3 基本操作
3.2 各種機能の基本操作
3.2.4 フィールド
フィールドとはレポート対象となる項目の名前と値のペアです。例えば
host=foo
はhost
がフィールド名でfoo
が値 となります。Splunkが取り込んだデータの中にxxxx=yyyyのペアがあればフィールドが自動的(※)に抽出されます。ここではフィールドをレポート対象として登録する設定方法について説明致します。
※ 「スマートモード」のときのみ、自動的に抽出されます。デフォルトではスマートモードになっています。
(1)
フィールドの設定1)
レポート対象としたいフィールドを選択します。2)
下記のように追加したフィールドが表示されます。対象としたいフィールド を選択します。
フィールドを自動的に 抽出します。
「選択済み」を「はい」とすると、選択したフ ィールドが表示されます。(表示位置は次 の画像を参照)
追加したフィールドが、
表示されます。
選択したフィールドが追加 されます。
(2)
フィールドの抽出Splunk
は正規表現で抽出しているので、自動抽出されていないフィールドを手動で抽出することができます。ここでは、SplunkWebからフィールドを抽出する方法について説明致します。
1)
レポート対象としたいログの矢印をクリック後、「イベントアクション」>「フィールドの抽出」をクリックします。各 ロ グ の 「 フ ィ ー ル ド の 抽 出」を選択します。
32 2)
フィールドを抽出する正規表現の設定をします。① フィールドとして抽出したい値をサンプルのイベントから貼り付けます。
② 「生成」をクリックします。
③ 抽出されたイベントが適切か確認します。
④ 生成した正規表現が正しければ「保存」をクリックします。
3)
任意のフィールド名を設定します。ここでは例として「client_ip」とします。※ フィールド名は半角英数字とアンダーバーのみで入力してください。
①フィールドとして抽出したい値をサンプルのイ ベントから貼り付けます。複数値がある場合は、
改行して複数入力することで正規表現の精度が 上がります。
②「生成」をクリックすると、条件に合致 した正規表現が生成されます。
③抽出されたイベントが適切か確認します。
不適切なイベント含まれていたら、①に戻 り、フィールド値の例を増やします。
生成 され た正 規表 現が適 切ではない場合、「編集」を クリックして正規表現を手動 で変更することも可能です。
④生成した正規表現が正しければ「保 存」をクリックします。