Table of Contents Splunk へのデータの取り込み Splunk がインデックス処理できる項データの場所 : ローカルまたはリモート? フォワーダーの使 App の使データの取り込み法の設定 Windows データと Splunk について Splunk によるデータの取

(1)

Splunk Enterprise 6.0

データの取り

込み

込

作成：2013 年 10 ⽉ 15 ⽇午後 3 時 27 分

(2)

5

6

7

8

9

11

12

14

15

16

18

21

23

24

25

30

31

35

41

46

47

53

57

64

66

68

72

73

76

79

80

81

Splunk を使⽤するための最初の作業が、データを取り込むことです。Splunk にデータを取り込むと、即座にインデックスが作成され、サーチが可能になります。Splunk はインデックス作成機能により、サーチ可能なフィールドから構成され る個別のイベントにデータを変換します。Splunk がデータのインデックスを作成する前/後にさまざまな処理を⾏えます が、⼀般的にそのような作業は必要ありません。たいていの場合、Splunk は取り込んだデータのタイプを判断し、適切な処理を⾏えます。基本的に、Splunk にデータを指⽰すれば、残りの作業は Splunk が⾏います。その後、データのサーチを開始したり、それを使ってグラフ、レポート、アラート、および他の出⼒を⽣成したりすることができます。

データの種類

任意のデータを利⽤できます。特に、あらゆる IT ストリーミングデータと履歴データを得意にしています。イベントログ、Web ログ、ライブアプリケーションログ、ネットワークフィード、システムメトリックス、変更のモニター、メッセージキュー、アーカイブファイル、その他各種データなども利⽤できます。どのようなデータでも利⽤できます。嘘ではありません。 Splunk にデータのソースを指⽰してください。また、ソースに関するいくつかの情報も指定します。そのソースが、 Splunk へのデータ⼊⼒となります。Splunk は取り込まれるデータのインデックスを作成し、それを個別の⼀連のイベントに変換します。それらのイベントは即座に表⽰、サーチすることができます。望み通りの結果が得られなかった場合は、⽬的の結果が得られるまでインデックス作成処理を調整することができます。 データは Splunk インデクサーと同じマシン上でも (ローカルデータ)、他のマシン上でも (リモートデータ) 構いません。 リモートデータは、ネットワークフィードを利⽤、またはデータのソースとなるマシン上に Splunk フォワーダーをイン ストールして、簡単に取得することができます。フォワーダーは軽量版の Splunk で、収集したデータをメインとなる Splunk インスタンスに転送します。この Splunk インスタンスは開け取ったデータのインデックス作成やサーチを⾏います。ローカルデータとリモートデータについては、「データの場所」を参照してください。

作業を簡単に⾏うために、Splunk はさまざまな無料の App やアドオン、および Windows または Linux 固有のデータ、 Cisco セキュリティデータ、Blue Coat データなどに対応する、事前設定されたデータ⼊⼒ (データの取り込み⼿段) を提供しています。Splunkbase からご⾃分のニーズに適した App やアドオンをお探しください。Splunk には、Web ログ、 J2EE ログ、Windows パフォーマンス測定基準など、さまざまなデータソースにも対応しています。これらのデータ ソースを利⽤するには、後述するように Splunk Web の [データの追加] セクションを使⽤します。⽤意されているデー タソースや App ではニーズを満たしていない場合は、Splunk の汎⽤⼊⼒設定機能を使って、⽬的のデータソースを指定します。これらの汎⽤データソースについては、ここを参照してください。

データ⼊⼒の指定⽅法

新しい種類のデータを Splunk に取り込むには、それを設定します。データの取り込みを指定するには、さまざまな⽅法があります。 App：Splunk には、各種データソースを取り込むための事前設定を提供する、さまざまな App やアドオンが⽤意されています。Splunk の App を活⽤して、データ取り込みの設定の⼿間を省きましょう。詳細は、「App の使⽤」を参照してください。

Splunk Web：⼤部分のデータ⼊⼒は、Splunk Web のデータ⼊⼒ページから設定できます。この⽅法では、GUI を使って取り込むデータを設定できます。Splunk ホームまたは [システム] から、[データの追加] ページにアクセスすることができます。「Splunk Web の使⽤」を参照してください。

Splunk の CLI： CLI (コマンドラインインターフェイス) を使って、さまざまな種類のデータ取り込みを設定できます。「CLI の使⽤」を参照してください。

inputs.conf 設定ファイル：Splunk Web または CLI を使ってデータを取り込む場合、設定内容は inputs.conf ファイルに保存されます。必要に応じてこのファイルを直接編集することができます。⾼度なデータ取り込みを⾏う場合は、このファイルを編集しなければならないこともあります。「inputs.conf の編集」を参照してください。また、フォワーダーを使って他のマシンのデータをインデクサーに送信する場合、フォワーダーのインストール時にデータの取り込みを指定することができます。「フォワーダーの使⽤」を参照してください。データ取り込みの設定の詳細は、「データ⼊⼒の設定」を参照してください。

データソースの種類

前述のように、Splunk は特定のアプリケーションニーズに固有のものを含めて、あらゆる種類のデータの取り込みを設定するためのツールを提供しています。Splunk は、任意のデータ⼊⼒タイプを設定するためのツールも提供しています。⼀般的に、Splunk のデータ⼊⼒は以下のように分類できます。ファイルとディレクトリネットワークイベント

5

(6)

Windows ソースその他のソース ファイルとディレクトリ 多くの有益なデータが、ファイルやディレクトリに存在している可能性があります。多くの場合、Splunk のファイル/ ディレクトリのモニター⼊⼒プロセッサを使って、ファイルやディレクトリからのデータを取得することができます。 ファイルとディレクトリのモニターについては、「ファイルとディレクトリのデータの取得」を参照してください。 ネットワークイベント Splunk は、任意のネットワークポートからのデータのインデックスを作成することができます。たとえば、syslog-ng や他の TCP 経由でデータを伝送するアプリケーションからの、リモートデータのインデックスを作成することができます。UDP データのインデックスも作成できますが、信頼性の観点から可能な場合は TCP を使⽤することをお勧めします。 SNMP イベント、リモートデバイスが⽣成したアラートを受信してインデックスを作成することもできます。ネットワークポートからデータを取得するには、「TCP および UDP ポートからのデータの取得」を参照してください。 SNMP データの取得については、「Splunk への SNMP イベントの送信」を参照してください。 Windows ソース

Windows 版の Splunk には、さまざまな Windows 固有の⼊⼒が⽤意されています。また、以下のような Windows 固有の⼊⼒タイプを定義することもできます。 Windows イベントログデータ Windows レジストリデータ WMI データ Active Directory データパフォーマンスモニターデータ

