Splunkのコンポーネントまとめ

Splunkのコンポーネントを簡単にまとめてみます。
Splexicon:Component - Splunk Documentation

Indexer（インデクサ）

Splunkのコアコンポーネントの一つで、データの収集と保存（インデックスへの格納）、（Search Headからクエリを受けての）インデックスデータの検索機能を提供します。

Search Head（サーチヘッド）

Splunkのコアコンポーネントの一つで、データの検索と表示を司ります。データの検索時はIndexerに対してクエリを発行し、返されたデータに対し統計処理を施すなどして表示します。
アラート/レポート等のスケジュールで動作する機能もSearch Headが提供します。

最小構成ではIndexerとSearch Headを一つのサーバ上で動作させることができます。
※できるというより、インストール直後はデフォルトで両方が動作します。

Fowarder（フォワーダ）

データを転送するためのコンポーネントです。
軽量なSplunk Universal Forwarderと、中継サーバ等の用途で使用するHeavy Forwarderがあります。

Universal Forwarderはデータ転送に特化した専用ソフトウェアです。
Heavy ForwarderはSplunk Enterpriseをフォワーダ専用機として構成することで利用可能です。WebUIが使える、REST APIによる動的なデータ取得が可能等、Universal Forwarderにはない機能を備えていますが、その分必要なサーバリソースも増えます。

License Master（ライセンスマスタ）

Splunkのライセンス管理機能を提供するコンポーネントです。
分散デプロイ環境においてはどのサーバにこの機能を持たせるかを考慮する必要があります。
必須コンポーネントですが、利用開始以降に気にすることはあまりありません。

Monitoring Console（モニタリングコンソール）

Splunk全体（分散デプロイ環境含む）でのライセンス利用状況やインデックスデータのサイズ、リソース使用率等を監視する機能を提供します。
必須機能ではないですが、使って損はないです。
以前はDistributed Management Console（DMC）と呼ばれていました。

Deployment Server（デプロイメントサーバ）

フォワーダにApp（コンフィグ）を配信する機能を提供します。
フォワーダの導入ホストに直接ログインすることなく設定の変更が可能なため、フォワーダの数が多いほどに重宝する機能です。

Cluster Master（クラスタマスタ）

Indexerをクラスタとして構成する場合の必須コンポーネントです。
※正式名（？）はIndexer Cluster Master Nodeらしいです。
License Master以外のコンポーネントと同居させることは不可です。

またクラスタ内のIndexer（クラスタピアと呼ぶ）へのコンフィグの配信は、必ずCluster Masterから行う必要があります。
※Deployment Serverから配信するのはNGです。

Deployer（デプロイヤ）

Search Headをクラスタとして構成する場合の必須コンポーネントです。
※正式名（？）はSearch Head Cluster Deployerらしいです。
Cluster Masterとは異なり、他のコンポーネントとの同居も可能です。

ちなみに、Indexer Clusterは2台以上のIndexerがあれば構成できるのに対し、Search Head Clusterは最低3台のSearch Headが必要となります。
Search head clustering architecture - Splunk Documentation

それぞれのコンポーネントについて、また別の機会に詳細など書こうと思います。