Splunk Enterprise 6.2.0 データの取り込み 作成:2014 年 11 ⽉ 21 ⽇ 午後 4 時 11 分 Copyright (c) 2015 Splunk Inc. All Rights Reserved Table of Contents はじめに Splunk Enterprise がインデックス処理できる項⽬ データの取り込みの開始 データの場所:ローカルか、またはリモートか? フォワーダーを使ったデータの取り込み App を使ったデータの取り込み ⼊⼒の設定 Splunk Enterprise によるデータの取り扱い (および活⽤⽅法) 5 5 6 7 8 9 9 10 Splunk Enterpri se へのデータの取り込み データの追加⽅法は? データのアップロード データのモニター データ転送 [ソースタイプの設定] ページ データへの適切なソースタイプの割り当て プレビューするデータの準備 イベント・データのソースタイプの表⽰と設定 イベント処理の変更 データプレビューと分散 Splunk Enterprise ⼊⼒設定の変更 12 12 13 14 14 15 17 17 18 19 22 23 ファイルやディレクトリからデータを収集 ファイルとディレクトリのモニター Splunk Web の使⽤ CLI の使⽤ inputs.conf の編集 ワイルドカードを使った⼊⼒パスの指定 ホワイトリストまたはブラックリスト固有の到着データ Splunk Enterprise によるログファイルのローテーションの取り扱 い 25 25 26 27 29 32 34 36 ネットワーク・イベントの取得 TCP および UDP ポートからのデータの取り込み Splunk Enterprise への SNMP イベントの送信 37 37 41 Wi ndows データの取得 Windows データと Splunk Enterprise について Splunk Enterprise への Windows データの取り込み リモート Windows データのモニター⽅法決定の検討事項 Active Directory のモニター Windows イベントログデータのモニター Windows のファイルシステム変更のモニター WMI ベースのデータのモニター Windows レジストリデータのモニター Windows パフォーマンスのモニター Windows ホスト情報のモニター Windows プリンタ情報のモニター Windows ネットワーク情報のモニター 42 42 43 44 47 53 62 66 71 73 80 84 86 その他の取り込み⽅法 FIFO キューからのデータの取得 ファイルシステムへの変更のモニター 91 91 92 スクリプト⼊⼒を介した API や他のリモートデータインターフェイ 95 スからのデータの取得 crawl を使ったモニター項⽬の発⾒ 98 イベント処理の設定 イベント処理の概要 ⽂字セットのエンコードの設定 イベント改⾏の設定 イベントのタイムスタンプの設定 インデックス作成フィールド抽出の設定 データの匿名化 99 99 99 102 104 105 105 タイムスタンプの設定 タイムスタンプ割り当ての仕組み タイムスタンプ認識の設定 複数のタイムスタンプを持つイベントのタイムスタンプ割り当て の設定 タイムスタンプのタイムゾーンの指定 インデックス作成パフォーマンス向上のためのタイムスタンプ認 識の調整 107 107 108 113 114 115 インデックス作成フィールド抽出の設定 116 インデックス作成フィールドの抽出について 116 デフォルトフィールドについて (host、source、sourcetype など) 116 デフォルトフィールドの動的割り当て 118 インデックス時のカスタムフィールドの作成 118 ヘッダーのあるファイルからのデータの抽出 124 ホスト値の設定 ホストについて Splunk Enterprise サーバーのデフォルトホストの設定 ファイル/ディレクトリ⼊⼒のデフォルトホストの設定 イベントデータに基づくホスト値の設定 誤って割り当てられたホスト値の取り扱い 128 128 129 130 132 134 ソースタイプの設定 ソースタイプが重要な理由 ⾃動ソースタイプ割り当てに優先する設定 ルールベースのソースタイプ認識の設定 事前定義ソースタイプの⼀覧 イベント単位でのソースタイプに優先する設定 ソースタイプの作成 ソースタイプ名の変更 134 134 136 138 139 143 144 145 イベントのセグメント分割の管理 セグメント分割について イベントデータのセグメント分割の設定 Splunk Web でのサーチ時セグメント分割の設定 145 145 146 148 データ取り込みプロセスの改善 テスト⽤インデックスを使って⼊⼒をテストする データ損失を防⽌するための persistent queue の使⽤ ⼊⼒プロセスのトラブルシューティング 148 148 149 150 レシピ 151 151 151 フォワーダー ファイルとディレクトリ - ローカル ファイルとディレクトリ - リモート Syslog - TCP/UDP Windows イベントログ - ローカル Windows イベントログ - リモート Windows レジストリ - ローカル Windows パフォーマンスモニタリング - ローカル Windows パフォーマンスモニタリング - リモート Windows Active Directory スクリプト 153 153 154 155 157 158 160 161 162 はじめに Splunk Enterprise がインデックス処理できる項⽬ Splunk Enterprise を使⽤するための最初の作業が、データを取り込むことです。Splunk Enterprise にデータを 取り込むと、即座にインデックスが作成され、サーチが可能になります。Splunk Enterprise はインデックス作成 機能により、サーチ可能なフィールドから構成されるイベント にデータを変換します。Splunk がデータのイン デックスを作成する前/後にさまざまな処理を⾏えます。ただし、⼀般的にはそのような作業は必要ありません。 基本的に、Splunk Enterprise にデータを指⽰すると、その後データのサーチを開始したり、それを使ってグラ フ、レポート、アラート、および他の出⼒を⽣成したりすることができます。 データの種類 任意のデータを利⽤できます。特に、各種 IT ストリーミングデータ、マシンデータ、および履歴データを得意に しています。Windows イベントログ、Web サーバーログ、ライブアプリケーションログ、ネットワークフィー ド、システム測定基準、変更のモニター、メッセージキュー、アーカイブファイル、その他さまざまなデータを利 ⽤できます。どのようなデータでも利⽤できます。嘘ではありません。 Splunk Enterprise にデータのソースを知らせてください。また、ソースに関するいくつかの情報も指定します。 そのソースが、データ⼊⼒ となります。Splunk Enterprise は取り込んだデータのインデックスを作成し、それ を個別の⼀連のイベントに変換します。それらのイベントは即座に表⽰、サーチすることができます。望み通りの 結果が得られなかった場合は、⽬的の結果が得られるまでインデックス作成処理を調整することができます。 データは Splunk Enterprise インデクサー と同じマシン上にあっても (ローカルデータ )、他のマシン上にあっ ても (リモートデータ ) 構いません。リモートデータは、ネットワークフィードを利⽤して、またはデータのソー スとなるマシン上に Splunk Enterprise フォワーダー をインストールして、簡単に取得することができます。 フォワーダーは軽量版の Splunk で、収集したデータをメインとなる Splunk Enterprise インスタンスに転送し ます。この Splunk Enterprise インスタンスは開け取ったデータのインデックス作成やサーチを⾏います。ロー カルデータとリモートデータについては、「データの場所」を参照してください。 作業を簡単に⾏うために、Splunk はさまざまな無料の App やアドオン 、および Windows または Linux 固有の データ、Cisco セキュリティデータ、Blue Coat データなどに対応する、事前設定されたデータ⼊⼒ (データの取 り込み⼿段) を提供しています。Splunk Apps からご⾃分のニーズに適した App やアドオンをお探しください。 Splunk には、Web サーバーログ、J2EE ログ、Windows パフォーマンス測定基準など、さまざまなデータソー ス⽤のレシピが⽤意されています。これらのデータソースを利⽤するには、後述するように Splunk Web の [データの追加] セクションを使⽤します。⽤意されているデータソースや App がニーズを満たしていない場合 は、Splunk Enterprise の汎⽤⼊⼒設定機能を使って、⽬的のデータソースを指定します。これらの汎⽤データ ソースについては、ここを参照してください。 データ⼊⼒の指定⽅法 新しい種類のデータを Splunk Enterprise に取り込むには、それに対応する設定を⾏います。データの取り込み を指定するには、さまざまな⽅法があります。 App: Splunk には、各種データソースを取り込むための事前設定が⾏われている、さまざまな App やア ドオンが⽤意されています。Splunk の App を活⽤して、データ取り込みの設定の⼿間を省きましょう。詳 細は、「App の使⽤」を参照してください。 Splunk Web: ⼤部分のデータ⼊⼒は、Splunk Web のデータ⼊⼒ページから設定できます。この⽅法で は、GUI を使って取り込むデータを設定できます。Splunk ホームまたは [システム] メニューから、[デー タの追加] ページにアクセスすることができます。「Splunk Web の使⽤」を参照してください。 Splunk CLI: CLI (コマンドラインインターフェイス) を使って、さまざまな種類のデータ取り込みを設定 できます。「CLI の使⽤」を参照してください。 inputs.conf 設定ファイル: Splunk Web または CLI を使ってデータの取り込みを指定すると、設定内容 は設定ファイル inputs.conf に保存されます。必要に応じてこのファイルを直接編集することができます。 ⾼度なデータ取り込みを⾏う場合は、このファイルを編集しなければならないこともあります。 「inputs.conf の編集」を参照してください。 また、フォワーダーを使って他のマシンのデータをインデクサーに送信する場合、フォワーダーのインストール時 にデータの取り込みを指定することができます。「フォワーダーの使⽤」を参照してください。 データ取り込みの設定の詳細は、「データ⼊⼒の設定」を参照してください。 データソースの種類 前述のように、Splunk は特定のアプリケーションニーズに固有のものを含めて、あらゆる種類のデータの取り込 みを設定するためのツールを提供しています。Splunk は、任意のデータ⼊⼒タイプを設定するためのツールも提 供しています。⼀般的に、Splunk のデータ⼊⼒は以下のように分類できます。 ファイルとディレクトリ ネットワークイベント Windows ソース その他のソース ファイルとディレクトリ 多くの有益なデータが、ファイルやディレクトリに存在している可能性があります。多くの場合、Splunk 5 多くの有益なデータが、ファイルやディレクトリに存在している可能性があります。多くの場合、Splunk Enterprise のファイル/ディレクトリのモニター ⼊⼒プロセッサを使って、ファイルやディレクトリからのデー タを取得することができます。 ファイルとディレクトリのモニターについては、「ファイルとディレクトリのデータの取得」を参照してくださ い。 ネットワークイベント Splunk Enterprise は、任意のネットワークポートからのデータのインデックスを作成することができます。たと えば、syslog-ng や他の TCP 経由でデータを伝送するアプリケーションからの、リモートデータのインデックスを 作成することができます。UDP データのインデックスも作成できますが、信頼性の観点から可能な場合は TCP を使⽤することをお勧めします。 SNMP イベント、リモートデバイスが⽣成したアラートを受信してインデックスを作成することもできます。 ネットワークポートからデータを取得するには、「TCP および UDP ポートからのデータの取得」を参照してく ださい。 SNMP データの取得については、「Splunk への SNMP イベントの送信」を参照してください。 Windows ソース Windows 版の Splunk Enterprise には、さまざまな Windows 固有の⼊⼒が⽤意されています。また、以下のよ うな Windows 固有の⼊⼒タイプを定義することもできます。 Windows イベントログデータ Windows レジストリデータ WMI データ Active Directory データ パフォーマンスモニターデータ 重要: Windows 版以外の Splunk Enterprise インスタンス上で、Windows データのインデックス作成とサーチ を⾏う場合は、まず Windows 版のインスタンスを使ってデータを収集する必要があります。詳細は、「リモート Windows データのモニター⽅法決定の検討事項」を参照してください。 Splunk Enterprise での Windows データの使⽤⽅法の詳細は、「Windows データと Splunk Enterprise につい て」を参照してください。 その他のソース Splunk Enterprise は、他の種類のデータソースもサポートしています。例: 先⼊れ先出し (FIFO) キュー スクリプト⼊⼒ API および他のリモートデータインターフェイスやメッセージキューからデータを取り込みます。 モジュール⼊⼒ Splunk Enterprise フレームワークを拡張する、カスタム⼊⼒機能を定義します。 次の参照先 ここでは、Splunk データの指定時に検討する必要がある問題について説明していきます。 「データの場所」。リモートデータとローカルデータの⽐較、およびそれが影響する事項について説明して います。 「フォワーダーの使⽤」。フォワーダーを使ったリモートデータ収集の簡素化について説明しています。 「App の使⽤」。Splunk App を使った、Splunk Enterprise へのデータの取り込みについて説明していま す。 「データの取り込み⽅法」。データソースの取得と設定の概要、およびベストプラクティスについて説明し ています。 「⼊⼒の設定」。Splunk Enterprise でのデータ⼊⼒の設定⽅法について説明しています。 「Windows データと Splunk Enterprise について」。Windows データを Splunk Enterprise に取り込む ⽅法の概要を説明しています。 「Splunk Enterprise によるデータの取り扱い (および活⽤⽅法)」。Splunk Enterprise に取り込んだデー タがどのように処理されるのか、そしてデータを活⽤するための Splunk の設定について説明しています。 データの取り込みの開始 Splunk Enterprise へのデータの取り込みを開始するには、[データの追加] ページで、データの取り込みを設 定します。「データの追加⽅法は?」を参照してください。 または、お使いの OS ⽤ App (Splunk App for Windows Infrastructure や Splunk App for Unix and Linux) な どの、App をダウンロードして、有効にすることもできます。 Splunk Enterprise をインストールして、データの取り込みの設定、または App の有効化を⾏ったら、指定され たデータの保管と処理が即座に開始されます。その後、サーチ App (Splunk Web の開始ページである Splunk ホームからアクセス可能) またはメイン App ページに移動して、収集したデータの詳細な調査を開始することが できます。 新しいデータ取り込みの追加 6 ここでは推奨する⼿順について説明していきます。 1. ⾃分のニーズを把握します。たとえば、以下のような事項を検討します。 Splunk Enterprise でインデックスを作成するデータは?「Splunk がインデックス処理できる項⽬」を参 照してください。 そのデータ⽤の App があるか?「App を使ったデータの取り込み」を参照してください。 データはどこに存在しているか?ローカルか、またはリモートか?「データの場所」を参照してください。 リモートデータへのアクセスにフォワーダーを使⽤するか?「フォワーダーを使ったデータの取り込み」を 参照してください。 インデックス作成したデータで何をするのか?『ナレッジ管理』マニュアルの「Splunk ナレッジとは?」 を参照してください。 2. テスト⽤インデックスを作成し、いくつかのデータ取り込み (⼊⼒) を追加します。「テスト⽤インデックスの 使⽤」を参照してください。テスト⽤データの量は最低限に抑えてください。テスト⽤インデックスに追加された データは、ライセンスの⽇次インデックス作成量の加算対象となります。 3. データをテスト⽤インデックスに送る前にプレビューを⾏い、必要に応じてデータのインデックス作成⽅法を修 正してください。Splunk Enterprise では、モニターまたはアップロードにより、ファイルから取り込んだデータ をプレビューすることができます。詳細は「[ソースタイプの設定] ページ」を参照してください。 4. テスト⽤データに対して、いくつかのサーチを実⾏します。 意図通りのデータが表⽰されましたか? デフォルト設定でイベントが正常に処理されましたか? データが⾒つからなかったり、おかしくなっていたりしませんか? 最適な結果が表⽰されましたか? 5. 必要に応じて、意図通りのイベントが収集、表⽰されるように、データの取り込みやイベント処理の設定を調整 します。イベント処理の設定⽅法については、このマニュアルの「Splunk Enterprise によるデータの取り扱い」 を参照してください。 6. テスト⽤インデックスからデータを削除して、必要に応じて実際の利⽤を開始します。⽅法については、「イン デックス・データの削除とやり直し」を参照してください。 7. 実際の利⽤準備が完了したら、デフォルトの「main」インデックスへのデータの取り込みを設定します (ここを 参照)。 