重要：Windows 版以外の Splunk インスタンス上で、Windows データのインデックス作成とサーチを⾏えますが、その 場合はまず Windows 版のインスタンスを使ってデータを収集する必要があります。そのためには、Windows 上で動作する Splunk フォワーダーを使⽤します。フォワーダーで Windows データを収集し、それを⾮ Windows インスタンスに転送するように設定します。詳細は、「リモート Windows データのモニター⽅法決定の検討事項」を参照してください。

Splunk での Windows データの使⽤⽅法の詳細は、「Windows データと Splunk について」を参照してください。 その他のソース Splunk は、他の種類のデータソースもサポートしています。例： FIFO キュースクリプト⼊⼒ - API および他のリモートデータインターフェイスやメッセージキューからのデータ取り込み⽤。

その他の

検討事項

検

ここでは、Splunk データの指定時に検討する必要がある問題について説明していきます。「データの場所」。リモートデータとローカルデータの⽐較、およびそれが影響する事項について説明しています。「フォワーダーの使⽤」。フォワーダーを使ったリモートデータ収集の簡素化について説明しています。

「App の使⽤」。Splunk App を使った、Splunk へのデータの取り込みについて説明しています。

「データの取り込み⽅法」。データソースの取得と設定の概要、およびベストプラクティスについて説明しています。

「⼊⼒の設定」。Splunk でのデータ⼊⼒の設定⽅法について説明しています。

「Windows データと Splunk について」。Windows データを Splunk に取り込む⽅法の概要を説明しています。「Splunk によるデータの取り扱い (および活⽤⽅法)」。データを Splunk に取り込んだ後どのようにそれが処理されるのか、およびデータを活⽤するための Splunk の設定について説明しています。

データの場所：ローカルまたはリモート？

Splunk にデータを初めて取り込む場合、「ローカル」データと「リモート」データの違いは何なのか混乱するかもしれません。新しいデータ⼊⼒を設定する場合、ローカルとリモートの違いが重要になります。この問題への回答は、以下のようにさまざまな基準によって異なります (ただし、これに限定されるものではありません)。 Splunk インスタンスが動作しているオペレーティングシステム Splunk インスタンスに直接接続されているデータストアの種類インデックスを作成するデータを保管するデータストアにアクセスするために、認証や他の中間ステップを介する必要があるかどうか

(7)

ローカル

ローカルリソースは、Splunk サーバー (⾃分) が直接アクセスできる固定リソースです。また、それに保管されている データの種類に関わらず、取り付け、接続、または他の中間操作 (認証やネットワークドライブへのマッピングなど) を⾏うことなく、システムからリソースを参照、利⽤することができます。そのようなリソース上にデータが存在している場合、それは「ローカル」データとみなされます。ローカルデータの例を以下に⽰します。デスクトップやラップトップに取り付けられているハードディスクや SSD システム起動時にロードされる RAM ディスク

リモート

リモートリソースは、前述の定義に該当しない任意のリソースです。Windows システムからマップされたネットワークドライブ、Active Directory スキーマ、NFS または *nix システム上の他のネットワークベースのマウントなどが、これに該当します。このようなリソースから収集されたデータも「リモート」とみなされます。

例外

⼀般的にリモートとみなされるけれども、実際には違うリソースも存在しています。以下にいくつかの例を⽰します。 USB や FireWire などの⾼帯域幅物理接続経由で、常時マウントされているボリュームを持つマシン。コンピュータはブート時にリソースをマウントできるため、理論的には後ほどリソースを切り離せる場合でも、このようなリソースはローカルリソースとして取り扱われます。 iSCSI などの⾼帯域幅ネットワーク標準規格、または SAN への光接続を介して永久的にマウントされるリソースを持つマシン。ローカルのブロックデバイスと同程度のデータ量を処理できる標準規格であるため、このようなリソースはローカルとみなされます。

フォワーダーの使⽤

フォワーダーは軽量版の Splunk インスタンスで、データを収集してそれを処理するために Splunk インデクサーに転送 することを主な⽬的にしています。最低限のリソースしか必要とせず、パフォーマンス上の影響も少ないため、⼀般的にはデータ⽣成元のマシン上に配置されます。たとえば、サーチを実⾏したいデータを⽣成する⼀連の Apache サーバーがある場合を考えてみましょう。Splunk インデクサーを独⾃の Linux マシン上にインストールして、次に各 Apache マシン上にフォワーダーを設定することができます。各フォワーダーは Apache データを収集して、それを Splunk インデクサーに送信します。インデクサーを受け取ったデータを統合して、インデックスを作成し、サーチが可能な状態にします。消費リソースが少ないため、フォワーダーが Apache サーバーのパフォーマンスに影響することはありません。同様に、従業員の Windows デスクトップにフォワーダーをインストールすることもできます。これらのフォワーダーはログや他のデータを集中管理⽤ Splunk インスタンスに送信し、それを利⽤してマルウェアや他の問題が発⽣していないかどうかを追跡することができます。

フォワーダーが⾏う作業

フォワーダーを使って、リモートマシンからデータを取得することができます。フォワーダーは以下のような機能により、ネットワークから raw データを供給するよりも、⼤幅に堅牢なソリューションを実現しています。メタデータのタグ設定 (ソース、ソースタイプ、ホスト) 設定可能なバッファデータ圧縮 SSL セキュリティ利⽤可能な任意のネットワークポートの使⽤ローカルにスクリプト⼊⼒の実⾏フォワーダーは他の Splunk インスタンスと同じ⽅法でデータを収集します。Splunk インデクサーと完全に同じタイプのデータを処理できます。違いは、⼀般的にフォワーダー⾃体がインデックスを作成することはないことです。単純にデータを取得して、それを Splunk インデクサーに送信します。インデクサーがインデックスを作成し、サーチを担当します。単⼀のインデクサーで、複数のフォワーダーから転送されるデータのインデックスを作成することができます。フォワーダーの詳細は、『データの転送』マニュアルを参照してください。⼤半の Splunk デプロイ環境で、フォワーダーは主なデータ収集役を果たしています。単⼀マシンのデプロイ環境でのみ、Splunk インデクサーが主なデータ収集役にもなります。⼤規模な Splunk デプロイ環境では、数百台または数千台ものフォワーダーがデータを収集して、それを⼀連のインデクサーグループに転送しています。

フォワーダー⼊⼒の設定⽅法

軽量版の Splunk インスタンスであるフォワーダーは、設計上その機能が限定されています。たとえば、⼤半のフォワーダーには Splunk Web が含まれていません。そのため、直接 Splunk システムにアクセスしてフォワーダーのデータ取り込みを設定することはできません。ここでは、フォワーダーのデータ取り込みを設定する主な⽅法について説明していきます。

