーまたはグループの追加][ユーザーまたはグループの追加] をクリックします。â€¦â€¦

d.d. 表⽰されるダイアログで、[参照][参照] をクリックします。â€¦â€¦

e.e. 表⽰される [ユーザー、コンピュータ、サービスアカウント、またはグループの選択][ユーザー、コンピュータ、サービスアカウント、またはグループの選択] ダイアログに、先ほど作成した「Splunk Accounts」グループの名前を⼊⼒し、[名前の確認][名前の確認] をクリックします。â€¦â€¦

名前が有効な場合、下線が付けられます。そうでない場合は、オブジェクトが⾒つからないことを知らせるメッセージが表⽰され、もう⼀度オブジェクト名の⼊⼒が要求されます。

f.f. [OK] をクリックして [ユーザーの選択â€¦] ダイアログを閉じます。

g.g. もう⼀度 [OK] をクリックして [ユーザーまたはグループの追加] ダイアログを閉じます。

h.h. もう⼀度 [OK] をクリックして、権限のプロパティダイアログを閉じます。

3.3.次の追加権限に対して、ステップ 2a〜2h を繰り返します。

⾛査チェックのバイパス⾛査チェックのバイパスバッチジョブとしてログオンバッチジョブとしてログオンサービスとしてログオンサービスとしてログオンプロセスレベルトークンの置き換えプロセスレベルトークンの置き換え

サーバーあたりの Administrators グループメンバーシップの変更サーバーあたりの Administrators グループメンバーシップの変更

この GPO を適⽤するサーバー上の、Administrators グループのメンバーを制限する⼿順を以下に⽰します。

警告：警告：各サーバー上のグループの Administrators グループを利⽤する必要があるすべてのアカウントを、制限されたグループのポリシー設定に追加してください。そうしないと、この GPO を適⽤するサーバーに管理者権限でアクセスできない可能性があります。

1.1.[グループポリシー管理エディター] ウィンドウの左パネルで、[コンピュータの構成] -> [ポリシー] ->[コンピュータの構成] -> [ポリシー] ->[Windows の設定] -> [セキュリティの設定] -> [制限されたグループ][Windows の設定] -> [セキュリティの設定] -> [制限されたグループ] に移動します。

a.a. 右パネルで、右クリックして表⽰されるメニューから、[グループの追加â€¦][グループの追加â€¦] を選択します。

b.b. 表⽰されるダイアログで、[Administrators][Administrators] に⼊⼒して [OK] をクリックします。

c.c. 表⽰されるプロパティダイアログで、[このグループのメンバ][このグループのメンバ] の隣りにある [追加][追加] ボタンをクリックします。

d.d. 表⽰される [メンバの追加][メンバの追加] ダイアログで、[参照â€¦] をクリックします。

e.e. 表⽰される [ユーザー、コンピュータ、サービスアカウント、またはグループの選択][ユーザー、コンピュータ、サービスアカウント、またはグループの選択] ダイアログに、先ほど作成した「Splunk Accounts」グループの名前を⼊⼒し、[名前の確認][名前の確認] をクリックします。â€¦â€¦


f.f. [OK] をクリックして [ユーザーの選択â€¦][ユーザーの選択â€¦] ダイアログを閉じます。

g.g. もう⼀度 [OK] をクリックして [ユーザーまたはグループの追加] ダイアログを閉じます。

h.h. もう⼀度 [OK] をクリックして、グループのプロパティダイアログを閉じます。

2.2.以下の追加のユーザーまたはグループに対して、1a〜1h の⼿順を繰り返します。

Domain AdminsGPO を適⽤する各サーバー上の Administrators グループのメンバーにする必要がある、他の任意のユーザー

3.3.[グループポリシーの管理エディター] ウィンドウを閉じて GPO を保存します。

コンピュータを選択するための GPO アプリケーションの制限コンピュータを選択するための GPO アプリケーションの制限

1.1.GPMC の左パネルで、作成して権限を追加した GPO を選択します (まだ選択していない場合)。

GPMC の右パネルに GPO に関する情報が表⽰されます。

2.2.右側のパネルの [セキュリティフィルタ処理][セキュリティフィルタ処理] 下にある [追加][追加] をクリックします。â€¦â€¦

17

3.3.表⽰される [ユーザー、コンピュータ、またはグループの選択][ユーザー、コンピュータ、またはグループの選択] ダイアログに、「Splunk EnabledComputers」と (または、先ほど作成した Splunk ⽤コンピュータを表すグループの名前を) ⼊⼒します。

4.4.[名前の確認][名前の確認] をクリックします。グループが有効な場合、名前に下線が付けられます。そうでない場合は、オブジェクトが⾒つからないことを知らせるメッセージが表⽰され、もう⼀度オブジェクト名の⼊⼒が要求されます。

5.5.[OK] をクリックして、GPO 情報ウィンドウに戻ります。

6.6.ステップ 2〜5 を繰り返して、「Splunk Accounts」グループを追加します (先ほど作成した Splunk ユーザーアカウントを表すグループ)。

7.7.[セキュリティフィルタ処理][セキュリティフィルタ処理] 下の [Authenticated Users][Authenticated Users] をクリックして強調表⽰します。

8.8.[削除][削除] をクリックします。

「Authenticated Users」が [セキュリティフィルタ処理] フィールドから削除され、「Splunk Accounts」および「Splunk Enabled Computers」のみが残ります。

GPO の適⽤GPO の適⽤

1.1.GPMC の左パネルで、作成したグループポリシーオブジェクトを適⽤するドメインを選択します。

2.2.ドメインを右クリックして表⽰されるメニューから、[既存の GPO のリンクâ€¦][既存の GPO のリンクâ€¦] を選択します。

注意：注意：前に作成した OU に対してのみ GPO を適⽤する場合は、右クリックしてポップアップメニューを表⽰する代わりに OU を選択します。

3.3.表⽰される [GPO の選択][GPO の選択] ダイアログから、作成、編集した GPO を選択して、[OK][OK] をクリックします。選択したドメインに GPO が適⽤されます。

4.4.GPMC のメニューから [ファイル] > [終了][ファイル] > [終了] を選択して、GPMC を閉じます。

注意：注意：グループポリシーが更新され、ドメイン内のコンピュータに GPO が適⽤される時期は、Active Directoryによって制御されています。⼀般的にレプリケーションは、90〜120 分ごとに⾏われます。Splunk をドメインユーザーとしてインストールする前に、更新内容が適⽤されるまで待機する必要があります。または、グループポリシーを更新するコンピュータ上で、コマンドプロンプトから GPUPDATE /FORCE を実⾏して、グループポリシーを強制的に更新できます。

管理されたシステムアカウントを使った Splunk のインストール管理されたシステムアカウントを使った Splunk のインストール

代わりに、管理されたシステムアカウントを使って Splunk Enterprise をインストールすることができます。この場合は、以下の⼿順に従ってください。

1.1.Windows データのモニターに使⽤する MSA を作成、設定します。

注意：注意：このトピックの前半にある「Splunk Enterprise をドメインアカウントとして実⾏するための ActiveDirectory の準備」の説明に従って、MSA に適切なセキュリティポリシー権限とグループメンバーシップを割り当てることができます。

2.2.コマンドラインから「Local System」ユーザーとして Splunk をインストールします。

重要：重要：インストール完了後 Splunk Enterprise を起動しないように、コマンドラインから Splunk Enterprise をインストールして LAUNCHSPLUNK=0 フラグを使⽤する必要があります必要があります。

3.3.インストール完了後、Windows エクスプローラまたは ICACLS コマンドを使って、Splunk Enterprise のインストールディレクトリとそのすべてのサブディレクトリに、MSA 「Full Control」アクセス許可を割り当てます。

注意：注意：Splunk Enterprise インストールディレクトリの親ディレクトリからの NTFS アクセス許可の継承を破棄して、インストールディレクトリとそのサブディレクトリに明⽰的にアクセス許可を割り当てなければならないこともあります。

4.4.このマニュアルの「Windows インストール時に選択したユーザーの修正」の説明に従って、Splunk サービスアカウントのデフォルトユーザーを変更します。このインスタンスで、正しいユーザーは Splunk Enterprise をインストールするように設定した MSA です。

重要：重要：MSA が正常に機能するように、ステップ 4 の完了時にはユーザー名の最後にドル記号 ($) を追加する必する必要があります要があります。たとえば MSA が SPLUNKDOCS\splunk1 の場合、サービスのプロパティダイアログの適切なフィールドには SPLUNKDOCS\splunk1$ と⼊⼒する必要があります。これは、splunkd および splunkweb の両⽅のサービスに対して⾏う必要があります。

5.5.MSA に「サービスとしてログオンサービスとしてログオン」権限があることを確認します。

注意：注意：[サービス] コントロールパネルを使ってサービスアカウントの変更を⾏う場合は、Windows が MSA にこの権限を⾃動的に割り当てます。

6.6.Splunk Enterprise を開始します。先ほど設定した MSA として実⾏され、MSA がアクセスできるすべてのデータにアクセスできます。

PowerShell を使った Active Directory ドメインの設定PowerShell を使った Active Directory ドメインの設定

PowerShell を使って Splunk Enterprise サービスを利⽤するための、Active Directory 環境の設定を⾏えます。

18

そのためには、まず PowerShell プロンプトを開きます (管理者として)。次に以下の⼿順に従ってください。

Splunk ユーザーアカウントの作成Splunk ユーザーアカウントの作成

1.1.必要に応じて ActiveDirectory PowerShell モジュールをインポートします。

> Import-Module ActiveDirectory

2.2.次の事項を⼊⼒して、新しいユーザーを作成します：

> New-ADUser â€“Name <user> `

-SamAccountName <user> `

-Description â€œSplunk Service Accountâ€ `

-DisplayName â€œService:Splunkâ€ `

-Path â€œ<organizational unit LDAP path>â€ `

-AccountPassword (Read-Host â€“AsSecureString â€œAccount Passwordâ€) `

-CannotChangePassword $true `

-ChangePasswordAtLogon $false `

-PasswordNeverExpires $true `

-PasswordNotRequired $false `

-SmartcardLogonRequired $false `

-Enabled $true `

-LogonWorkstations â€œ<server>â€ `

この例では：

このコマンドは、パスワードを変更できない、初回ログイン後にパスワードの変更が強制されない、そして有効期限がないアカウントを作成します。<user> は、作成するユーザーの名前です。<organizational unit LDAP path> 新しいユーザーを配置する OU 名で、X.500 形式で指定します。例：CN=Managed Service Accounts,DC=splk,DC=com。<server> は、アカウントがログインできるサーバーを⽰します。複数のサーバーを指定する場合は、カンマで区切ります。

注意：注意：LogonWorkstations 引数は省略することができます。ただし、この引数を利⽤すれば、管理されたサービスアカウントがドメインにログインできる、ワークステーションを制限することができます。

Splunk Enterprise サーバーの設定Splunk Enterprise サーバーの設定

ユーザーアカウントを設定したら、PowerShell を使って、Splunk Enterprise を実⾏するための、適切な権限を持つサーバーを設定することができます。

警告：警告：これは⾼度な⼿順です。この⼿順を使⽤する場合は、想定される問題点や悪影響などを⼗分に理解した上で (⼊⼒ミスや不適切なフォーマットのファイルなどによる問題を含む)、⾃⼰の責任において⾏ってください。

以下の例で：

<user> は、先ほど作成した Splunk Enterprise を実⾏するユーザー名です。<domain> は、ユーザーが存在するドメインです。<computer> は、変更を⾏うために接続するリモートコンピュータです。

PowerShell でローカルセキュリティポリシーを設定するには：

1.1.設定するサーバーに接続します。

ローカルサーバーを使⽤する場合は、単純にログインして PowerShell プロンプトを開きます (まだそうしていない場合)。リモートサーバーに接続する場合、以下のようにリモートホスト上に新しい PSSession を作成します。リモート接続を⾏うために、Windows ファイアウォールを無効にしなければならないこともあります。⽅法については、MS TechNet の「I Need to Disable Windows Firewall」(http://technet.microsoft.com/ja-jp/library/cc766337(v=ws.10).aspx) を参照してください (WindowsServer 2008 R2 までの Windows サーバー⽤)。また、MS TechNet の「Windows PowerShell によるセキュリティ管理が強化された Windows ファイアウォール」 (http://technet.microsoft.com/ja-jp/library/hh831755.aspx) も参照してください。

> Enter-PSSession -Computername <computer>

2.2.ローカルの Administrators グループにサービスアカウントを追加します。

> $group = [ADSI]â€WinNT://<server>/Administrators,groupâ€

> $group.Add(â€œWinNT://<domain>/<user>â€)

3.3.ローカルマシン上の現在のユーザー権利設定状態を含む、バックアップファイルを作成します。

19

> secedit /export /areas USER_RIGHTS /cfg OldUserRights.inf

4.4.バックアップを使って、インポート時に Splunk Enterprise ユーザーの権限を昇格するための、新しいユーザー権利情報ファイルを作成します。

> Get-Content OldUserRights.inf `

| Select-String â€“Pattern `

â€œ(SeTcbPrivilege|SeChangeNotify|SeBatchLogon|SeServiceLogon|SeAssignPrimaryToken|SeSystemProfile)â€ `

| %{ â€œ$_,<domain>\<user>â€ }

| Out-File NewUserRights.inf

5.5.新しいポリシー情報ファイルのヘッダーを作成し、ヘッダーと新しい情報ファイルを連結します。

> ( â€œ[Unicode]â€, â€œUnicode=yesâ€ ) | Out-File Header.inf

> ( â€œ[Version]â€, â€œsignature=`â€`$CHICAGO`$`â€â€, â€œRevision=1â€) | Out-File â€“Append Header.inf

> ( â€œ[Privilege Rights]â€ ) | Out-File â€“Append Header.inf

> Get-Content NewUserRights.inf | Out-File â€“Append Header.inf

6.6.ポリシー情報ファイルを参照して、ヘッダーが適切に書き込まれ、ファイルの構⽂誤りがないことを確認します。

7.7.ファイルをコンピュータのローカルセキュリティポリシーデータベースにインポートします。

> secedit /import /cfg Header.inf /db C:\splunk-lsp.sdb

> secedit /configure /db C:\splunk-lsp.sdb

Splunk Enterprise インストールのためのローカルマシンまたは⾮ Active DirectorySplunk Enterprise インストールのためのローカルマシンまたは⾮ Active Directoryネットワークの準備ネットワークの準備

Active Directory を使⽤していない場合は、以下の⼿順に従って Splunk Enterprise をインストールするコンピュータ上で、Splunk を動作させるユーザーに管理者アクセスを与えます。

1.1.管理者権限を与えるには、Splunk Enterprise を動作させるユーザーをローカル Administrators グループに追加します。

2.2.[スタート] > [管理ツール] > [ローカルセキュリティポリシー][スタート] > [管理ツール] > [ローカルセキュリティポリシー] を選択して、ローカルセキュリティポリシーを開始します。

ローカルセキュリティポリシーが起動し、ローカルセキュリティ設定が表⽰されます。

3.3.左パネルで、[ローカルポリシー][ローカルポリシー] を展開して [ユーザー権利の割り当て][ユーザー権利の割り当て] をクリックします。

a.a. 右側のパネルで、[オペレーティングシステムの⼀部として機能][オペレーティングシステムの⼀部として機能] をダブルクリックします。

b.b. [ユーザーまたはグループの追加][ユーザーまたはグループの追加] をクリックします。â€¦â€¦

c.c. 表⽰されるダイアログで、[参照][参照] をクリックします。â€¦â€¦

d.d. 表⽰される [ユーザー、コンピュータ、サービスアカウント、またはグループの選択][ユーザー、コンピュータ、サービスアカウント、またはグループの選択] ダイアログに、先ほど作成した「Splunk Computers」グループの名前を⼊⼒し、[名前の確認...][名前の確認...] をクリックします。


e.e. [OK] をクリックして [ユーザーの選択â€¦] ダイアログを閉じます。

f.f. もう⼀度 [OK] をクリックして [ユーザーまたはグループの追加] ダイアログを閉じます。

g.g. もう⼀度 [OK] をクリックして、権限のプロパティダイアログを閉じます。

4.4.次の追加権限に対して、ステップ 3a〜3g を繰り返します。

⾛査チェックのバイパス⾛査チェックのバイパスバッチジョブとしてログオンバッチジョブとしてログオンサービスとしてログオンサービスとしてログオンプロセスレベルトークンの置き換えプロセスレベルトークンの置き換え

これらのステップを完了したら、次に⽬的のユーザーとして Splunk をインストールできます。

Windows へのインストールWindows へのインストール

重要重要

Splunk Enterprise 6.2 から、インストール⼿順が⼤幅に変更されました。続⾏する前に、このトピックの「インストール・オプション」を参照してください。

20

ここでは、GUI ベースのインストーラを使った、Windows への Splunk Enterprise のインストール⼿順について説明していきます。コマンドラインからインストールする場合は、さらに多くのオプション (サイレントインストールなど) を利⽤することができます。

警告：警告：32 ビット版の Windows ⽤ Splunk Enterprise を、64 ビット Windows システムにインストール、実⾏することはできなくなりました。また、サポートされていない OS が動作しているマシン (例：Windows Server2003 が動作するマシン) に Splunk Enterprise をインストールすることもできません。「システム要件」を参照してください。

そのような環境でインストーラを実⾏すると、警告が表⽰されインストールは⾏えません。

注意：注意：Splunk のユニバーサルフォワーダーユニバーサルフォワーダーをインストールする場合は、『データの転送』マニュアルの「ユニバーサルフォワーダーのデプロイの概要」を参照してください。⼀部の機能を無効化または変更した完全版のSplunk Enterprise インスタンスであるヘビー/ライトフォワーダーフォワーダーと違い、ユニバーサルフォワーダーはまったく別の実⾏形式ファイルで、インストール⼿順も異なっています。フォワーダーの基本についても、『データの転送』マニュアルの「転送と受信について」を参照してください。

