Splunk App と Add-on の違い

この記事は約4分で読めます。
sponsored link

アプリ (App)

アプリとは「特定のデータ (e.g., conf files, script, web asset) を分析/表示するビューを提供するソフトウェア」で、特定のベンダー/業界/OSなどに特化しているものが多くあります。

Splunk App for AWS, Splunk DB connect のように無料のアプリもありますが、一部有料のものもあり、購入したアプリはイントールして使います。

特徴

アプリは以下の要件のいずれか (ないしは全て) を満たしてます。

  • 特定のデータソース/データ構造を用いたサーチやダッシュボードの作成が可能
  • 認証/データソースを管理するインターフェイスを提供
  • データ収集/構成を容易にするためのアドオンが追加で必要な場合がある

インストール

アプリは splunkbase,splunk.com からインストールできます。Webから [Apps] > [+ Find More Apps] をクリックしても同じサイトに遷移します。

ダウンロードしたアプリは web, CLI ( install app <path> ) から取り込むことができ、取り込み後はSplunkサーバーの再起動が必要となります。
※CLIからインストールする場合、app fileが $SPLUNK_HOME/etc/apps になければインストールできません。

$SPLUNK_HOME/bin/splunk install app <path>

またUFのようにweb UIを持たない場合でも、CLI, DS などを使うことでアプリをインストールできます。

インストールしたアプリ一覧

インストールしたアプリは [Home] > [歯車アイコン] or [Apps] > [Manage Apps] から確認することができます。

デフォルトでもいくつかインストールされており、表示/非表示、有効化設定を行うことが可能です。ユーザーのロールによっては使えないアプリもあるので注意してください。

パーミッション

アプリのパーミッションには『Read (閲覧/利用)』『Write (追加/削除/編集)』の2種類あり、例えば『Write』が付与されたユーザーは KOs* を編集することができます。(アプリ自体を編集することはできません)
※ KOs = Knowledge Objects (e.g., tags, alerts, fields, reports)

なお、user ロールではデフォルトで search app の『Write』は付与されていません。

アドオン (Add-on)

アドオンとは「他のアプリのデータ収集/正規化などをサポートする拡張機能」で、アプリのように単独で利用することはできませんが、マクロやサーチなどで利用することができます。(UFでも利用可)

特徴

アドオンは以下の要件のいずれか (ないしは全て) を提供しています。

  • データソースの収集構成やSplunkで活用するためのデータ加工機能
  • データを組み合わせるための参照ファイル
  • KOs (e.g., tags, alerts, fields, reports)

CIM

Splunk Common Information Model (CIM) とは「Splunk データの正規化をサポートするアドオン」のことで、実運用で重宝されるアドオンの1つです。

例えば、データソースAで [username=Tom], データソースBで [customer_name=Tom] というデータになっていた場合、これらのフィールドを同一のもの [name=Tom] として扱うことができます。

フィールド名が CIM によって事前に決まっており、各ログのフィールド名が固有のフィールドに正規化 (名寄せ) されるといったイメージです。

CIM の特徴
  • 単一インスタンスで複数アプリを利用できる
  • 複数アプリを使うための権限をグローバルで一括設定できる
  • 異なる source, sourcetype を効率的に紐付けられる
  • 定義済みモデルが22個、対応可能なドメインも豊富に用意されている
CIM の利用方法

[Settings] > [Data Models] > CIM に対応させたいデータモデルを選択 > データセットに紐づいているタグを確認 > 不足分のデータをフィールド抽出, lookups を用いて作成 > datamodel, splunkwebでのPivotで利用

References

Apps and add-ons – Splunk Docuentation

apps – Splunk Docuentation

add-on – Splunk Docuentation

Manage app and add-on objects – Splunk Docuentation

App architecture and object ownership – Splunk Docuentation