(8)

初期デプロイ時にデータの取り込み (⼊⼒) を指定する。Windows フォワーダーの場合、インストール時に⼀般的なデータ取り込みを指定することができます。*nix フォワーダーの場合、インストール後にデータの取り込みを指定てできます。 CLI を使⽤する。 inputs.conf を編集する。⽬的のデータ取り込み機能がある App をデプロイする。

テスト⽤の完全版 Splunk インスタンスで Splunk Web を使⽤してデータの取り込みを設定し、その結果⽣成された inputs.conf ファイルをフォワーダーに配布する。

その他の

参考情報

参

使⽤事例、⼀般的なトポロジー、および設定も含めたフォワーダーの詳細は、『データの転送』マニュアルの「転送と受信について」を参照してください。 デプロイサーバーを使った設定ファイルや App の複数フォワーダーへの配布⽅法を含めた、フォワーダーデプロイの詳細は、『データの転送』マニュアルの「ユニバーサルフォワーダーのデプロイの概要」を参照してください。リモート Windows データをモニターするためのフォワーダーの使⽤⽅法については、「リモート Windows データのモニター⽅法を決定するための検討事項」を参照してください。

App の使⽤

Splunk には、Splunk の機能を拡張、強化するためのさまざまな App やアドオンが提供されています。App により、 Splunk へのデータの取り込みプロセスが簡単になります。特定の環境やアプリケーション向けのデータ取り込みを⾃分で設定する代わりに、データの取り込みが事前に設定されている App を探して使⽤することもできます。App は Splunkbase からダウンロードできます。

⼀般的に App は特定のデータタイプを対象にしており、デート取り込みの設定から有益なデータビューの⽣成までさまざまな機能が⽤意されています。たとえば、Windows サーバーおよびデスクトップ向けに、データの取り込み、サーチ、レポート、アラート、およびダッシュボードを提供する Windows App が存在しています。また、UNIX/Linux 環境向けに同じ機能を提供する *nix App も存在しています。他にも Splunk for Blue Coat ProxySGapp、Splunk for F5 app、Cisco Security Suite app、Splunk App for Websphere Application Server などの、特定のタイプのアプリケーションデータを取り扱うさまざまな種類の App が⽤意されています。

⼿始めに「Splunk Web の [データの追加] ページ」をお読みください。このデータ取り込みページのリンクから、さまざまな App にアクセスすることができます。また、SplunkBase に移動して各種 App をダウンロードすることもできます。 SplunkBase には頻繁に新しい App が追加されるため、定期的に確認してください。

重要：Splunk Web がプロキシサーバーの背後に配置されている場合は、Splunk 内からの SplunkBase へのアクセス時に問題が発⽣する可能性があります。この問題に対処するために、『管理マニュアル』の「プロキシサーバーの設定」の説明に従って http_proxy 環境変数を設定する必要があります。

App に関する全般的な情報については、『管理マニュアル』の「App とアドオンとは」およびそれ以降のセクションを参照してください。「その他の App やアドオンの⼊⼿場所」は特に、App のダウンロードとインストール⽅法について説明しています。

独⾃の App の作成⽅法については、『Developing Views and Apps for Splunk Web』マニュアルを参照してください。

データの取り

込み⽅法

込

Splunk で作業を開始するのは簡単です。[データの追加] ページで、単純にデータの取り込みを設定するだけです。または、お使いの OS ⽤ App (Splunk App for Windows や Splunk App for Unix and Linux) などの、関連 App をダウンロードして、有効にすることもできます。データの取り込みを設定、または App を有効にしたら、Splunk は指定されたデータのインデックス作成を即座に開始します。その後、サーチ App (Splunk Web の開始ページである Splunk ホームからアクセス可能) に移動して、データの詳細な調査を開始することができます。作業は簡単ですが、まずテスト⽤インデックスで試してみるのも良いでしょう。

新しいデータ取り

込みの追加

込

ここでは推奨する⼿順について説明していきます。 1. ⾃分のニーズを把握します。たとえば、以下のような事項を検討します。 Splunk でインデックスを作成するデータは？Splunk がインデックスを作成できるデータの種類については、ここを参照してください。そのデータ⽤の App があるか？ご⾃分のニーズを満たす事前設定された App があるかどうかを確認するには、「App の使⽤」を参照してください。データはどこに存在しているか？ローカルか、またはリモートか？「データの場所」を参照してください。リモートデータへのアクセスにフォワーダーを使⽤するか？「フォワーダーの使⽤」を参照してください。インデックス作成したデータで何をするのか？何ができるのかを考えるために、まず「Splunk ナレッジとは」を参照してください。 2. まず⼩さなテスト⽤インデックスを作成し、またいくつかのデータ取り込み (⼊⼒) を追加します。テスト⽤インデックスの設定については、ここを参照してください。

(9)

重要：テスト⽤データの量は最低限に抑えてください。テスト⽤インデックスに追加されたデータは、ライセンスの⽇次 インデックス作成量の加算対象となります。 3. データをテスト⽤インデックスに送る前に、Splunk のデータプレビュー機能を使って、Splunk がどのようにデータのインデックスを作成するかを確認し、必要に応じて修正してください。詳細は、「データプレビューの概要」を参照してください。 4. テスト⽤データに対して、いくつかのサーチを実⾏します。意図通りのデータが表⽰されましたか？ Splunk のデフォルト設定でイベントが正常に処理されましたか？何か⾒つからなかったり、おかしな点はありませんか？最適な結果が表⽰されましたか？ 5. 必要に応じて、意図通りのイベントが収集、表⽰されるように、データの取り込みやイベント処理の設定を調整します。イベント処理の設定⽅法については、このマニュアルの「Splunk によるデータの取り扱い」を参照してください。 6. テスト⽤インデックスからデータを削除して、必要に応じて実際の利⽤を開始します。詳細は、ここを参照してください。 7. 利⽤準備が完了したら、デフォルトの「main」インデックスへのデータの取り込みを設定します (ここを参照)。他のデータ⼊⼒を追加する場合も、同じアプローチで作業を⾏ってください。

独

独⾃のデータを取り込

込みますか？余分な TLC が必要かもしれません

Splunk は任意の時系列データのインデックスを作成できるため、⼀般的には追加の設定作業を⾏う必要はありません。独⾃のアプリケーションやデバイスからログを取得する場合は、まず Splunk のデフォルトでお試しください。⽬的の結果が得られない場合は、イベントのインデックスが正常に作成されるように、いくつかの設定を調整することができます。続⾏する前に、イベントの処理および Splunk がデータのインデックスを作成する⽅法について学習し、データに必要な TLC を判断できるようにしておくことをお勧めします。いくつかの検討しておく必要がある問題を以下に⽰します。イベントは複数⾏イベントか？データに特殊な⽂字セットが使われているか？ Splunk がタイムスタンプを正常に認識できないか？