アップグレード？アップグレード？

Splunk Enterprise をアップグレードする予定の場合は、実施する前に「Splunk のアップグレード⽅法」を参考に、移⾏⽅法と移⾏の検討事項を確認してください。

アップグレード時の管理⽤ポートや HTTP ポートの変更を、Splunk Enterprise はサポートしていないことに注意してください。

インストールの前にインストールの前に

Splunk を実⾏するためのユーザーの選択Splunk を実⾏するためのユーザーの選択

インストール前に、ご⾃分のニーズに対応するために、「Splunk を実⾏するためのユーザーの選択」を参照して、Splunk を実⾏するユーザーアカウントを決定してください。選択したユーザーは、ソフトウェアのインストール前に⾏う必要がある作業、およびその他の事項に影響します。

Windows 版 Splunk Enterprise とウィルス対策ソフトウェアWindows 版 Splunk Enterprise とウィルス対策ソフトウェア

Splunk Enterprise のインデックス作成サブシステムは、⼤量のディスクスループットを必要としています。Splunk Enterprise とオペレーティングシステム間を中継するデバイスドライバを持つソフトウェアが、SplunkEnterprise の処理能⼒を消費し、処理の低速化やシステムの応答不可を発⽣させる可能性があります。これにはウィルス対策ソフトウェアが含まれています。

Splunk Enterprise のインストールを開始する前に、このようなソフトウェアが Splunk インストールディレクトリやプロセスのスキャンをすることを防⽌するように設定することが⾮常に重要です。

GUI インストーラを使った Splunk Enterprise のインストールGUI インストーラを使った Splunk Enterprise のインストール

Windows インストーラは MSI ファイルです。

1.1.インストーラを開始するには、splunk.msi ファイルをダブルクリックします。

インストーラが実⾏され、[Splunk Enterprise Installer][Splunk Enterprise Installer] パネルが表⽰されます。

2.2.インストールを続⾏するには、[Check this box to accept the License Agreement] (使⽤許諾契約に同意するにはこのボックスを選択) チェック・ボックスを選択します。[Customize Installation] および [Install] ボタンが有効になります。

注意：注意：使⽤許諾契約を表⽰する場合は、[View License Agreement] ボタンをクリックします。

インストール・オプションインストール・オプション

Splunk Enterprise 6.2 では、デフォルト設定でのインストールと、インストール前にすべての設定を⾏う⽅法の2 種類のインストール⽅法が選択できるようになりました。

インストーラはデフォルトで、以下の処理を⾏います。

システム・ドライブ (Windows システムをブートするドライブ) の \Program Files\Splunk に Splunk

21

Enterprise をインストールします。デフォルトの管理⽤ポートと Web ポートでインストールします。Local System ユーザーとして実⾏するように Splunk Enterprise を設定します。詳細は、このマニュアルの「Splunk Enterprise を実⾏するためのユーザーの選択」を参照してください。[スタート] メニューにソフトウェア⽤のショートカットを作成します。

3a.3a.これらのデフォルトのインストール設定を変更する場合、[Customize Options] ボタンをクリックして、このトピックの「オプションのカスタマイズ」の⼿順を参照してください。

3b.3b.そうでない場合は、[インストール] ボタンをクリックします。この場合、ソフトウェアがデフォルトの設定でインストールされます。次に、ステップ 8 に進みます。

オプションのカスタマイズオプションのカスタマイズ

注意：注意：各パネルで、続⾏する場合は [次へ][次へ] を、前のステップに戻る場合は [戻る][戻る] をクリックします。インストールをキャンセルしてインストーラを終了する場合は、[キャンセル][キャンセル] をクリックします。

[Install Splunk Enterprise to] (Splunk Enterprise のインストール先) パネルが表⽰されます。

注意：注意：デフォルトで、Splunk Enterprise はシステム・ドライブの \Program Files\Splunk にインストールされます。このドキュメントでは、Splunk Enterprise のインストール・ディレクトリを $SPLUNK_HOME または%SPLUNK_HOME% で表しています。

4.4.Splunk Enterprise を別の場所にインストールするには、[変更â€¦] をクリックします。または、[次へ] をクリックして、デフォルト値をそのまま使⽤します。

[Choose the user Splunk Enterprise should run as] (Splunk Enterprise の実⾏に使⽤するユーザーの選択) パネルが表⽰されます。

Splunk Enterprise は、splunkd と splunkweb の 2 つの Windows サービスをインストール、実⾏します。バージョン 6.2 から、splunkd がすべての Splunk Enterprise 操作を担当するようになりました。splunkweb サービスは、レガシー・モードの実⾏⽬的でのみインストールされます。

これらのサービスは、このパネルで指定したユーザーとしてインストール、実⾏されます。Splunk Enterprise をLocal System ユーザーまたは他のユーザーとして実⾏することを選択できます。

重要：重要：Splunk Enterprise を他のユーザーとして実⾏する場合、そのユーザーは以下の条件を満たす必要があり必要がありますます。

Active Directory ドメインのメンバーである (Local System アカウント以外のローカルマシンアカウントとして Splunk Enterprise をインストールすることはできません)。インストールを実施するマシン上のローカル管理者権限を保有している。リモートマシンから収集するデータの種類に応じて、特定のユーザー権限および他のアクセス許可を保有している。

これらのアクセス許可/権限の要件については、「Splunk Enterprise を動作させる Windows ユーザーの選択」を参照してください。

まだ上記のリンクされているトピックを読んでいない場合は、いったんインストール作業を中⽌してインストール作業を中⽌して、まずそのトピックをお読みください。

5.5.ユーザータイプを選択して、[次へ][次へ] をクリックします。

22

Local System ユーザーを選択した場合は、ステップ 7 に進んでください。それ以外の場合は、[ログオン情報：[ログオン情報：ユーザー名とパスワードを指定する]ユーザー名とパスワードを指定する] パネルが表⽰されます。

6.6.Splunk Enterprise をインストールして実⾏するユーザー名とパスワードを指定して、[次へ][次へ] をクリックします。

重要：重要：ユーザー名は domain\username の形式で指定する必要があります。ユーザーの指定時にドメインを含めないと、インストールが失敗します。これは、セキュリティコンテキスト内の有効なユーザーで、Active Directoryドメイン内のアクティブなメンバーでなければなりません。Splunk Enterprise は、Local System アカウント、または有効なパスワードとローカル管理者権限を持つ、有効なユーザーアカウントで実⾏する必要があります。

インストーラにインストール情報を⽰すパネルが表⽰されます。

7.7.続⾏するには、[Install] (インストール) をクリックします。

インストーラが実⾏され、完了すると [Installation Completed][Installation Completed] (インストール完了) パネルが表⽰されます。

警告：警告：インストール作業中に誤ったユーザーを指定した場合、その旨を⽰す 2 つのポップアップウィンドウにエラーが表⽰されます。これが発⽣した場合、デフォルトでは Local System ユーザーとしてインストールされます。この場合、Splunk Enterprise が⾃動的に開始されることはありません。インストールの最後のパネルで、[Launch browser with Splunk] (ブラウザで Splunk を起動) チェックボックスの選択を解除することで、ブラウザの起動を防⽌することができます。次にこれらの説明に従って、正しいユーザーに切り替えてから Splunk を起動してください。

8.8.必要に応じて、[Launch browser with Splunk][Launch browser with Splunk] (Splunk をブラウザで起動) および [Create Start Menu[Create Start MenuShortcut]Shortcut] ([スタート] メニューのショートカットを作成) ボックスを選択します。[完了][完了] をクリックします。

適切なボックスを選択した場合、インストールが完了したら、サポートされているブラウザ内で SplunkEnterprise が開始されます。

注意：注意：インストール後初めて Splunk Web にアクセスする場合、デフォルトのユーザー名 admin およびパスワード changeme でログインしてください。インストール時に指定したユーザー名とパスワードは使⽤しないでください。

Web ブラウザでの Splunk の起動Web ブラウザでの Splunk の起動

23

マシン上で Splunk Enterprise を開始した後に、それにアクセスするには、以下のいずれかの作業を⾏います。

[スタート] > [プログラム] > [Splunk][スタート] > [プログラム] > [Splunk] の Splunk アイコンをクリックします。

または

Web ブラウザを起動して、http://localhost:8000 に移動します。

デフォルトの資格情報を使ってログインします。ユーザー名：admin、パスワード：changeme。

初めて Splunk Enterprise に正常にログインすると、パスワードの変更を指⽰するメッセージが表⽰されます。変更する場合は、新しいパスワードを⼊⼒して、[パスワードの変更][パスワードの変更] ボタンをクリックします。後ほど変更する場合は、[スキップ][スキップ] ボタンをクリックします。

注意：注意：パスワードを変更しない場合は、マシンにアクセスでき、デフォルトのパスワードを知っている任意のユーザーが Splunk インスタンスを使⽤できることに注意してください。管理者のパスワードはできる限り早く変更するようにしてください。また、忘れないように安全な場所に保管してください。

Internet Explorer の強化されたセキュリティポップアップの防⽌Internet Explorer の強化されたセキュリティポップアップの防⽌

Internet Explorer を使って Splunk Web にアクセスする場合、[強化されたセキュリティ] ポップアップが表⽰されないように、以下の URL を許可するイントラネットグループまたは完全に信頼するグループに追加してください。

quickdraw.splunk.com

Splunk Enterprise インスタンスの URL

Splunk Web または splunkd サービスポートの変更Splunk Web または splunkd サービスポートの変更

Splunk Web サービスまたは splunkd サービスに別のポートを使⽤させたい場合は、デフォルト設定を変更することができます。

Splunk Web サービスのポートを変更するには：

コマンドプロンプトを開きます。%SPLUNK_HOME%\bin ディレクトリに移動します。splunk set web-port #### と⼊⼒し、Enter キーを押します。

splunkd のポートを変更するには：

コマンドプロンプトを開きます。%SPLUNK_HOME%\bin ディレクトリに移動します。splunk set splunkd-port #### と⼊⼒し、Enter キーを押します。

注意：注意：指定したポートが利⽤できない場合、またはデフォルトのポートが利⽤できない場合は、⾃動的に次に利⽤可能なポートが選択されます。

ライセンスのインストールまたはアップグレードライセンスのインストールまたはアップグレード

Splunk Enterprise を新たにインストールする場合、またはあるライセンスタイプから別のライセンスタイプに切り替える場合、ライセンスをインストールまたは更新する必要があります。

次に⾏う作業次に⾏う作業

Splunk Enterprise をインストールしたら、次に⾏う作業を確認するか、または Windows データを取り込む⽅法を学習するために、『データの取り込み』マニュアルの以下のトピックを参照してください。

Windows イベントログデータのモニターWindows レジストリデータのモニターWMI ベースのデータのモニターリモート Windows データのモニター⽅法決定の検討事項

コマンドラインを使った Windows へのインストールコマンドラインを使った Windows へのインストール

ここでは、コマンドラインを使った Windows への Splunk Enterprise のインストール⼿順を説明していきます。

重要：重要：Splunk のユニバーサルフォワーダーユニバーサルフォワーダーをインストールする場合は、『データの転送』マニュアルの「ユニバーサルフォワーダーのデプロイの概要」を参照してください。⼀部の機能を無効化または変更した完全版のSplunk インスタンスであるヘビー/ライトフォワーダーフォワーダーと違い、ユニバーサルフォワーダーには別個の実⾏形式ファイルが⽤意されています。また、インストール⼿順も異なっています。フォワーダーの基本についても、『データの転送』マニュアルの「転送と受信について」を参照してください。

64 ビット版のハードウェア上では、64 ビット版の Splunk Enterprise を実⾏することを強くお勧めします。32ビット版と⽐べてパフォーマンスが⼤幅に向上します。64 ビットシステム上で 32 ビット版のインストーラを実⾏すると、そのことを警告するメッセージが表⽰されます。

コマンドラインからインストールする場合コマンドラインからインストールする場合

コマンドプロンプトまたは PowerShell ウィンドウから、個別のマシンに⼿動で Splunk Enterprise をインス

24

トールすることができます。コマンドラインからのインストールが役に⽴つシナリオの例を以下に⽰します。

Splunk Enterprise をインストールしたいけれども、すぐには開始したくない場合。スクリプトを使って、Splunk のインストールを⾃動化したい場合。後ほど複製するシステム上に Splunk Enterprise をインストールしたい場合。グループポリシーや、System Center Configuration Manager などのデプロイツールを使⽤する場合。Windows Server Core が動作しているシステム上に、Splunk Enterprise をインストールする場合。

PowerShell を使ったインストールPowerShell を使ったインストール

PowerShell ウィンドウから Splunk Enterprise をインストールできます。そのための⼿順は、コマンドプロンプトからインストールする場合に必要な⼿順と同じです。


Splunk Enterprise をアップグレードする予定の場合は、実施する前に「Splunk のアップグレード⽅法」を参考に、移⾏⽅法と移⾏の検討事項を確認してください。

特に、アップグレード時の管理⽤ポートや HTTP ポートの変更を、Splunk はサポートしていないことに注意してください。

インストールの前にインストールの前に

Splunk Enterprise を実⾏するためのユーザーの選択Splunk Enterprise を実⾏するためのユーザーの選択

インストール前に、ご⾃分のデータ収集ニーズに対応するために、「Splunk を実⾏するためのユーザーの選択」を参照して、Splunk Enterprise を実⾏するユーザーアカウントを決定してください。選択するユーザーは、ソフトウェアのインストール前に⾏う必要がある作業、およびその他の事項に影響します。

ドメインユーザーとして Splunk Enterprise をインストールするためのドメインの準備ドメインユーザーとして Splunk Enterprise をインストールするためのドメインの準備

また、インストールを実施する前に、「ネットワークまたはドメインユーザーとしての、Splunk Enterprise インストール⽤ Windows ネットワークの準備」を参照して、Splunk Enterprise を実⾏するためのドメインの設定⽅法を確認してください。

Windows 版 Splunk Enterprise とウィルス対策ソフトウェアWindows 版 Splunk Enterprise とウィルス対策ソフトウェア

Splunk Enterprise のインデックス作成サブシステムは、⼤量のディスクスループットを必要としています。ウィルス対策ソフトウェアや Splunk Enterprise とオペレーティングシステム間を中継するデバイスドライバを持つソフトウェアにより、Splunk の処理能⼒が⼤幅に低下し、処理の低速化やシステムの応答不可を発⽣させる可能性があります。

Splunk Enterprise のインストールを開始する前に、このようなソフトウェアがインストールディレクトリやプロセスのスキャンをすることを防⽌するように設定することが⾮常に重要です。

コマンドラインからの Splunk Enterprise のインストールコマンドラインからの Splunk Enterprise のインストール

コマンドラインで msiexec.exe を実⾏して、Splunk をインストールすることができます。PowerShell を使⽤する場合も、同じ⼿順を実施します。

32 ビット版プラットフォームの場合は、splunk-<...>-x86-release.msi を使⽤します。

msiexec.exe /i splunk-<...>-x86-release.msi [<flag>]... [/quiet]

64 ビット版プラットフォームの場合は、splunk-<...>-x64-release.msi を使⽤します。

msiexec.exe /i splunk-<...>-x64-release.msi [<flag>]... [/quiet]

<...> の値はリリースによって異なります (例：splunk-5.0-125454-x64-release.msi)。

コマンドラインのフラグにより、インストール時に Splunk Enterprise を設定することができます。コマンドラインフラグを使⽤して、さまざまな事項を指定できます。以下に例を⽰します。

インデックスを作成する Windows イベントログ。モニターする Windows レジストリハイブ。収集する WMI データ。Splunk Enterprise を動作させるユーザー (重要：重要：Splunk インスタンスをインストールするユーザーのタイプについては、「Splunk Enterprise を実⾏する Windows ユーザーの選択」を参照してください)。有効にする Splunk ⽤の含まれているアプリケーション設定 (Splunk ライトフォワーダーなど)。インストール完了時に Splunk を⾃動的に開始するかどうか。

注意：注意：インストール後初めて Splunk Web にアクセスする場合、デフォルトのユーザー名 admin およびパスワード changeme でログインしてください。

サポートしているフラグサポートしているフラグ

コマンドラインで Windows 版 Splunk をインストールする場合に使⽤できる、フラグの⼀覧を以下に⽰します。

25

重要：重要：Splunk ユニバーサルフォワーダーは個別の実⾏形式ファイルで、独⾃のインストールフラグが存在しています。ユニバーサルフォワーダーがサポートしているインストール⽤フラグについては、『データの転送』マニュアルの「コマンドラインを使った Windows ユニバーサルフォワーダーのデプロイ」を参照してください。

フラグフラグその⽬的その⽬的デフォルトデフォルト

AGREETOLICENSE=Yes|No EULA に同意する場合にこのフラグを使⽤します。サイレントインストールを⾏うには、このフラグに Yesを設定する必要があります。

No

INSTALLDIR="<directory_path>"

インストールするディレクトリを指定する場合、このフラグを使⽤します。このドキュメントで Splunk のインストールディレクトリは、$SPLUNK_HOME または%SPLUNK_HOME% として表しています。

C:\Program

Files\Splunk

SPLUNKD_PORT=<port number>

これらのフラグは、splunkd および splunkweb が使⽤するポートを指定する場合に使⽤します。

注意：注意：指定したポートが利⽤できない場合、次に利⽤可能なポートが⾃動的に選択されます。

8089

WEB_PORT=<port number>

これらのフラグは、splunkd および splunkweb が使⽤するポートを指定する場合に使⽤します。

注意：注意：指定したポートが利⽤できない場合、次に利⽤可能なポートが⾃動的に選択されます。

8000

WINEVENTLOG_APP_ENABLE=1/0

WINEVENTLOG_SEC_ENABLE=1/0

WINEVENTLOG_SYS_ENABLE=1/0

WINEVENTLOG_FWD_ENABLE=1/0

WINEVENTLOG_SET_ENABLE=1/0

これらのフラグは、特定の Windows イベントログのインデックスを作成するかどうかを指定する場合に使⽤します。

アプリケーションログ

セキュリティログ

システムログ

フォワーダーログ

セットアップログ

注意：注意：複数のフラグを指定することができます。

0 (off)