他にも追加する⼊⼒がある場合は、この作業を繰り返します。 独⾃のデータを取り込みますか? Splunk Enterprise は任意の時系列データのインデックスを作成できるため、⼀般的には追加の設定作業を⾏う必 要はありません。独⾃のアプリケーションやデバイスからログを取得する場合、まずデフォルトの設定での処理を お試しください。⽬的の結果が得られない場合は、イベントのインデックスが正しく作成されるように、いくつか の設定を調整することができます。 続⾏する前に「イベント処理の概要」および「Splunk Enterprise によるデータのインデックス作成の仕組み」を 参照し、Splunk Enterprise に正しくデータの処理を⾏わせるための知識を確認してください。いくつかの検討し ておく必要がある問題を以下に⽰します。 イベントは複数⾏イベントか? データに特殊な⽂字セットが使われているか? Splunk Enterprise がタイムスタンプを正しく判断できない? データの場所:ローカルか、またはリモートか? Splunk Enterprise にデータを初めて取り込む場合、「ローカル」データと「リモート」データの違いは何なの か、多少混乱するかもしれません。新しいデータ⼊⼒を設定する場合、ローカルとリモートの違いが重要になりま す。 この問題への回答は、以下のようにさまざまな基準に応じて異なります (ただし、これに限定されるものではあり ません)。 Splunk Enterprise インスタンスが動作しているオペレーティングシステム Splunk Enterprise インスタンスに直接接続されているデータストアの種類 インデックスを作成するデータを保管するデータストアにアクセスするために、認証や他の中間ステップを 介する必要があるかどうか ローカル ローカル リソースは、Splunk Enterprise サーバー (⾃分) が直接アクセスできる固定リソースです。また、それ に保管されているデータの種類に関わらず、取り付け、接続、または他の中間操作 (認証やネットワークドライブ へのマッピングなど) を⾏うことなく、システムからリソースを参照、利⽤することができます。そのようなリ ソース上にデータが存在している場合、それは「ローカル」データとみなされます。 ローカルデータの例を以下に⽰します。 デスクトップやラップトップに取り付けられているハードディスクや SSD システム起動時にロードされる RAM ディスク リモート 7 リモート リソースは、前述の定義に該当しない任意のリソースです。Windows システムからマップされたネット ワークドライブ、Active Directory スキーマ、NFS または *nix システム上の他のネットワークベースのマウント などが、これに該当します。このようなリソースから収集されたデータも「リモート」とみなされます。 例外 ⼀般的にリモートとみなされるけれども、実際には違うリソースも存在しています。以下にいくつかの例を⽰しま す。 USB や FireWire などの⾼帯域幅物理接続経由で、常時マウントされているボリュームを持つマシン。コン ピュータはブート時にリソースをマウントできるため、理論的には後ほどリソースを切り離せる場合でも、 このようなリソースはローカルリソースとして取り扱われます。 iSCSI などの⾼帯域幅ネットワーク標準規格、または SAN への光接続を介して永久的にマウントされるリ ソースを持つマシン。ローカルのブロックデバイスと同程度のデータ量を処理できる標準規格であるため、 このようなリソースはローカルとみなされます。 フォワーダーを使ったデータの取り込み フォワーダー は軽量版の Splunk インスタンスで、収集したデータを処理するために Splunk Enterprise インデ クサー に転送することを⽬的にしています。最低限のリソースしか必要とせず、パフォーマンス上の影響も少な いため、⼀般的にはデータ⽣成元のマシン上に配置されます。 たとえば、集中的にサーチを実⾏したいデータを⽣成している複数台の Apache サーバーがある場合、Splunk Enterprise インデクサーをインストールした後、次に各 Apache マシンにフォワーダーを設定することができま す。各フォワーダーは Apache データを収集して、それをインデクサーに送信します。インデクサーは受け取っ たデータを統合して保管し、サーチが可能な状態にします。消費リソースが少ないため、フォワーダーが Apache サーバーのパフォーマンスに与える影響を最低限に抑えられます。 同様に、従業員の Windows デスクトップにフォワーダーをインストールすることもできます。これらのフォワー ダーはログや他のデータを集中管理⽤ Splunk Enterprise インスタンスに送信します。そのデータを利⽤して、 マルウェアがないかどうか、または他の問題が発⽣していないかどうかを追跡することができます。 フォワーダーが⾏う作業 フォワーダーを使って、リモートマシンからデータを取得することができます。フォワーダーは以下のような機能 により、ネットワークから raw データを供給するよりも、⼤幅に堅牢なソリューションを実現しています。 メタデータのタグ設定 (ソース、ソースタイプ、ホスト) 設定可能なバッファ データ圧縮 SSL セキュリティ 利⽤可能な任意のネットワークポートの使⽤ ローカルにスクリプト⼊⼒の実⾏ フォワーダーは他の Splunk Enterprise インスタンスと同じ⽅法でデータを収集します。インデクサーと完全に 同じタイプのデータを処理できます。違いは、⼀般的にフォワーダー⾃体がインデックスを作成することはないこ とです。単純にデータを取得して、それをインデクサーに送信します。インデクサーがインデックスの作成とサー チを担当します。単⼀のインデクサーで、複数のフォワーダーから転送されるデータを処理することができます。 フォワーダーの詳細は、『データの転送』マニュアルを参照してください。 ⼤半の Splunk Enterprise デプロイ環境では、フォワーダーは主なデータ収集役を果たしています。インデク サーは単⼀マシンのデプロイ環境でのみ、主なデータ収集役にもなります。⼤規模な Splunk Enterprise デプロ イ環境では、数百台または数千台ものフォワーダーがデータを収集して、それを⼀連のインデクサーグループに転 送することもあります。 フォワーダー⼊⼒の設定⽅法 Splunk Enterprise の軽量版インスタンスであるフォワーダーは、設計上機能が限定されています。たとえば、⼤ 半のフォワーダーには Splunk Web が含まれていません。そのため、直接 UI にアクセスしてフォワーダーの データ取り込みを設定することはできません。ここでは、フォワーダーのデータ取り込みを設定する主な⽅法につ いて説明していきます。 初期デプロイ時にデータの取り込み (⼊⼒) を指定する。Windows フォワーダーの場合、インストール時に ⼀般的なデータ取り込みを指定することができます。*nix フォワーダーの場合、インストール後にデータの 取り込みを指定できます。 CLI を使⽤する。 inputs.conf を編集する。 ⽬的のデータ取り込み機能がある App をデプロイする。 テスト⽤の完全版 Splunk Enterprise インスタンスで Splunk Web を使ってデータの取り込みを設定し、 その結果⽣成された inputs.conf ファイルをフォワーダーに配布する。 その他の参考情報 使⽤事例、⼀般的なトポロジー、および設定も含めたフォワーダーの詳細は、『データの転送』マニュアルの「転 送と受信について」を参照してください。 デプロイサーバー を使った設定ファイルや App の複数フォワーダーへの配布⽅法を含めた、フォワーダーデプ ロイの詳細は、『データの転送』マニュアルの「ユニバーサルフォワーダーのデプロイの概要」を参照してくださ い。 リモート Windows データをモニターするためのフォワーダーの使⽤⽅法については、「リモート Windows デー タのモニター⽅法を決定するための検討事項」を参照してください。 8 App を使ったデータの取り込み Splunk には、Splunk Enterprise の機能を拡張、強化するためのさまざまな App やアドオン が提供されていま す。App により、Splunk Enterprise へのデータの取り込みプロセスが簡単になります。特定の環境やアプリ ケーション向けのデータ取り込みを⾃分で設定する代わりに、データの取り込みがすでに設定されている App を 探して使⽤することもできます。Splunk Apps からApp をダウンロードします。 ⼀般的に App は特定のデータタイプを対象にしており、デート取り込みの設定から有益なデータビューの⽣成ま でさまざまな機能が⽤意されています。たとえば、Splunk App for Windows Infrastructure は、Windows サー バーおよびデスクトップの管理⽤に、データの取り込み、サーチ、レポート、アラート、およびダッシュボード機 能を提供しています。Splunk App for Unix and Linux は、UNIX/Linux環境向けに同様の機能を提供していま す。特定のタイプのアプリケーション・データを処理する幅広い App が存在しています。以下に例を⽰します。 Splunk Splunk Splunk Splunk App App App App for Blue Coat ProxySG for F5 for Cisco Security for Websphere Application Server Splunk Apps に直接移動して各種 App をダウンロードすることもできます。Splunk Apps には頻繁に新しい App が追加されるため、定期的に確認してください。 重要: Splunk Web がプロキシサーバーの背後にある場合は、Splunk Enterprise 内からの Splunk Apps へのア クセス時に問題が発⽣する可能性があります。この問題を解決するには、『管理マニュアル』の「プロキシ・サー バーの指定」を参照してください。 ⼀般的な App についての情報は、『管理マニュアル』の「App とアドオンとは」を参照してください。特に「そ の他の App やアドオンの⼊⼿場所」には、App のダウンロードとインストール⽅法が記載されています。 独⾃の App の作成⽅法については、『Developing Views and Apps for Splunk Web』マニュアルを参照してく ださい。 ⼊⼒の設定 Splunk Enterprise に新しいタイプのデータを追加するには、データに関するいくつかの事項を設定します。その ためには、データ⼊⼒ (取り込み⽅法) を設定します。データ⼊⼒を設定するために、さまざまな⽅法が⽤意され ています。 App :Splunk には、各種データを取り込むために、⼊⼒が事前設定されているさまざまな App が⽤意さ れています。Splunk の App を活⽤して、データ取り込みの設定の⼿間を省きましょう。詳細は、「App を使ったデータの取り込み」を参照してください。 Splunk Web :⼤部分のデータ⼊⼒は、Splunk Web のデータ⼊⼒ページから設定できます。この⽅法で は、GUI を使って取り込むデータを設定できます。Splunk ホームから、[データの追加] ページにアクセス することができます。また、[システム] を使って新たな⼊⼒を追加したり、既存の⼊⼒を管理したりするこ ともできます。また、ファイルをアップロードまたはモニターする場合、データをインデックスに書き込む 前に、ファイルをプレビューしてインデックスの作成⽅法を調整することができます。 Splunk コマンド・ライン・インターフェイス (CLI) の使⽤: CLI を使って、⼤部分のデータ取り込み を設定できます。 inputs.conf 設定ファイル :Splunk Web または CLI を使ってデータの取り込みを指定すると、設定内容 は設定ファイル inputs.conf に保存されます。必要に応じてこのファイルを直接編集することができます。 ⾼度なデータ取り込みを⾏う場合は、このファイルを編集しなければならないこともあります。 また、フォワーダー を使って他のマシンのデータをインデクサー に送信するように設定する場合、フォワーダー のインストール時にデータの取り込みを指定することができます。「フォワーダーを使ったデータの取り込み」を 参照してください。 このトピックでは、Splunk Web、CLI、または 説明していきます。 inputs.conf を使って、⾃分でデータ⼊⼒を設定する⽅法について Splunk Web の使⽤ データ⼊⼒は Splunk ホーム、または [システム] から追加することができます。 Splunk ホームから、[データの追加] を選択します。[データの追加] ページが表⽰されます。このページ には、さまざまな⼊⼒タイプ向けのリンクが記載されています。これを使ってデータ⼊⼒を追加するのが もっとも簡単な⽅法です。「データの追加⽅法は?」を参照してください。 Splunk Web の任意の場所から、[システム] を選択します。次に [システム] ポップアップの [データ] か ら、[データ⼊⼒] を選択します。この操作で表⽰されるページから、既存のデータ⼊⼒の表⽰、管理、およ び新しいデータ⼊⼒の追加を⾏えます。 [データの追加] ページには、データを取り込むための 3 種類のオプション [アップロード]、[モニター]、および [転送] があります。それぞれのアイコンをクリックすると、アップロード、モニター、または転送するデータを定 義することができます。 Splunk Web を使ったデータ⼊⼒の詳細は、このマニュアルの後半にある、特定の⼊⼒に関する説明を参照して ください。たとえば、Splunk Web を使ったネットワーク⼊⼒の設定⽅法を学習するには、「TCP/UDP ポート からのデータの取り込み」を参照してください。 ⼤半の⼊⼒は Splunk Web を使って設定できます。⼊⼒タイプが少ない場合は、inputs.conf を直接編集する必要 9 があります。また、他の⼊⼒タイプに対して⾼度な設定を⾏う場合も、inputs.conf を編集する必要があります。 Splunk Web を使って⼊⼒を追加した場合、その⼊⼒は現在使⽤している App に所属する inputs.conf のコピー に追加されます。この点についても考慮が必要です。たとえば、[サーチ] ページから [システム] に直接移動して ⼊⼒を追加した場合、その⼊⼒は $SPLUNK_HOME/etc/apps/search/local/inputs.conf に追加されます。データ⼊⼒を 追加する際には、⾃分が⽬的の App 内にいることを確認してください。 設定ファイルの仕組みの詳細につい ては、「設定ファイルについて」を参照してください。 CLI の使⽤ Splunk CLI を使って、⼤部分の⼊⼒を設定することができます。UNIX/Windows コマンドプロンプトから $SPLUNK_HOME/bin/ ディレクトリに移動して、./splunk コマンドを使⽤します。たとえば、以下のコマンドを実⾏す ると、データ⼊⼒として /var/log/ が追加されます。 ./splunk add monitor /var/log/ 何か分からないことがある場合、Splunk CLI にはヘルプが⽤意されています。CLI コマンドの⼀覧を表⽰するに は、以下のコマンドを⼊⼒します。 ./splunk help commands 各コマンドには、それぞれ独⾃のヘルプページが⽤意されています。参照するには、次のように⼊⼒します: ./splunk help <command> CLI を使った特定の⼊⼒の設定については、このマニュアルの適切な⼊⼒に関する説明を参照してください。たと えば、CLI を使ったネットワーク⼊⼒の設定⽅法を学習するには、「CLI を使ったネットワーク⼊⼒の追加」を 参照してください。 CLI に関する全般的な情報については、『管理マニュアル』の「CLI について」および他の関連するトピックを 参照してください。 inputs.conf の編集 inputs.conf を編集して直接⼊⼒を追加するには、その⼊⼒のスタンザ を設定します。スタンザ は、$SPLUNK_HOME/etc/system/local/ 内、または ($SPLUNK_HOME/etc/apps/<app name>/local 内の) 独⾃のカスタム App ディレクトリ内の inputs.conf ファイルに追加します。Splunk の設定ファイルで初めて作業を⾏う場合は、事前 に「設定ファイルについて」を参照してください。 データ⼊⼒を設定するには、スタンザに属性/値のペアを追加します。⼊⼒スタンザには複数の属性を設定できま す。属性の値を指定しない場合は、$SPLUNK_HOME/etc/system/default/inputs.conf に定義されているデフォルト値が 使⽤されます。 ネットワーク⼊⼒を追加する簡単な例を以下に⽰します。この設定は、任意 のリモートサーバーからの raw デー タを、TCP ポート 9995 で待ち受けるように Splunk Enterprise に指⽰しています。Splunk Enterprise は、リ モート・サーバーの DNS 名を使ってデータのホストを設定します。ソースタイプ「log4j」およびソース 「tcp:9995」をデータに割り当てます。 [tcp://:9995] connection_host = dns sourcetype = log4j source = tcp:9995 特定の⼊⼒の設定⽅法については、このマニュアルのその⼊⼒に関する説明を参照してください。たとえば、ファ イル⼊⼒の設定⽅法については、ここを参照してください。 各データ⼊⼒のトピックには、その⼊⼒で利⽤できる主な属性が説明されています。利⽤可能な属性の完全な⼀覧 については、inputs.conf spec ファイルを参照する必要があります。spec ファイルには、属性の詳細な説明が記 載されています。複数の例を含むファイルも存在しています。 ソース・タイプについて データ取り込み処理の⼀環として、Splunk Enterprise はデータにソースタイプ を割り当てます。ソースタイプ はデータのフォーマットを⽰しています。インデックス作成時に Splunk Enterprise はソースタイプを使⽤し て、イベントを正しくフォーマットします。通常 Splunk は、どのソースタイプを割り当てるのかを理解していま す。たとえば、syslog データにはソースタイプ「syslog」が割り当てられます。