⼊⼒の設定

Splunk に新しいタイプのデータを追加するには、まずデータに関するいくつかの事項を設定する必要があります。その ためには、データ⼊⼒ (取り込み⽅法) を設定します。データ⼊⼒を設定するために、さまざまな⽅法が⽤意されていま す。

App：Splunk には、各種データを取り込むために、⼊⼒が事前設定されているさまざまな App が⽤意されています。Splunk の App を活⽤して、データ取り込みの設定の⼿間を省きましょう。詳細は、「App の使⽤」を参照してください。

Splunk Web：データ取り込みの⼤半は、Splunk Web のデータ⼊⼒ページから設定できます。この⽅法では、 GUI を使って取り込むデータを設定できます。Splunk ホームから、[データの追加] ページにアクセスすることがで きます。また、[システム] を使って新たな⼊⼒を追加したり、既存の⼊⼒を管理したりすることもできます。ま た、Splunk Web のデータプレビュー機能を使って、実際にインデックスにデータを書き込む前に、Splunk がデータのインデックスをどのように作成するのかを確認し、必要に応じて設定を調整することができます。

Splunk の CLI： CLI を使って、⼤部分のデータ取り込みを設定できます。

inputs.conf 設定ファイル：Splunk Web または CLI を使ってデータの取り込みを設定すると、その設定は設定 ファイル inputs.conf に保存されます。必要に応じてこのファイルを直接編集することができます。⾼度なデータ取り込みを⾏う場合は、このファイルを編集しなければならないこともあります。

また、フォワーダーを使って他のマシンのデータをインデクサーに送信するように設定する場合、フォワーダーのインス トール時にデータの取り込みを指定することができます。「フォワーダーの使⽤」を参照してください。

このトピックでは、Splunk Web、CLI、または inputs.conf を使って、⾃分でデータ⼊⼒を設定する⽅法について説明し

ていきます。

Splunk Web の使⽤

データ⼊⼒は Splunk ホーム、または [システム] から追加することができます。 Splunk ホームから、[データの追加] を選択します。[データの追加] ページが表⽰されます。このページには、さまざまな⼊⼒タイプ向けのリンクが記載されています。これを使ってデータ⼊⼒を追加するのがもっとも簡単な⽅法です。 Splunk Web の任意の場所から、[システム] を選択します。次に [システム] ポップアップの [データ] から、[デー

9

(10)

タ⼊⼒] を選択します。この操作で表⽰されるページから、既存のデータ⼊⼒の表⽰、管理、および新しいデータ⼊⼒の追加を⾏えます。 [データの追加] ページには、2 つのリンクグループが記載されています。最初のグループには、いくつかの⼀般的なデー タタイプ向けのリンクと説明が含まれています。2 番⽬のグループには、設定できるすべての⼊⼒タイプへのリンクが含まれています。初めての場合は、最初のグループ内のリンクから、ご⾃分のニーズに適したデータタイプがあるかどうかを確認してくだ さい。たとえば、[Syslog] をクリックすると、各種 Syslog データに関する情報と、それぞれのタイプに応じた設定⽅法 へのリンクが表⽰されます。また、[Apache ログ] をクリックすると、そのデータタイプ⽤の設定⽅法が表⽰されます。 Splunk Web を使ったデータ⼊⼒の詳細は、このマニュアルの後半にある、特定の⼊⼒に関する説明を参照してください。たとえば、Splunk Web を使ったネットワーク⼊⼒の設定⽅法を学習するには、「TCP/UDP ポートからのデータの取り込み」を参照してください。⼤半の⼊⼒は Splunk Web を使って設定できます。ファイルシステム変更のモニタリングなどの、⼀部の⼊⼒タイプは、inputs.conf を直接編集する必要があります。また、他の⼊⼒タイプに対して⾼度な設定を

⾏う場合も、inputs.conf を編集する必要があります。

重要：Splunk Web を使って⼊⼒を追加した場合、その⼊⼒は現在使⽤している App に所属する inputs.conf のコピーに

追加されます。この点についても考慮が必要です。たとえば、[サーチ] ページから [システム] に直接移動して⼊⼒を追加した場合、その⼊⼒は $SPLUNK_HOME/etc/apps/search/local/inputs.conf に追加されます。データ⼊⼒を追加する際には、

⾃分が⽬的の App 内にいることを確認してください。設定ファイルの仕組みの詳細については、「設定ファイルについ て」を参照してください。

CLI の使⽤

Splunk CLI を使って、⼤部分の⼊⼒を設定することができます。UNIX/Windows コマンドプロンプトから

$SPLUNK_HOME/bin/ に移動して、./splunk コマンドを使⽤します。たとえば、以下のコマンドを実⾏すると、データ⼊⼒と

して /var/log/ が追加されます。

./splunk add monitor /var/log/

何か分からないことがある場合、CLI にはヘルプが⽤意されています。CLI コマンドの⼀覧を表⽰するには、以下のコマンドを⼊⼒します。

./splunk help commands

。各コマンドには、それぞれ独⾃のヘルプページが⽤意されています。参照するには、./splunk help <command>

と⼊⼒します。 CLI を使った特定の⼊⼒の設定については、このマニュアルの適切な⼊⼒に関する説明を参照してください。たとえば、 CLI を使ったネットワーク⼊⼒の設定⽅法を学習するには、「CLI を使ったネットワーク⼊⼒の追加」を参照してください。 . CLI に関する全般的な情報については、『管理マニュアル』の「CLI について」および他の関連するトピックを参照してください。

inputs.conf の編集

inputs.conf を編集して直接⼊⼒を追加するには、その⼊⼒のスタンザを設定します。スタンザ

は、$SPLUNK_HOME/etc/system/local/ 内、または独⾃のカスタム App ディレクトリ ($SPLUNK_HOME/etc/apps/<app name>/local) 内の inputs.conf ファイルに追加します。Splunk の設定ファイルで初めて作業を⾏う場合は、事前に「設定