REGISTRYCHECK_U=1/0

REGISTRYCHECK_BASELINE_U=1/0

このフラグは、Splunk が

Windows レジストリマシンハイブ

のベースラインスナップショットを捕捉して、

そのイベントのインデックスを作成するかどうかを⽰します (HKEY_CURRENT_USER)。

注意：注意：これらの両⽅を同時に設定することができます。

0 (off)

REGISTRYCHECK_LM=1/0

REGISTRYCHECK_BASELINE_LM=1/0

このフラグは、Splunk が

Windows レジストリマシンハイブ

のベースラインスナップショットを捕捉して、

そのイベントのインデックスを作成するかどうかを⽰します (HKEY_LOCAL_MACHINE)。

注意：注意：これらの両⽅を同時に設定することができます。

0 (off)

WMICHECK_CPUTIME=1/0

WMICHECK_LOCALDISK=1/0

WMICHECK_FREEDISK=1/0

WMICHECK_MEMORY=1/0

これらのフラグを使って、Splunk がインデックスを作成する WMI ベースのパフォーマンス測定基準を指定できます。

CPU 使⽤状況

ローカルディスク使⽤状況

空きディスクスペース

メモリー統計

警告：警告：このSplunk インスタンスにリモート

26

Windows データをモニターさせる必要がある場合は、LOGON_USERNAME および LOGON_PASSWORD フラグも指定する必要があります。Splunk は、明⽰的にアクセスできないリモートデータを収集することはできません。また、指定するユーザーには特定の権限、管理者特権、および他のアクセス許可が必要で、これらはインストール前に設定しておく必要があります。必要な資格情報の詳細は、このマニュアルの「Splunk を実⾏する Windows ユーザーの選択」を参照してください。

他にもさまざまな WMI ベースの測定基準のインデックスを作成することができます。詳細は、『データの取り込み』マニュアルの「WMI データのモニター」を参照してください。

0 (off)

LOGON_USERNAME="<domain\username>"

LOGON_PASSWORD="<pass>"

Splunk を実⾏するユーザーの、ドメイン\ユーザー名およびパスワード情報を指定する場合に、これらのフラグを使⽤します。splunkd および splunkweb サービスは、これらの資格情報で設定されます。LOGON_USERNAME

フラグの場合、ドメインとユーザー名は「domain\username」の形式で指定する必要があります。

Splunk Enterprise にリモートデータをモニターさせる場合に、これらのフラグが必要になります。使⽤する資格情報については、このマニュアルの「Splunkを実⾏する Windows ユーザーの選択」を参照してください。

なし

SPLUNK_APP="<SplunkApp>"

この Splunk インストールで有効にする、含まれている Splunk アプリケーション設定を指定する場合に、このフラグを使⽤します。<SplunkApp> で現在サポートされているオプションは、SplunkLightForwarder およびSplunkForwarder です。これらの設定は、それぞれSplunk がライトフォワーダーまたはヘビーフォワーダーとして動作することを⽰しています。詳細は、『データの転送』マニュアルの「転送と受信について」を参照してください。

重要：重要：完全版の Splunk Enterprise では、ユニバーサルフォワーダーが有効になることはありません。ユニバーサルフォワーダーはダウンロード可能な別の実⾏形式ファイルで、独⾃のインストールフラグが存在しています。

注意：注意：ここに Splunk フォワーダーまたはライトフォワーダーを指定した場合は、FORWARD_SERVER="<server:port>" も指定する必要があります。

アプリケーションを指定せずに Splunk Enterprise をインストールする場合は、単純にこのフラグを省略してください。

なし

FORWARD_SERVER="<server:port>"

このフラグは、SPLUNK_APP フラグを使って、Splunk ヘビー/ライトフォワーダーを有効にする場合にのみ使⽤します。このフォワーダーがデータを送信するSplunk サーバーおよびポートを指定します。

重要：重要：このフラグを使⽤する場合、SPLUNK_APP フラグも設定する必要があります。

なし

DEPLOYMENT_SERVER="<host:port>"設定の更新を配布するための、デプロイサーバーの指定に使⽤します。デプロイサーバー名 (ホスト名または IP アドレス) とポートを⼊⼒してください。

なし

LAUNCHSPLUNK=0/1

システム起動時に Splunk を⾃動的に開始するかどうかを指定します。

重要：重要：SPLUNK_APP フラグを使って Splunk フォワーダーを有効にした場合、Splunk は⾃動的に開始するように設定され、このフラグは無視されます。

1 (on)

INSTALL_SHORTCUT=0/1 デスクトップと [スタート] メニューに、Splunk へのショートカットを作成するかどうかを指定します。

1 (on)

サイレント・インストールサイレント・インストール

27

サイレントインストールを実⾏する場合、インストールコマンド⽂字列の最後に /quiet を指定します。システムで UAC が有効になっている場合 (⼀部のシステムではデフォルト)、Administrator (管理者) としてインストールを実⾏する必要があります。⽅法：

コマンドプロンプトを開く際に、右クリックして [管理者として実⾏] を選択します。このコマンドウィンドウから、サイレントインストール⽤のコマンドを実⾏します。

注意：注意：PowerShell をコマンドラインインターフェイスとして使⽤する場合も、この⽅法を利⽤できます。

例例

さまざまなフラグの使⽤例を以下に⽰します。

Local System ユーザーとして実⾏するための Splunk Enterprise のサイレントインストールLocal System ユーザーとして実⾏するための Splunk Enterprise のサイレントインストール

msiexec.exe /i Splunk.msi /quiet

Splunk ヘビーフォワーダーを有効にして Splunk Enterprise を実⾏するユーザーの資格情報を指定Splunk ヘビーフォワーダーを有効にして Splunk Enterprise を実⾏するユーザーの資格情報を指定

msiexec.exe /i Splunk.msi SPLUNK_APP="SplunkForwarder" FORWARD_SERVER="<server:port>" LOGON_USERNAME="AD\splunk"

LOGON_PASSWORD="splunk123"

Splunk フォワーダー、および Windows システムイベントログのインデックス作成を有効にして、インスSplunk フォワーダー、および Windows システムイベントログのインデックス作成を有効にして、インストーラをサイレントモードで実⾏トーラをサイレントモードで実⾏

msiexec.exe /i Splunk.msi SPLUNK_APP="SplunkForwarder" FORWARD_SERVER="<server:port>" WINEVENTLOG_SYS_ENABLE=1

/quiet

"<server:port>" は、このマシンがデータを送信する Splunk サーバーおよびポートです。


Splunk Enterprise をインストールしたら、次に何を⾏えば次に何を⾏えば良いのでしょうか？

また、『データの取り込み』マニュアルで、Windows データのモニター⽅法を決定するための検討事項を参照することもできます。

Windows インストール時に選択したユーザーの修正Windows インストール時に選択したユーザーの修正

Splunk Enterprise インストール時にその他のユーザーを選択し、そのユーザーが存在していないか、または⼊⼒した情報が誤っていた場合、Windows のサービスコントロールマネージャで正しい情報を指定することができます (ただし、まだ Splunk を開始していない場合ただし、まだ Splunk を開始していない場合)。Splunk を開始してしまった場合は、それを終了してアンインストールした後に、再インストールする必要があります。

Windows GUI インストールプロセスで無効なユーザーを指定した場合、エラーを⽰す 2 つのポップアップウィンドウが表⽰されます。

ユーザーを変更するには：ユーザーを変更するには：

1.1.[コントロールパネル] > [管理ツール] > [サービス] で、splunkd および splunkweb サービスを探します。これらのサービスは開始されておらず、現在 Local System ユーザーが保有しています。

2.2.各サービスを右クリックして、[プロパティ][プロパティ] を選択します。そのサービスのプロパティダイアログが表⽰されます。

3.3.[ログオン][ログオン] タブを選択します。

4.4.[アカウント][アカウント] ラジオボタンを選択して、正しいドメイン\ユーザー名とパスワードを⼊⼒します。

5.5.[適⽤適⽤] をクリックします。

6.6.[OK][OK] をクリックします。

7.7.別のサービスに対しても、ステップ 2〜6 を繰り返します (この作業は、splunkd と splunkweb の両⽅に対して⾏う必要があります)。

8.8.サービスマネージャまたは Splunk コマンドラインインターフェイスを使って、両⽅のサービスを開始できるようになります。

Linux、Windows、または Mac OS X への SplunkLinux、Windows、または Mac OS X への SplunkEnterprise のインストールEnterprise のインストールLinux へのインストールLinux へのインストール

Linux に Splunk をインストールするには、RPM または DEB パッケージ、または tar ファイルを使⽤します。28

注意：注意：Splunk のユニバーサルフォワーダーユニバーサルフォワーダーをインストールする場合は、『データの転送』マニュアルの「ユニバーサルフォワーダーのデプロイの概要」を参照してください。⼀部の機能を無効化または変更した完全版のSplunk Enterprise インスタンスであるヘビー/ライトフォワーダーフォワーダーと違い、ユニバーサルフォワーダーはまったく別の実⾏形式ファイルで、インストール⼿順も異なっています。フォワーダーの概要については、「転送と受信について」を参照してください。


Splunk をアップグレードする場合は、実施する前に「Splunk のアップグレード⽅法」を参考に、移⾏⽅法と移⾏の検討事項を確認してください。

Tar ファイルのインストールTar ファイルのインストール

Splunk Enterprise を Linux システムにインストールするには、tar コマンドを使って tar ファイルを適切なディレクトリに展開します。

tar xvzf splunk_package_name.tgz

デフォルトのインストールディレクトリは、現在の作業ディレクトリ内の splunk ディレクトリになります。/opt/splunk をインストールするには、以下のコマンドを使⽤します。

tar xvzf splunk_package_name.tgz -C /opt

注意：注意：tar ファイルを使って Splunk Enterprise をインストールする場合：

⼀部の⾮ GNU バージョンの tar では、-C 引数が利⽤できないことがあります。このような場合に、/opt/splunk にインストールするには、cd で /opt に移動するか、または tar コマンドを実⾏する前に tarファイルを /opt に保管します。この⽅法は、ご利⽤のマシンのファイルシステムでアクセスできる、任意のディレクトリに対して利⽤できます。Splunk が splunk ユーザーを⾃動的に作成することはありません。Splunk を特定のユーザーとして実⾏する場合は、インストール前に⼿動でユーザーを作成する必要があります。ディスクパーティションには、インデックスを作成するデータを保持するために、⼗分な量のスペースがあることを確認してください。

RedHat RPM のインストールRedHat RPM のインストール

⽬的の Splunk ビルド rpm パッケージが、ターゲットサーバー上でローカルに利⽤できることを確認します。Splunk ユーザーが、ファイルを読み取り/実⾏可能なことを確認します。必要に応じてアクセス権を変更します。

chmod 744 splunk_package_name.rpm

Splunk RPM をデフォルトディレクトリ /opt/splunk にインストールするには：

rpm -i splunk_package_name.rpm

別のディレクトリに Splunk をインストールする場合は、--prefix フラグを使⽤します。

rpm -i --prefix=/opt/new_directory splunk_package_name.rpm

注意注意：デフォルト以外のディレクトリに rpm をインストールすることはお勧めできません。RPM には、アップグレード時の安全対策が⽤意されていません。--prefix が⼀致しないと、アップグレードは失敗します。

/opt/splunk にある既存の Splunk Enterprise インストールを、RPM を使ってアップグレードするには：

rpm -U splunk_package_name.rpm

注意注意：rpm のアップグレードは、rpm パッケージをアップグレードします。Splunk Enterprise をアップグレードするのではありません。rpm のアップグレードは、過去に rpm を使⽤した場合にのみ⾏えます。tar インストールから rpm インストールへの、⼿軽な移⾏⼿段はありません。これは Splunk の問題ではなく、根本的なパッケージに関する問題です。

別のディレクトリにインストールされている既存の Splunk をアップグレードするには、--prefix フラグを使⽤します。

rpm -U --prefix=/opt/existing_directory splunk_package_name.rpm

注意：注意：--prefix で既存のディレクトリを指定しない場合、rpm はデフォルトの /opt/splunk にインストールされます。

たとえば、既存のディレクトリ $SPLUNK_HOME=/opt/apps/splunk にアップグレードするには、以下のように⼊⼒しま

29

す。

rpm -U --prefix=/opt/apps splunk_package_name.rpm

既存の Splunk Enterprise インストールを置換するには

rpm -i --replacepkgs --prefix=/splunkdirectory/ splunk_package_name.rpm

RPM インストールを kickstart で⾃動化するには、kickstart ファイルに以下の項⽬を追加します。

./splunk start --accept-license

./splunk enable boot-start

注意：注意：2 ⾏⽬はオプションで省略可能です。

システムブート時に Splunk Enterprise を開始するには、それを /etc/init.d/ に追加します。このコマンドをroot として、または sudo を利⽤して実⾏し、Splunk Enterprise を実⾏するユーザーを指定します。

./splunk enable boot-start -user splunkuser

Debian DEB のインストールDebian DEB のインストール

Splunk DEB パッケージをインストールするには：

dpkg -i splunk_package_name.deb

注意：注意：Splunk DEB パッケージはデフォルトの /opt/splunk にのみインストールできます。

インストールされる内容インストールされる内容

Splunk パッケージステータス：

dpkg --status splunk

すべてのパッケージを⼀覧表⽰：

dpkg --list

Splunk の開始Splunk の開始

Splunk Enterprise は、ローカルシステム上の任意のユーザーとして動作することができます。root 以外のユーザーとして実⾏する場合は、指定した⼊⼒からデータを読み込むために適切な権限を持っていることを確認してください。詳細は、Splunk Enterprise を⾮ root ユーザーとして動作させる⽅法の説明を参照してください。

コマンドラインインターフェイスから Splunk Enterprise を開始するには、$SPLUNK_HOME/bin ディレクトリから以下のコマンドを実⾏します ($SPLUNK_HOME は、Splunk をインストールしたディレクトリ)。

./splunk start

このドキュメントでは、以下の表記規則を使⽤しています。

$SPLUNK_HOME は、Splunk のインストールパスを⽰します。$SPLUNK_HOME/bin/ は、コマンドラインインターフェイスの場所を⽰します。

スタートアップオプションスタートアップオプション

新たにインストールした後初めて Splunk Enterprise を起動する場合、使⽤許諾契約に同意する必要があります。1 ステップで Splunk Enterprise を開始して使⽤許諾契約に同意するには：

$SPLUNK_HOME/bin/splunk start --accept-license

注意：注意：accept-license オプションの前には 2 つのダッシュがあります。

Splunk Web の起動とログインSplunk Web の起動とログイン

Splunk Enterprise を開始して使⽤許諾契約に同意したら：

30

1.1.ブラウザウィンドウから、http://<hostname>:port にある Splunk Web にアクセスします。

hostname はホストマシンを表しています。port は、インストール時に指定したポート番号です (デフォルトのポートは 8000)。

注意：初めて Splunk にアクセスする場合は、HTTP を使⽤してください。

2.2.ログイン情報 (デフォルトはユーザー名 admin、パスワード changeme) の⼊⼒を要求するプロンプトが表⽰されます。無料版の Splunk Free に切り替えた場合、それ以降のセッションでこのログインページは表⽰されません。



Splunk Enterprise のアンインストールSplunk Enterprise のアンインストール

Splunk Enterprise のアンインストールについては、このマニュアルの「Splunk Enterprise のアンインストール」を参照してください。

Solaris へのインストールSolaris へのインストール

Splunk Enterprise を Solaris に、PKG パッケージまたは tar ファイルを使ってインストールすることができます。


Splunk をアップグレードする場合は、実施する前に「Splunk のアップグレード⽅法」を参考に、移⾏⽅法と移⾏の検討事項を確認してください。

Splunk のインストールSplunk のインストール

Solaris 版の Splunk Enterprise は、PKG ファイルまたは tar ファイルで提供されています。

PKG ファイルのインストールPKG ファイルのインストール

PKG インストールパッケージには、Splunk のインストール前にいくつかの質問への回答を要求する、リクエストファイルが含まれています。

pkgadd -d ./splunk_product_name.pkg

利⽤可能なパッケージのリストが表⽰されます。

処理するパッケージを選択します (デフォルトは「all」)。

ベースインストールディレクトリの指定を要求するメッセージが表⽰されます。

デフォルトの /opt/splunk ディレクトリにインストールする場合は、空のままにしてください。

PKG ファイルによるアップグレードPKG ファイルによるアップグレード

既存の Splunk Enterprise を PKG ファイルを使ってアップグレードするには、システムのデフォルトパッケージインストール設定ファイル (/var/sadm/install/admin/default) または⾃分で定義して呼び出している独⾃の設定ファイル内で、instance パラメータを使⽤する必要があります。

デフォルトまたは独⾃の設定ファイル内に、instance=overwrite を設定します。これにより、アップグレードで 2個⽬の splunk パッケージを作成することを防⽌する (instance=unique)、または失敗させる (instance=quit) ことができます。instance パラメータの詳細は、Solaris の man ページ (man -s4 admin) を参照してください。

