Splunkへのデータ入力

前回の記事でSplunkのインストールをおこないました。

今回はデータの入力をおこないます。
データは下記のようなTwitterのツイートデータを使用します。
（個人的にクローリングして集めたTwitterのツイートデータを下記のように整形しました。）

[タイムスタンプ]\t[ツイート内容]


このようなデータが1ツイート1行ずつ記載してあるtxtファイルがあります。
今回はそのtxtファイルをsplunkに入力します。

1．Splunkのトップページの右上にある「設定」から「データの入力」を選択します

2．入力方法の選択で「ファイルとディレクトリ」を選択します

3．「新規」を選択します

4．プレビューはスキップします

5．入力するデータのファイルパスを指定します

6．「保存ボタン」を押したら入力完了です


ここまででデータの入力は完了です。

トップページが表示されたら、検索バーに下記コマンドを入力してみましょう。

source = [データのファイルパス]

下記のような結果が表示されます。

タイムスタンプをデータのなかに表記することで、自動的にタイムスタンプで索引付けがおこなわれています。
ためしに下記の検索コマンドを入力して、時系列でのツイート量をみてみます。

source = [データファイルのパス] | timechart count

下記のような結果が出てくるはずです。
(検索結果のタブで「視覚エフェクト」を選択します）

検索バーに文字列を打ち込むことで、対象を絞り込むことも可能です。
ためしに下記の検索コマンドを入力して、検索結果をしぼりこみます。

source = [データのファイルパス]　"おやすみ"

source = [データのファイルパス]　"おやすみ" | timechart count 

このように、splunkはテキストデータとして扱えるものであれば、
どのようなものでも取り込むことができ、検索・統計処理をおこなうことができます。

検索に指定できるコマンドは非常に多くありますし、データの取り込みについての設定なども、
いろいろあります。下記が詳しいですので、詳しく知りたい方はそちらをご参照ください。

Splunk Book | Splunk
http://ja.splunk.com/goto/book
→右下の「Download the Book: pdf」から無料で読めます

Documentation/Splunk - Splunk Knowledgebase
http://docs.splunk.com/Documentation/Splunk