特定の⼊⼒に Splunk Enterprise が割り当てるソースタイプに不満がある場合は、別のソースタイプを指定することができます (事前定 義されているソースタイプまたは⾃分で作成したソースタイプ)。ソースタイプは⼊⼒の設定時に設定します。設 定⽅法は、このトピックで説明しています。 ソースタイプの詳細は、「ソースタイプが重要な理由」を参照してください。「⾃動ソースタイプ割り当てに優先 する設定」には、ソースタイプ割り当てオプションが詳細に説明されています。 イベント単位でのソースタイプの設定⽅法については、「⾼度なソースタイプの上書き」を参照してください。 Splunk Enterprise によるデータの取り扱い (および活⽤⽅法) 10 Splunk Enterprise は任意の種類のデータを取り込んで、それのインデックス を作成し、イベント に変換しま す。イベントは有益でサーチ可能な情報です。以下のデータパイプライン は、インデックス作成時のデータ処理 の主な流れを表しています。これらのプロセスが、イベント処理 を構成しています。データが処理されてイベン トに変換されたら、イベントをナレッジオブジェクト と関連付けて有⽤性をさらに向上することができます。 データパイプライン Splunk Enterprise に取り込まれた⼀連のデータは、それをサーチ可能なイベントに変換する、データパイプライ ンを通過します。データパイプラインの主要なステップを以下の図に⽰します。 データパイプラインの概要については、『分散デプロイ』マニュアルの「Splunk Enterprise 内でのデータの移 動」を参照してください。 Splunk Enterprise はイベント処理時に、ほぼすべてのタイプのデータを適切に認識し、有益でサーチ可能なイベ ントに変換するための処理を⾏います。ただし、データの種類やデータから抽出したい情報によっては、イベント 処理の⼀部のステップを調整しなければならないこともあります。 イベント処理 イベント処理は、パーシングとインデックス作成の 2 つのステージに分かれて⾏われます。Splunk Enterprise に取り込まれるデータはすべて、⼤きなデータの塊 (チャンク) としてパーシングパイプライン を通過します。 パーシング中に、これらのチャンクはイベントに分割されます。分割されたイベントは、インデックス作成 パイ プラインに渡されて、最終処理が⾏われます。 パーシングおよびインデックス作成の両⽅の段階で、Splunk Enterprise はデータを処理し、さまざまな⽅法で変 換を⾏います。これらのプロセスの⼤半は設定を変更することができ、ニーズに合わせて処理を調整することがで きます。以降の説明でリンクをクリックすると、これらのいずれかのプロセスの説明と、設定⽅法に関する情報を 記載したトピックに移動します。 パーシング中、Splunk Enterprise はさまざまなアクションを実⾏します。以下に例を⽰します。 各イベントに対して、host、source、および sourcetype 11 などの、⼀連のデフォルトフィールドを抽出する。 ⽂字セットのエンコードを設定する。 ⾏分割ルールを使って⾏の終端を識別する。⼤半のイベントは短く、1〜2⾏程度ですが、中には⻑いイベン トも存在しています。Splunk Web の [ソースタイプの設定] ページを使って、対話的に⾏の終端設定を変更 することもできます。 タイムスタンプを識別する、また存在しない場合は作成する。タイムスタンプ処理と同時に、イベント境界 の識別が⾏われます。タイムスタンプの設定は、[ソースタイプの設定] ページを使って、対話形式で⾏うこ ともできます。 このステージで、重要なイベントデータ (クレジットカード情報や社会保障番号など) をマスクするように Splunk Enterprise を設定することができます。また、受信したイベントにカスタムメタデータを適⽤する ように設定することもできます。 インデックス作成パイプラインでは、以下のような追加処理が⾏われます。 すべてのイベントを、サーチ可能なセグメントに分割する。セグメント分割のレベルを指定することができ ます。セグメント分割レベルは、インデックス作成およびサーチ速度、サーチ能⼒、およびディスクの圧縮 効率に影響します。 インデックスデータ構造を作成する。 raw データとインデックスファイルをディスクに書き込む。ディスクでは、インデックス作成後の圧縮処理 が⾏われます。 パーシングおよびインデックス作成パイプラインの違いは、主にフォワーダーに影響してきます。ヘビーフォワー ダーは、ローカルにデータの完全パーシングを⾏い、パーシングされたデータをインデクサーに転送できます。イ ンデクサーは最終的なインデックス作成作業を⾏います。⼀⽅ユニバーサルフォワーダーでは、最低限のパーシン グ処理を⾏った後にデータを転送します。⼤部分のパーシング処理は、受信側のインデクサーで⾏われます。 イベントおよび処理の詳細は、このマニュアルの「イベント処理の概要」を参照してください。 インデックス作成パイプラインの詳細を表した図とインデックス作成の仕組みについては、Community Wiki の「How Indexing Works」を参照してください。 イベントの強化と調整 データがイベントに変換されたら、それをイベントタイプ、フィールド抽出、および保存済みサーチなどのナレッ ジオブジェクトに関連付けて、有⽤性を強化することができます。Splunk ナレッジの管理の詳細は、『ナレッジ 管理』マニュアルの「Splunk のナレッジとは?」を参照してください。 Splunk Enterprise へのデータの取り込み データの追加⽅法は? 最新版の Splunk Enterprise では、データをとても簡単に追加できるようになりました。適切な権限を持つユー ザーとしてログインしたら、新しい⼿順に 1 クリックでアクセスできます。このトピックは、更新された⼿順 と、前の⼿順からの変更について説明しています。 データを Splunk に取り込むためのチュートリアルについては、『サーチ・チュートリアル』を参照してくださ い。 新しい [データの追加] ページ Splunk Enterprise にログインすると、更新されたホーム・ページが表⽰されます。 データを追加するには、ページの中央左 (App リストの右) にある緑⾊の [データの追加] ボタンをクリックしま す。[データの追加] ページが表⽰されます。 システム・バーの [設定] メニューをクリックして、[データの追加] ページを表⽰することもできます。メニュー が表⽰された時、[データの追加] ボタンは左側にあります。 12 このページには、Splunk Enterprise インスタンスにデータを取り込むための 3 つのオプション、[アップロー ド] 、[モニター] 、および [転送] が表⽰されます。 アップロード [アップロード] オプションでは、インデックスを作成するために、Splunk Enterprise にファイルまたはファイル のアーカイブをアップロードすることができます。[アップロード] ボタンをクリックすると、アップロード・プロ セスを開始するページが表⽰されます。「データのアップロード」を参照してください。 モニター [モニター] オプションでは、1 つまたは複数のファイル、ディレクトリ、ネットワーク・ストリーム、スクリプ ト、イベント・ログ (Windows システムのみ)、または Splunk Enterprise インスタンスがアクセスできる他のタ イプのマシン・データをモニターすることができます。[モニター] ボタンをクリックすると、モニター・プロセス を開始するページが表⽰されます。「データのモニター」を参照してください。 転送 [転送] オプションでは、フォワーダー からこの Splunk Enterprise インスタンスにデータを取り込むことができ ます。[転送] ボタンをクリックすると、フォワーダーからのデータ収集プロセスを開始するページが表⽰されま す。「データの転送」を参照してください。 重要: このオプションを使⽤する前に、追加の設定を⾏う必要があります。これは、単⼀インスタンス環境での み使⽤してください。データのインデックスを作成する複数の Splunk Enterprise インスタンスがある場合は、 『データの転送』マニュアルの「データの転送と受信について」を参照してください。 データのアップロード このトピックは、[データの追加] ページで [アップロード] ボタンを選択した場合に表⽰されるページについて説 明しています。 [アップロード] ページ [アップロード] ページには、以下の項⽬が表⽰されます。 このページでは、以下のいずれかの⽅法を使って、データを Splunk Enterprise にアップロードできます。 13 Splunk Enterprise にインデックスを作成させるファイルをデスクトップからドラッグして、このページの [ここにデータ・ファイルをドラッグ・アンド・ドロップしてください] 領域にドロップします。 または 画⾯左上の [ファイルの選択] ボタンをクリックして、ダイアログ・ボックスを表⽰し、インデックスを作成 するファイルを選択します。 ファイルがロードされ、ファイルのタイプに応じて処理が⾏われます。ロードが完了したら、右上の [次へ] ボタ ンをクリックして、次のステップ [データの追加] に進みます。 データのモニター このトピックは、[データの追加] ページで [モニター] ボタンを選択した場合に表⽰されるページについて説明し ています。 [モニター] ページ [モニター] ページには、以下の項⽬が表⽰されます。 このページでは、Splunk Enterprise にモニターさせるデータのタイプを選択できます。デフォルトの⼊⼒が最初 に表⽰されます。デフォルトの⼊⼒の下には、転送されている⼊⼒が表⽰されます。その下には、インスタンスに インストールされているモジュール⼊⼒が表⽰されます。 データをモニターするには、以下の⼿順に従ってください。 1. 画⾯の左側でソースを 1 回クリックして選択します。 選択したソースに応じて、残りのページにはそれに合わせた内容や項⽬が表⽰されます。たとえば、[ファイ ルとディレクトリ] を選択した場合、ページにはファイル/ディレクトリ名を⼊⼒するためのフィールド、お よびファイル/ディレクトリのモニター⽅法を指定する項⽬などが表⽰されます。 注意: Splunk Enterprise には、モニターできるソースのみが表⽰されます。詳細は、「データ・ソースの⼀ 覧」を参照してください。モニターする⽬的のデータ・ソースが表⽰されない場合は、以下のような理由が考えら れます。 ⼀部のデータ・ソースは、特定のオペレーティング・システムでのみ利⽤できます。たとえば、Windows データ・ソースを、*nix 上で動作している Splunk Enterprise インスタンスで利⽤することはできません (逆も同様)。 Splunk Enterprise にログインしているユーザーが、データの追加またはそのデータ・ソースを参照する権 限を持っていない可能性があります。 2. 画⾯に表⽰される指⽰に従って、モニターするソース・オブジェクトの選択を完了します。 3. 右上の [次へ] ボタンをクリックして、次のステップ [データの追加] に進みます。 データ転送 このトピックは、[データの追加] ページで [転送] ボタンを選択した場合に表⽰される [フォワーダーの選択] ペー ジについて説明しています。 重要: インデクサーおよびデプロイ・サーバーとして動作している単⼀の Splunk Enterprise インスタンスがあ る場合にのみ、このページを使⽤してください。インデックスの作成を担当する複数のサーバーがある場合は、 『Splunk Enterprise インスタンスの更新』マニュアルの「デプロイ・サーバーとフォワーダー管理について」を 参照してください。 [フォワーダーの選択] ページ [転送] ページには、以下の項⽬が表⽰されます。 14 このページでは、データを受信するためにサーバー・クラス を定義して、それらのクラスにフォワーダーを追加 します。 このページには、すでにデータの転送を設定し、このインスタンスのデプロイ・クライアントとして動作するよう に設定されたフォワーダーのみが表⽰されます。フォワーダーの設定が⾏われていない場合は、設定するように要 求するメッセージが表⽰されます。 リストにフォワーダーが表⽰されるようにするには、以下の作業が必要です。 フォワーダーをデプロイ・クライアント として設定する必要があります。こうすると、デプロイ・サー バーがフォワーダーの設定を管理できるようになります。詳細は、『Splunk Enterprise インスタンスの更 新』マニュアルの「デプロイ・クライアントの設定」を参照してください。 フォワーダーは、デプロイ・サーバーと正常に接続できる必要があります。 リストにフォワーダーが表⽰されたら、データを追加するためにそれの設定を⾏います。 1. [サーバー・クラスの選択] で、表⽰されているいずれかのオプションを選択します。 [新規] :サーバー・クラスを定義していない、何らかの理由で新しいサーバー・クラスを作成したい、また は既存のサーバー・クラスが⼊⼒として設定するフォワーダーのグループに適していない場合。 [既存] :既存のサーバー・クラスを使⽤する場合。 2. [利⽤可能ホスト] パネルで、このインスタンスにデータを受信させるフォワーダーを選択します。フォワー ダーが [利⽤可能ホスト] パネルから [選択済みホスト] パネルに移動します。[すべて追加] リンクをクリックし て、すべてのホストを追加することができます。また、[すべて削除] リンクで、すべてのホストを削除すること もできます。 重要: サーバー・クラスに追加するホストは、特定のプラットフォームのホストでなければなりません。たとえ ば、Windows ホストと *nix ホストを同じサーバー・クラスに追加することはできません。 3a. [サーバー・クラスの選択] で [新規] を選択した場合、⼀意のサーバー・クラス名を⼊⼒します。 3b. [既存] を選択した場合、ドロップダウン・リストからサーバー・クラスを選択します。 4. 右上の [次へ] ボタンをクリックして、次のステップ [データの追加] に進みます。 [ソースの選択] ページに、選択したフォワーダーに対して有効なソースタイプが表⽰されます。 5. フォワーダーがこのインスタンスにデータを送信する、データ・ソースを選択します。「データのモニター」を 参照してください。 6. 緑⾊の [次へ] ボタンをクリックして、次のステップ [データの追加] に進みます。 [ソースタイプの設定] ページ [ソースタイプの設定] ページでは、データのインデックスがどのように作成されるのかをプレビューして、イベ ントの処理 を改善することができます。このページを使って、データのインデックスが意図通りに作成されるこ とを確認することができます。 データのインデックスをどのように作成するのかを、簡単に調整することができます。対話形式でインデックス作 成プロセスを調整、改善することができます。そのため、後ほど実際にインデックス作成を⾏った時には、⽬的通 りの形式でイベント・データ のインデックスが作成されます。 15 [ソースタイプの設定] ページは、ローカル・インスタンスの単⼀のファイルをアップロード/モニターする場合に のみ表⽰されます。データを転送するインスタンスに対しては表⽰されません。ネットワーク⼊⼒やディレクトリ ⼊⼒にも対応していません。ただし、正しくプランニングを⾏えば、それらの⼊⼒タイプに対してもこのページを 利⽤できます。詳細は、「データの準備」を参照してください。 このページの表⽰時には、指定したデータに基づいてソースタイプが選択されます。推奨するソースタイプをその まま使⽤することも、それを変更することも可能です。 [ソースタイプの設定] ページの例を以下に⽰します。 推奨するソースタイプの表⽰、変更 ファイル内のデータを Splunk Enterprise がどのようにイベントとして分割する予定なのかを確認することがで きます。このインデックス作成がご⾃分のニーズを満たしていない場合は、別のソースタイプを選択した り、[ソースタイプ:新しいソースタイプ] ボタンをクリックして、新しいソースタイプを作成したりすることが できます。「イベント・データのソースタイプの表⽰と設定」を参照してください。 イベント・サマリーの表⽰ ページの右側にある、[イベント・サマリーの表⽰] リンクをクリックして、Splunk Enterprise が収集したデー タ・サンプル内のイベントのサマリーを参照することができます。このサマリーには、以下の情報が表⽰されま す。 Splunk Enterprise が収集したサンプル・データのサイズ (バイト)。 サンプル内に存在しているイベント数。 時間の経過に伴うイベント分布を表すグラフ。Splunk Enterprise は、ファイル内の⽇付スタンプを使っ て、このグラフの表⽰⽅法を決定します。 サンプル内の各イベントの⾏数の内訳。 タイムスタンプとイベント分割の調整 Splunk Enterprise によるタイムスタンプ抽出とイベントの分割⽅法を調整することができます。満⾜のいく結果 が得られたら、変更内容を新しいソースタイプ として保存します。次に、それを実際のデータに適⽤してくださ い。詳細は、「データへの適切なソースタイプの割り当て」を参照してください。 区切り設定 16 カンマ区切り値 (CSV)、タブ区切り値 (TSV)、またはその他の類似のファイルなどの構造化データ・ファイルを 選択した場合、[区切り設定] バーが表⽰されます。このウィンドウでは、これらの構造化データ・ファイルのパー シング⽅法に関する設定を調整することができます。以下の項⽬を調整できます。 フィールド区切り⽂字 - Splunk Enterprise がデータをフィールドに分割するために利⽤する⽂字。 引⽤⽂字 - 何かが引⽤されている場合に、Splunk Enterprise がそれを判断するために利⽤する⽂字。 ファイルの不要ヘッダー - 構造化データ・ファイル内の不要な⾏を無視するように指⽰する正規表現式。 フィールド名 - Splunk Enterprise によるフィールド名の決定⽅法、⾃動、⾏番号、カスタム⼊⼒、または 正規表現を利⽤できます。 データへの適切なソースタイプの割り当て ここでは [ソースタイプの設定] ページを使った、インデックスを作成するデータへの適切なソースタイプの相関 ⽅法について説明しています。 [ソースタイプの設定] ページの⽬的は、取り込んだデータへの正しいソースタイプ の適⽤をお⼿伝いすることに あります。ソースタイプは、Splunk Enterprise が取り込んだすべてのデータに割り当てるデフォルトフィール ド の 1 つです。