システムのデフォルトのパッケージインストールファイルを使って Splunk Enterprise をアップグレードするには、初めてインストールする場合と同じコマンドを使⽤します。

pkgadd -d ./splunk_product_name.pkg

変更された各ファイルを上書きするかどうかを問い合わせるメッセージが表⽰されます。すべてに対して yes と回答してください。

独⾃の設定ファイルを使ってアップグレードするには、以下のように⼊⼒します。

pkgadd -a conf_file -d ./splunk_product_name.pkg

サイレントアップグレードを実⾏する (そして、各ファイルの上書き問い合わせへの回答を不要にする) には、以下のように⼊⼒します。

pkgadd -n -d ./splunk_product_name.pkg

31

pkgadd -n -d ./splunk_product_name.pkg

tar ファイルのインストールtar ファイルのインストール

Splunk Enterprise を Solaris システムにインストールするには、tar コマンドを使って tar ファイルを適切なディレクトリに展開します。

tar xvzf splunk_package_name.tar.Z


tar xvzf splunk_package_name.tar.Z -C /opt


⼀部の⾮ GNU バージョンの tar では、-C 引数が利⽤できないことがあります。このような場合に、/opt/splunk にインストールするには、cd で /opt に移動するか、または tar コマンドを実⾏する前に tarファイルを /opt に保管します。この⽅法は、ご利⽤のマシンのファイルシステムでアクセスできる、任意のディレクトリに対して利⽤できます。システム上に gzip バイナリがない場合、代わりに uncompress コマンドを使⽤することができます。Splunk Enterprise が splunk ユーザーを⾃動的に作成することはありません。特定のユーザーとして実⾏する場合は、インストール前に⼿動でユーザーを作成する必要があります。ディスクパーティションには、インデックスを作成するデータを保持するために、⼗分な量のスペースがあることを確認してください。


Splunk パッケージ情報：

pkginfo -l splunk

すべてのパッケージを⼀覧表⽰：

pkginfo


Splunk Enterprise は、ローカルシステム上の任意のユーザーとして動作することができます。root 以外のユーザーとして実⾏する場合は、指定した⼊⼒からデータを読み込むために適切な権限を持っていることを確認してください。詳細は、Splunk を⾮ root ユーザーとして動作させる⽅法の説明を参照してください。


./splunk start

慣例的に、Splunk ドキュメントでは、以下の規則を使⽤しています。








1.1.ブラウザウィンドウから、http://mysplunkhost:port にある Splunk Web にアクセスします。ここで：

mysplunkhost はホストマシンを表しています。port は、インストール時に指定したポート (8000) です。


32





Mac OS X へのインストールMac OS X へのインストール

Splunk Enterprise を Mac OS X にインストールするには、DMG パッケージまたは tar ファイルを使⽤できます。


アップグレードする場合は、実施する前に「Splunk Enterprise のアップグレード⽅法」を参考に、移⾏⽅法と移⾏の検討事項を確認してください。

インストールオプションインストールオプション

Mac OS ビルドは、DMG パッケージと tar ファイルの 2 種類の形式で提供されています。ここでは、以下の⽅法について説明していきます。

DMG ファイルを使ったグラフィカルな (基本) インストール、およびコマンドラインによるインストール。tar ファイルによるインストール。

注意：同じホスト上の別の場所に 2 つインストールする必要がある場合は、tar ファイルを使⽤します。pkg インストーラの場合、2 番⽬のインスタンスをインストールすることはできません。すでに 1 つ存在している場合、2番⽬のインストールが正常に完了すると、最初の⽅が削除されてしまいます。

グラフィカルなインストールグラフィカルなインストール

1.1.DMG ファイルをダブルクリックします。

splunk.pkg を含む FinderFinder ウィンドウが表⽰されます。

2.2.FinderFinder ウィンドウで、splunk.pkg をダブルクリックします。

Splunk Enterprise インストーラが起動し、[Introduction][Introduction] (紹介) にバージョンおよび著作権情報が表⽰されます。

3.3.[続⾏][続⾏] をクリックします。

[Select a Destination][Select a Destination] (宛先の選択) ウィンドウが表⽰されます。

4.4.Splunk Enterprise のインストール先を選択します。

デフォルトのディレクトリ /Applications/splunk にインストールするには、ハードドライブアイコンをクリックします。別の場所を選択する場合は、[Choose Folder...][Choose Folder...] (フォルダを選択...) を選択します。

5.5.[続⾏][続⾏] をクリックします。

インストール前のサマリーが表⽰されます。何か変更する必要がある場合：

新しいフォルダを選択するには、[Change Install Location][Change Install Location] (インストール先の変更) をクリックします。または、[Back][Back] (戻る) をクリックして、前のステップに戻ります。

6.6.[インストール][インストール] をクリックします。

インストールが開始されます。この処理には数分ほどかかる場合があります。

7.7.インストールが完了したら、[Finish][Finish] をクリックします。デスクトップにショートカットが配置されます。

コマンドラインによるインストールコマンドラインによるインストール

ターミナルウィンドウからインストールするには、以下の⼿順に従ってください。

重要：Mac OS X に Splunk Enterprise をコマンドラインからインストールする場合、root ユーザーを重要：Mac OS X に Splunk Enterprise をコマンドラインからインストールする場合、root ユーザーを使⽤するか、または使⽤するか、または sudo コマンドを使って特権を昇格する必要があります。コマンドを使って特権を昇格する必要があります。sudo を使⽤する場合は、管理者レベルのアカウントでなければなりません。

1. To mount the dmg:

sudo hdid splunk_package_name.dmg

Finder は、デスクトップにディスクイメージをマウントします。このイメージは、/Volumes/SplunkForwarder<バージョン> (スペースに注意) 下にあります。

33

2.2.インストールするには：

root ボリュームで：

cd /Volumes/SplunkForwarder\ <version>

sudo installer -pkg .payload/splunk.pkg -target /

注意：注意：ディスクイメージ名にはスペースが存在しています。円記号 (バックスラッシュ) でスペースをエスケープ処理するか、または引⽤符でディスクイメージ名を囲んでください。

別のパーティションのディスクに：

cd /Volumes/SplunkForwarder\ <version>

sudo installer -pkg .payload/splunk.pkg -target /Volumes\ Disk

注意：注意：ディスクイメージ名にはスペースが存在しています。円記号 (バックスラッシュ) でスペースをエスケープ処理するか、または引⽤符でディスクイメージ名を囲んでください。

-target は、他のディスクなどのターゲットボリュームを⽰します。Splunk は /Applications/splunk にインストールされます。

ボリュームの /Applications/splunk 以外のディレクトリにインストールする場合は、前述のグラフィカルなインストーラを使⽤します。


Splunk Enterprise を Mac OS Xにインストールするには、tar コマンドを使って tar ファイルを適切なディレクトリに展開します。


デフォルトのインストールディレクトリは、現在の作業ディレクトリ内の splunk ディレクトリになります。/Applications/splunk をインストールするには、以下のコマンドを使⽤します。

tar xvzf splunk_package_name.tgz -C /Applications


Splunk Enterprise が splunk ユーザーを⾃動的に作成することはありません。特定のユーザーとして実⾏する場合は、インストール前に⼿動でユーザーを作成する必要があります。ディスクパーティションには、インデックスを作成するデータを保持するために、⼗分な量のスペースがあることを確認してください。


Splunk Enterprise は、ローカルシステム上の任意のユーザーとして動作することができます。root 以外のユーザーとして実⾏する場合は、指定した⼊⼒からデータを読み込むために適切な権限を持っていることを確認してください。

Finder からの Splunk Enterprise の開始Finder からの Splunk Enterprise の開始

Finder から Splunk Enterprise を開始するには、デスクトップの SplunkSplunk アイコンをダブルクリックして、「Splunk's Little Helper」という名前のヘルパーアプリケーションを起動します。

注意：注意：初めてヘルパーアプリケーションを実⾏した場合、簡単な初期化を実⾏する必要があることを知らせるメッセージが表⽰されます。Splunk Enterprise による初期化とトライアルライセンスの設定を許可する場合は、[OK][OK] をクリックします。

ヘルパーアプリケーションが読み込まれたら、複数の選択項⽬がダイアログに表⽰されます。

Start and Show SplunkStart and Show Splunk：このオプションは、Splunk Enterprise を開始して、Web ブラウザに SplunkWeb を表⽰します。Only Start SplunkOnly Start Splunk：これを選択すると、Splunk Enterprise は起動しますが、ブラウザに Splunk Webは表⽰されません。キャンセルキャンセル：ヘルパーアプリケーションを終了します。この操作は Splunk Enterprise インスタンス⾃体には影響を与えません。ヘルパーアプリケーションのみが終了します。

適切なオプションを選択すると、ヘルパーアプリケーションは所定の操作を⾏った後に終了します。ヘルパーアプリケーションをもう⼀度実⾏して、Splunk Web を表⽰したり、Splunk を終了したりすることができます。

ヘルパーアプリケーションは、すでに動作している Splunk を終了するためにも使⽤できます。

コマンドラインからの Splunk Enterprise の開始コマンドラインからの Splunk Enterprise の開始

コマンドラインインターフェイスから Splunk Enterprise を開始するには、$SPLUNK_HOME/bin ディレクトリから以

34

下のコマンドを実⾏します ($SPLUNK_HOME は、Splunk Enterprise をインストールしたディレクトリ)。

./splunk start









1.1.ブラウザウィンドウから、Splunk Web にアクセスします： http://<hostname>:port







FreeBSD へのインストールFreeBSD へのインストール

FreeBSD 版の Splunk Enterprise は、インストーラ (5.4-intel) および tar ファイル (i386) の 2種類の形式で提供されています。両⽅とも gzip された tar (.tgz) ファイルです。



前提条件前提条件

FreeBSD 8 の場合、Splunk Enterprise には互換性パッケージが必要です。互換性パッケージをインストールするには：

1.ポートをインストール：

portsnap fetch update

cd /usr/ports/misc/compat7x/ && make install clean

2.パッケージを追加：

pkg_add -r compat7x-amd64

基本インストール基本インストール

intel インストーラを使って FreeBSD 版 Splunk Enterprise をインストールするには：

pkg_add splunk_package_name-6.1-intel.tgz

重要：重要：この場合、Splunk Enterprise はデフォルトのディレクトリ /opt/splunk にインストールされます。/opt が存在しない場合、install コマンドを実⾏する前に、ディレクトリを作成する必要があります。作成していない場合、エラーメッセージが表⽰されます。FreeBSD のベストプラクティスは、⼩さな root (/) ファイルシステムを維持することです。そこで、他のファイルシステムへのシンボリックリンクを作成して、そこにインストールする

35

ことをお勧めします。

Splunk Enterprise を別のディレクトリにインストールするには：

pkg_add -v -p /usr/splunk splunk_package_name-6.1-intel.tgz

FreeBSD パッケージシステムには、ネイティブのアップグレードサポートがありません。管理するためのアドオンユーティリティがいくつか存在していますが、それらは正しくテストされていません。FreeBSD 上のパッケージをアップグレードするには、前のパッケージをアンインストールして、新しいパッケージをインストールするか、または tar ファイルを使って既存のインストールをアップグレードします。


Splunk Enterprise を FreeBSD システムにインストールするには、tar コマンドを使ってファイルを適切なディレクトリに展開します。



tar xvzf splunk_package_name.tgz -C /opt


⼀部の⾮ GNU バージョンの tar では、-C 引数が利⽤できないことがあります。このような場合に、/opt/splunk にインストールするには、cd で /opt に移動するか、または tar コマンドを実⾏する前に tarファイルを /opt に保管します。この⽅法は、ご利⽤のマシンのファイルシステムでアクセスできる、任意のディレクトリに対して利⽤できます。Splunk Enterprise が splunk ユーザーを⾃動的に作成することはありません。Splunk Enterprise を特定のユーザーとして実⾏する場合は、インストール前に⼿動でユーザーを作成する必要があります。ディスクパーティションには、インデックスを作成するデータを保持するために、⼗分な量のスペースがあることを確認してください。

インストール後インストール後

FreeBSD 上で Splunk Enterprise の機能が正常に動作していることを確認するために、以下の作業を⾏う必要があります。

1.1.次のファイルに以下の項⽬を追加します： /boot/loader.conf

kern.maxdsiz="2147483648" # 2GB

kern.dfldsiz="2147483648" # 2GB

machdep.hlt_cpus=0

2.2./etc/sysctl.conf に以下の項⽬を追加します。

vm.max_proc_mmap=2147483647

変更内容を有効にするには、FreeBSD を再起動する必要があります。

サーバーのメモリーが 2 GB 未満の場合は、それに応じて値を減らしてください。


Splunk Enterprise パッケージの⼀覧を表⽰するには：

pkg_info -L splunk

すべてのパッケージを⼀覧表⽰するには：

pkg_info

Splunk Enterprise の開始Splunk Enterprise の開始


コマンドラインインターフェイスから Splunk Enterprise を開始するには、$SPLUNK_HOME/bin ディレクトリから以下のコマンドを実⾏します ($SPLUNK_HOME は、Splunk Enterprise をインストールしたディレクトリ)。

36

./splunk start
















AIX へのインストールAIX へのインストール

tar ファイルを使って、AIX に Splunk Enterprise をインストールすることができます。

重要：重要：Splunk としてインストールされるユーザーには、/dev/random および /dev/urandom の読み取り権限が必要です。保有していない場合は、インストールが失敗してしまいます。



Splunk Enterprise のインストールSplunk Enterprise のインストール

AIX インストールは、tar ファイル形式で提供されています。

tar ファイルを使ってインストールする場合：

Splunk Enterprise が splunk ユーザーを⾃動的に作成することはありません。Splunk Enterprise を特定のユーザーとして実⾏する場合は、⼿動でユーザーを作成する必要があります。ディスクパーティションには、インデックスを作成するデータを保持するために、⼗分な量のスペースがあることを確認してください。AIX tar は、⻑いファイル名のアンパック、ファイルの上書きに失敗する、または他の問題が発⽣する可能性があるため、tar ファイルのアンパックには GNU tar を使⽤することをお勧めします。システム tar を使⽤する必要がある場合は、出⼒のエラーメッセージを確認してください。

AIX システムに Splunk Enterprise をインストールするには、tar ファイルを適切なディレクトリに展開します。デフォルトのインストールディレクトリは、/opt/splunk です。

AIX 5.3AIX 5.3 の場合、サービスパックが最新のものであることを確認してください。Splunk Enterprise には、以下のサービスレベルが必要です。

$ oslevel -r

5300-005


37

Splunk Enterprise は、ローカルシステム上の任意のユーザーとして動作することができます。root 以外のユーザーとして実⾏する場合は、指定した⼊⼒からデータを読み込むために適切な権限を持っていることを確認してください。詳細は、Splunk Enterprise を⾮ root ユーザーとして動作させる⽅法の説明を参照してください。


./splunk start



注意：注意：AIX 版の Splunk は、再起動時の⾃動開始を登録しません。ただし、プロンプトで $SPLUNK_HOME/bin ディレクトリから以下のコマンドを実⾏して登録することは可能です。


このコマンドは、以下のシステムコマンドを実⾏して、システムのサブシステムリソースコントローラに、Splunk Enterprise と Splunk Web を登録します。

mkssys -G splunk -s splunkd -p <path to splunkd> -u <splunk user> -a _internal_exec_splunkd -S -n 2 -f 9

mkssys -G splunk -s splunkweb -p <path to python> -u <splunk user> -a _internal_exec_splunkweb -S -n 15 -f 9

mkssys コマンドライン引数の詳細は、IBM pSeries および AIX Information Center Web サイトにある、「Mkssys command」 (http://publib.boulder.ibm.com/infocenter/pseries/v5r3/index.jsp?topic=/com.ibm.aix.cmds/doc/aixcmds3/mkssys.htm) を参照してください。





詳細は、このマニュアルの「Splunk Enterprise スタートアップオプション」を参照してください。










HP-UX へのインストールHP-UX へのインストール

tar ファイルを使って、HP/UX に Splunk Enterprise をインストールすることができます。

HP/UX システムに Splunk Enterprise をインストールするには、GNU tar を使って tar ファイルを適切なディレクトリに展開します。デフォルトのインストールディレクトリは、/opt/splunk です。

注意：注意：HP-UX のシステムデフォルト tar では、Splunk Enterprise tar ファイルを正常に抽出できません。GNUtar を使⽤するか、または tar を他のプラットフォーム上で解凍してください。

tar ファイルを使ってインストールする場合：

Splunk Enterprise が splunk ユーザーを⾃動的に作成することはありません。Splunk Enterprise を特定のユーザーとして実⾏する場合は、⼿動でユーザーを作成する必要があります。

38

ディスクパーティションには、インデックスを作成するデータを保持するために、⼗分な量のスペースがあることを確認してください。





コマンドラインインターフェイスから Splunk Enterprise を開始するには、$SPLUNK_HOME/bin ディレクトリから以下のコマンドを実⾏します ($SPLUNK_HOME は、Splunk Enterprise をインストールしたディレクトリ)。

./splunk start



注意：注意：HP-UX 版の Splunk Enterprise は、再起動時の⾃動開始を登録しません。ただし、シェルプロンプトで$SPLUNK_HOME/bin ディレクトリから以下のコマンドを実⾏して登録することは可能です。















Splunk Enterprise を別のユーザーまたは⾮ root ユーザーとして実Splunk Enterprise を別のユーザーまたは⾮ root ユーザーとして実⾏⾏

重要：重要：このトピックは Windows 以外のオペレーティングシステム専⽤です。ユーザーを使った Windows へのSplunk Enterprise のインストールについては、このマニュアルの「Splunk Enterprise を実⾏するユーザーの選択」を参照してください。

Splunk Enterprise は、ローカルシステム上の任意のユーザーとして動作することができます。root 以外のユーザーとして実⾏する場合は、以下の作業を⾏うために適切な権限を保有していることを確認してください。

ファイルやディレクトリを読み込む (設定されている場合)。⼀部のログファイルやディレクトリを読み込んでインデックスを作成するには、root または superuser 権限でのアクセスが必要なことがあります。Splunk Enterprise のディレクトリへの書き込み、およびアラートやスクリプト⼊⼒と連携するスクリプトを実⾏する。待機しているネットワークポートにバインドする。1024 未満のネットワークポートは予約されており、root ユーザーのみがバインドできます。

39

注意：注意：1024 未満のポートは root アクセス専⽤として予約されています。そのため、Splunk が root として実⾏されている場合にのみ、ポート 514 (デフォルトの syslog 待機ポート) で待機することができます。ただし、他のユーティリティ (syslog-ng など) をインストールして、syslog データをファイルに書き込んで、そのファイルを Splunk にモニターさせることは可能です。

