週末は Splunk を少し自習した。
Linode の Marketplace からデプロイするのが手軽だが、公式ドキュメントのとおりに必須項目を埋めてもアプリケーションが起動してこない。インスタンス起動後に ssh して top を眺めていたら /opt/splunk に tar -C してることがわかったので手動で /opt/splunk/bin/splunk start した。これが期待する手順なのか不明なので Linode サポートに問い合わせた。
とりあえず Web UI にアクセスできるようになったので、公式のチュートリアルをざっと飛ばし飛ばしやった。サンプルデータを入れて簡単なサーチとコマンドを試したり、lookup 周りの設定方法をなぞったり。chart、timechart、stats などのコマンドの使いこなしがキモなのだと思うが、あまり実践的な練習はできず。そもそもこういう統計分析ツールの類は良い問いを思いついて言語化できないと使いようがなく、それには数字やデータに対する感度の高さが求められるような気がする。おれにはそれがないので、良い分析の切り口を全く思いつけず、多機能なツールを前に立ち尽くしてしまう。
index が何なのかなかなかピンとこなかったが、単語とは裏腹に RDBMS でいうテーブルみたいなものなのかなと考えてみたら少し理解が進んだ気がする。ドキュメント指向データベースにおけるコレクションのほうが近いか。なんとなく似てそうな気がしていたものに source と sourcetype があるが、これらは index とは全然別レイヤーのものらしい。しかしサーチ言語では index=main source=/var/log/messages とか同じ書式で指定するので違いがわかりづらい。RDBMS におけるインデックスには何が相当するんだろう?なんとなく、どのフィールドも自動的にインデックスがはられていて十分高速に動作する、みたいな感じに思える。