ファイルについて」を参照してください。データ⼊⼒を設定するには、スタンザに属性/値のペアを追加します。⼊⼒スタンザには複数の属性を設定できます。属性の値を指定しない場合は、$SPLUNK_HOME/etc/system/default/inputs.conf に定義されているデフォルト値が使⽤されます。ネットワーク⼊⼒を追加する簡単な例を以下に⽰します。この設定は、任意のリモートサーバーからの raw データを、 TCP ポート 9995 で待ち受けるように Splunk に指⽰しています。データのホストは、リモートサーバーの DNS 名で設定します。すべてのデータには、ソースタイプ「log4j」およびソース「tcp:9995」が割り当てられます。 [tcp://:9995] connection_host = dns sourcetype = log4j source = tcp:9995 特定の⼊⼒の設定⽅法については、このマニュアルのその⼊⼒に関する説明を参照してください。たとえば、ファイル⼊⼒の設定⽅法については、ここを参照してください。各データ⼊⼒のトピックには、その⼊⼒で利⽤できる主な属性が説明されています。利⽤可能な属性の完全な⼀覧については、inputs.conf spec ファイルを参照する必要があります。spec ファイルには、属性の詳細な説明が記載されていま

(11)

ソースタイプについて

データ取り込み処理の⼀環として、Splunk はデータにソースタイプを割り当てます。ソースタイプはデータのフォーマットを⽰しています。インデックス作成時に Splunk はソースタイプを使⽤して、イベントを正しくフォーマットします。通常 Splunk は、どのソースタイプを割り当てるのかを理解しています。たとえば、syslog データにはソースタイプ「syslog」が割り当てられます。特定の⼊⼒に Splunk が割り当てるソースタイプに不満がある場合は、別のソースタイプを指定することができます (事前定義されているソースタイプまたは⾃分で作成したソースタイプ)。ソースタイプは⼊⼒の設定時に設定します。設定⽅法は、このトピックで説明しています。ソースタイプの詳細は、「ソースタイプが重要な理由」を参照してください。「⾃動ソースタイプ割り当てに優先する設定」には、ソースタイプ割り当てオプションが詳細に説明されています。イベント単位でのソースタイプの設定⽅法については、「⾼度なソースタイプの上書き」を参照してください。データに適切なソースタイプを割り当てるために、Splunk Web のデータプレビュー機能を利⽤することができます。また、この機能を使ってソースタイプ設定を編集したり、新たなソースタイプを作成したりすることもできます。詳細は、「データプレビューとソースタイプ」を参照してください。

Windows データと Splunk について

Splunk は拡張可能な強⼒なツールです。さまざまな種類の Windows データのインデックスを作成できます。ログファイル、ディレクトリ内のファイル、イベントログ、レジストリ、または Active Directory など、任意のデータを利⽤することができます。 Splunk は Windows データをモニターするために、特別な⼊⼒も⽤意されています。以下に例を⽰します。 Windows イベントログ：マシン上で利⽤できる任意のイベントログチャネルで、Windows イベントログサービス が⽣成したログをモニターすることができます。ローカルマシン上のログを収集することも、ユニバーサルフォワーダーや WMI を使ってリモートログデータを収集することも可能です。 パフォーマンスモニタリング：Windows マシン上のパフォーマンスデータを収集して、そのデータに基づくアラートやレポートを作成することができます。パフォーマンスモニターで利⽤できる任意のパフォーマンスカウンタも、Splunk で利⽤することができます。パフォーマンスをローカルに監視することも、または WMI またはユニバーサルフォワーダーを使ってリモートに監視することも可能です。 WMI 経由のリモートモニタリング： WMI を使って、リモートマシン上のイベントログやパフォーマンスデータにアクセスすることができます。 レジストリ監視：Splunk 内蔵のレジストリモニタリング機能を使って、ローカルWindows レジストリへの変更をモニターすることができます。ユニバーサルフォワーダーを使って、リモートマシン上のレジストリデータを収集することもできます。 Active Directory モニタリング：ユーザー、グループ、マシン、およびグループポリシーオブジェクトなど の、Active Directory に対する変更を監視することができます。これらの特殊な⼊⼒は、Windows 版の Splunk でのみ利⽤できます。ファイルとディレクトリ、ネットワークモニタリング⼊⼒、およびスクリプト⼊⼒などの、標準の Splunk ⼊⼒セットを利⽤することもできます。

Splunk App for Windows

Splunk App for Windows は、Windows サーバーおよびデスクトップの管理⽤に、データの取り込み、サーチ、レポート、アラート、およびダッシュボードを提供しています。Windows オペレーティングシステムのモニター、管理、トラブルシューティングを 1 カ所から⾏えます。この App には、CPU、ディスク I/O、メモリー、イベントログ、設定、およびユーザーデータ⽤のスクリプト⼊⼒、そして Windows イベントログのインデックスを作成するための Web ベースのセットアップ UI が含まれています。この無料 App を利⽤すれば、Windows 版 Splunk を⼿軽に学習することができます。

Windows App と Splunk の新しいパフォーマンス測定基準収集機能

現在の所 Splunk App for Windows は、最新版の Splunk で利⽤できる、新たな Windows パフォーマンスモニター収集機能を活⽤していません。App は正常に動作し、サポートされていますが、デフォルトでは WMI を使ってローカルのパフォーマンス測定基準を収集しています。この新機能を使⽤したい場合、またはユニバーサルフォワーダーを使ってデフォルトのパフォーマンスモニタリングデータコレクションによるデータを、App が動作しているインスタンスに送信している場合は、定義したパフォーマンスモニタリングコレクションを使⽤するように、App 内のサーチを編集する必要があります。

Windows への Splunk デプロイの初期

検討事項

検

Windows に Splunk をインストール、デプロイする場合、以下の事項を検討する必要があります。

認証：ネットワーク内のリモート Windows マシン上で何らかの操作を実⾏するためには、Splunk に Active Directory ドメインまたはフォレストへの適切なアクセス権が必要です。つまり、適切な資格情報を持つユーザーとして、Splunk を実⾏する必要があります。デプロイ作業を開始する前に、そのような資格情報を⽤意しておくことをお勧めします。その他の詳細は、「リモート Windows データのモニター⽅法決定のための検討事項」を参照して

(12)

ください。 ディスクの帯域幅：Splunk インデクサーは、⼤量のディスク I/O 帯域幅を必要としています (特に⼤量のデータの インデックスを作成する場合)。Splunk とそれがインストールされているオペレーティングシステム間を中継する プログラムがあるシステムでは、特に注意する必要があります。これにはウィルス対策ソフトウェアが含まれてい ます。ウィルス対策ソフトウェアがインストールされている場合、ウィルススキャンなどでパフォーマンスが⼤幅に低下するため、Splunk ディレクトリまたはプロセスを監視対象にしないようにウィルス対策ソフトウェアを設定する必要があります。 共有サーバー：他のサービスが動作しているサーバー上に Splunk をインストールする前に、『インストールマニュ アル』の「Splunk デプロイ環境のハードウェアキャパシティプランニング」を参照してください。このことは特に、ドメインコントローラに Splunk をインストールする場合、または Exchange、SQL Server 、または仮想ホストサーバーなどのメモリーを消費するサービスが動作するコンピュータ上に Splunk をインストールする場合に重要になります。 Windows サーバーから効率的にデータを収集するには、データの収集対象マシン上にユニバーサルフォワーダーをインストールします。ユニバーサルフォワーダーは⼩型軽量で、わずかなリソースしか消費しません。レジストリのモニタリングなど、⼀部の状況下では、リモートにレジストリの変更をポーリングできないためフォワーダーを使⽤する必要があります。