ソースタイプは、インデックス作成時のデータのフォーマット⽅法を決定します。データに正し いソースタイプを割り当てることで、インデックスが作成されたデータ (イベントデータ ) には、適切なタイムス タンプ の設定とイベント 分割が⾏われ、期待通りのデータが作成されます。 Splunk Enterprise には、多数の事前定義されたソースタイプが⽤意されています。たいていの場合は、データの 取り込み時にデータに正しいソースタイプが⾃動的に割り当てられ、適切にデータが処理されます。特殊なデータ の場合、データに対して別の事前定義ソースタイプを、⼿動で選択しなければならないこともあります。また、独 ⾃のイベント処理を設定した、新たなソースタイプを作成しなければならないこともあります。 [ソースタイプの設定] ページは、データに事前定義されているソースタイプを適⽤した結果を表しています。これ を参考に、データに適切なソースタイプを割り当てられます。また、ソースタイプの設定を対話形式で変更して、 ⽬的の結果が得られるまで設定を調整することもできます。作業が完了したら、変更内容を新たなソースタイプと して保存することができます。 [ソースタイプの設定] ページでは、以下の作業を⾏えます。 Splunk Enterprise が⾃動的に適⽤するデフォルトのイベント処理を使って、データがどのようになるのか を、データを変更することなく確認する。 別のソースタイプを適⽤して、さらに良好な結果が得られるかどうかを確認する。 タイムスタンプ⽣成またはイベント分割の設定を変更して、インデックスデータの品質を向上し、変更内容 を新しいソースタイプとして保存する。 新たなソースタイプを最初から作成する。 このページは、新しいソースタイプを props.conf ファイルに保存します。後ほどこのファイルをデプロイ環境内の 各インデクサーに配布することで、全体的にそのソースタイプを利⽤することができます。詳細は、「データプレ ビューと分散 Splunk Enterprise」を参照してください。 ソースタイプの詳細は、このマニュアルの「ソースタイプが重要な理由」を参照してください。また、「イベント 処理の設定」、「タイムスタンプの設定」、および「ソースタイプの設定」内の各トピックにも、ソースタイプの 処理に関する詳細な情報が記述されています。 プレビューするデータの準備 このトピックでは、[ソースタイプの設定] ページで表⽰するデータの準備⽅法を説明します。 [ソースタイプの設定] ページでは、1 つのファイルに対してのみ作業を⾏えます。また、Splunk Enterprise イン スタンス上にあるファイル、またはそこにアップロードされたファイルのみを利⽤できます。直接ネットワーク データやディレクトリを処理することはできませんが、この問題には簡単に対処することができます。 ネットワークデータのプレビュー サンプル・ネットワーク・データをファイルに書き込んで、そのファイルをアップロードする、またはファイルの モニター⼊⼒として追加することができます。この⽬的で利⽤できるさまざまな外部ツールがあります。たとえ 17 ば、*nix 系では netcat を利⽤することができます。たとえば、ポート 514 で UDP データを待機している場 合、netcat を使ってネットワークデータの⼀部をファイルに書き込むことができます。 nc -lu 514 > sample_network_data ベスト・プラクティスは、ファイル・サイズが 2MB に達したら netcat を kill するシェル・スクリプト内で、こ のコマンドを実⾏することです。デフォルトで、データプレビュー機能は、ファイル内の最初の 2MB のデータの みを読み込みます。 「sample_network_data」ファイルを作成したら、それを標準の⼊⼒と同様に追加することができます (アップ ロードする、またはファイル⼊⼒として追加する)。⼊⼒定義プロセスの⼀環として、[ソースタイプの設定] ペー ジが表⽰されます。ファイル内のデータのプレビューを⾏って、必要な変更をイベント処理に反映させたら、その ソースタイプを直接ファイルに適⽤することができます。 ディレクトリ内の複数ファイルのプレビュー ディレクトリ内のすべてのファイルが同じような内容のデータを保有している場合、どれか 1 つのファイルで データのプレビューを⾏えば、そのディレクトリ内のすべてのファイルに対してほぼ満⾜がいく結果を得ることが できます。ただし、ディレクトリにさまざまな形式や環境のデータファイルが混在している場合は、データが異な る⼀連のファイルを個別にプレビューする必要があります。この場合、各タイプのファイルを個別にプレビューす る必要があります (ワイルドカードを指定すると、[ソースタイプの設定] ページが無効になるため)。 ファイルサイズの制限 Splunk Enterprise は、[ソースタイプの設定] ページのファイルから、最初の 2MB のデータを読み込んで表⽰し ます。たいていの場合は、これで⼗分なデータ標本を得ることができます。⼤量のデータで試したい場合は、 limits.conf で max_preview_bytes 属性を変更します。代わりにファイルのデータ量を削減し、2MB のデータがオリ ジナルのファイルの各種データタイプを反映するように編集することもできます。 イベント・データのソースタイプの表⽰と設定 このトピックは、受信データのプレビュー⽅法、およびそのデータのソースタイプの設定/作成⽅法について説明 しています。 Splunk Web でファイル⼊⼒を作成する場合、この機能が⾃動的に利⽤されます。Splunk Web の [ファイルと ディレクトリ] ページで単⼀ファイルを新しい⼊⼒として追加またはアップロードを開始すると (ここを参照)、 [ソースタイプの設定] ページが表⽰されます。 この時点で、データのインデックスがどのように作成されるのかを確認することができます。次に、変更または新 しいソースタイプの作成、既存のソースタイプの選択、または推奨されているソースタイプをそのまま使⽤して、 直接 [⼊⼒の設定] ページに進むことができます。 ソースタイプの確認と設定 [データの追加] パネルの [ファイルとディレクトリ] でモニターするファイルを選択、または [アップロード] ページからファイルをアップロードすると、[ソースタイプの設定] ページが表⽰されます。 このページには、3 つのセクションがあります。上部のセクションには、ページの使⽤⽅法が表⽰されます。下部 左側のセクションには、イベント分割、タイムスタンプの設定などの、新しいソースタイプを選択、定義するため のオプションや、その他のオプションが記載されています。下部右側の [データのプレビュー] パネルには、 Splunk Enterprise が現在データをどのように認識しているのかが表⽰されます。下部左側のセクションで操作を ⾏うと、それが即座に下部右側のセクションに反映されます。 任意の時点で上部の⽩い [<] ボタンをクリックすることで、前のページに戻ってプレビューする新しいファイルを 選択することができます。 1a. まず、Splunk Enterprise がデータをどのように表⽰しているのかを参照します。ここに表⽰されている内容 で、データのインデックスが作成されます。イベントの分割やタイムスタンプを確認してください。 1b. [イベント・サマリー] ダイアログを使って、ファイルのパーシング時に Splunk Enterprise がカウントした⾏ 数を参照することができます。ファイル内のカウントされた⾏数が少ない場合、イベントの分割を調整しなければ ならない可能性があります。 2a. ⽬的通りにデータが表⽰されている場合は、ステップ 3a に進みます。 2b. データが⽬的通りに表⽰されていない場合、このトピックの「既存のソースタイプの選択」に進んで、⽬的通 りにデータが表⽰されるまでソースタイプ・パラメータの変更を⾏います。 3a. Splunk Enterprise が選択した既存のソースタイプをそのまま使⽤する場合は、上部にある緑⾊の [次へ] ボタ ンをクリックして、[⼊⼒設定] ページに進みます。これでデータのプレビュー・プロセスは完了です。 3b. Splunk Enterprise が選択した既存のソースタイプを使⽤しない、Splunk Enterprise がソースタイプを選択 しない、または新しいソースタイプを定義したい場合は、以下のいずれかの作業を⾏えます。 既存のソースタイプを選択する: データは、このソースタイプでインデックスが作成されます。警告: 別 のソースタイプを選択すると、表⽰されるデータおよびデータのインデックス作成⽅法が変化する可能性が あります。 新しいソースタイプを保存する: 希にデータは正しくパーシングされたけれども、使⽤する既存のソース タイプが選択されないことがあります。このような場合、ソースタイプを保存して、それを以降の類似の ファイルに適⽤することができます。 18 4. ソースタイプを選択または保存したら、上部にある緑⾊の [次へ] ボタンをクリックして、[⼊⼒設定] ページに 進みます。これでデータのプレビュー・プロセスは完了です。 既存のソースタイプの選択 データが意図通りに表⽰されない場合、まず既存の他のソースタイプを利⽤できるかどうかを確認してください。 既存のソースタイプを選択しても⽬的の結果が得られない場合は、このトピックの後半の「新しいソースタイプの 定義」を参考に、⽬的通りの結果が得られるように調整してください。 1. [ソースタイプ:システムのデフォルト] ボタンをクリックします。 ソースタイプのカテゴリ⼀覧が表⽰されます。各カテゴリ下には、その⽅ゴリ内のソースタイプのリストが表⽰さ れます。 2. データに最適なカテゴリ上にマウス・カーソルを移動します。そのカテゴリ下のソースタイプが、ポップアッ プ・メニューに表⽰されます。 3. データに適したソースタイプを選択します。新しいソースタイプでデータがどのようになるかを⽰すために、 データのプレビュー・パネルが更新されます。 注意: スクロールしないとカテゴリ内のすべてのソースタイプを参照できないこともあります。 4. 前述の「ソースタイプの確認と設定」に従って、データを再確認します。 新しいソースタイプの定義 既存のソースタイプを選択しても、データが正しく認識されない場合は、新しいソースタイプを定義して、イベン ト分割、タイムスタンプ認識、およびその他のパラメータを設定して、Splunk Enterprise が正しくデータを認識 できるまで調整を⾏います。 これらのパラメータの変更およびソースタイプの定義については、このマニュアルの「イベント処理の変更」を参 照してください。 イベント処理の変更 Splunk Enterprise によるデータの処理結果 (「イベント・データのソースタイプの表⽰と設定」を参照) に満⾜ できない場合は、データ・プレビュー機能を使ってイベント処理設定を変更し、その設定を新しいソースタイプと して保存することができます。主な⼿順を以下に⽰します。 1. イベント・データを表⽰します。詳細は、「ソースタイプのイベント・データの表⽰と設定」を参照してくださ い。 19 2. イベント処理設定を変更します。 3. 変更による影響を確認し、満⾜のいく結果が得られるまで、調整を繰り返します。 4. 設定を新しいソースタイプとして保存します。 新しいソースタイプは、任意の⼊⼒に適⽤することができます。 イベント処理設定の変更 Splunk Enterprise ではデフォルトで、新しいソースタイプを定義することができます。そのためには、[ソース タイプの設定] ページの [ソースタイプ:システムのデフォルト] ドロップダウンを利⽤します。新しいソースタイ プを作成するには、後述の説明に従ってイベント分割およびタイムスタンプ・パラメータを設定し、それを保存し ます。 [ソースタイプの設定] ページの左側には、3 種類の調整作業を⾏うためのタブとリンクがあります。 イベント改⾏: Splunk Enterprise がデータをイベントに分割する⽅法を調整します。 タイムスタンプ: Splunk Enterprise がイベントのタイムスタンプを決定する⽅法を調整します。 詳細: props.conf を直接編集します。 イベント改⾏ イベント分割パラメータを変更するには、[イベント改⾏] バーをクリックして展開します。バーに以下のボタン が表⽰されます。 ⾃動 - データ内で⾒つかったタイムスタンプに基づいてイベント分割を⾏います。 各⾏ - 各⾏が単⼀のイベントとみなされます。 正規表現... - データのイベントへの分割に使⽤する正規表現を指定する場合は、このボタンをクリックしま す。 イベント分割 (改⾏) の詳細は、「イベントの⾏分割の設定」を参照してください。 正規表現の構⽂と使⽤⽅法の概要については、Regular-Expressions.info を参照してください。正規表現をテス トするには、rex サーチ・コマンドを使⽤します。正規表現式を作成、テストするために役⽴つサードパーティ製 ツールのリストも⽤意されています。 タイムスタンプ 20 タイムスタンプ認識パラメータを変更するには、[タイムスタンプ] をクリックして、それを展開します。バーに 以下のオプションが表⽰されます。 [抽出] では、以下のいずれかのオプションを選択することができます。 ⾃動 - Splunk Enterprise がタイムスタンプを⾃動検出します。 現在の時刻 - ローカル・インスタンス上の現在の時刻が使⽤されます。 詳細 - 調整するための⾼度なパラメータが表⽰されます。 [詳細] パラメータを以下に⽰します。 タイムゾーン - イベントに使⽤するタイムゾーンを選択します。 タイムスタンプ形式 - データ内のタイムスタンプの検索時に使⽤する、タイムスタンプ形式を表す⽂字列を ⼊⼒します。 タイムスタンプ・プリフィックス - タイムスタンプの前に登場する⽂字を表す正規表現を⼊⼒します。 先読み - タイムスタンプのためにイベント (または、[タイムスタンプ・プリフィックス] に指定した正規表 現) を調査する⽂字数を⼊⼒します。 重要: [タイムスタンプ形式] フィールドにタイムスタンプのフォーマットを指定し、タイムスタンプが各イベン トの開始点付近に存在していない場合は、[タイムスタンプ・プリフィックス] フィールドにプリフィックスを指 定する必要があります。そうしないと、フォーマット処理を⾏えず、各イベントには strptime を使⽤できない旨 の警告が含まれます。(それでも、Splunk が問題にどのように対処するのかによっては、有効なタイムスタンプが 得られる可能性があります。) タイムスタンプ設定の詳細は、「タイムスタンプの設定」を参照してください。 詳細 詳細パラメータを変更するには、[詳細] バーをクリックして、それを展開します。バーに、props.conf ファイルを 直接編集してソースタイプのプロパティを指定できるオプションが表⽰されます。 ここでは、属性と値のペアを指定することで、ソースタイプのプロパティを追加または変更することができます。 これらのプロパティの設定⽅法の詳細は、props.conf を参照してください。 このボックスは、編集しているソースタイプの、現在の完全なプロパティセットが表⽰されています。これには、 以下の情報が含まれています。 [イベント改⾏] または [タイムスタンプ] タブで⾏われた変更により⽣成された設定 ([適⽤] ボタンをク リックした後)。 最初にデータプレビュー機能にファイルを取り込んだ時に⾃動検出された、または⼿動で選択したソースタ イプの既存の設定。 [その他の設定] テキストボックスから適⽤した任意の設定 ([設定の適⽤] ボタンをクリックした後) 21 ソースタイプのプロパティの設定⽅法の詳細は、『Configuration file reference』の props.conf に関するトピッ クを参照してください。また、タイムスタンプ設定およびイベントの⾏分割に関するトピックも参照してくださ い。 Splunk Enterprise が複数の設定を組み合わせる⽅法 [詳細] で⾏った設定が常に優先されます。たとえば、[タイムスタンプ] タブでタイムスタンプ設定を変更し、ま た [詳細] でも競合するタイムスタンプの変更を⾏った場合、どちらの変更を先に⾏った場合でも、[詳細] での変 更が優先されます。 この最⾼優先度の設定から始まって、残りの設定が順番に組み合わせられます。 [詳細] モードでの変更 [イベント改⾏]/[タイムスタンプ] の変更 基盤となるソースタイプの設定 すべてのソースタイプのデフォルトのシステム設定 また、[詳細] で変更を⾏った後に、[イベント改⾏] タブまたは [タイムスタンプ] タブに戻った場合、それらのタ ブでその変更は表⽰されません。 変更内容の確認 変更の効果を確認する準備ができたら、[設定の適⽤] を選択します。画⾯が更新され、変更した設定がデータに 与える影響を確認することができます。 さらに変更を⾏いたい場合は、これまでに説明した 3 種類の調整⽅法を使って、さらに調整を繰り返します。そ の後もう⼀度 [変更の適⽤] を選択して、変更がデータに与える影響を確認します。 変更内容を新しいソースタイプとして保存 変更内容を新たなソースタイプとして保存するには、[ソースタイプ] ボタンの隣りにある緑⾊の [名前を付けて保 存] ボタンをクリックします。ダイアログ・ボックスが表⽰されます。ここでは、ソースタイプ名の指定、[ソース タイプ] ボタンを押した時に表⽰される所属先カテゴリの選択、および使⽤するアプリケーション・コンテキスト の指定を⾏えます。 1. 新しいソースタイプの [名前] を⼊⼒します。 2. ソースタイプの [説明] を⼊⼒します。 3. [ソースタイプ] ボタンの選択時に、ソースタイプを表⽰させる [カテゴリ] を選択します。 4. 新しいソースタイプを使⽤する [App] を選択します。 5. 緑⾊の [保存] ボタンをクリックしてソースタイプを保存し、[ソースタイプの設定] ページに戻ります。 この時点で、以下の作業を⾏えます。 緑⾊の [次へ] ボタンをクリックしてデータにソースタイプを適⽤し、[⼊⼒設定] ページに進みます。 ⽩い [<] ボタンをクリックすると元のページに戻って、アップロード/モニターする新しいファイルを選択す ることができます。 [データの追加] をクリックすると、[データの追加] ウィザードの先頭に戻ります。 データプレビューと分散 Splunk Enterprise データプレビュー機能を使って新しいソースタイプを作成し、それを特定のファイル/ディレクトリまたは TCP/UDP からの⼊⼒に割り当てることができます。データプレビュー機能は新しいソースタイプを、実⾏してい る Splunk Enterprise インスタンスの props.conf 設定ファイルに保存します。