⼿順⼿順

Splunk Enterprise を root 以外のユーザーとして実⾏するには、まず Splunk Enterprise を root としてインストールする必要があります。次に、初めて Splunk Enterprise を起動する前に初めて Splunk Enterprise を起動する前に、$SPLUNK_HOME ディレクトリの所有権を⽬的のユーザーに変更します。Splunk Enterprise のインストール、およびそれを root 以外のユーザーsplunk として実⾏する⼿順を以下に⽰します。

注意：注意：以下の例で $SPLUNK_HOME は、Splunk Enterprise インストールディレクトリへのパスを表しています。

1.1.root ユーザーとして、ユーザーとグループ splunk を作成します。

Linux、Solaris、および FreeBSD の場合：Linux、Solaris、および FreeBSD の場合：

useradd splunk

groupadd splunk

Mac OS の場合：Mac OS の場合：

[システム環境設定] > [アカウント][システム環境設定] > [アカウント] パネルを使って、ユーザーとグループを追加することができます。

2.2.root ユーザーとして、いずれかのパッケージを使⽤して (tar ファイルではない)、インストールを実⾏します。

重要：重要：まだ Splunk Enterprise は開始しないでください。

3.3.root ユーザーとして、chown コマンドを実⾏して、splunk ディレクトリおよびその下のすべてを、⽬的のユーザーが所有するように変更します。

chown -R splunk:splunk $SPLUNK_HOME

注意：注意：システムの chown バイナリがファイルのグループ所有権の変更をサポートしていない場合は、chgrp コマンドを使⽤してください。詳細はシステムの man ページを参照してください。

4.4.root アカウントからログアウトして⾮ root ユーザーとしてログインするか、または su コマンドを使って⾮root ユーザーになります。

5.5.⾮ root ユーザーとして Splunk Enterprise を開始します。

$SPLUNK_HOME/bin/splunk start

また、別のユーザーとしてログインしている時に、Splunk Enterprise を splunk ユーザーとして実⾏したい場合は、sudo コマンドを使⽤します。

sudo -H -u splunk $SPLUNK_HOME/bin/splunk start

この例のコマンドは、以下の事項を前提にしています。

Splunk Enterprise が別の場所にインストールされている場合は、コマンド内のパスをそれに応じて変更してください。システムに sudo がインストールされていない場合があります。そのような場合は、su を使⽤してください。tar ファイルを使ったインストールで、Splunk Enterprise を特定のユーザー (splunk など) として実⾏させたい場合は、そのユーザーを⼿動で作成する必要があります。splunk ユーザーには、製品の証明書を⽣成するために、/dev/urandom へのアクセス権が必要です。

Solaris 10 の権限Solaris 10 の権限

splunk ユーザーとして Solaris 10 にインストールする場合、splunkd を開始して予約ポートにバインドするために、追加の権限を設定する必要があります。

Solaris 10 で splunkd を、splunk ユーザーとして開始するには：

# usermod -K defaultpriv=basic,net_privaddr,proc_exec,proc_fork splunk

Solaris 10 で splunk ユーザーによる予約ポートへのバインドを許可するには、root として以下のコマンドを実⾏します。

# usermod -K defaultpriv=basic,net_privaddr splunk

40

Splunk Enterprise の使⽤開始Splunk Enterprise の使⽤開始初めての Splunk の起動初めての Splunk の起動

重要なセキュリティ上のヒント重要なセキュリティ上のヒント

新しくアップグレードまたはインストールした Splunk Enterprise の使⽤を開始する前に、Splunk やデータが安全かどうかを確認する必要があります。詳細は、『Splunk Enterprise のセキュリティ』マニュアルの「標準環境の強化」を参照してください。

Splunk Enterprise を開始するには：

Windows の場合Windows の場合

Windows で Splunk Enterprise を開始するには、コマンドラインまたは Windows サービスマネージャをすることができます。コマンドラインの⽅がより多くのオプションを利⽤することができます (後述)。cmd ウィンドウで、C:\Program Files\Splunk\bin に移動し、以下のコマンドを⼊⼒します。

splunk start

(Windows ユーザーの場合：Splunk をデフォルトの場所にインストールしている場合は、以降の例や情報で、$SPLUNK_HOME を C:\Program Files\Splunk に置き換えてください。また、[システムのプロパティ] ダイアログの[詳細] タブで、%SPLUNK_HOME% をシステム全体の環境変数として追加することもできます。)

UNIXの場合UNIXの場合

Splunk Enterprise コマンドラインインターフェイス (CLI) を使⽤：

$SPLUNK_HOME/bin/splunk start

起動処理を実⾏する前に、使⽤許諾契約が表⽰され、それに同意するように要求するメッセージが表⽰されます。

Mac OS X 上でMac OS X 上で

Splunk Enterprise は、ローカルシステム上の任意のユーザーとして動作することができます。SplunkEnterprise を root 以外のユーザーとして実⾏する場合は、指定した⼊⼒からデータを読み込むために適切な権限を持っていることを確認してください。

Finder からの Splunk Enterprise の開始Finder からの Splunk Enterprise の開始

Finder から Splunk Enterprise を開始するには、デスクトップの SplunkSplunk アイコンをダブルクリックして、「Splunk's Little Helper」という名前のヘルパーアプリケーションを起動します。

注意：注意：初めてヘルパーアプリケーションを実⾏した場合、簡単な初期化を実⾏する必要があることを知らせるメッセージが表⽰されます。Splunk による初期化とトライアルライセンスの設定を許可する場合は、[OK][OK] をクリックします。

ヘルパーアプリケーションが読み込まれたら、複数の選択項⽬がダイアログに表⽰されます。

Start and Show SplunkStart and Show Splunk：このオプションは、Splunk を開始して、Web ブラウザに Splunk Web を表⽰します。Only Start SplunkOnly Start Splunk：これを選択すると、Splunk は起動しますが、ブラウザに Splunk Web は表⽰されません。キャンセルキャンセル：ヘルパーアプリケーションを終了します。この操作は Splunk Enterprise インスタンス⾃体には影響を与えません。ヘルパーアプリケーションのみが終了します。

適切なオプションを選択すると、ヘルパーアプリケーションは所定の操作を⾏った後に終了します。ヘルパーアプリケーションをもう⼀度実⾏して、Splunk Web を表⽰したり、Splunk Enterprise を終了したりすることができます。

ヘルパーアプリケーションは、すでに動作している Splunk Enterprise を終了するためにも使⽤できます。

コマンドラインからの Splunk Enterprise の開始コマンドラインからの Splunk Enterprise の開始

コマンドラインインターフェイスから Splunk Enterprise を開始するには、$SPLUNK_HOME/bin ディレクトリから以下のコマンドを実⾏します ($SPLUNK_HOME は、Splunk Enterprise をインストールしたディレクトリ、デフォルトは /Applications/splunk)。

./splunk start

その他の起動オプションその他の起動オプション

初めての Splunk Enterprise 起動時に、使⽤許諾契約に⾃動的に同意するには、start コマンドに accept-license

41

オプションを追加します。


起動処理時に以下のメッセージが表⽰されます。

Checking prerequisites...

Checking http port [8000]: open

Checking mgmt port [8089]: open

Verifying configuration. This may take a while...

Finished verifying configuration.

Checking index directory...

Verifying databases...

Verified databases: _audit, _blocksignature, _internal, _thefishbucket, history, main, sampledata, splunklogger,

summary

Checking index files

All index checks passed.

All preliminary checks passed.

Starting splunkd...

Starting splunkweb...

Splunk Server started.

The Splunk web interface is at http://<hostname>:8000

注意：注意：デフォルトのポートがすでに使⽤されている (または利⽤できない) 場合、次に利⽤可能なポートが提⽰されます。このオプションを承諾することも、使⽤するポートを指定することも可能です。

他にも 2 種類の start オプションがあります：no-promptおよび answer-yes。

$SPLUNK_HOME/bin/splunk start --no-prompt を実⾏した場合、Splunk Enterprise は何かユーザーによる回答が必要な所まで、スタートアップ処理を続⾏します。次にその質問および終了理由を表⽰して、処理を終了します。SPLUNK_HOME/bin/splunk start --answer-yes を実⾏した場合、Splunk Enterprise はスタートアップ処理を続⾏します。何か質問に対する回答が必要な場合は、すべて⾃動的に「はい」 (yes) と応答します。質問と回答は画⾯に表⽰されます。

以下の例のように start コマンドを、3 つのオプションすべてを 1 ⾏に指定して実⾏した場合：

$SPLUNK_HOME/bin/splunk start --answer-yes --no-prompt --accept-license

使⽤許諾契約への同意を求めるメッセージは表⽰されません。回答を求める質問は、すべて「はい」 (yes) が回答されます。はい/いいえで回答できない質問があった場合は、処理が終了します。

個別のプロセスの開始と無効化個別のプロセスの開始と無効化

start コマンドに、個別の Splunk Enterprise プロセスをオブジェクトとして追加して、個別のプロセスを開始/停⽌することができます。オブジェクトには以下のものが含まれます。

splunkd、Splunk サーバーデーモン。splunkweb、Splunk Web インターフェイスプロセス。

たとえば、splunkd のみを開始するには：

$SPLUNK_HOME/bin/splunk start splunkd

splunkweb を無効にするには：

$SPLUNK_HOME/bin/splunk disable webserver

start の詳細は、CLI のヘルプを参照してください。

$SPLUNK_HOME/bin/splunk help start

Splunk Web の起動Splunk Web の起動

以下の URL に移動します。

http://mysplunkhost:8000

host および port には、インストール時に指定したホストとポートを指定します。

42

Splunk Enterprise に初めてログインする場合、デフォルトのログイン情報は以下のようになります。ユーザー名 - ユーザー名 - adminadminパスワード - パスワード - changemechangeme

Splunk Free には、アクセス制御機能はありません。

次は何？次は何？

サーバーに Splunk Enterprise をインストールしたら、何を始めましょうか？ここには、いくつかの参考になるリンクを記載しています。

Splunk Enterprise の概要、機能、およびその違いの学習。Splunk Enterprise へのデータの追加、取り込み⽅法。ユーザーの追加と管理。データの保管については、「必要なスペース量の⾒積もり」を参照してください。Splunk Enterprise デプロイのプランニング (処理量がギガバイト〜テラバイト/⽇)。サーチ、モニター、レポート⽅法などの学習。従来のテクノロジーと Splunk Enterprise の⼤きな違いとして、サーチ時にデータを分類して解釈するこサーチ時にデータを分類して解釈することとが挙げられます。このことの意味と使⽤⽅法を学習してください。

AppApp が同梱された Splunk Enterprise (例：Splunk + WebSphere) をダウンロードした場合は、Splunk Webで App を選択して、その App の設定ページに移動できます。同梱されている App の設定とデプロイの詳細については、Splunk Apps でその App 名を検索してください。

Splunk Enterprise のアクセシビリティについてSplunk Enterprise のアクセシビリティについて

Splunk は、⽶国 Rehabilitation Act of 1973 の Section 508 に従い、またユーザビリティのベストプラクティスの観点から、⽀援技術を利⽤している⽅向けの、アクセシビリティやユーザビリティを維持、強化するために⽇夜努⼒しています。ここでは、⽀援技術のユーザーの⽅のために、製品のアクセシビリティに Splunk がどのように取り組んでいるのかを説明していきます。

Splunk Web と CLI のアクセシビリティSplunk Web と CLI のアクセシビリティ

Splunk Enterprise のコマンドラインインターフェイス (CLI) には、Splunk Web で利⽤できる機能よりも多くの機能が⽤意されており、⼿軽に利⽤することができます。CLI は、アクセシビリティのニーズに関係なくすべてのユーザーが⼿軽に利⽤できることを⽬的に設計されており、⽀援技術のユーザーの⽅は CLI をご利⽤になることをお勧めしています (特に視⼒が弱いまたは⾒えない⽅や⾏動に制限がある⽅)。

Splunk は、たとえ⽬の⾒えない⽅でも GUI の使⽤を希望する場合があることも理解しています。そのため、Splunk Web には以下のようなアクセシビリティ機能が⽤意されています。

フォームフィールドおよびダイアログボックスは、Web ブラウザがサポートしている画⾯上のフォーカス指⽰に対応しています。リンク、ボタン、または他のブラウザにビジュアルフォーカスが実装されていない要素に対する、オンスクリーンフォーカス機能は採⽤していません。フォームフィールドに⼀貫して適切なラベルが付いており、ALT テキストが機能要素と画像を説明しています。Splunk Web が、ユーザーが定義したスタイルシートを変更することはありません。Splunk Web のデータ視覚化には、マウスカーソルを要素の上に移動すると取得できるデータがあり、そのデータをデータテーブルとして出⼒することもできます。そのため、⾊付きの情報を、⾊が分からなくても利⽤できます。データテーブルの⼤半は HTML を実装しており、必要に応じてヘッダーやマークアップを使ってデータを識別できます。Flash を使って表⽰されているデータテーブルは、視覚的にヘッダーを表⽰しています。それのカンマ区切り (CSV) 形式のデータ出⼒には、データを識別するための適切なヘッダーが付けられています。

アクセシビリティとリアルタイムサーチアクセシビリティとリアルタイムサーチ

Splunk Web には、点滅するコンポーネントは含まれていません。ただし、リアルタイムサーチを使⽤すると、ページが更新されます。リアルタイムサーチは、デプロイまたはユーザー/ロールレベルで簡単に無効化することができます。使いやすさとユーザビリティの観点から、補助技術 (特に画⾯読み上げ技術など) のユーザーの⽅に対しては、リアルタイム機能を無効にした CLI を使⽤することをお勧めします。リアルタイムサーチの無効化については、『サーチマニュアル』の「リアルタイムサーチの利⽤の制限⽅法」を参照してください。

Firefox および Mac OS X を使ったキーボードナビゲーションFirefox および Mac OS X を使ったキーボードナビゲーション

Mac OS X 上の Firefoxで Tab キーによるナビゲーションを有効にするには、ブラウザの設定ではなく、システム設定を使⽤します。キーボードによるナビゲーションを有効にするには：

1.1.メニューバーで、[Apple アイコン] > [システム環境設定] > [キーボード][Apple アイコン] > [システム環境設定] > [キーボード] をクリックして、キーボード設定ダイアログを表⽰します。

2.2.キーボード設定ダイアログの上部にある、[キーボードショートカット][キーボードショートカット] ボタンをクリックします。

3.3.ダイアログの下部にある [フルキーボードアクセス][フルキーボードアクセス] で、[すべてのコントロール][すべてのコントロール] ラジオボタンをクリックします。

4.4.キーボード設定ダイアログを閉じます。

5.5.Firefox がすでに動作している場合は、ブラウザを終了した後再起動します。

43

Splunk Enterprise ライセンスのインストールSplunk Enterprise ライセンスのインストールSplunk Enterprise のライセンスについてSplunk Enterprise のライセンスについて

Splunk Enterprise は指定されたソースからデータを取り込んで、それを分析⽤に処理します。この処理を「インインデックス作成デックス作成」と呼んでいます。インデックス作成プロセスについては、『データの取り込み』マニュアルの「Splunk Enterprise によるデータの処理」を参照してください。

Splunk Enterprise ライセンスは、1 ⽇あたりにインデックスを作成できるデータ量を表しています。

Splunk ライセンスの詳細は、以下の項⽬を参照してください。

『管理マニュアル』の「Splunk ライセンスの仕組み」。『管理マニュアル』の「Splunk Enterprise ライセンスの種類」。『管理マニュアル』の「Splunk Free の詳細」。

ライセンスのインストールライセンスのインストール

このトピックは、Splunk Enterprise への新しいライセンスのインストール⽅法について説明しています。続⾏する前に、ライセンスに関する以下の記事も参考にしてください。

Splunk ライセンスの概要については、『管理マニュアル』の「Splunk ライセンスの仕組み」を参照してください。Splunk ライセンス⽤語については、『管理マニュアル』の「グループ、スタック、プール、およびその他の⽤語」を参照してください。

新規ライセンスの追加新規ライセンスの追加

新規ライセンスを追加するには：

1.1.[設定] > [ライセンス][設定] > [ライセンス] に移動します。

2.2.[ライセンスの追加][ライセンスの追加] をクリックします。

3.3.[ファイルを選択][ファイルを選択] をクリックしてライセンスファイルの場所に移動してそれを選択するか、または [ライセン [ライセンス XML を直接コピーして貼り付けてください...]ス XML を直接コピーして貼り付けてください...] をクリックして、フィールドにライセンスファイルのテキストを貼り付けます。

4.4.[インストール][インストール] をクリックします。ライセンスがインストールされます。これが最初にインストールするEnterprise ライセンスの場合は、Splunk を再起動する必要があります。

ライセンス違反ライセンス違反

違反は、お⼿持ちのライセンスで許可されている最⼤インデックス作成ボリュームを超えた場合に発⽣します。ある 1 暦⽇にライセンスで許可されている⽇次ボリュームを超えた場合、違反の警告が通知されます。このメッセージは 14 ⽇間に渡って表⽰されます。任意の 30 ⽇間の期間内に、Enterprise ライセンスで 5 回以上の任意の 30 ⽇間の期間内に、Enterprise ライセンスで 5 回以上の警告が⾏われた場合、または Free ライセンスで 3 回の警告が⾏われた場合、ライセンス警告が⾏われた場合、または Free ライセンスで 3 回の警告が⾏われた場合、ライセンス違反違反状態とな状態となり、サーチが無効になります。り、サーチが無効になります。サーチ機能は、過去 30 ⽇間の警告数が 5 (Enterprise) または 3 (Free) 回を下回った場合、または⼀時的なリセットライセンス (Enterprise でのみ利⽤可) を適⽤した場合に回復します。リセットライセンスを⼊⼿するには、営業担当までお問い合わせください。