Splunk によるデータの取り扱い (および活⽤⽅法)

Splunk は任意の種類のデータを取り込んで、それのインデックスを作成し、イベントという形のサーチ可能で役に⽴つ情報に変換します。以下のデータパイプラインは、インデックス作成時のデータ処理の主な流れを表しています。これら のプロセスが、イベント処理を構成しています。データが処理されてイベントに変換されたら、イベントをナレッジオブ ジェクトと関連付けて有⽤性をさらに向上することができます。

データパイプライン

⼀連のデータが Splunk に取り込まれると、データをサーチ可能なイベントに変換する、データパイプラインを通過します。データパイプラインの主要なステップを以下の図に⽰します。

(13)

データパイプラインの概要については、『分散デプロイ』マニュアルの「Splunk 内でのデータの移動」を参照してください。 Splunk はイベント処理時に、ほとんどのタイプのデータを、有益でサーチ可能になるイベントに変換するために、適切に認識して処理を⾏います。ただし、データの種類やデータから抽出したい情報によっては、イベント処理の⼀部のステップを調整しなければならないこともあります。

イベント

処理

処

イベント処理は、パーシングとインデックス作成の 2 つのステージに分かれて⾏われます。Splunk に取り込まれるデー タはすべて、⼤きなデータの塊 (チャンク) としてパーシングパイプラインを通過します。パーシング中に、これらのチャ ンクはイベントに分割されます。分割されたイベントは、インデックス作成パイプラインに渡されて、最終処理が⾏われ ます。パーシングおよびインデックス作成の両⽅で、Splunk はデータを処理し、さまざまな⽅法で変換を⾏います。これらのプロセスの⼤半は設定を変更することができ、ニーズに合わせて処理を調整することができます。以降の説明でリンクをクリックすると、これらのいずれかのプロセスの説明と、設定⽅法に関する情報を記載したトピックに移動します。パーシング中、Splunk はさまざまなアクションを実⾏します。以下に例を⽰します。

host、source、および sourcetype などの、⼀連のデフォルトフィールドを抽出する。

⽂字セットのエンコードを設定する。⾏分割ルールを使って⾏の終端を識別する。⼤半のイベントは短く、1∼2⾏程度ですが、中には⾧いイベントも存在しています。⾏の終端の設定は、Splunk Web のデータプレビュー機能を使って、対話形式で変更することもできます。タイムスタンプを識別する、また存在しない場合は作成する。タイムスタンプ処理と同時に、イベント境界の識別が⾏われます。タイムスタンプの設定は、Splunk Web のデータプレビュー機能を使って、対話形式で変更することもできます。このステージで、重要なイベントデータ (クレジットカード情報や社会保障番号など) をマスクするように Splunk を設定することができます。また、受信したイベントにカスタムメタデータを適⽤するように設定することもでき

13

(14)

ます。インデックス作成パイプラインでは、以下のような追加処理が⾏われます。すべてのイベントを、サーチ可能なセグメントに分割する。セグメント分割のレベルを指定することができます。セグメント分割レベルは、インデックス作成およびサーチ速度、サーチ能⼒、およびディスクの圧縮効率に影響します。インデックスデータ構造を作成する。 raw データとインデックスファイルをディスクに書き込む。ディスクでは、インデックス作成後の圧縮処理が⾏われます。パーシングおよびインデックス作成パイプラインの違いは、主にフォワーダーに影響してきます。ヘビーフォワーダーは、ローカルにデータの完全パーシングを⾏い、パーシングされたデータをインデクサーに転送できます。インデクサーは最終的なインデックス作成作業を⾏います。⼀⽅ユニバーサルフォワーダーでは、最低限のパーシング処理を⾏った後にデータを転送します。⼤部分のパーシング処理は、受信側のインデクサーで⾏われます。イベントおよび処理の詳細は、このマニュアルの「イベント処理の概要」を参照してください。インデックス作成パイプラインの詳細を表した図とインデックス作成の仕組みについては、Community Wiki の「How Indexing Works」を参照してください。

イベントの

強化と調整

強

データがイベントに変換されたら、それをイベントタイプ、フィールド抽出、および保存済みサーチなどのナレッジオブジェクトに関連付けて、有⽤性を強化することができます。Splunk ナレッジの管理の詳細は、『ナレッジ管理』マニュアルの「Splunk のナレッジとは？」を参照してください。

ファイルやディレクトリからデータを

収

収集

ファイルとディレクトリのモニター

Splunk には、3 つのファイル⼊⼒プロセッサ monitor、monitorNoHandle、および upload が存在しています。 たいていの場合は、monitor を使ってファイルやディレクトリからの、ほぼすべてのデータソースを追加することができ ます。ただし、履歴データのアーカイブなど、1 回限り取り込むようなデータには、upload を使⽤することもできます。 Windows システムでは、monitorNoHandle を使って、システムがローテーションを⾃動的に⾏うファイルをモニター することができます。MonitorNoHandle は、Windows システム上でのみ機能します。 モニターまたはアップロードする⼊⼒を、以下の任意の⽅法を使って追加することができます。 Splunk Web CLI inputs.conf

CLI または inputs.conf を使って、monitorNoHandle に⼊⼒を追加することができます。

データプレビュー機能を使って、Splunk がファイルのデータに対してどのようなインデックスを作成するかを確認することができます。詳細は、「データプレビューの概要」を参照してください。