他の Splunk Enterprise インスタ ンス上でこのソースタイプを使⽤したい場合は、必要に応じてこのファイルを配布することができます。 フォワーダー がデータを収集して、それをインデクサーに転送する分散環境で、新しいソースタイプを使⽤する には、2 つのステップに分けて作業を⾏います。 1. ソースタイプ定義を含む props.conf ファイルを、そのソースタイプを使ってデータのインデックスを作成する任 22 ソースタイプ定義を含む props.conf ファイルを、そのソースタイプを使ってデータのインデックスを作成する任 意のインデクサーに配布します。 2. 次に、それらのインデクサーにデータを転送するフォワーダー上で⼊⼒を定義する際に、その新しいソースタイ プを使⽤します。 フォワーダーがインデクサーに新しいソースタイプのタグが付いたデータを送信すると、インデクサーはそれを正 しく処理してイベントを作成することができます。 ここでは、まずデータプレビュー機能が作成する設定ファイルについて説明します。次に、デプロイ環境内のイン デクサーにファイルを配布する⽅法を説明していきます。最後に、フォワーダー上で⼊⼒を定義する際の、新しい ソースタイプの指定⽅法について説明します。 分散 Splunk Enterprise の詳細は、『分散デプロイ』マニュアルを参照してください。 props.conf ファイル [ソースタイプの設定] ページで新しいソースタイプを作成すると、ソースタイプの保存時に選択した App 内の props.confファイルに、ソースタイプ定義がスタンザとして保管されます:たとえば、[サーチとレポート] App を選択すると、ファイルは $SPLUNK_HOME/etc/apps/search/local/props.conf に保管されます。唯⼀の例外は [システ ム] App です。ソースタイプの保存時にこの App を選択すると、ファイルは $SPLUNK_HOME/etc/system/local. に保 管されます。 初めてデータ・プレビューを使ってソースタイプを作成する場合、ソースタイプの保存時に選択した App ⽤の ディレクトリ内に新たな props.conf ファイルが⽣成されます。後ほど他のソースタイプを作成した場合、そのソー スタイプも同じ props.conf に保管されます。 注意: Splunk Enterprise インスタンスに同じ設定ファイルの異なるバージョンが、それぞれ違うディレクトリ に保管されている場合もあります。Splunk Enterprise は実⾏時に⼀定の規則に基づいて、これらの設定ファイル の内容を組み合わせます。設定ファイルの仕組みの詳細については、「設定ファイルについて」および「設定ファ イルの優先度」を参照してください。 他のインデクサーへの props.conf の配布 新しいソースタイプを作成したら、データプレビューの props.conf ファイルを他の Splunk Enterprise インスタ ンスに配布することができます。ファイルが配布されたインスタンスは、その新しいソースタイプのタグが設定さ れている、任意の受信データのインデックスを作成することができます。 ⼀般的には、ターゲット Splunk Enterprise インスタンス上の、独⾃の App ディレクトリ (例:$SPLUNK_HOME/etc/apps/splunk_datapreview/local/) に設定ファイルを保管します。 他の Splunk インスタンスに設定ファイルを配布するために、Splunk のデプロイサーバー や他の配布ツールを 使⽤することができます。デプロイサーバーの使⽤⽅法については、『Splunk インスタンスの更新』マニュアル を参照してください。 注意: Splunk Enterprise は props.conf 内のソースタイプ定義を使⽤して、受信データをイベントにパーシング します。そのため、パーシング を実⾏する Splunk Enterprise インスタンス、つまりインデクサーまたはヘビー フォワーダー にのみファイルを配布することができます。 フォワーダーの⼊⼒への新しいソースタイプの指定 フォワーダー (ヘビーフォワーダーを除く) には Splunk Web が含まれていないため、⼀般的に⼊⼒の設定には inputs.conf 設定ファイルを使⽤します。このファイルに⼊⼒を指定する場合、⼊⼒のソースタイプも指定するこ とができます。inputs.conf の詳細は、「設定ファイルリファレンス」の inputs.conf に関するセクションを参照し てください。 フォワーダーの⼊⼒に新しいソースタイプのタグを設定するには、inputs.conf 内の⼊⼒スタンザにソースタイプ を追加します。例: [tcp://:9995] sourcetype = new_network_type フォワーダーからデータを受信するすべてのインデクサーに、新しいソースタイプ定義 (例:new_network_type) が含まれている props.conf ファイルのコピーがあることを確認する必要があります。フォワーダーがインデクサー にデータを送信すると、インデクサーは新たなソースタイプを識別し、正しくデータをフォーマットすることがで きます。props.conf の配布⼿順については、「他のインデクサーへの props.conf の配布」を参照してください。 データプレビューとサーチヘッドプーリング 分散サーチ環境 でサーチヘッドプーリング 機能を使っている場合、Splunk Web にデータのプレビューが適切 に表⽰されるように、いくつかのガイドラインに従う必要があります。これは、データプレビュー機能が内蔵の App として実装されているためです。詳細は、『分散サーチ』マニュアルの「アップグレード後に Splunk Web に不⾃然または不正確な項⽬が表⽰される」を参照してください。 ⼊⼒設定の変更 ここでは、[ソースタイプの設定] ページでデータ・ソースを設定した後に表⽰される [⼊⼒の設定] ページについ て説明していきます。 23 ソースの選択 (または単⼀ファイルのアップロード/モニター時のソースタイプの設定) 後には、以下のページが表 ⽰されます。 このページでは、ソースタイプ、アプリケーション・コンテキスト、ホスト値、⼊⼒からのデータを保管するイン デックスなどの、データ⼊⼒に対する追加のパラメータを設定できます。 利⽤できる⼊⼒設定を以下に⽰します。 ソースタイプ [ソースタイプ] では、データに適⽤するソースタイプを指定できます。これは、以下のようなソースを選択した場 合に表⽰されます。 単⼀のファイルではない、または アップロードしたファイルではない データ・ソースがどちらの基準も満たさない場合、[ソースタイプ] 設定は表⽰されません。 ソースタイプを指定するには、3 種類のいずれかのボタンを選択します。 ⾃動 :データにデフォルトのソースタイプを適⽤します。 選択 :データに指定したソースタイプを適⽤します。[選択] をクリックすると、ドロップダウンにそのマシ ンで利⽤できるすべてのソースタイプが、カテゴリ別に表⽰されます。まず⽬的のソースタイプに合ったカ テゴリを選択し、次にリストからソースタイプを選択してください。 マニュアル :以下のフィールドに⼊⼒したソースタイプを使⽤します。 App コンテキスト [App コンテキスト] 設定には、⼊⼒がデータを収集するコンテキストを指定します。App コンテキストによ り、⼊⼒およびソースタイプ定義の管理性が向上します。すべての App コンテキストは、優先順位に基づいて読 み込まれます。『管理マニュアル』の「設定ファイルの優先度」を参照してください。 ドロップダウンをクリックして、この⼊⼒に対する⽬的のアプリケーション・コンテキストを選択します。 ホスト値 Splunk Enterprise は、インデックスを作成した各イベントにホスト値でタグを設定します。イベントへのタグの 設定⽅法を指定することができます。 定数値 :[ホスト・フィールドの値] フィールドに指定した値を使⽤します。host フィールドのこの値で、各 イベントにタグが設定されます。後ほど同じ値を持つこの host フィールドをサーチすることができます。 パスの正規表現 :データを含むファイルのパスから、ホスト値を抽出する場合に使⽤します。下の [正規表 現] フィールドに、有効な正規表現を⼊⼒します。この正規表現を使って、パスからホスト名が抽出されま す。「ホストについて」を参照してください。 パスのセグメント :ソース⼊⼒パス名内のセグメントを使ってホスト値を決定する場合に、この設定を使⽤ します。下の [セグメント番号] フィールドには、セグメント番号を⼊⼒します。 たとえば、ソース⼊⼒のパス名が /var/server/<hostname> で、hostname に基づいてホスト・フィールドを設定したい 場合は、[パスのセグメント] を選択してセグメント番号として 3 を⼊⼒します (<hostname> はパス /var/log/hostname 内の 3 番⽬のセグメントであるため)。 インデックス [インデックス] には、この⼊⼒のイベントを保管するインデックスを指定します。デフォルトのインデックスを使 ⽤するには、[デフォルト] を設定します。他のインデックスを選択する場合は、ドロップダウン・ボタンをクリッ クしてデータを保管するインデックスを選択します。データを保管するインデックスがリストに記載されていない 場合、適切な権限があれば、[新しいインデックスの作成] ボタンをクリックして、新しいインデックスを作成す ることができます。 選択が完了したら、緑⾊の [次へ] ボタンをクリックして、最終ステップの [データの追加] に進むことができま す。 24 ファイルやディレクトリからデータを収集 ファイルとディレクトリのモニター Splunk Enterprise には、monitor 、MonitorNoHandle 、および upload の 3 つのファイル⼊⼒プロセッサが あります。 monitor を使ってファイルやディレクトリからの、ほぼすべてのデータ・ソースを追加することができます。た だし、履歴データのアーカイブなど、1 回限り取り込むようなデータには、upload を使⽤することもできます。 Windows システムでは、MonitorNoHandle を使って、システムがローテーションを⾃動的に⾏うファイルを モニターすることができます。MonitorNoHandle は、Windows システム上でのみ機能します。 モニターまたはアップロードする⼊⼒を、以下の任意の⽅法を使って追加することができます。 Splunk Web CLI inputs.conf CLI または inputs.conf を使って、MonitorNoHandle に⼊⼒を追加することができます。 [ソースタイプの設定] ページを使って、Splunk Enterprise がファイルのデータに対してどのようなインデックス を作成するかを確認することができます。詳細は「[ソースタイプの設定] ページ」を参照してください。 Splunk Enterprise のモニターの仕組み ファイルやディレクトリへのパスを指定すると、Splunk Enterprise のモニター⽤ monitor プロセッサはその ファイルまたはディレクトリに書き込まれる新しいデータを取り込みます。これによって、J2EE または .NET ア プリケーションなどからのライブアプリケーションログ や Web アクセスログなどのログ情報をモニターすること ができます。Splunk Enterprise は継続的にファイルやディレクトリをモニターし、新たなデータが到着するとイ ンデックスを作成します。Splunk Enterprise がディレクトリからデータを読み込めるならば、NFS を含めたマ ウントされたディレクトリや共有ディレクトリを指定することもできます。指定されたディレクトリ内にサブディ レクトリがある場合、Splunk Enterprise はそれらのディレクトリも再帰的に調査して新たなファイルのデータを 取り込みます。 モニター設定に指定されたファイルまたはディレクトリは、Splunk Enterprise の起動および再起動時にチェック されます。起動時にファイルやディレクトリが存在していなかった場合、Splunk Enterprise は最後の再起動時刻 から 24 時間ごとに再チェックを⾏います。また Splunk Enterprise は、モニター対象ディレクトリのサブディ レクトリも、継続的にスキャンします。Splunk Enterprise を再起動せずに新しい⼊⼒を追加したい場合は、 Splunk Web または CLI を使⽤します。Splunk Enterprise に⾃動的に新たな⼊⼒候補を探させる場合は、CLI コマンドの crawl を使⽤します。 モニターを使⽤する場合、以下の事項に注意してください。 ⼤半のファイルシステムでは、書き込み中でもファイルを読み取ることができます。ただし、Windows ファイルシステムには、書き込み中のファイルの読み取りを防⽌する機能があり、⼀部の Windows プログ ラムはこの機能を使⽤しています。書き込み中のファイルを読み取りたい場合は、MonitorNoHandle ⼊⼒を使 ⽤することができます。 対象とする、または除外するファイルやディレクトリを、ホワイトリスト とブラックリスト を使って指定 することができます。 再起動すると、Splunk Enterprise は処理を中断した時点からファイルの処理を再開します。 アーカイブファイルは、そのインデックスを作成する前に解凍されます。次のような、⼀般的なアーカイブ ファイルタイプを処理することができます:tar, gz, bz2, tar.gz, tgz, tbz, tbz2, zip、および z。 既存のアーカイブファイルに新しくデータを追加した場合、その新たなデータだけではなく、ファイル内の すべてのデータのインデックスが再作成されます。そのため、イベントの重複が発⽣する可能性がありま す。 Splunk Enterprise はログファイルのローテーションを検出して、すでにインデックスを作成している、名 前が変更されたファイルの処理は⾏いません (tar と .gz は例外です、詳細は、このマニュアルの「ログファ イルのローテーション」を参照してください)。 dir/filename パスの全⻑は、1024 ⽂字以下でなければなりません。 コマンドラインまたは [システム] を使ってファイルベースの⼊⼒を無効化または削除しても、その⼊⼒で処 理中のファイルのインデックス作成は中断されません。ファイルの再チェックは中⽌されますが、中⽌時点 でのすべてのデータのインデックスが作成されます。すべてのデータ処理を中⽌するには、Splunk Enterprise サーバーを再起動する必要があります。 Splunk Enterprise は、ファイル拡張⼦ .splunk を持つファイルのインデックスを作成しません。これは、 Splunk Enterprise がこの拡張⼦を持つファイルを、メタデータ情報を持つファイルと想定しているためで す。.splunk 拡張⼦を持つファイルのインデックス作成が必要な場合は、 add oneshot CLI コマンドを使⽤し てください。 モニター⼊⼒がオーバーラップしている場合もあります。スタンザ名が異なっている限り、Splunk Enterprise は それらを別個のスタンザとして取り扱い、スタンザにもっとも⼀致するファイルが、そのスタンザの設定に従って 処理されます。 アップロードまたはバッチを使⽤する理由 静的ファイルのインデックスを 1 回作成するには、Splunk 上で [アップロード] を選択します。Splunk Enterprise はファイルを 1 回のみモニターします。 同じ⽬的で CLI コマンドの してください。 add oneshot または spool を使⽤することもできます。詳細は、「CLI の使⽤」を参照 25 ファイルを 1 回のみ読み込んで、その後破棄するには、inputs.conf の batch ⼊⼒タイプを使⽤します。デフォル トで、Splunk の batch プロセッサは、$SPLUNK_HOME/var/spool/splunk にあります。このディレクトリにファイルを 移動すると、それのインデックスが作成され、その後ファイルが削除されます。 注意: ファイルアーカイブの読み込みのベストプラクティスについては、コミュニティ Wiki の「How to index different sized archives」を参照してください。 MonitorNoHandle の使⽤理由 この Windows 専⽤⼊⼒を利⽤すれば、Windows システム上の書き込み中のファイルを読み取ることができま す。そのために、カーネルモードのフィルタドライバを使って、ファイルに書き込み中の raw データを捕捉して います。書き込みのためにロック付きで開かれているファイルを読み込む場合に、この⼊⼒スタンザを使⽤しま す。Windows DNS サーバーのログファイルなど、システムが書き込み⽤にロック付きで開いているファイルに 対して、この⼊⼒スタンザを使⽤できます。 注意: MonitorNoHandle では、単⼀のファイルのみをモニターできます。ディレクトリをモニターすることはできま せん。モニター対象として選択したファイルがすでに存在している場合、Splunk は現在の内容のインデックスは 作成せずに、新たにファイルに書き込まれるデータのみインデックスを作成します。 Splunk Web の使⽤ Splunk Web を使って、ファイルやディレクトリからの⼊⼒、または Splunk Enterprise インスタンスがモニ ターできる他の⼊⼒を追加することができます。 A. [新規追加] ページに移動 ⼊⼒ (データの取り込み) は、Splunk Web の [新規追加] ページから追加します。「データの追加⽅法は?」を参 照してください。 2 種類の⽅法でこのページを表⽰できます。 Splunk ホーム Splunk 設定 Splunk 設定を使⽤する場合: 1. Splunk Web の右上にある [設定] をクリックします。 2. [設定] ポップアップの [データ] セクションで、[データ⼊⼒] をクリックします。 3. [ファイルとディレクトリ] をクリックします。 4. [新規] ボタンをクリックして、⼊⼒を追加します。 Splunk ホームを使⽤する場合: 1. Splunk ホームの [データの追加] リンクをクリックします。 2. ファイルをアップロードするには [アップロード] を、ファイルをモニターするには [モニター] を、ファイル を転送するには [転送] をクリックします。 