注意：注意：サマリーインデックスの量は、ライセンスの考慮対象とはなりません。

違反の警告が表⽰された場合、午前 0 時 (ライセンスマスターの時刻が基準) までにそれを解決しないと、過去30 ⽇間の期間内の合計警告数としてカウントされます。

ライセンス違反期間中は：

データのインデックス作成処理は中断されません。ライセンス超過中は、単にサーチがブロックされます。_internal インデックスに対するサーチは無効になりません。つまり、インデックスステータスダッシュボードには引き続きアクセスでき、また _internal に対してサーチを⾏い、ライセンス上の問題を診断することができます。

ライセンス違反が発⽣しましたか？『管理マニュアル』の「ライセンス違反について」または SplunkCommunity Wiki の「Troubleshooting indexed data volume」を参照してください。

『管理マニュアル』の「Splunk ライセンスの管理」には、ライセンスに関する詳細な情報が記載されています。

Splunk Enterprise のアップグレードまたは移⾏Splunk Enterprise のアップグレードまたは移⾏44

Splunk Enterprise のアップグレード⽅法Splunk Enterprise のアップグレード⽅法

ここでは、Splunk Enterprise およびそのコンポーネントを、あるバージョンから別のバージョンにアップグレードする⽅法について説明していきます。

多くの場合、Splunk Enterprise をアップグレードするには、既存のインストール上に最新版のパッケージをインストールします。Windows システム上で、インストーラパッケージはインストールされているバージョンを検出し、アップグレードを⾏います。

注意：注意：Splunk Enterprise をアップグレードする場合は、管理者レベルのユーザーアカウントを使⽤してください。

バージョン 6.2 の新機能と利点バージョン 6.2 の新機能と利点

6.2 で提供されているすべての新機能については、リリースノートの「」を「Meet Splunk Enterprise 6.2」参照してください。

リリースノートには、そのリリースで既知の問題の⼀覧と対処⽅法も記載されています。

常に既存のデプロイ環境をまずバックアップ常に既存のデプロイ環境をまずバックアップ

アップグレードまたは移⾏を⾏う前には、常に既存の Splunk Enterprise デプロイ環境をバックアップするようにしてください。

外部のバックアップ⼿段、ディスク/ファイルシステムのスナップショット、または他の⼿段を使って、アップグレード前の状態に Splunk Enterprise とデータを復元できる技術を採⽤することで、リスク管理を⾏うことができます。Splunk Enterprise データをバックアップする際には、$SPLUNK_HOME ディレクトリおよびそれ以外の場所に保管されているインデックスを考慮してください。

Splunk Enterprise デプロイ環境のバックアップの詳細は、『管理マニュアル』の「設定情報のバックアップ」および『インデクサーとクラスタの管理』マニュアルの「インデックス作成されたデータのバックアップ」を参照してください。

環境に応じて適切なアップグレード⼿順を選択する環境に応じて適切なアップグレード⼿順を選択する

単⼀の Splunk インスタンスを使⽤しているのか、または複数の Splunk インスタンスを接続して使⽤しているのかによって、Splunk Enterprise のアップグレード⽅法は異なります。Splunk インスタンスをクラスタ構成で利⽤している場合は、さらに⼤きな違いがあります。

分散環境のアップグレード分散環境のアップグレード

分散 Splunk Enterprise 環境 (1 つまたは複数のサーチヘッドプールサーチヘッドプールを保有する環境を含む) をアップグレードする場合は、『分散デプロイ』マニュアルの「分散環境のアップグレード」を参照してください。

クラスタ環境のアップグレードクラスタ環境のアップグレード

クラスタ構成の Splunk Enterprise 環境をアップグレードする場合は、『インデクサーとクラスタ』マニュアルの「クラスタ構成デプロイ環境のアップグレード」を参照してください。このトピックのアップグレードに関する説明は、このマニュアルの説明に優先します。

重要：重要：クラスタ構成 Splunk Enterprise 環境内のすべてのノードで、同じバージョンの Splunk Enterprise を動作させる必要があります。クラスタ構成の環境をアップグレードする場合は、クラスタ内のすべてのノード (サーチヘッド、マスターノード、ピアノードを含む) を同時にアップグレードする必要があります。

次に、アップグレード前に重要な移⾏に関する情報を参照する次に、アップグレード前に重要な移⾏に関する情報を参照する

重要：重要：アップグレード前には、必ず「6.2 へのアップグレードについて：最初にお読みください」を参照して、特定の移⾏作業に関するヒントやご⾃分の環境に影響する情報を確認してください。

5.0 以降からのアップグレード5.0 以降からのアップグレード

Splunk Enterprise は、バージョン 5.0 以降からバージョン 6.2 への直接のアップグレードをサポートしています。

Linux、Solaris、FreeBSD、HP-UX、AIX、および MacOS での 6.2 へのアップグレードWindows での 6.2 へのアップグレード

4.3 以前からのアップグレード4.3 以前からのアップグレード

バージョン 4.3 以前からバージョン 6.2 への直接のアップグレードは、公式にはサポートされていません。

バージョン 4.3 をご利⽤の場合は、まずバージョン 6.0 にアップグレードしてから、6.2 にアップグレードしてください。バージョン 4.2 をご利⽤の場合は、まずバージョン 5.0 にアップグレードしてから、6.2 にアップグレードしてください。4.2 より前のバージョンをご利⽤の場合は、まずバージョン 4.3 にアップグレードしてから、次に 6.0 にアップグレードします。それから、6.2 にアップグレードしてください。バージョン 4.3 へのアップグレード⽅法の詳細は、「4.3 へのアップグレードについて：最初にお読みください」を参照してください。

ユニバーサルフォワーダーのアップグレードユニバーサルフォワーダーのアップグレード45

ユニバーサルフォワーダーのアップグレード⼿順は、Splunk Enterprise とは異なっています。ユニバーサルフォワーダーをアップグレードする前に、ご利⽤のオペレーティングシステムに応じて適切なトピックを参照してください。

Windows ユニバーサルフォワーダーのアップグレードUNIX ユニバーサルフォワーダーのアップグレード

インデクサーとユニバーサルフォワーダー間の相互運⽤性と互換性については、『データの転送』マニュアルの「インデクサーとユニバーサルフォワーダーの互換性」を参照してください。

6.2 へのアップグレードについて - 最初にお読みください6.2 へのアップグレードについて - 最初にお読みください

ここには、古いバージョンからバージョン 6.2 にアップグレードするための、重要な情報とヒントが記載されています。Splunk 環境をアップグレードする前にご覧ください。

重要：重要：Splunk Enterprise 6.2 と互換性がない Splunk App やアドオンが存在しています。本リリースへのアップグレードを検討している場合は、Splunk Apps を参照して、ご利⽤の App が Splunk Enterprise 6.2 と互換性があるかどうかを確認してください。

クラスタ環境のアップグレードクラスタ環境のアップグレード

Splunk クラスタをアップグレードする場合は、『インデクサーとクラスタ』マニュアルの「クラスタ構成デプロイ環境のアップグレード」を参照してください。そのトピックに記載されている情報は、このマニュアルに記載されているアップグレードに関する説明に優先します。

重要：重要：クラスタ構成 Splunk 環境内のすべてのノードが、同じバージョンの Splunk Enterprise を稼働させる必要があります。クラスタ構成の環境をアップグレードする場合は、クラスタ内のすべてのノード (サーチヘッド、マスターノード、ピアノードを含む) を同時にアップグレードする必要があります。

アップグレードパスアップグレードパス

Splunk Enterprise は、以下のバージョン 6.2 へのアップグレードパスをサポートしています。

完全版 Splunk Enterprise をバージョン 5.0 以降から 6.2。ユニバーサルフォワーダーをバージョン 5.0 以降から 6.2。

バージョン 4.3 の Splunk Enterprise をご利⽤の場合は、まずバージョン 6.0 にアップグレードしてから、6.2にアップグレードしてください。詳細は、「6.0 へのアップグレードについて - 最初にお読みください」を参照してください。

4.3 より前のバージョンの Splunk Enterprise をご利⽤の場合は、まず 5.0 にアップグレードしてから、6.2 にアップグレードしてください。バージョン 5.0 への移⾏⽅法に関するヒントについては、「5.0 へのアップグレードについて：最初にお読みください」を参照してください。

留意事項留意事項

5.0 以降から 6.2 へのアップグレードは簡単ですが、新しいバージョンのインストール時には、いくつかの留意事項があります。

splunkweb サービスは splunkd サービスと統合されましたsplunkweb サービスは splunkd サービスと統合されました

Splunk Web の全操作を担当し、リクエストを splunkd サービスに送信していた splunkweb サービスは無効化されました。現在は splunkd サービスが、標準環境におけるすべての Splunk Enterprise サービスを担当しています。Windows では splunkweb サービスがインストールされますが、実⾏はされません。このトピックの「Windows 固有の変更」にある「Splunk Web サービスはインストールされるけれども実⾏されない」を参照してください。

必要に応じて、Splunk Enterprise を「レガシー・モード」で実⾏して、splunkweb を個別のサービスとして実⾏することができます。「Splunk Enterprise の開始と停⽌」を参照してください。

重要：Splunk Web をレガシー・モードで常時使⽤することは避けてください。重要：Splunk Web をレガシー・モードで常時使⽤することは避けてください。レガシー・モードは、新たなユーザー・インターフェイスと splunkd サービスの統合により発⽣した問題に対処する⽬的で、⼀時的に使⽤してください。問題を解決したら、できる限り早く Splunk Web を標準モードに戻してください。

スタンドアロンのサーチヘッドまたはサーチヘッド・プーリングからサーチヘッド・クラスタリングへの移スタンドアロンのサーチヘッドまたはサーチヘッド・プーリングからサーチヘッド・クラスタリングへの移⾏はサポートされていません⾏はサポートされていません

現在スタンドアロンのサーチヘッド、またはサーチヘッド・プーリングを使⽤している場合、それをサーチヘッド・クラスタリングに移⾏する⽅法はありません。新機能を利⽤するには、サーチヘッド・プーリングを削除して、アップグレード後にサーチヘッド・クラスタリングを設定する必要があります。

新しくインストールされるサービスは追加のネットワーク・ポートを開く新しくインストールされるサービスは追加のネットワーク・ポートを開く

Splunk Enterprise は、KV ストアと App サーバーの 2 つのサービスをインストール、実⾏します。これにより、ローカル・マシン上ではデフォルトで 8191 (KV ストア⽤) および 8065 (App サーバー⽤) の、2 つのネットワーク・ポートが開かれます。マシン上で動作するファイアウォールが、これらのポートをブロックすることがないようにしてください。KV ストア・サービスは、mongod プロセスも開始します。必要に応じて、server.conf を編集して、dbPath 属性の値を Splunk Enterprise インスタンスがアクセスできる有効なファイル・システム・パスに変更することで、KV ストアを無効にすることができます。『管理マニュアル』の「App キー・バリュー・ストアについて」を参照してください。

46

新たな App キー・バリュー・ストアによりディスク・スペース使⽤量が増加する可能性新たな App キー・バリュー・ストアによりディスク・スペース使⽤量が増加する可能性

アプリケーション内のデータを保管、取り出すことで、その情報を維持管理する⼿段を提供する、App キー・バリュー・ストア (KV ストア) サービスは、実⾏する App 数によってディスク使⽤量が増加する可能性があります。KV ストア・サービスのデータの保管場所を変更するには、server.conf を編集します。KV ストアが使⽤したデータを復元するには、CLI コマンドの splunk clean を使⽤します。『管理マニュアル』の「App キー・バリュー・ストアについて」を参照してください。

データ・ブロック署名が削除されましたデータ・ブロック署名が削除されました

データ・ブロック署名は Splunk Enterprise 6.2 で削除されました。この機能は、まもなく廃⽌されます。

introspection ディレクトリに正しい権限があることを確認するintrospection ディレクトリに正しい権限があることを確認する

Linux で Splunk Enterprise を⾮ root ユーザーとして実⾏しており、アップグレードに RPM を使⽤する場合、RPM は root として $SPLUNK_HOME/var/log/introspection ディレクトリに書き込みます。これにより、その後インスタンスを開始する際に、エラーが発⽣することがあります。この問題を防⽌するには、アップグレード後、Splunk Enterprise を再起動する前に、Splunk Enterprise を実⾏するユーザーに対して$SPLUNK_HOME/var/log/introspection ディレクトリの chown を実⾏します。

Splunk DB Connect App がデータ⼊⼒の問題を発⽣する可能性Splunk DB Connect App がデータ⼊⼒の問題を発⽣する可能性

Splunk DB Connect App バージョン 1.1.4 の設計上の⽋陥により、この App がインストールされている状態でSplunk Enterprise インスタンスをアップグレードすると、[データ⼊⼒] ページの [転送⼊⼒] セクションが消えてしまいます。この問題に対処するには、本体のアップグレード前に App をバージョン 1.1.5 にアップグレードしてください。

⼀部の属性の新たなデフォルト値が SSL 経由の Splunk 操作に影響する可能性⼀部の属性の新たなデフォルト値が SSL 経由の Splunk 操作に影響する可能性

いくつかの新たなデフォルト値により、SSL 経由の Splunk Enterprise の使⽤に影響が出る可能性があります。

Splunk Enterprise による SSL クライアントの処理を制御する、supportSSLv3Only 属性のデフォルト設定がtrue になりました。この場合 SSL v3 プロトコルを使⽤できるクライアントのみが、Splunk Enterprise インスタンスに接続できます。SSL で使⽤できる暗号プロトコルを制御する、cipherSuite 属性のデフォルト設定は TLSV1+HIGH:@STRENGTH になりました。この場合、トランスポート層セキュリティ (TLS) v1 暗号に「high」が設定されている暗号スイートのみが、Splunk Enterprise インスタンスに接続できます。

[ログイン] ページをカスタマイズできなくなりました[ログイン] ページをカスタマイズできなくなりました

6.2 では、[ログイン] ページをカスタマイズできなくなりました。アップグレード後は、[ログイン] ページのヘッダーとフッターのみを変更できます。

Windows 固有の変更Windows 固有の変更

新しいインストール/アップグレード⼿順新しいインストール/アップグレード⼿順

Windows 版の Splunk Enterprise では、インストール/アップグレード作業がより効率化されました。インストーラには、特定のデフォルト値が⽤意されており (新規インストール⽤)、また既存の設定はそのまま保持されます (アップグレード⽤)。インストール時にデフォルト値を変更する場合は、[オプションのカスタマイズ] ボタンを選択する必要があります。アップグレード時には、使⽤許諾契約に同意するオプションのみが利⽤できます。「インストール・オプション」を参照してください。

Splunk Web サービスはインストールされるけれども実⾏されないSplunk Web サービスはインストールされるけれども実⾏されない

Splunk Enterprise v6.2 からは、splunkd サービスがすべての Splunk Web 操作を担当します。ただし Windowsインスタンスでは、splunkweb サービスが引き続きインストールされます。標準動作時に、このサービスは起動しても即座に終了されます。レガシー・モードでサービスを実⾏するように設定するには、web.conf の設定パラメータを変更します。『管理マニュアル』の「Windows での Splunk Enterprise のレガシー・モードでの実⾏」を参照してください。

重要：Splunk Web をレガシー・モードで常時使⽤することは避けてください。重要：Splunk Web をレガシー・モードで常時使⽤することは避けてください。レガシー・モードは、新たなユーザー・インターフェイスと splunkd サービスの統合により発⽣した問題に対処する⽬的で、⼀時的に使⽤します。問題を解決したら、できる限り早く Splunk Web を標準モードに戻してください。

Windows ではサーチヘッド・クラスタリングのサポートがないWindows ではサーチヘッド・クラスタリングのサポートがない

現時点でサーチヘッド・クラスタリング機能は、*nix ホスト上で動作する Splunk Enterprise でのみ利⽤できます。サーチヘッド・クラスタリングを使⽤するには、*nix 版の Splunk Enterprise インスタンスをインストールして、それらのインスタンス上でサーチヘッド・クラスタリングを設定する必要があります。

アップグレード後に FIPS 有効化のサポートはありませんアップグレード後に FIPS 有効化のサポートはありません

SSL を有効にした Splunk Enterprise システムから FIPS を有効にしたシステムへの、サポートされているアップグレードパスはありません。FIPS を有効にする必要がある場合は、新たにインストールを⾏う必要があります。

47

バージョン 5 からバージョン 6 への Splunk Web の操作の変更バージョン 5 からバージョン 6 への Splunk Web の操作の変更

ここでは、Splunk Web を使って作業を⾏う場合の、バージョン 5.x とバージョン 6.2 の主な違いについて説明しています。

変更内容変更内容

⼿順/タスク⼿順/タスク従来従来今回今回

Splunk Enterprise への初回ログイン

5.x の Splunk Enterprise には、[ようこそ] タブと [Splunk ホーム]タブの 2 種類のタブがありました。[ようこそ] では、データの追加とサーチ App の起動を⾏えまし

た。

6.2 の Splunk Enterprise では、[ホーム] が表⽰されます。ホームの主な構成要素として、Splunk Enterprise ナビゲーション・バー、[App] パネル、Splunk Enterprise の探索パネル、およびデフォルトのカスタム・ダッシュボード (ここには表⽰されていません) などがあります。

ホームに戻る 5.x でホームに戻るには、App メニューからホーム App を選択していました。

6.2 では、ナビゲーション・バーの左上にある、Splunk ロゴをクリックします。そうすることで、いつでもホームに戻ることができます。

アカウント情報の編集 5.x では、アカウント情報にアクセス (名前、メールアドレス、デフォルト App、タイムゾーン、パスワードの変更) するために、[管理]> [ユーザーと認証] > 「ご⾃分のアカウント」に移動していました。

6.2 では、Splunk ナビゲーションの [管理者] >[アカウントの編集] からアカウント情報に直接アクセスできます。

Splunk Enterprise からのログアウト

5.x では、ナビゲーションバーの[ログアウト] ボタンをクリックしていました。

6.2 では、[管理者] > [ログアウト] を選択します。(Administrator としてログインしてない場合は、ログインしているユーザーのフル・ネームが表⽰されます。この名前をクリックすると、[ログアウト] オプションが表⽰されます)