Splunk のモニターの仕組み

ファイルやディレクトリへのパスを指定すると、Splunk のモニター⽤ monitor プロセッサはそのファイルまたはディレクトリに書き込まれる任意の新しいデータを取り込みます。そうすることにより、J2EE または .NET アプリケーション などからのライブアプリケーションログや Web アクセスログなどのログ情報をモニターすることができます。Splunk は 継続的にファイルやディレクトリをモニターし、新たなデータが到着するとインデックスを作成します。Splunk がディレクトリからデータを読み込める限り、NFS を含めたマウントされたディレクトリや共有ディレクトリを指定することもできます。指定されたディレクトリ内にサブディレクトリがある場合、Splunk はそれらのディレクトリも再帰的に調査して新たなファイルを取り込みます。モニター設定に指定されたファイルまたはディレクトリは、Splunk の起動および再起動時にチェックされます。起動時にファイルやディレクトリが存在していなかった場合、Splunk は最後の再起動時刻から 24 時間ごとに再チェックを⾏います。モニター対象ディレクトリのサブディレクトリも継続的に調査されます。Splunk を再起動せずに新しい⼊⼒を追加 したい場合は、Splunk Web または CLI を使⽤します。Splunk に⾃動的に新たな⼊⼒候補を探させる場合は、クロール (crawl) を使⽤します。モニターを使⽤する場合、、以下の事項に注意してください。⼤半のファイルシステムでは、書き込み中でもファイルを読み取ることができます。ただし、Windows ファイルシステムには、書き込み中のファイルの読み取りを防⽌する機能があり、⼀部の Windows プログラムはこの機能を使⽤しています (⼤部分は使⽤していませんが)。書き込み中のファイルを読み取りたい場合は、monitorNoHandle ⼊⼒を使⽤することができます。 対象とする、または除外するファイルやディレクトリを、ホワイトリストとブラックリストを使って指定すること ができます。

(15)

再起動すると、Splunk は処理を中断した時点からファイルの処理を再開します。アーカイブファイルは、そのインデックスを作成する前に解凍されます。tar, gz, bz2, tar.gz, tgz, tbz, tbz2, zip、および z などの、⼀般的なアーカイブファイルタイプを処理することができます。既存のアーカイブファイルに新しくデータを追加した場合、その新たなデータだけではなく、ファイル内のすべてのデータのインデックスが再作成されます。そのため、イベントの重複が発⽣する可能性があります。 Splunk はログファイルのローテーションを検出して、すでにインデックスを作成している、名前が変更されたファイルの処理は⾏いません (tar と .gz は例外です、詳細は、このマニュアルの「ログファイルのローテーション」を参照してください)。 dir/filename パスの全⾧は、1024 ⽂字以下でなければなりません。コマンドラインまたは [システム] を使ってファイルベースの⼊⼒を無効化または削除しても、その⼊⼒で処理中のファイルのインデックス作成は中断されません。ファイルの再チェックは中⽌されますが、中⽌時点でのすべてのデータのインデックスが作成されます。すべてのデータ処理を中⽌するには、Splunk サーバーを再起動する必要があります。モニター⼊⼒がオーバーラップしている場合もあります。スタンザ名が異なっている限り、Splunk はそれらを別個のスタンザとして取り扱い、スタンザにもっとも⼀致するファイルが、そのスタンザの設定に従って処理されます。

アップロードまたはバッチを使⽤する理由

静的なファイルのインデックスを 1 回のみ作成するには、Splunk Web で [ローカルファイルのアップロード] または [Splunk サーバー上のファイルのインデックスを作成] を選択します。このファイルが継続的にモニターされることはありません。

同じ⽬的で CLI コマンドの add oneshot または spool を使⽤することもできます。詳細は、「CLI の使⽤」を参照してくださ

い。

ファイルを 1 回のみ読み込んで、その後破棄するには、inputs.conf ファイルの batch ⼊⼒タイプを使⽤します。デフォ

ルトで、Splunk の batch プロセッサは、$SPLUNK_HOME/var/spool/splunk にあります。このディレクトリにファイルを移

動すると、それのインデックスが作成され、その後ファイルが削除されます。

注意：ファイルアーカイブの読み込みのベストプラクティスについては、コミュニティ Wiki の「How to index different sized archives」を参照してください。

monitorNoHandle の使⽤理由

この Windows 専⽤⼊⼒を利⽤すれば、Windows システム上の書き込み中のファイルを読み取ることができます。そのために、カーネルモードのフィルタドライバを使って、ファイルに書き込み中の raw データを捕捉しています。書き込みのためにロック付きで開かれているファイルを読み込む場合に、この⼊⼒スタンザを使⽤します。Windows DNS サーバーのログファイルなど、システムが書き込み⽤にロック付きで開いているファイルに対して、この⼊⼒スタンザを使⽤できます。 注意：monitorNoHandle では、単⼀のファイルのみをモニターできます。ディレクトリをモニターすることはできません。モニター対象として選択したファイルがすでに存在している場合、Splunk は現在の内容のインデックスは作成せずに、新たにファイルに書き込まれるデータのみインデックスを作成します。

Splunk Web の使⽤

Splunk Web を使ってファイルやディレクトリからの⼊⼒を追加するには： A. [新規追加] ページに移動 ⼊⼒ (データの取り込み) は、Splunk Web の [新規追加] ページから追加します。2 種類の⽅法でこのページを表⽰できます。 Splunk 設定 Splunk ホームどちらの⽅法を使⽤しても構いません。同じ [新規追加] ページが表⽰されます。 Splunk 設定を使⽤する場合： 1. Splunk Web の右上にある [設定] をクリックします。 2. [設定] ポップアップの [データ] セクションで、[データ⼊⼒] をクリックします。 3. [ファイルとディレクトリ] をクリックします。 4. [新規] ボタンをクリックして、⼊⼒を追加します。 Splunk ホームを使⽤する場合： 1. Splunk ホームの [データの追加] リンクをクリックします。 2. [ファイルとディレクトリから] リンクをクリックして、⼊⼒を追加します。

15

(16)