注意: ファイルの転送には、追加設定が必要です。『データの転送』マニュアルの「転送と受信の設定」を参照 してください。 B. ⼊⼒ソースの選択 1. ファイルまたはディレクトリ⼊⼒を追加するには、[ファイルとディレクトリ] をクリックします。 2. [ファイルまたはディレクトリ] フィールドで、ファイルまたはディレクトリへのフルパスを指定します。 共有ネットワークドライブをモニターするには、次のように⼊⼒します:<myhost>/<mypath>(Windows の場合は \\<myhost>\<mypath>)。Splunk Enterprise に、マウントされたドライブ、およびモニター対象ファイルに対する読 み取り権限があることを確認してください。 3. Splunk Enterprise によるファイルのモニター⽅法を選択します。 継続モニター :継続的なデータ取り込み (⼊⼒) を設定します。Splunk Enterprise はファイルの新しい データを継続的にモニターします。このオプションの詳細設定については、次のセクションを参照してくだ さい。 1 回インデックスを作成 :サーバーから Splunk Enterprise に、ファイルをコピーします。 4. 緑⾊の [次へ] ボタンをクリックします。 [ファイルまたはディレクトリ] フィールドでディレクトリを指定した場合、画⾯が更新され [ホワイトリス ト] および [ブラックリスト] フィールドが表⽰されます。これらのフィールドには、Splunk Enterprise が 含める (ホワイトリスト) または除外する (ブラックリスト) ファイルを照合するために使⽤する正規表現を 指定できます。「ホワイトリストまたはブラックリスト固有の到着データ」を参照してください。 それ以外の場合は、データのプレビューを⾏えます。 C. データのプレビューとそのソースタイプの設定 26 新しいファイル⼊⼒を追加する場合、データのソースタイプ を設定して、それがインデックス作成後にどのよう に表⽰されるかを設定します。そうすることにより、データが適切にフォーマットされ、必要な調整が⾏われるこ とが保証されます。 詳細は、「[ソースタイプの設定] ページ」を参照してください。 ページの使⽤⽅法については、「イベント・データのソースタイプの表⽰と設定」を参照してください。 データ・プレビューをスキップすることを選択すると、[⼊⼒設定] ページが表⽰されます。 注意: Splunk Enterprise では、ディレクトリやアーカイブされたファイルのプレビューを表⽰できません。 D. ⼊⼒設定の指定 [⼊⼒設定] ページでは、アプリケーション・コンテキスト、デフォルトのホスト値、およびインデックスを指定 できます。これらのパラメータは省略することができます。 1. この⼊⼒の適切なアプリケーション・コンテキスト を選択します。 2. ホスト 名の値を設定します。さまざまな選択肢があります。ホスト値の設定の詳細は、「ホストについて」を 参照してください。 注意: [ホスト] は、イベントの host フィールドの設定のみを⾏います。Splunk Enterprise にネットワー ク上の特定のホストを探すように指⽰するものではありません。 3. この⼊⼒のデータを保管するインデックス を設定します。複数のインデックスを定義しており、それらの中の 1 つを使⽤する場合を除き、この値は「default」のままにしてください。ユーザーデータ⽤のインデックスに加 えて、Splunk Enterprise にはさまざまなユーティリティインデックスが存在しています。これらのインデックス も、このドロップダウンボックスに表⽰されます。 4. 緑⾊の [確認] ボタンをクリックします。 E. 選択項⽬の確認 ⼊⼒設定をすべて指定したら、選択内容をレビューすることができます。Splunk Enterprise には、モニターのタ イプ、ソース、ソースタイプ、アプリケーション・コンテキスト、インデックスなど (これ以外が表⽰されること もあります) の、選択したオプションが表⽰されます。 設定を確認します。意図通りの内容でない場合は、灰⾊の [< ] ボタンをクリックして、ウィザードの前のステップ に戻ります。そうでない場合は、緑⾊の [送信] ボタンをクリックします。 [成功] ページが表⽰され、指定されたファイルまたはディレクトリのインデックス作成が開始されます。 CLI の使⽤ ファイルやディレクトリを Splunk Enterprise のコマンドラインインターフェイス (CLI) を使ってモニターしま す。CLI を使⽤するには、コマンドプロンプトまたはシェルから $SPLUNK_HOME/bin/ ディレクトリに移動して、そ こで splunk コマンドを使⽤します。 何か分からないことがある場合、CLI にはヘルプが⽤意されています。CLI メインヘルプにアクセスするに は、splunk help と⼊⼒します。各コマンドには、それぞれ独⾃のヘルプページが⽤意されています。splunk help <command> と⼊⼒してください。 ⼊⼒設定⽤の CLI コマンド CLI を使った⼊⼒設定には、以下のコマンドを利⽤できます。 コマン ド コマンドの構 ⽂ 対処 add monitor add monitor <source> [parameter <source> からの⼊⼒をモニターします。 value] ... edit monitor edit monitor <source> [parameter 前に追加した <source> の⼊⼒を編集します。 前に追加した <source> の⼊⼒を削除します。 value] ... remove monitor list monitor add oneshot remove monitor <source> list monitor 現在設定しているモニター⼊⼒を⼀覧表⽰します。 add oneshot <source> ディレクトリを Splunk に直接コピーします。これによりファイルが 1 回アップロードされますが、継続的なモニターは⾏われません。 <source> [parameter value] ... 重要: oneshot コマンドでは、再帰的フォルダやワイルドカードをソースとして使⽤ することはできません。このコマンドを使⽤する場合は、対象ファイルの正確な 27 spool value] ... ソースパスを指定してください。 spool <source> <source> を Splunk に、sinkhole ディレクトリ経由でコピーします。このコマン ドは add oneshot コマンドと似ていますが、即座に追加されるのではなく、 sinkhole ディレクトリからスプールされるという違いがあります。 追加のパラメータを設定して、各データ⼊⼒の設定を変更します。パラメータは次の構⽂で設定します:parameter value。 注意: コマンドあたり、1 つの パラメータ -hostname、-hostregex、または -hostsegmentnum 必 須? を設定することができます。 説明 新しい⼊⼒をモニター/アップロードするための、ファイルまたはディレクトリへのパ ス。 はい 注意: 他のパラメータと違い、このパラメータの構⽂は単純に値で、パラメータフラグ が先頭に付けられることはありません。「<source>」であり、「-source <source>」ではあ りません。 <source> sourcetype いい ⼊⼒ソースからのイベントの sourcetype フィールド値を指定します。 え index いい ⼊⼒ソースからのイベントの、宛先インデックスを指定します。 え hostname host ⼊⼒ソースからのイベントの、host フィールド値として設定するホスト名を指定しま または いい す。 え 注意: これらは機能的に同等です。 hostregex は また host_regex hostsegmentnum または host_segment rename-source ソースキーから host フィールド値を抽出するために使⽤する、正規表現を指定しま いい す。 え 注意: これらは機能的に同等です。 整数で、パスのどの「/」で区切られたセグメントを、host フィールドの値として設定 するのかを決定します。たとえば、3 を設定すると、パス内の 3 番⽬のセグメントが使 いい ⽤されます。 え 注意: これらは機能的に同等です。 いい このファイルからのデータに適⽤する、「source」フィールドの値を指定します。 え 「true」または「false」を設定します。デフォルトは偽 (False) です。 follow-only 真 (True) を設定した場合、Splunk Enterprise はソースの末尾から読み込みます いい (UNIX コマンドの「tail -f」と同様)。 え 注意: add oneshot に対してこのパラメータを使⽤することはできません。 例 1:ディレクトリ内のファイルのモニター /var/log/ ディレクトリ内のファイルのモニター⽅法を以下の例に⽰します。 データ⼊⼒として /var/log/ を追加します。 ./splunk add monitor /var/log/ 例 2:windowsupdate.log のモニター Windows Update ログファイル (Windows ログは⾃動的に更新される) をモニターして、データをインデックス 「newindex」に保管する⽅法の例を以下に⽰します。 データ⼊⼒として C:\Windows\windowsupdate.log を追加します。 ./splunk add monitor C:\Windows\windowsupdate.log -index newindex 例 3:IIS ロギングのモニター Windows IIS ログのデフォルトの場所をモニターする⽅法を以下の例に⽰します。 28 データ⼊⼒として C:\windows\system32\LogFiles\W3SVC を追加します。 ./splunk add monitor c:\windows\system32\LogFiles\W3SVC 例 4:ファイルのアップロード Splunk にファイルをアップロードする⽅法を以下に⽰します。前の例と違い、Splunk Enterprise は 1 回だけ データを取り込みます。継続的にモニターすることはありません。 add oneshot コマンドで、/var/log/applog を直接 Splunk にアップロードします。 ./splunk add oneshot /var/log/applog spool コマンドを使って、sinkhole ディレクトリ経由でファイルをアップロードすることもできます。 ./splunk spool /var/log/applog どちらのコマンドを使っても、結果は同じです。 inputs.conf の編集 ⼊⼒を追加するには、$SPLUNK_HOME/etc/system/local/ にある inputs.conf、または $SPLUNK_HOME/etc/apps/ 内の独⾃ のカスタム App ディレクトリにある inputs.conf に、スタンザ を追加します。Splunk の設定ファイルで初めて 作業を⾏う場合は、事前に「設定ファイルについて」を参照してください。 ⼊⼒スタンザには複数の属性を設定できます。属性の値を指定しない場合 は、$SPLUNK_HOME/etc/system/default/inputs.conf に定義されているデフォルト値が使⽤されます。 注意: 既存のファイルに新しいコンテンツをコピーして上書きした場合、新たなイベントのインデックスが作成 されるように、ソースの props.conf に CHECK_METHOD = modtime を設定してください。これにより、ファイルの変更 時刻がチェックされ、変更があった場合にインデックスが再作成されます。ファイル全体のインデックスが再作成 されるため、重複するイベントが発⽣する可能性があることに注意してください。 設定の指定 モニター (monitor) とバッチ (batch) には、個別のスタンザタイプが存在しています。モニターとバッチの詳細 は、「ファイルとディレクトリのモニター」を参照してください。 および batch の両⽅の⼊⼒スタンザで使⽤できる属性を以下に⽰します。各⼊⼒タイプ固有の属性につい ては、後述するセクションを参照してください。 monitor 属性 host = <string> index = <string> sourcetype = <string> 説明 ホスト/キーフィールドに、このスタン ザの静的な値を設定します。 ホストキーの初期値を設定します。この キーは、パーシング/インデックス作成 時に使⽤されます (特に host フィール ドの設定時)。サーチ時に使⽤される host フィールドでもあります。 <string> の前には「host::」が付けられ ます。 デフォルト the IP address or fully-qualified domain name of the host where the data originated. main またはデフォル この⼊⼒からのイベントを保管するイン トインデックスに設 デックスを設定します。 定した任意の値 <string> の前には「index::」が付けられ ます。 インデックスフィールドの詳細は、『イ ンデクサーとクラスタの管理』マニュア ルの「インデックス作成の仕組み」を参 照してください。 この⼊⼒からのイベントの sourcetype キー/フィールドを設定します。 このデータのソースタイプを⾃動的に判 断する代わりに、明⽰的に宣⾔します。 このことは、パーシングおよびインデッ クス作成中の、このタイプのデータに対 するサーチ可能性と関連するフォーマッ トの適⽤の両⽅で重要になります。 ソースタイプキーの初期値を設定しま す。このキーは、パーシング/インデッ クス作成時に使⽤されます (特に host 29 データのさまざまな 側⾯に基づいてソー スタイプが選択され ます。ハードコード 化されたデフォルト 値はありません。 フィールドの設定時)。サーチ時に使⽤ される source type フィールドでもあり ます。 <string> の前には「sourcetype::」が付 けられます。 ソースタイプの詳細は、このマニュアル の「ソースタイプが重要な理由」を参照 してください。 queue = parsingQueue | indexQueue _TCP_ROUTING = <tcpout_group_name>,<tcpout_group_name>,... host_regex = <regular expression> host_segment = <integer> parsingQueue ⼊⼒プロセッサが、読み込んだイベント をデポジットするかどうかを指定しま す。 データに props.conf および他のパーシン グルールを適⽤する場合は、 「parsingQueue」を設定します。 データを直接インデックスに送信する場 合は、「indexQueue」を設定します。 tcpout グループ名のカンマ区切りリス トを指定します。 この属性を使⽤して、フォワーダーが データの転送時に使⽤する tcpout グ ループを指定することで、データを特定 のインデクサーに選択的に転送すること ができます。 tcpout グループ名は、outputs.conf の [tcpout:<tcpout_group_name>] スタンザに 設定します。 この設定のデフォルトは、outputs.conf の [tcpout] スタンザにある 「defaultGroup」に存在するグループ になります。 指定した場合、正規表現は各⼊⼒のファ イル名からホストを抽出します。 特に、最初の正規表現グループがホスト として使⽤されます。 指定した場合、パスのセグメントがホス トとして設定されます。セグメント は、<integer> で判断されます。たとえ ば、host_segment = 2 の場合、パスの 2 番⽬のセグメントがホストとして設定さ れます。パスのセグメントは、「/」⽂ 字により分割されます。 outputs.conf の [tcpout] スタンザに ある 「defaultGroup」 に存在するグルー プ。 正規表現に⼀致しな い場合は、デフォル トの「host =」属性 が使⽤されます。 値が整数でない、ま たは 1 未満の場合 は、デフォルトの 「host =」属性が使 ⽤されます。 モニターの構⽂と例 ⼊⼒のモニタースタンザは、<path> 内のすべてのファイル (または、単⼀のファイルを表している場合は <path> の み) を監視するように Splunk Enterprise に指⽰しています。⼊⼒タイプを指定し、次にパスを指定します。root ディレクトリから開始する場合はパスに 3 つのスラッシュを配置します。 パスにはワイルドカードを使⽤できます。詳細は、このマニュアルの「ワイルドカードを使った⼊⼒パスの指定」 を参照してください。 [monitor://<path>] <attrbute1> = <val1> <attrbute2> = <val2> ... ⼊⼒のモニタースタンザの定義時に使⽤できる、その他の属性を以下に⽰します。 属性 source = <string> 説明 この⼊⼒からのイベントの source キー/フィールドを設定します。 注意: source キーに優先する設定を⾏うことは、⼀般的にお勧めできません。 通常⼊⼒レイヤーは、データの取得場所を正確に記録し、問題の分析と調査を⽀ 援するために、より正確な⽂字列を提供しています。この値に優先する設定を⾏ う前に、ソースタイプ、タグ設定、およびワイルドカードを使ったサーチの使⽤ を検討してください。 30 デ フォ ルト ⼊⼒ ファ イル パス <string> の前には「source::」が付けられます。 N/A crcSalt = CRC (周期的冗⻑検査) が⼀致するファイルを取り込むように強制する場合、この 設定を使⽤します。(Splunk は CRC チェックを、ファイルの最初の数⾏に対し てのみ実⾏します。この動作により、同じファイルのインデックスを 2 回作成す ることを防⽌します (ログファイルのローテーションなどで、ファイル名を変更 した場合でも)。ただし、CRC はファイルの最初の数⾏のみを使⽤しているた め、同じ CRC を持つ、異なるファイルが存在する可能性もあります (特に同じ ヘッダーを保有している場合)。) 設定した場合、string が CRC に追加されます。 <SOURCE> を設定した場合、CRC にはソースのフルパスが追加されます。これによ り、モニター対象の各ファイルに対して、⼀意の CRC が保証されます。 