Apache Spark でSplunk のデータをSQL で操作する方法

こんにちは！リードエンジニアの杉本です。

Apache Spark は大規模データ処理のための高速エンジンです。CData JDBC Driver for Splunk と組み合わせると、Spark はリアルタイムでSplunk のデータに連携して処理ができます。本記事では、Spark シェルに接続してSplunk をクエリする方法について解説します。

CData JDBC Driver は、最適化されたデータ処理がドライバーに組み込まれているため、リアルタイムSplunk と対話するための高いパフォーマンスを提供します。Splunk に複雑なSQL クエリを発行すると、ドライバーはフィルタや集計など、サポートされているSQL操作を直接Splunk にプッシュし、組込みSQL エンジンを使用してサポートされていない操作（SQL 関数やJOIN 操作）をクライアント側で処理します。組み込みの動的メタデータクエリを使用すると、ネイティブデータ型を使用してSplunk を操作して分析できます。

CData JDBC Driver for Splunk をインストール

まずは、本記事右側のサイドバーからSplunk JDBC Driver の無償トライアルをダウンロード・インストールしてください。30日間無償で、製品版の全機能が使用できます。

Spark Shell を起動してSplunk のデータに接続

1. ターミナルを開き、Spark shell でCData JDBC Driver for Splunk JAR file をjars パラメータに設定します: $ spark-shell --jars /CData/CData JDBC Driver for Splunk/lib/cdata.jdbc.splunk.jar
2. Shell でJDBC URL を使ってSplunk に接続し、SQL Context load() function でテーブルを読み込みます。

   リクエストを認証するには、 User、Password、およびURL プロパティを有効なSplunk クレデンシャルに設定します。デフォルトでは、CData 製品はポート8089 でリクエストを行います。

   デフォルトでは、CData 製品はサーバーとのTLS/SSL ネゴシエーションを試みます。TLS/SSL 設定について詳しくは、ヘルプドキュメントの「高度な設定」を参照してください。

   組み込みの接続文字列デザイナー

   JDBC 接続文字列URL の作成には、Splunk JDBC Driver にビルトインされたデザイナを使用できます。JAR ファイルをダブルクリックするか、コマンドラインでJAR ファイルを実行するとデザイナが開きます。

   java -jar cdata.jdbc.splunk.jar

   接続プロパティを入力し、接続文字列をクリップボードにコピーします。

   scala> val splunk_df = spark.sqlContext.read.format("jdbc").option("url", "jdbc:splunk:user=MyUserName;password=MyPassword;URL=MyURL;").option("dbtable","DataModels").option("driver","cdata.jdbc.splunk.SplunkDriver").load()
3. 接続が完了し、データがロードされたら、テーブルスキーマが表示されます。

4. Splunk をテンポラリーテーブルとして登録します:

   scala> splunk_df.registerTable("datamodels")

5. データに対して、次のようなカスタムSQL クエリを実行します。

   scala> splunk_df.sqlContext.sql("SELECT Name, Owner FROM DataModels WHERE Id = SampleDataset").collect.foreach(println)

   コンソールで、次のようなSplunk のデータを取得できました！これでSplunk との連携は完了です。

CData JDBC Driver for Splunk をApache Spark で使って、Splunk に対して、複雑かつハイパフォーマンスなクエリを実行できます。30日の無償評価版 をダウンロードしてぜひお試しください。