B. データのプレビュー 新しくディレクトリやファイル⼊⼒を追加する場合、インデックスが作成されたデータが、どのようになるのかをプレビューできるオプションが表⽰されます。この機能により、実際にデータのインデックスを作成する前に、Splunk がデータを適切にフォーマットしているかを確認したり、必要に応じてイベント処理を調整したりすることができます。データのプレビューが不要な場合は、⼊⼒の追加⽤ページに進むことができます。データプレビュー機能の詳細は、「データプレビューの概要」を参照してください。データプレビューページへのアクセスと使⽤については、「イベントデータの表⽰」を参照してください。 データのプレビューをスキップした場合は、[新規追加] ページが表⽰されます。このページでは、次のセクションで説明 するように、新しい⼊⼒を追加することができます。 C. ⼊⼒の指定 1. [ソース] ラジオボタンを選択します。 この Splunkがアクセスできるファイルやディレクトリから継続的にインデックスを作成：継続的なデータ取り込 み (⼊⼒) を設定します。指定したファイルやディレクトリにデータが追加されると、それのインデックスが作成されます。このオプションの詳細設定については、次のセクションを参照してください。 ファイルのアップロードによるインデックス作成：ローカルマシンから Splunk にファイルをアップロードします。 このSplunk サーバー上のファイルからインデックスを 1 度だけ作成：サーバーから Splunk に、バッチ (batch) ディレクトリ経由でフアイルをコピーします。 2. ファイルまたはディレクトリへのフルパスを指定します。([ローカルファイルのアップロード] ラジオボタンを選択し た場合、このフィールドは [ファイル] になります。) 共有ネットワークドライブをモニターするには、<myhost>/<mypath> と⼊⼒します (または、Windows の場合 \\<myhost>\<mypath>)。Splunk に、マウントされたドライブ、およびモニター対象ファイルに対する読み取り権限があることを確認してください。 3. 他の設定にアクセスするには、[その他の設定] を選択します。追加の設定が表⽰されます。通常は、これらの設定はデ フォルト値のままで⼗分です。明⽰的に設定したい場合は、以下の説明を参照してください。 a. [ホスト] セクションでは、ホスト名を設定できます。さまざまな選択肢があります。ホスト値の設定の詳細は、「ホストについて」を参照してください。 注意： [ホスト] は、イベントの host フィールドの設定のみを⾏います。Splunk にネットワーク上の特定のホストを探 すように指⽰するものではありません。 b.[ソースタイプ] を設定することができます。ソースタイプは、イベントに追加されるデフォルトのフィールドです。 ソースタイプは、タイムスタンプやイベント境界などの、処理する特徴の決定に⽤いられます。Splunk の⾃動ソースタイプ設定に優先する設定を⾏うには、このマニュアルの「ソースタイプの⾃動割り当てに優先する設定」を参照してください。 ディレクトリの場合は、ソースタイプに [⾃動] を設定してください。ディレクトリ内に異なるフォーマットのファイルが 含まれている場合は、ソースタイプの値を⼿動設定しないでください。そうしてしまうと、そのディレクトリ内のすべてのファイルに単⼀のソースタイプが割り当てられてしまいます。 c.この⼊⼒のインデックスを設定することができます。異なる種類のイベントを取り扱うために、複数のインデックスを 定義している場合を除き、この値は「default」のままにしてください。ユーザーデータ⽤のインデックスに加えて、Splunk にはさまざまなユーティリティインデックスが存在しています。これらのインデックスも、このドロップダウンボックスに表⽰されます。 4. [保存] をクリックします。

ファイル/ディレクトリのモニタリング⽤詳細オプション

ソースとして [ファイルまたはディレクトリを監視] ラジオボタンを選択した場合、[その他の設定] セクションには [詳細 オプション] セクションも表⽰されます。このセクションから、いくつかの追加設定を⾏えます。 ファイル末尾から取込：選択した場合、ファイルの末尾でモニタリングが開始されます (tail -f と同様)。 ホワイトリスト：パスを指定した場合、そのパスからのファイルは、指定した正規表現に⼀致する場合にのみモニ ターされます。 ブラックリスト：パスを指定した場合、そのパスからのファイルは、指定した正規表現に⼀致するとモニターされ ません。ホワイトリストとブラックリストの詳細は、このマニュアルの「ホワイトリストまたはブラックリスト固有の到着データ」を参照してください。

CLI の使⽤

ファイルやディレクトリを Splunk のコマンドラインインターフェイス (CLI) を使ってモニターします。Splunk の CLI を使⽤するには、$SPLUNK_HOME/bin/ ディレクトリに移動して、そのディレクトリで splunk コマンドを使⽤します。

(17)

help と⼊⼒します。各コマンドには、それぞれ独⾃のヘルプページが⽤意されています。splunk help <command> と⼊⼒してください。

⼊⼒設定⽤の CLI コマンド

CLI を使った⼊⼒設定には、以下のコマンドを利⽤できます。 コマンド コマンドの構⽂ 対処 add monitor add monitor <source> [-parameter value] ... <source> からの⼊⼒をモニターします。 edit monitor edit monitor <source> [-parameter value] ... 前に追加した <source> の⼊⼒を編集します。 remove monitor remove monitor <source> 前に追加した <source> の⼊⼒を削除します。 list

monitor list monitor 現在設定しているモニター⼊⼒を⼀覧表⽰します。

add oneshot add oneshot <source> [-parameter value] ... <source> ディレクトリを Splunk に直接コピーします。これによりファイルが 1 回アップロードされますが、継続的なモニターは⾏われません。 重要：oneshot コマンドでは、再帰的フォルダやワイルドカードをソースとして使⽤することはできません。このコマンドを使⽤する場合は、対象ファイルの正確なソースパスを指定してください。

spool spool <source>

<source> を Splunk に、sinkhole ディレクトリ経由でコピーします。このコマンドは add oneshot コマンドと似ていますが、即座に追加されるのではなく、sinkhole ディレクトリからスプールされるという違いがあります。

追加のパラメータを設定して、各データ⼊⼒の設定を変更します。パラメータは -parameter value の構⽂で設定します。

注意：コマンドあたり、1 つの -hostname、-hostregex、または -hostsegmentnum を設定することができます。

パラメータ _須？必 説明

<source> はい

新しい⼊⼒をモニター/アップロードするための、ファイルまたはディレクトリへのパス。 注意：他のパラメータと違い、このパラメータの構⽂は単純に値で、パラメータフラグが先頭に付けられることはありません。「<source>」であり、「-source <source>」ではありません。

sourcetype いいえ⼊⼒ソースからのイベントの sourcetype フィールド値を指定します。 index いいえ⼊⼒ソースからのイベントの、宛先インデックスを指定します。 hostnameまたは host いいえ⼊⼒ソースからのイベントの、host フィールド値として設定するホスト名を指定します。 注意：これらは機能的に同等です。 hostregexまたは host_regex いいえソースキーから host フィールド値を抽出するために使⽤する、正規表現を指定します。 注意：これらは機能的に同等です。 hostsegmentnumまたは host_segment いいえ整数で、パスのどの「/」で区切られたセグメントを、host フィールドの値として設定するのかを決定します。たとえば、3 を設定すると、パス内の 3 番⽬のセグメントが使⽤されます。 注意：これらは機能的に同等です。 rename-source いいえこのファイルからのデータに適⽤する、「source」フィールドの値を指定します。 follow-only いいえ「true」または「false」を設定します。デフォルトは偽 (False) です。

真 (True) を設定した場合、Splunk はソースの末尾から読み込みます (UNIX コマンドの「tail -f」と同様)。

Splunk Enterprise 6.0

データの取り

込み

込

作成：2013 年 10 ⽉ 15 ⽇ 午後 3 時 27 分

5

5

6

7

8

8

9

11

12

14

14

15

16

18

21

23

24

25

25

30

31

31

35

41

46

47

53

57

64

66

68

72

72

73

76

79

80

80

81

81

81