管理/設定 5.x では、すべてのオブジェクト/システム設定の編集を、[管理] ページまたはナビゲーションバーの「管理者」リンクから⾏っていました。

6.2 では、[設定] メニューからこれらの設定に直接アクセスすることができます。個別の [管理]ページはありません。

App の管理：インストールされた App の権限の編集、新しいApp の作成、または

5.x では、[管理] -> [App] を使⽤するか、または App メニューから選択していました。

6.2 では、ナビゲーションバーの [App] メニュー、またはホームページの [App] にある⻭⾞アイコンを使⽤します。

48

コミュニティ App のための Splunk Appsの参照

サーチサマリー、サーチ

サーチとレポート

ダッシュボードとビュー

サーチ

レポート

ダッシュボード

フィールドの抽出またはソース表⽰

サーチ結果で、イベントのタイムスタンプの左にある⽮印をクリックして、[フィールドの抽出] または[ソースの表⽰] を選択します。

サーチ結果で、イベントのタイムスタンプの左にある⽮印をクリックして、[イベント・アクション] をクリックします。[ フィールドの抽出]または [ソースの表⽰] を選択します。

アラートリストの検索ナビゲーションバーで [アラート]を選択していました。

ナビゲーション・バーで [アクティビティ] > [⽣成されたアラート] を選択します。

タイムラインの検索 5.x ではサーチの実⾏後、ダッシュボードの⼀部として常にタイムラインが表⽰されていました。タイムラインは⾮表⽰にすることができます。

6.2 では、サーチの実⾏後に [イベント] タブを表⽰している場合にのみ、タイムラインを参照できます。

Splunk App 開発者向けの変更Splunk App 開発者向けの変更

Splunk Enterprise ⽤の App を開発している場合はこのトピックを参照して、バージョン 6.2 での SplunkEnterprise と App の変更、および既存の App を新しいバージョンで正常に使⽤するための移⾏⽅法を学習してください。

シンプル XML の⼀部のエレメントを廃⽌する予定シンプル XML の⼀部のエレメントを廃⽌する予定

以下のエレメントを含めて、シンプル XML のいくつかのイベントを廃⽌する予定です。

list エレメント：panel オブジェクトでこのエレメントを利⽤できなくなりました。⾏のグループ化：代わりに panel コンストラクトを使⽤してください。⾏のグループ化はこのコンストラクトに⾃動変換されます。searchString、searchTemplate、searchPostProcess、populatingSearch、および populatingSavedSearch エレメント：代わりに新たな search コンストラクトを使⽤してください。earliestTime および latestTime エレメント：代わりに earliest および latest を使⽤してください。

新しいプレビルト「panels」オブジェクトを導⼊しました新しいプレビルト「panels」オブジェクトを導⼊しました

開発者はこのオブジェクトを利⽤して、再利⽤可能なダッシュボード・パネルをパッケージに収録することができます。これはシステム内の新たなナレッジ・オブジェクトで、アプリケーション内にパッケージ化することができます。『Developing Views and Apps for Splunk Web』マニュアルを参照してください。

UNIX での 6.2 へのアップグレードUNIX での 6.2 へのアップグレード

ここでは、バージョン 5.0 以降の Splunk Enterprise インスタンスを、バージョン 6.2 にアップグレードする⼿順を説明していきます。

49

アップグレードする前にアップグレードする前に

続⾏する前に、この情報と以下の情報をお読みください。

ファイルのバックアップファイルのバックアップ

アップグレードを実⾏する前に、Splunk Enterprise 設定、インデックスデータ、およびバイナリを含めて、すべすべてのファイルをバックアップするてのファイルをバックアップすることを強くお勧めします。

Splunk Enterprise には、前のバージョンへのダウングレード⼿段を提供していません。古いバージョンのSplunk リリースに戻す必要がある場合は、単純にそれを再インストールしてください。

データのバックアップについては、『インデクサーとクラスタの管理』マニュアルの「インデックス作成されたデータのバックアップ」を参照してください。

設定のバックアップの詳細は、『管理マニュアル』の「設定情報のバックアップ」を参照してください。

アップグレードの仕組みアップグレードの仕組み

新しいバージョンのインストール後、再起動するまでの間 Splunk Enterprise は設定の変更を⾏いません。その時点で移⾏プレビューユーティリティを実⾏して、ファイルの更新前に何が変更されるのかを確認することができます。

続⾏する前に変更内容を確認することを選択した場合、アップグレードスクリプトは提案する変更を$SPLUNK_HOME/var/log/splunk/migration.log.<timestamp> ファイルに書き込みます。

アップグレード⼿順アップグレード⼿順

1.1. $SPLUNK_HOME/bin/splunk stop コマンドを実⾏します。

重要：重要：他のプロセスが Splunk Enterprise を⾃動的に開始できることがないように注意してください (SolarisSMF など)。

2.2.バージョン $VERSION 以降からアップグレード/移⾏するには、既存のデプロイ環境に Splunk Enterpriseパッケージをインストールします。

.tar ファイルを使⽤する場合、既存の Splunk Enterprise インスタンスと同じディレクトリに、同じ所有権で解凍します。これにより、⼀致するファイルは上書き、置換されますが、独⾃のファイルが削除されることはありません。

注意：注意：root 以外のユーザーとして実⾏した場合、AIX tar は正常にファイルを上書きすることができません。この問題を回避するには、GNU tar (gtar) を使⽤してください。

RPM などのパッケージマネージャを使⽤する場合は、次のように⼊⼒します： rpm -Usplunk_package_name.rpm

.dmg ファイル (MacOS X で) を使⽤する場合は、ファイルをダブルクリックした後、指⽰に従って作業を⾏います。既存のインストールと同じインストールディレクトリを指定してください。

3.3. $SPLUNK_HOME/bin/splunk start コマンドを実⾏します。

Splunk Enterprise は以下の出⼒を表⽰します。

This appears to be an upgrade of Splunk.

--------------------------------------------------------------------------------

Splunk has detected an older version of Splunk installed on this machine. To

finish upgrading to the new version, Splunk's installer will automatically

update and alter your current configuration files. Deprecated configuration

files will be renamed with a .deprecated extension.

You can choose to preview the changes that will be made to your configuration

files before proceeding with the migration and upgrade:

If you want to migrate and upgrade without previewing the changes that will be

made to your existing configuration files, choose 'y'.

If you want to see what changes will be made before you proceed with the

upgrade, choose 'n'.

Perform migration and upgrade without previewing configuration changes? [y/n]

4.4.移⾏プレビュースクリプトを実⾏して既存の設定ファイルに対して⾏われる変更内容を確認するか、または移⾏処理を続⾏してすぐにアップグレードを⾏うかを選択します。

5.5.変更内容を確認することを選択した場合は、そのリストが表⽰されます。

6.6.変更内容を確認し、移⾏とアップグレードを続⾏する準備ができた場合は、 $SPLUNK_HOME/bin/splunk start を再実⾏します。

注意：注意：ステップ 3〜5 は 1 ⾏で完了することができます。

ライセンスに同意して、アップグレードを続⾏する前に変更内容を表⽰ (回答は「n」) する場合：

50

$SPLUNK_HOME/bin/splunk start --accept-license --answer-no

ライセンスに同意して、変更内容を確認せずにアップグレードを開始 (回答は「y」) する場合：

$SPLUNK_HOME/bin/splunk start --accept-license --answer-yes

Windows での 6.2 へのアップグレードWindows での 6.2 へのアップグレード

ここでは、バージョン 5.0 以降の Windows Splunk Enterprise インスタンスを、バージョン 6.2 にアップグレードする⼿順を説明していきます。GUI インストーラを使⽤するか、またはコマンドラインで msiexec ユーティリティを実⾏して (「コマンドラインを使った Windows へのインストール」を参照)、アップグレードを⾏えます。

アップグレードする前にアップグレードする前に

続⾏する前に、この情報と以下の情報をお読みください。

同じドメインユーザーを指定していることを確認してください同じドメインユーザーを指定していることを確認してください

アップグレード時には、初回インストールで指定したのと同じドメインユーザーを、明⽰的に指定する必要があります。同じユーザーを指定しない場合、デフォルトでは Local System ユーザーが使⽤されます。インストール時に誤って違うユーザーを指定した場合は、Splunk を開始する前にSplunk を開始する前にこれらの説明に従って、正しいユーザーに切り替えてください。

ポートを変更しないでくださいポートを変更しないでください

Splunk Enterprise はアップグレード時の管理⽤ポートや HTTP ポートの変更をサポートしていません。

ファイルのバックアップファイルのバックアップ

アップグレードを実⾏する前に、Splunk Enterprise 設定、インデックスデータ、およびバイナリを含めて、すべてのファイルをバックアップすることを強くお勧めします。古いバージョンにダウングレードする⼿段は⽤意されていません。古いバージョンの Splunk Enterprise に戻す必要がある場合は、古いリリースを再インストールしてください。

データのバックアップについては、『インデクサーとクラスタの管理』マニュアルの「インデックス作成されたデータのバックアップ」を参照してください。

設定のバックアップの詳細は、『管理マニュアル』の「設定情報のバックアップ」を参照してください。

注意：注意：Windows で Splunk Enterprise 6.2 にアップグレードする場合、%SPLUNK_HOME%\etc\auth 内に作成した任意のカスタムの認証局 (CA) 証明書が上書きされます。カスタム認証局ファイルがある場合は、アップグレード前に忘れずにバックアップしてください。アップグレード後に、それを %SPLUNK_HOME%\etc\auth にコピーして、ファイルを復元してください。証明書を復元したら、Splunk を再起動します。

アップグレード後にダウングレードは⾏わないでくださいアップグレード後にダウングレードは⾏わないでください

Splunk Enterprise をバージョン 6.2 にアップグレードした後にダウングレードする必要がある場合は、バージョン 6.2 をアンインストールした後に、古いバージョンの Splunk Enterprise を再インストールする必要があります。Splunk Enterprise 6.2 インストールに対して、古いバージョンのインストーラを使ったインストールは⾏わないでください。そうしてしまうとインスタンスが壊れ、データが失われる可能性があります。

GUI インストーラを使ったアップグレードGUI インストーラを使ったアップグレード

1.1.Splunk のダウンロードページから、新しい MSI ファイルをダウンロードします。

2.2.MSI ファイルをダブルクリックします。インストーラが実⾏され、マシンにインストールされている既存のSplunk Enterprise バージョンの検出が試みられます。古いバージョンが⾒つかった場合は、使⽤許諾契約に同意するかどうかを問い合わせるパネルが表⽰されます。

3.3.使⽤許諾契約を承認します。更新版の Splunk Enterprise がインストールされます。既存のインストールのすべてのパラメータが保持されます。デフォルトでは、インストールが完了すると、Splunk Enterprise が再起動されます。

アップグレード中に設定ファイルに対して⾏われた変更を記録したログは、%TEMP% に保管されます。

コマンドラインを使ったアップグレードコマンドラインを使ったアップグレード

1.1.Splunk のダウンロードページから、新しい MSI ファイルをダウンロードします。

2.2.「コマンドラインを使った Windows へのインストール」の説明に従って作業を⾏います。

Splunk が Local System ユーザー以外のユーザーとして動作している場合、コマンド・ラインにはそのユーザーを明⽰的に指定する必要があります。LAUNCHSPLUNK フラグを使って、完了時に Splunk Enterprise を⾃動起動するかどうかを指定できますが、その他の設定を変更することはできません。

51

現時点では、ポート (SPLUNKD_PORT および WEB_PORT) を変更しないでください。

3.3.指定内容に応じて、インストール完了時に Splunk Enterprise が⾃動的に開始されることがあります。

アップグレード中に設定ファイルに対して⾏われた変更を記録したログは、%TEMP% に保管されます。


Windows の場合、デフォルトで Splunk Enterprise は %SYSTEMDRIVE%\Program Files\Splunk にインストールされ、開始されます。

Windows の [サービス] コントロールパネルから、以下の Splunk Enterprise プロセスを開始/停⽌することができます。

サーバーおよび Web インターフェイス： splunkd

%SYSTEMDRIVE%\Program Files\Splunk\bin に移動して、以下のコマンドを⼊⼒することで、両⽅のプロセスを開始、停⽌、再起動することもできます。

# splunk [start|stop|restart]

Splunk Enterprise インスタンスの移⾏Splunk Enterprise インスタンスの移⾏

このトピックでは、インデックスデータ、設定、およびユーザーを維持しながら、あるサーバー、オペレーティングシステム、アーキテクチャ、またはファイルシステムから、もう⼀⽅に移⾏する⼿順について説明しています。この作業は、インスタンスのアップグレードとは異なります。アップグレードは、古いインスタンスに単純に新しいバージョンをインストールします (ただし、アップグレードも移⾏の形態の 1 つと⾔えます)。

移⾏理由移⾏理由

Splunk Enterprise インストールを移⾏する理由はさまざまです。

Splunk Enterprise が存在しているサーバーを退役させたい、または他の⽬的に使⽤したい。組織または Splunk Enterprise がすでにサポートしていないオペレーティングに Splunk がインストールされており、それをサポートされているオペレーティングシステム上に移動したい。オペレーティングシステムを切り替える場合 (たとえば、*nix から Windows へ、またはその逆)。Splunk Enterprise インストールを別のファイルシステムに移動したい。32 ビットアーキテクチャにインストールされている Splunk Enterprise を、パフォーマンス向上のため 64ビットアーキテクチャに移動したい。古いアーキテクチャに Splunk Enterprise がインストールされており、新しいアーキテクチャにそれを移動したい。

移⾏時の検討事項移⾏時の検討事項

多くの場合 Splunk Enterprise インスタンスの移⾏は単純な作業ですが、実施する際に検討する必要がある重要な事項が存在しています。移⾏に関与するシステムのタイプ、バージョン、およびアーキテクチャによっては、複数の事項を同時に考慮しなければならないこともあります。

Splunk Enterprise インスタンスを移⾏する場合、以下の事項に注意してください。

EndianEndian

4.2 より前のバージョンの Splunk Enterprise でインデックスが作成されたデータがある場合、そのデータを構成するインデックスファイルは、オペレーティングシステムの Endian (システムがバイナリファイル (または他のデータ構造) の個別のバイトを編成する⽅法) に依存しています。

big-endian (バイナリの最上位のバイトを先に保管) を使⽤するオペレーティングシステムもあれば、little-endian (最下位のバイトを先に保管) を使⽤するオペレーティングシステムもあります。これらのオペレーティングシステムは、同じ Endian のバイナリファイルを作成します。インデックスのバケツファイルはバイナリファイルなので、バージョン 4.2 より前の Splunk の場合、バケツファイルの Endian は、それが作成されたオペレーティングシステムの Endian と同じになります。

プロセッサのアーキテクチャと Endian の⼀覧については、Wikipedia の Endianness に関する記事を参照してください。

バージョン 4.2 より前の Splunk Enterprise インスタンスから移⾏する場合、宛先システムが移⾏したデータを正常に読み取れるように、同じ Endian を使⽤するシステムにインデックスファイルを転送する必要があります(例：SPARC プロセッサ上で動作する NetBSD システムから、SPARC プロセッサが動作する Linux システムに)。

同じ Endian を使⽤するシステムにインデックスを移動できない場合は (例：big-endian を使⽤するシステムから little-endian を使⽤するシステムに移動したい場合)、big-endian システムから little-endian システムにデータを転送することで、移動することができます。すべてのデータを転送したら、big-endian システムを退役させることができます。

Splunk Enterprise 4.2 以降のバージョンで作成されたインデックスファイルには、Endian に関する問題はありません。

Windows と UNIX のパス区切り⽂字の違いWindows と UNIX のパス区切り⽂字の違い

52

*nix と Windows のパス区切り⽂字 (パスの個別のディレクトリエレメントを区切るために使われる⽂字) は異なっています。これらのオペレーティングシステム間でインデックスファイルを移動する場合、Splunk インストールの移動先のオペレーティングシステムに対して、正しいパス区切り⽂字を使⽤する必要があります。また、各 Splunk 設定ファイル (特に indexes.conf) を、正しいパス区切り⽂字を使⽤するように更新する必要もあります。

Windows アクセス許可Windows アクセス許可

Windows サーバー間で Splunk Enterprise インスタンスを移動する場合、宛先サーバーにはソースサーバーと同じ権限/アクセス許可を割り当てていることを確認する必要があります。これには、以下の事項が含まれますが、これに限定されるものではありません。

ターゲットサーバーのファイルシステム/共有アクセス許可が正しく、Splunk Enterprise を実⾏するユーザーにアクセスを許可していることを確認してください。Local System ユーザー以外のアカウントで Splunk Enterprise を実⾏している場合、そのユーザーがローカル Administrators グループのメンバーで、グループポリシーオブジェクトにより、適切なローカルセキュリティポリシーまたはドメインポリシー権限が割り当てられていることを確認します。

アーキテクチャの変更アーキテクチャの変更

Splunk Enterprise インスタンスが動作しているアーキテクチャをダウングレードする場合 (例：64 ビットから32 ビット)、64 ビットオペレーティングシステムや Splunk Enterprise インスタンスが作成した⼤量のファイルが原因で、新しいサーバー上でのサーチパフォーマンスが低下する可能性があります。

分散およびクラスタ構成 Splunk 環境分散およびクラスタ構成 Splunk 環境

分散Splunk インスタンス (サーチヘッドがイベントのサーチを実⾏するように設定されたサーバーグループの⼀部であるインデクサー、またはインデクサーのデータをサーチするように設定されたサーチヘッド) 上のデータを移⾏する場合、移⾏する前にそのインスタンスを分散環境から削除する必要があります。