ローテーションされるログでこの属性を使⽤する場合、注意が必要です。ロー テーションされた後に、ログファイルが再度インデックスされる可能性がありま す。 注意: この設定では、⼤⽂字と⼩⽂字が区別されます。 <string> 0 変更時刻 (modtime) が <time window> 閾値を超えた場合に、モニターしている⼊ (無 ⼒の、ファイル更新チェックを中⽌します。モニター対象ディレクトリ階層に⼤ 効) 量の履歴ファイルがある場合、これによりファイル追跡操作の速度が改善します (たとえば、アクティブなログファイルが、もはや書き込まれない古いファイルと 共存している場合)。 注意: 初回モニター時に modtime が <time window> の範囲外のファイルのイン デックスは作成されません。 次の値でなければなりません:<number><unit>。たとえば、「7d」は⼀週間を表し ています。有効な単位は「d」 (⽇数)、「h」 (時間数)、「m」 (分数)、および 「s」 (秒) です。 ignoreOlderThan = <time window> 0 followTail = 0|1 1 を設定した場合、ファイルの末尾からモニタリングが開始されます (*nix の tail -f と同様)。 これは、ファイルを最初に取得する際にのみ適⽤されます。 その後、Splunk Enterprise は内部ファイル位置レコードを使って、ファイルを 追跡します。 N/A whitelist = 設定した場合、指定した正規表現に⼀致する名前のファイルのみがモニターされ ます。 <regular expression> N/A blacklist = 設定した場合、指定した正規表現に⼀致する名前のファイルはモニターされませ ん。 <regular expression> N/A alwaysOpenFile = 1 を設定すると、Splunk Enterprise はファイルを開いてインデックスがすでに 作成されているかどうかを確認します。 modtime を更新しないファイルでのみ役⽴ちます。 Windows 上のファイルのモニターにのみ使⽤する必要があります (たいていは IIS ログ)。 重要: 負荷が増加しインデックス作成のパフォーマンスが低下するため、このフ ラグは最後の⼿段としてのみ使⽤してください。 0 | 1 true recursive = を設定すると、モニター対象ディレクトリ内に⾒つかったサブディレクトリ は調査しません。 false true|false 3 time_before_close Splunk Enterprise が EOF でファイルを閉じるためには、Modtime の差分が必 要です。 過去 <integer> 秒内に更新されたファイルを閉じないようにシステムに指⽰しま す。 = <integer> true followSymlink = の場合、モニター対象ディレクトリ内に⾒つかったシンボリックリンクは無 視されます。 false true|false 例 1: /apache/foo/logs または /apache/bar/logs 内のすべてをロードします。 [monitor:///apache/.../logs] 例 2: /apache/ 内の .log で終了するものをすべてロードします。 31 [monitor:///apache/*.log] MonitorNoHandle の構⽂と例 Windows システムでのみ、MonitorNoHandle スタンザを使って、Windows ファイルハンドルを利⽤せずに ファイルをモニターすることができます。これにより、Windows の DNS サーバーログファイルなどの、特殊な ログファイルを読み込むことができます。 MonitorNoHandle を使⽤する場合は、ファイルへの有効なパスを指定する必要があります。ディレクトリを指定 することはできません。すでに存在しているファイルを指定した場合、ファイル内の既存のデータのインデックス は作成されません。システムが新たにファイルに書き込むデータのインデックスのみが作成されます。 monitorNoHandle は、inputs.conf または CLI を使ってのみ設定できます。Splunk Web で設定することはできませ ん。 [MonitorNoHandle://<path>] <attrbute1> = <val1> <attrbute2> = <val2> ... バッチ (Batch) の構⽂と例 バッチ (batch) を使って、ソースからの 1 回限りのデータ取り込みを設定することができます。継続的なデータ の取り込みには、monitor を使⽤します。バッチ⼊⼒のインデックスが作成されたら、ファイルは削除 されるこ とに注意してください。 [batch://<path>] move_policy = sinkhole <attrbute1> = <val1> <attrbute2> = <val2> ... 重要: バッチ⼊⼒の定義時には、属性 move_policy = sinkhole を含める必要があります。これにより、ファイルは ロードされた後破棄されます。インデックス作成後に削除したくない場合は、バッチ⼊⼒を使⽤しないでくださ い。 例: この例では、/system/flight815/ ディレクトリからすべてのファイルを読み込みますが、それ以下のサブディ レクトリは対象にしません。 [batch://system/flight815/*] move_policy = sinkhole ワイルドカードを使った⼊⼒パスの指定 このトピックは、inputs.conf 内のパスへのワイルドカードの指定⽅法について説明しています。inputs.conf を 使って⼊⼒を指定する場合にのみ適⽤されます (このマニュアルの「inputs.conf の編集」を参照)。 重要 :inputs.conf 内の⼊⼒パスの指定には、正規表現を使⽤せずに、Splunk が定義したワイルドカードを使⽤し ます。 ワイルドカードの概要 ワイルドカードは、テキストのサーチ時または複数のファイルやディレクトリの選択時に、1 つまたは複数の⽂字 列を表す⽂字です。Splunk Enterprise では、ワイルドカードを使って⼊⼒をモニターする⼊⼒パスを指定するこ とができます。 ワイ ルド カー ド 同等 の正 規表 現 説明 例 /foo/.../bar.log はファイル /foo/1/bar.log、/foo/2/bar.log、/foo/1/2/bar.log などに⼀致します。 省略記号ワイルドカードは、ディレクトリおよび 任意のレベルのサブディレクトリを対象に⼀致項 ⽬を探します。 ... 注意:ワイルドカードの後にフォルダ区切り⽂字 が指定されている場合 (//var/log/.../file)、最初 のフォルダ・レベルとは照合されず、サブフォル ダとのみ照合されます。 32 次の項⽬とは⼀致しません:/foo/bar.log また は /foo/3/notbar.log .* 注意: 単⼀の省略記号ですべてのディレクトリ とサブディレクトリを調査するた め、/foo/.../bar.log の⼀致項⽬と /foo/.../.../bar.log の⼀致項⽬は同じになりま す。 は、/foo/bar、/foo/1/bar、/foo/2/bar などに⼀致します。ただし、/foo/1/2/bar には ⼀致しません。 /foo/*/bar アスタリスクは、そのディレクトリパスセグメン トのすべての項⽬に⼀致します。 * 「...」と違い、「*」はサブディレクトリを対象 にしません。 /foo/m*r/bar [^/]* は、/foo/mr/bar、/foo/mir/bar、/foo/moor/bar な どに⼀致します。 は、拡張⼦が .log のすべてのファイ ルに⼀致します (/foo/bar.log な ど)。/foo/bar.txt または /foo/bar/test.log には ⼀致しません。 /foo/*.log 注意: 単⼀のドット (.) はワイルドカードではありません。正規表現の \. と同じ意味を持ちます。 より細かく⼀致項⽬を指定するには、... と * を組み合わせて使⽤します。たとえば、/foo/.../bar/* は指定パス 内の /bar ディレクトリ内の任意のファイルに⼀致します。 ワイルドカードと正規表現メタ⽂字 モニター対象の⼀連のファイルやディレクトリを判断する際に、Splunk Enterprise はモニター⽤スタンザのエレ メントをセグメント (スタンザ定義内のディレクトリ区切り⽂字 (/ または \) 間の⽂字列) に分割します。ワイル ドカードと正規表現メタ⽂字 ((, ), [, ] や | など) の両⽅のセグメントを含むモニター⽤スタンザを指定した場 合、それらの⽂字に対する処理はスタンザ内のワイルドカードの位置によって異なります。 モニター⽤スタンザで、正規表現メタ⽂字を持つセグメントがワイルドカードを持つセグメントの前に ある場 合、Splunk Enterprise はメタ⽂字を⽂字通りに解釈します (ファイル名やディレクトリ名にそれらの⽂字が使わ れているものをモニターする)。例: [monitor://var/log/log(a|b).log] この場合、/var/log/log(a|b).log ファイルがモニターされます。ワイルドカードが存在しないため、Splunk Enterprise は (a|b) を正規表現とみなしません。 [monitor://var/log()/log*.log] この場合、/var/log()/ ディレクトリ内の、log で始まり、拡張⼦ .log を持つすべてのファイルがモニターされま す。正規表現がワイルドカードよりも前の セグメントにあるため、Splunk Enterprise は () を正規表現としては 取り扱いません。 正規表現がワイルドカードを持つセグメント内 またはそれよりも後 にある場合、Splunk Enterprise はメタ⽂字を 正規表現として取り扱い、それに⼀致するファイルがモニターされます。例: [monitor://var/log()/log(a|b)*.log] この場合、/var/log()/ ディレクトリ内の、loga または logb で始まり、拡張⼦ .log を持つすべてのファイルがモニ ターされます。最初の () は、その後のセグメントにワイルドカードがあるため正規表現としては取り扱われませ ん。2 番⽬の () は、同じセグメント内にワイルドカード「*」があるため、正規表現として取り扱われます。 [monitor://var/.../log(a|b).log] ディレクトリの任意のサブディレクトリ内にある、名前が loga.log および logb.log のすべてのファイルをモ ニターします。前のスタンザセグメントにワイルドカード「...」があるため、(a|b) は正規表現として取り扱われ ます。 /var/ [monitor://var/.../log[A-Z0-9]*.log] /var/ ディレクトリの任意のサブディレクトリ内にある、以下の条件を満たすすべてのファイルをモニターしま す。 で始まり、次に 単⼀の⼤⽂字 (A〜Z) または数字 (0〜9) を含み、次に 他の任意の⽂字を含み、次に .log で終了する。 log 前のスタンザセグメントにワイルドカード「...」があるため、[A-Z0-9]* は正規表現として取り扱われます。 ⼊⼒例 /apache/foo/logs、/apache/bar/logs、/apache/bar/1/logs などをモニターするには: 33 [monitor:///apache/.../logs/*] /apache/foo/logs、/apache/bar/logs などをモニターするけれども、/apache/bar/1/logs または /apache/bar/2/logs をモ ニターしない場合: [monitor:///apache/*/logs] /apache/ ディレクトリ下の .log で終了するファイルをモニターするには: [monitor:///apache/*.log] /apache/ 下の .log で終了する任意のファイルをモニターするには (任意のレベルのサブディレクトリを含む): [monitor:///apache/.../*.log] 「...」の後にフォルダ区切り⽂字を指定すると、ワイルドカード・レベルのフォルダは除外されます。 [monitor:///var/log/.../*.log] テーリング・ロジックは次のようになります: '^\/var\/log/.*/[^/]*\.log$' そのため、/var/log/subfolder/test.log は⼀致しますが、/var/log/test.log は⼀致せず除外されます。すべての フォルダのすべてのファイルをモニターするには、次のように指定します: [monitor:///var/log/] whitelist=\.log$ recurse=true #true by default ワイルドカードとホワイトリスト 重要: Splunk Enterprise でホワイトリストとブラックリストは、標準の Perl 互換正規表現 (PCRE) を使って定 義します。前のセクションで説明したファイル⼊⼒パスの構⽂とは異なります。 ファイル⼊⼒パスにワイルドカードを指定する場合、Splunk Enterprise はそのスタンザに対する暗黙の whitelist を作成します。もっとも⻑いワイルドカードがないパスがモニター⽤スタンザになり、前述の表のよう にワイルドカードが正規表現に変換されます。 また、変換された正規表現は、パス全体が照合されるように、ファイルパスの右終端にアンカーされます。 たとえば、以下のように指定すると [monitor:///foo/bar*.log] Splunk Enterprise はこれを以下のように変換します。 [monitor:///foo/] whitelist = bar[^/]*\.log$ Windows で、以下のように指定すると [monitor://C:\Windows\foo\bar*.log] Splunk Enterprise はこれを以下のように変換します。 [monitor://C:\Windows\foo\] whitelist = bar[^/]*\.log$ 注意: Windows で whitelist と blacklist ルールは、円記号 (バックスラッシュ) を含む正規表現をサポートして いません。2 つの円記号 \\ を使って、ワイルドカードをエスケープ処理する必要があります。 ファイル⼊⼒でのホワイトリストの使⽤については、「ホワイトリストまたはブラックリスト固有の到着データ」 を参照してください。 ホワイトリストまたはブラックリスト固有の到着データ ディレクトリをモニター する場合、ホワイトリスト およびブラックリスト ルールを使って、データを取り込む ファイルを明⽰的に指⽰することができます。また、batch ⼊⼒にこれらの設定を適⽤することもできます。ホワ 34 イトリスト を定義する場合、Splunk Enterprise はそのリストに指定されているファイルのみ インデックスを作 成します。ブラックリスト を定義する場合、Splunk Enterprise はリストに指定されているファイルを無視し て、残りすべてのインデックスを作成します。ホワイトリストとブラックリストは、inputs.conf 内の特定の⼊⼒ スタンザに定義します。 ホワイトリストとブラックリストの両⽅を定義する必要はありません。それぞれを個別に設定することができま す。両⽅のリストを定義して、あるファイルがその両⽅に⼀致する場合、そのファイルのインデックスは作成され ません。blacklist が whitelist よりも優先されます。 ホワイトリストとブラックリストのルールは正規表現構⽂を使って、照合するファイル名/パスを定義します。こ のルールは、[monitor://<path>] などの設定スタンザ内に指定する必要があります。スタンザ外にホワイトリスト/ ブラックリストを指定しても、それは無視されます。 正規表現の作成⽅法の詳細は、正規表現情報 (http://regular-expressions.info) Web サイトを参照してくださ い。 重要: ホワイトリスト/ブラックリストの項⽬は、正しい正規表現の構⽂で定義してください。⼊⼒パスへのワ イルドカード「...」の使⽤ ( ここ で説明) はサポートされていません。 ホワイトリスト/ブラックリストを使⽤する代わりにデータをルーティング/フィルタリン グする データ⼊⼒にホワイトリスト/ブラックリストを指定する代わりに、特定のイベントをフィルタリングして、別の キューやインデックスに送信することができます。データのルーティングやフィルタリングに関する記事を参照し てください。クロール (crawl) 機能を使って、ファイルシステムに追加されたファイルのインデックスを作成す る、または作成しないファイルを事前定義することもできます。 ホワイトリスト (許可) ファイル Splunk Enterprise にインデックスを作成させるファイルを定義するには、その⼊⼒が定義されている App の 、/local/inputs.conf ファイルの monitor スタンザに以下の⾏を追加します。 whitelist = <your_custom regex> たとえば、拡張⼦ .log を持つファイルのみをモニターする場合: [monitor:///mnt/logs] whitelist = \.log$ ホワイトリストで「|」 (OR) 演算⼦を使って、複数のファイルを 1 ⾏に指定することができます。たとえ ば、query.log OR my.log を含むファイル名をホワイトリストに定義するには: whitelist = query\.log$|my\.log$ または、ホワイトリストに完全⼀致を指定するには: whitelist = /query\.log$|/my\.log$ 注意: 「$」は、正規表現を⾏の終端にアンカーします。「|」演算⼦の前後にスペースはありません。 ホワイトリストでの⼊⼒パス内のワイルドカードの取り扱いについては、「ワイルドカードとホワイトリスト」を 参照してください。 ブラックリスト (無視) ファイル インデックス作成から除外するファイルを定義するには、その⼊⼒が定義されている App の 、/local/inputs.conf ファイルの monitor スタンザに以下の⾏を追加します。 blacklist = <your_custom regex> 重要: 無視する各ファイルに対して 拡張⼦ .txt blacklist ⾏を作成すると、Splunk は最後のフィルタのみを適⽤します。 