Pics: splunk が日本でも販売されています

このほど、マクニカネットワークスと NTTDATA が相次いで、splunk の販売代理契約を結んだとのニュースが出ています。ああ、NTTDATA の方が先に販売開始かな。どうでもいいや、そんなの。

で実は splunk って、最初は昨年の4月くらいに、いわゆる CSS showcase サイトに登録されていて知ったのです（笑。他のサーバと連携して、knowledgebase とか検索が使えるということで、開発者向けの Wiki+SNS（しかも P2P を使った）かいなと思ったのですが、実際にインストールしてみてログ管理のシステムだと分かりました。

ひとまず 22MB ほどあるフリー版を入れてみた感想です。これはローカルでサーバを動かしています。そのため、splunkd が起動しているあいだは、ローカルで動かしている Apache は反応しなくなります。そして、splunkd は Python でスクリプトを追加できるので、クリエイティブコモンズなどのライセンスで登録されている多くの検索・ロギング拡張が追加できます。ただし、フリー版だと SPLUNKROOT/etc/apps に拡張ファイルを突っ込んで splunkd を再起動しても認識してくれなかったから、エンタープライズ版だけの機能かもしれません。

それから、インデックスしたいローカルファイルを選んだりできるのですが、どうも認識されなくて Apache のログとかセキュリティソフトのログファイルを何回登録しても、「スプールした」という表示がでるだけでリストに挙がってこないため、ちゃんとロギングされているのか分からないです。これもエンタープライズだけの機能なんかな。制限がかかっていたら、他のカテゴリーではちゃんと警告表示が出ているのですが。

ネットワーク機能については、取得 IP と出力 IP を指定します。リモートサーバからログを受け取って、検索した結果だけを他のリモートサーバにバックアップといったこともできる。ただし、splunkd が起動していないといけませんから、僕のように会社の業務マシン（当然ですが起動・終了しています）に入れていてもあまり意味はありません。ただそのあたりは、FreeBSD 版とか MacOS X 版とかいろいろとディストリビューションによってエージェントが公開されているので、僕の環境では常に電源を入れている情報セキュリティ業務用の Mac に入れておけばよいということになります。

ちなみに、利用にあたってはあらかじめユーザ登録しておく必要があります。それからフリー版だと一日のデータ取得が 500MB までに制限されます。レスポンスはなかなかよろしいですよ。