バケツ ID と潜在的なバケツの競合バケツ ID と潜在的なバケツの競合

ある Splunk インスタンスを、既存の同名のインデックスを持つ他の Splunk インスタンスに移⾏する場合、それらのインデックス内の各バケツが、競合しないバケツ ID を持っていることを確認する必要があります。競合するバケツ ID を持つバケツがあるインデックスが存在している場合、Splunk は開始されません。インデックスデータをコピーする場合、このような競合を防⽌するために、コピーしたバケツファイルの名前を変更しなければならないことがあります。

移⾏⽅法移⾏⽅法

Splunk Enterprise インスタンスをあるシステムから別のシステムに移⾏するには、以下の⼿順に従ってください。

1.1.移⾏するサーバー上で、Splunk Enterprise を停⽌します。

2.2.$SPLUNK_HOME ディレクトリのすべての内容を、新しいサーバーにコピーします。

重要：重要：ファイルのコピー時には、前述の検討事項の中で、ご⾃分の環境に当てはまる事項を忘れずに考慮してください。

3.3.ターゲットプラットフォーム上に、適切なバージョンの Splunk Enterprise をインストールします。

注意：注意：

*nix システムの場合、ダウンロードした tar ファイルを、新しいシステムにコピーしたファイル上に直接抽出することができます。または、ダウンロードしたパッケージとパッケージマネージャを使⽤して、アップグレード作業を⾏います。Windows システム上では、インストーラが Splunk ファイルを⾃動的に更新します。

4.4.インデックス設定ファイル (indexes.conf) に、デフォルト以外のインデックスの場所とパスが正しく設定されていることを確認します。

5.5.新たなインスタンスで Splunk Enterprise を開始します。

注意：注意： *nix システムの場合、Splunk Enterprise は移⾏しているのかどうかを検出して、アップグレードするかどうかを問い合わせるメッセージを表⽰します。

6.6.Splunk Enterprise にログインします。既存の資格情報を使ってログインする必要があります。

7.7.ログインしたら、サーチを実⾏して、データが従来通りであることを確認します。

あるサーバーから別のサーバーへのインデックスバケツの移⾏⽅法あるサーバーから別のサーバーへのインデックスバケツの移⾏⽅法

Splunk Enterprise サーバーを退役させる⽬的で即座にデータを他の Splunk サーバーに移動したい場合、以下の条件を満たしている限りインデックス内の各バケツをサーバー間で移動することができます。

ソースおよびターゲットシステムの Endian が同じである。4.2 以降のバージョンの Splunk で作成されたバケツを、4.2 未満のバージョンの Splunk に復元しようとしていない。

あるサーバーから別のサーバーにバケツを移⾏するには：

53

1.1.ソースシステムの任意のホットバケツを、ホットからウォームに移⾏します。

2.2.ターゲットシステム上で、ソースシステムと同⼀のインデックスを作成します。

注意：注意：古いシステムの indexes.conf を参照して、システム上のインデックスのリストを確認します。

3.3.ソースシステムからターゲットシステムに、インデックスバケツをコピーします。

注意：注意：個別のバケツファイルをコピーする場合、新しいシステム上でバケツ ID の競合が発⽣していないことを確認する必要があります。そうでないと、Splunk Enterprise は開始されません。バケツディレクトリをソースシステムからターゲットシステムにコピーした後、個別のバケツディレクトリ名を変更しなければならないことがあります。

4.4.Splunk Enterprise を再起動します。

新しい Splunk Enterprise ライセンサーへの移⾏新しい Splunk Enterprise ライセンサーへの移⾏

ここでは、4.2 未満の Splunk Enterprise デプロイのライセンス設定から、4.2 以降の新しいライセンサーモデルへの移⾏⽅法について説明していきます。

注意：注意：このトピックは、Splunk Enterprise デプロイ環境全体のアップグレードについてはカバーしていません。Splunk Enterprise デプロイ環境をアップグレードする前に、『インストールマニュアル』の「Splunk のアップグレード⽅法」を参照してください。

続⾏する前に、以下の記事も参考にしてください。

Splunk ライセンスの概要については、『管理マニュアル』の「Splunk ライセンスの仕組み」を参照してください。Splunk ライセンス⽤語については、『管理マニュアル』の「グループ、スタック、プール、およびその他の⽤語」を参照してください。

古いライセンス古いライセンス

古いバージョンから移⾏する⽅は、ほぼ以下の 2 種類に分類することができます。

現在 Splunk Enterprise 4.0 以降を実⾏している場合、ライセンスは 4.2 以降でも機能します。4.0 未満のバージョンから移⾏する場合は、Splunk 営業担当に連絡して新しいライセンスを⼿配する必要があります。また、移⾏作業に着⼿する前に、移⾏に関するドキュメントを参照することをお勧めします。ご利⽤の Splunk バージョンの古さによっては、設定を維持するために複数の段階を踏んで移⾏する⽅が良い場合もあります (例：まずバージョン 4.0 に移⾏し、次に 4.1、4.2 へと移⾏して最終的に 5.0 以降に移⾏する)。

サーチヘッドの移⾏サーチヘッドの移⾏

サーチヘッドが古いフォワーダーライセンスを使⽤している場合、それらは⾃動的にダウンロードトライアルグループ内に変換されます。続⾏する前に、サーチヘッドを確⽴された Enterprise ライセンスプールに追加することをお勧めします。インデックス作成量がない場合でも、これによりアラートや認証などの Enterprise 機能が有効になります。

スタンドアロン・インスタンスの移⾏スタンドアロン・インスタンスの移⾏

単独の 4.1.x Splunk Enterprise インデクサーが存在し、それに単⼀のライセンスがインストールされている場合、標準のようにアップグレードを続⾏できます。ご利⽤のプラットフォームに応じた『インストールマニュアル』の説明を参照し、移⾏する前に「最初にお読みください」を参照してください。

既存のライセンスは、新たなライセンサーで機能します。また、有効なスタックスタックとして表⽰されます。インデクサーはデフォルトプールのメンバーとして表⽰されます。

分散インデックスデプロイ環境の移⾏分散インデックスデプロイ環境の移⾏

独⾃のライセンスを保有する、複数の 4.1.x インデクサーが存在する場合、デプロイを移⾏するためにこれらの⼿⼿順順に従ってください。

1.1.Splunk Enterprise インスタンスのいずれかを、ライセンスマスターライセンスマスターとして指名します。サーチヘッドサーチヘッドがある場合は、それが役に⽴つ選択肢となります。

2.2.『Installation Manual』の指⽰に従って、ライセンスマスターとして選択した Splunk Enterprise インスタンスを選択またはアップグレードします。

3.3.インデクサーからの接続を受け付けるようにライセンスマスターを設定.

4.4.以下の⼿順に従って、各インデクサーを 1 回に 1 つずつアップグレードします。

『Installation Manual』の説明に従ってインデクサーを 5.0 にアップグレードします。以下の⼿順を実⾏するまでは、スタンドアロンのライセンスマスターとして動作します。インデクサーの Enterprise ライセンスファイル (4.2 より前のライセンスファイルは、各インデクサーの$SPLUNK_HOME/etc/splunk.license にあります) のコピーを作成し、それをライセンスマスター上にインストールします。それを、インデクサーを追加するスタックとプールに追加します。インデクサーをライセンススレーブライセンススレーブとして設定し、それがライセンスマスターを指すようにします。ライセンスマスター上で、ライセンススレーブが正しく接続していることを確認します。[設定] > [ライセ[設定] > [ライセンス]ンス] に移動して、適切なプールに関連付けられたインデクサーのリストを参照してください。ライセンススレーブが正しく接続していることを確認したら、同じ⼿順で次のインデクサーをアップグレー

54

ドします。

フォワーダーのアップグレードフォワーダーのアップグレード

ライトフォワーダーライトフォワーダーをデプロイしている場合は、この章の情報を参照してください。また、ユニバーサルフォワーダーについては、『データの転送』マニュアルを参照してください。既存のライトフォワーダーを新たなユニバーサルフォワーダーにアップグレードすることができます。ライセンス設定は不要です。ユニバーサルフォワーダー⾃体にライセンスが含まれています。

ヘビーフォワーダー (他の Splunk Enterprise インスタンスに転送する前にインデックスを作成する Splunk のフルインスタンス) をデプロイしている場合は、それをインデクサーと同じように取り扱えます。他のインデクサーと⼀緒にライセンスプールに追加してください。

Splunk Enterprise のアンインストールSplunk Enterprise のアンインストールSplunk Enterprise のアンインストールSplunk Enterprise のアンインストール

ここでは、システムからの Splunk Enterprise の削除⽅法について説明していきます。

アンインストールする前に、Splunk Enterprise を停⽌してください。$SPLUNK_HOME/bin に移動して、./splunk stop

(または、Windows の場合 splunk stop) と⼊⼒します。

パッケージ管理ユーティリティを使った Splunk Enterprise のアンインストールパッケージ管理ユーティリティを使った Splunk Enterprise のアンインストール

Splunk Enterprise をアンインストールするには、ローカルのパッケージ管理コマンドを使⽤します。たいていの場合、当初パッケージがインストールしたのではないファイルはそのまま保持されます。これらのファイルには、インストールディレクトリ下に保管されている設定ファイルやインデックスファイルが含まれます。

注意：注意：$SPLUNK_HOMEは、Splunk のインストールディレクトリを表しています。Windows のデフォルトでは、C:\Program Files\Splunk になります。⼤部分の UNIXプラットフォームでは、デフォルトのインストールディレクトリは /opt/splunk になります。Mac OSの場合は、/Applications/splunk になります。

RedHat LinuxRedHat Linux

RedHat の Splunk Enterprise をアンインストールするには：

rpm -e splunk_product_name

Debian LinuxDebian Linux

Debian の Splunk Enterprise をアンインストールするには：

dpkg -r splunk

Debian でパージ (設定ファイルを含めてすべてを削除) するには：

dpkg -P splunk

FreeBSDFreeBSD

FreeBSD のデフォルトの場所から Splunk Enterprise をアンインストールするには：

pkg_delete splunk

FreeBSD の別の場所から Splunk Enterprise をアンインストールするには：

pkg_delete -p /usr/splunk splunk

SolarisSolaris

Solaris の Splunk Enterprise をアンインストールするには：

pkgrm splunk

HP-UXHP-UX

HP-UX の Splunk Enterprise をアンインストールするには、Splunk を停⽌して、boot-startを無効にしてから(設定している場合)、Splunk Enterprise インストールを削除する必要があります。

注意：注意：$SPLUNK_HOME 変数は、Splunk Enterprise のインストールディレクトリを表しています。

55

1.1.Splunk Enterprise を停⽌します。

$SPLUNK_HOME/bin/splunk stop

2.2.boot-start を有効にした場合は、以下のコマンドを root として実⾏します。

$SPLUNK_HOME/bin/splunk disable boot-start

3.3.Splunk インストールディレクトリを削除します。

rm -rf $SPLUNK_HOME

その他の削除する事項：

インデックスを作成して、Splunk Enterprise のデフォルトパスを使⽤していない場合、それらのディレクトリも削除する必要があります。Splunk Enterprise 実⾏⽤ユーザーまたはグループを作成した場合は、それらも削除する必要があります。

WindowsWindows

Windows の Splunk Enterprise をアンインストールするには：

コントロールパネルの [プログラムの追加と削除][プログラムの追加と削除] オプションを使⽤します。Windows 7 および WindowsServer 2008 の場合、このオプションは [プログラムと機能][プログラムと機能] 下で利⽤できます。

また、Splunk Enterprise インストーラパッケージに対して、msiexec 実⾏形式ファイルを使⽤することで、コマンドラインから Splunk をアンインストールすることもできます。

C:\> msiexec /x splunk-<version>-x64.msi

注意：注意：状況によっては、アンインストール時に再起動を指⽰するメッセージが表⽰される場合があります。このリクエストを無視して再起動しなくても構いません。

Splunk Enterprise の⼿動アンインストールSplunk Enterprise の⼿動アンインストール

パッケージ管理コマンドを使⽤できない場合は、ここの説明に従って Splunk Enterprise をアンインストールしてください。

注意：注意：これらの作業では、作成した init スクリプトを削除することはありません。

1.1.Splunk Enterprise を停⽌します。

$SPLUNK_HOME/bin/splunk stop

2.2.名前に「splunk」を含むプロセスを探して、kill します。

Linux および Solaris の場合：Linux および Solaris の場合：

kill -9 `ps -ef | grep splunk | grep -v grep | awk '{print $2;}'`

FreeBSD および Mac OS の場合FreeBSD および Mac OS の場合

kill -9 `ps ax | grep splunk | grep -v grep | awk '{print $1;}'`

3.3.Splunk Enterprise インストールディレクトリの $SPLUNK_HOME を削除します。例：

rm -rf /opt/splunk

注意：注意：Mac OS の場合、フォルダをゴミ箱にドラッグしてインストールディレクトリを削除することもできます。

3.3.トップレベルのディレクトリ外に存在している Splunk Enterprise データストアまたはインデックスがある場合は、それを削除します。

rm -rf /opt/splunkdata

4.4.splunk ユーザーとグループが存在している場合、それを削除します。

Linux、Solaris、および FreeBSD の場合：Linux、Solaris、および FreeBSD の場合：

56

userdel splunk

groupdel splunk

Mac OS の場合：Mac OS の場合：[システム設定] > [アカウント][システム設定] > [アカウント] パネルを使って、ユーザーとグループを管理することができます。

Windows の場合：Windows の場合：コマンドプロンプトを開いて、インストールした MSI パッケージに対して msiexec /x コマンドを実⾏します。

参考情報参考情報PGP 公開鍵PGP 公開鍵

ここでは、PGP 公開鍵とそのインストール⽅法を説明しています。ファイルは、HTTPS を使ってダウンロードすることもできます。

-----BEGIN PGP PUBLIC KEY BLOCK-----

Version: GnuPG v1.4.1 (GNU/Linux)

mQGiBEbE21QRBADEMonUxCV2kQ2oxsJTjYXrYCWCtH5/OnmhK5lT2TQaE9QUTs+w

nM3sVInQqwRwBDH2qsHgqjJS0PIE867n+lVuk0gSVzS5SOlYzQjnSrisvyN452MF

2PgetHq8Lb884cPJnxR6xoFTHqOQueKEOXCovz1eVrjrjfpnmWKa/+5X8wCg/CJ7

pT7OXHFN4XOseVQabetEbWcEAIUaazF2i2x9QDJ+6twTAlX2oqAquqtBzJX5qaHn

OyRdBEU2g4ndiE3QAKybuq5f0UM7GXqdllihVUBatqafySfjlTBaMVzd4ttrDRpq

Wya4ppPMIWcnFG2CXf4+HuyTPgj2cry2oMBm2LMfGhxcqM5mpoyHqUiCn7591Ra/

J2/FA/0c2UAUh/eSiOn89I6FhFOicT5RPtRpxMoEM1Di15zJ7EXY+xBVF9rutqhR

5OI9kdHibYTwf4qjOOPOA7237N1by9GiXY/8s+rDWmSNKZB+xAaLyl7cDhYMv7CP

qFTutvE8BxTsF0MgRuzIHfJQE2quuxKJFs9lkSFGuZhvRuwRcrQgS2ltIFdhbGxh

Y2UgPHJlbGVhc2VAc3BsdW5rLmNvbT6IXgQTEQIAHgUCRsTbVAIbAwYLCQgHAwID

FQIDAxYCAQIeAQIXgAAKCRApYLH9ZT+xEhsPAKDimP8sdCr2ecPm8mre/8TK3Bha

pQCg3/xEickiRKKlpKnySUNLR/ZBh3m5Ag0ERsTbbRAIAIdfWiOBeCj8BqrcTXxm

6MMvdEkjdJCr4xmwaQpYmS4JKK/hJFfpyS8XUgHjBz/7zfR8Ipr2CU59Fy4vb5oU

HeOecK9ag5JFdG2i/VWH/vEJAMCkbN/6aWwhHt992PUZC7EHQ5ufRdxGGap8SPZT

iIKY0OrX6Km6usoVWMTYKNm/v7my8dJ2F46YJ7wIBF7arG/voMOg1Cbn7pCwCAtg

jOhgjdPXRJUEzZP3AfLIc3t5iq5n5FYLGAOpT7OIroM5AkgbVLfj+cjKaGD5UZW7

SO0akWhTbVHSCDJoZAGJrvJs5DHcEnCjVy9AJxTNMs9GOwWaixfyQ7jgMNWKHJp+

EyMAAwYH/RLNK0HHVSByPWnS2t5sXedIGAgm0fTHhVUCWQxN3knDIRMdkqDTnDKd

qcqYFsEljazI2kx1ZlWdUGmvU+Zb8FCH90ej8O6jdFLKJaq50/I/oY0+/+DRBZJG

3oKu/CK2NH2VnK1KLzAYnd2wZQAEja4O1CBV0hgutVf/ZxzDUAr/XqPHy5+EYg96

4Xz0PdZiZKOhJ5g4QjhhOL3jQwcBuyFbJADw8+Tsk8RJqZvHfuwPouVU+8F2vLJK

iF2HbKOUJvdH5GfFuk6o5V8nnir7xSrVj4abfP4xA6RVum3HtWoD7t//75gLcW77

kXDR8pmmnddm5VXnAuk+GTPGACj98+eISQQYEQIACQUCRsTbbQIbDAAKCRApYLH9

ZT+xEiVuAJ9INUCilkgXSNu9p27zxTZh1kL04QCg6YfWldq/MWPCwa1PgiHrVJng

p4s=

=Mz6T

-----END PGP PUBLIC KEY BLOCK-----

鍵のインストール鍵のインストール

1.1.鍵をコピーしてファイルに貼り付けるか、または HTTPS を使ってファイルをダウンロードします。

2.2.鍵のインストールには、以下のコマンドを使⽤します。

rpm --import <filename>

57

インストールマニュアル Splunk Enterprise 6.2docs.splunk.com/images/8/8b/Splunk-6.2.0-ja_JP-Installation.pdf · Splunk Enterprise インストールマニュアルによう

Documents