を持つファイルのみを無視してモニターの対象外にするには: [monitor:///mnt/logs] blacklist = \.(txt)$ 拡張⼦ .txt または (OR) 使⽤します): .gz を持つすべてのファイルを無視してモニターの対象外にするには (この場合、「|」を [monitor:///mnt/logs] blacklist = \.(txt|gz)$ 35 モニター⼊⼒下のディレクトリ全体を無視するには: [monitor:///mnt/logs] blacklist = (archive|historical|\.bak$) 上記の例は、アーカイブまたは履歴ディレクトリ内の /mnt/logs/ 下のすべてのファイル、および *.bak で終わる すべてのファイルを無視するように、Splunk に指⽰しています。 名前に特定の⽂字列を含むファイルを無視する場合: [monitor:///mnt/logs] blacklist = 2009022[8|9]file\.txt$ 上記の例は、/mnt/logs/ 下の webserver20090228file.txt と webserver20090229file.txt を無視します。 Splunk Enterprise によるログファイルのローテーションの取り扱い Splunk Enterprise はモニターしているファイル (/var/log/messages など) がオペレーティングシステムによりロー テーション (/var/log/messages1) されると、そのことを認識し、そのローテーションにより名前が変更されたファ イルは読み込みません。 圧縮ファイルへのログローテーションへの対処⽅法 Splunk Enterprise は logrotate コマンドにより⽣成された圧縮ファイル (bz2 や gz など) が、圧縮前のオリジナル ファイルと同じであることを認識できません。そのため、それらのファイルがモニター対象になる場合、データの 重複が発⽣する可能性があります。 この問題を回避するには、2 種類の⽅法があります。 そのようなファイルを、Splunk Enterprise がモニターしていないディレクトリに移動するように、ログの ローテーションを設定する。 アーカイブのファイルタイプに対してブラックリスト ルールを設定して、それらのファイルが新たなログ ファイルとして読み込まれないようにする。例: [monitor:///var/log] blacklist = \.(gz|bz2|z|zip)$ Splunk Enterprise は、次のアーカイブファイルタイプを認識します:tar, および z。 gz, bz2, tar.gz, tgz, tbz, tbz2, zip、 ブラックリストルールの設定の詳細は、このマニュアルの「ホワイトリストまたはブラックリスト固有の到着デー タ」を参照してください。 これに関連して、.gz ファイルなどの既存の圧縮形式アーカイブファイルに新しくデータを追加した場合、その新 たなデータだけではなく、ファイル内のすべてのデータのインデックスが再作成されるという問題があります。そ のため、イベントの重複が発⽣する可能性があります。 Splunk Enterprise がログのローテーションを認識する仕組み モニタリングプロセッサは新しいファイルを選んで、ファイルの先頭 256 バイトを読み取ります。次にこのデー タが開始/終了周期的冗⻑検査 (CRC) にハッシュ化されます。これが、ファイルの内容を表す指紋としての役割を 果たします。Splunk Enterprise はこの CRC を使って、以前に確認したファイルの開始 CRC を保管している、 データベース内のエントリをルックアップします。ルックアップが成功すると、いくつかの値が返されます。この 中で重要なのが、Splunk Enterprise が既知のファイルですでに読み込んでいるバイト数を⽰す、seekAddress です。また、その場所のデータの指紋を⽰す seekCRC も重要です。 このルックアップの結果を使って、Splunk Enterprise はファイルを判断、分類します。 CRC チェックの結果は 3 種類考えられます。 1. データベース内にファイルの先頭の CRC と⼀致するレコードがない。このことは、新しいファイルであること を意味しています。Splunk Enterprise はそのファイルの先頭からデータを取り込みます。Splunk Enterprise は、ファイルを取り込むにつれて、新しい CRC と SeekAddresseでデータベースを更新します。 2. データベース内にファイルの先頭からの CRC が⼀致するレコードがあり、ファイルの SeekAddress の場所が 保管されている CRC の場所と⼀致し、ファイルのサイズが保管されている SeekAddress よりも⼤きい。これ は、以前に Splunk Enterprise がファイルを処理したことがあるけれども、最後の読み込み以降にデータが追加 されたことを意味しています。Splunk Enterprise はファイルを開いて最後にファイルを読み込んだ終端となる SeekAddress に移動して、そこからデータの読み込みを開始します。このようにして、新しいデータのみを読み 込んで、以前に読み込んだデータの再読み込みを防⽌することができます。 3. データベース内にファイルの開始 CRC に⼀致するレコードがあるけれども、SeekAddress の場所が、ファイ ルの CRC の場所と⼀致しない。これは、Splunk Enterprise が以前に同じ開始データを持つファイルを読み込ん だことがあるけれども、それまでに読み込んだ内容の⼀部が変更されたか、または同じ内容から始まるまったく別 なファイルであることを表しています。コンテンツ追跡⽤の Splunk データベースは開始 CRC を使⽤しているた 36 め、これらの 2 種類の異なるデータストリームの状況を個別に追跡する⼿段はありません。さらなる詳細な設定 が必要です。 重要: CRC 開始チェックはデフォルトで、ファイルの最初の 256 バイトに対してのみ⾏われるため、異なる ファイルが同じ開始 CRC になる可能性があります (特にそれらのファイルのヘッダーが同じである場合など)。こ のような問題に対処するには: の initCrcLength 属性を使って CRC の算出に使⽤する⽂字数を増やす (上記の例では、同じヘッ ダーの⻑さより⼤きな値に増やす)。 inputs.conf にファイルを設定する際に、crcSalt 属性を使⽤する (このマニュアルの「inputs.conf の編集」 を参照)。crcSalt 属性に <SOURCE> を設定すると、各ファイルが⼀意の CRC を持つことが保証されます。こ の設定を使⽤すると、各パス名が⼀意のコンテンツを保有すると仮定されます。 inputs.conf 重要: ローリング・ログ・ファイル、またはログ・ファイルが他の名前に変更される状況や、ファイルが他のモ ニター対象ディレクトリに移動されるような状況では、crcSalt = <SOURCE> を使⽤しない ことをお勧めします。使 ⽤すると Splunk Enterprise が名前が変更されたまたは更新されたログを認識できず、同じデータのインデック スが再度作成されてしまいます。 ネットワーク・イベントの取得 TCP および UDP ポートからのデータの取り込み 任意の TCP または UDP ポートからのデータを取り込むように、Splunk Enterprise を設定することができま す。Splunk Enterprise はこれらのポートに送信されるデータを取り込むことができます。syslog (デフォルトの ポートは UDP 514) などのネットワークサービスからのデータを取り込む場合に、この⽅法を使⽤します。 netcat サービスを設定して、それをポートにバインドすることもできます。 TCP は、Splunk Enterprise のデータ配布に使⽤されるネットワークプロトコルで、リモートマシンから Splunk Enterprise サーバーにデータを送信する場合の推奨⼿段でもあります。Splunk Enterprise は syslog-ng や他の TCP 経由でデータを伝送するアプリケーションからの、リモートデータのインデックスを作成することができま す。 Splunk Enterprise は UDP のモニタリングもサポートしていますが、可能な場合は TCP を使⽤することをお勧 めします。⼀般的に UDP は、他にもさまざまな理由がありますが、特に配信が保証されないという点で、伝送⼿ 段としては望ましくありません。 UDP を使⽤する必要がある場合は、Splunk コミュニティ Wiki の「Working with UDP connections」を参照し てください。 Splunk Web を使ったネットワーク⼊⼒の追加 Splunk Web を使ってネットワーク・ポートからの⼊⼒を追加する⽅法については、このマニュアルの「Syslog TCP/UDP」を参照してください。 CLI を使ったネットワーク⼊⼒の追加 Splunk Enterprise の CLI を使⽤するには、$SPLUNK_HOME/bin/ ディレクトリに移動して、./splunk コマンドを使⽤ します。 何か分からないことがある場合、CLI にはヘルプが⽤意されています。CLI メインヘルプにアクセスするに は、splunk help と⼊⼒します。各コマンドには、それぞれ独⾃のヘルプページが⽤意されています。splunk help <command> と⼊⼒してください。 ネットワーク⼊⼒の設定には、以下の CLI コマンドを使⽤できます。 コマンド コマンドの構⽂ アクション からの⼊⼒を追加します。 add add tcp|udp <port> [-parameter value] ... <port> edit edit tcp|udp <port> [-parameter value] ... 前に追加した remove remove tcp|udp <port> 前に追加したデータ⼊⼒を削除します。 list list tcp|udp [<port>] 現在設定しているモニター⼊⼒を⼀覧表⽰します。 <port> の⼊⼒を編集します。 は、データを待ち受けるポート番号です。Splunk を実⾏するユーザーには、このポートへのアクセス権が 必要です。 <port> 以下のような追加パラメータを指定して、各⼊⼒の設定を変更することができます。 パラメータ 必 須? 説明 sourcetype いい ⼊⼒ソースからのイベントの sourcetype フィールド値を指定します。 え index いい ⼊⼒ソースからのイベントの、宛先インデックスを指定します。 え いい 37 hostname いい ⼊⼒ソースからのイベントの、host フィールド値として設定するホスト名を指定します。 え remotehost いい 排他的にデータを受け付ける IP アドレスを指定します。 え resolvehost True または False (T | F) を設定します。デフォルトは False です。⼊⼒ソースからのイ いい ベントに対して、DNS を使ってホストフィールドの値を設定する場合、True を設定しま え す。 restrictToHost いい この⼊⼒が唯⼀接続を受け付ける、ホスト名または IP アドレスを指定します。 え 例 UDP ⼊⼒がポート 514 で待機して、ソースタイプに「syslog」を設定するように指定します。 ./splunk add udp 514 -sourcetype syslog DNS を介して UDP ⼊⼒のホスト値を設定します。auth にユーザー名とパスワードを指定します。 ./splunk edit udp 514 -resolvehost true -auth admin:changeme syslog ⼊⼒設定時の UDP 使⽤のベストプラクティスについては、Best Practices Wiki を参照してください。 TCP ネットワーク⼊⼒の制限されているホストの変更 TCP ⼊⼒の作成時に、特定のホストからの接続のみを受け付けるように設定してその⼊⼒を保存すると、後ほど Splunk Web または CLI を使ってそのホストを変更、削除することはできません。 ポートの制限されているホストを変更または削除するには、まずその制限されているホストを指定している⼊⼒を 削除する必要があります。次に、新しい制限ホストを指定、または制限なしで、新しい⼊⼒を作成する必要があり ます。 inputs.conf を使ったネットワーク⼊⼒の追加 ⼊⼒を追加するには、$SPLUNK_HOME/etc/system/local/ にある inputs.conf、または $SPLUNK_HOME/etc/apps/ 内の独⾃ のカスタム App ディレクトリにある inputs.conf に、スタンザを追加します。Splunk の設定ファイルで初めて 作業を⾏う場合は、事前に『管理マニュアル』の「設定ファイルについて」を参照してください。 ⼊⼒タイプに続いて、任意の数の属性と値を指定することができます。属性に値を指定しない場 合、$SPLUNK_HOME/etc/system/default/ (後述) に事前定義されているデフォルト値が使⽤されます。 TCP [tcp://<remote server>:<port>] <attrbute1> = <val1> <attrbute2> = <val2> ... このタイプの⼊⼒スタンザは、<port> (ポート) で <remote server> (リモートサーバー) を待機するように Splunk Enterprise に指⽰します。<remote server> に何も指定しない場合、Splunk は指定ポート上ですべての接 続を待機します。 注意: Splunk Enterprise を実⾏するユーザーには、待機ポートへのアクセス権が必要です。*nix システムで は、1024 未満のポートで待ち受ける場合、root として実⾏する必要があります。 属性 host = <string> index = <string> sourcetype = <string> 説明 デフォルト ホスト/キーフィールドに、このスタンザの静的な値を設定しま す。 ホストキーの初期値を設定します。このキーは、パーシング/イ ンデックス作成時に使⽤されます (特に host フィールドの設定 時)。サーチ時に使⽤される host フィールドでもあります。 <string> の前には「host::」が付けられます。 the IP address or fully-qualified domain name of the host where the data originated. main またはデフォルト この⼊⼒からのイベントを保管するインデックスを設定します。 インデックスに設定し <string> の前には「index::」が付けられます。 た任意の値 インデックスフィールドの詳細は、『インデクサーとクラスタの 管理』マニュアルの「インデックス作成の仕組み」を参照してく ださい。 この⼊⼒からのイベントの sourcetype キー/フィールドを設定 38 データのさまざまな側 ⾯に基づいてソースタ <string> します。 このデータのソースタイプを⾃動的に判断する代わりに、明⽰的 に宣⾔します。このことは、パーシングおよびインデックス作成 中の、このタイプのデータに対するサーチ可能性と関連する フォーマットの適⽤の両⽅で重要になります。 ソースタイプキーの初期値を設定します。このキーは、パーシン グ/インデックス作成時に使⽤されます (特に host フィールドの 設定時)。サーチ時に使⽤される source type フィールドでもあ ります。 <string> の前には「sourcetype::」が付けられます。 ソースタイプの詳細は、このマニュアルの「ソースタイプが重要 な理由」を参照してください。 イプが選択されます。 ハードコード化された デフォルト値はありま せん。 ⼊⼒ファイルパス source = この⼊⼒からのイベントの source キー/フィールドを設定しま す。 注意: source キーに優先する設定を⾏うことは、⼀般的にお勧 めできません。通常⼊⼒レイヤーは、データの取得場所を正確に 記録し、問題の分析と調査を⽀援するために、より正確な⽂字列 を提供しています。この値に優先する設定を⾏う前に、ソースタ イプ、タグ設定、およびワイルドカードを使ったサーチの使⽤を 検討してください。 <string> の前には「source::」が付けられます。 <string> parsingQueue queue = parsingQueue | indexQueue connection_host = ip | dns | none ⼊⼒プロセッサが、読み込んだイベントをデポジットするかどう かを指定します。 データに props.conf および他のパーシングルールを適⽤する場合 は、「parsingQueue」を設定します。 データを直接インデックスに送信する場合は、「indexQueue」 を設定します。 ip 「ip」は、ホストにリモートサーバーの IP アドレスを設定しま す。 「dns」は、ホストにリモートサーバーの DNS エントリを設定 します。 「none」は、ホストを指定通りのまま放置します。 TCP over SSL [tcp-ssl:<port>] 暗号化された未パーシングデータを、フォワーダーまたはサードパーティ製のシステムから受信する場合にこのス タンザを使⽤します。<port> には、暗号化された未パーシングデータを送信する、フォワーダーまたはサードパー ティ製システムのポートを設定します。 UDP [udp://<remote server>:<port>] <attrbute1> = <val1> <attrbute2> = <val2> ... このタイプの⼊⼒スタンザは TCP の場合と似ていますが、UDP ポートで待機するという違いがあります。 注意: <remote server> <remote server> を指定した場合、指定したポートはそのサーバーからのデータのみを受け付けます。 が空の場合、ポート [udp://<port>] は任意のサーバーから送信されたデータを受け付けま す。 属性 host = <string> index = <string> 説明 ホスト/キーフィールドに、このスタンザの静的な値 を設定します。 ホストキーの初期値を設定します。このキーは、パー シング/インデックス作成時に使⽤されます (特に host フィールドの設定時)。サーチ時に使⽤される host フィールドでもあります。 <string> の前には「host::」が付けられます。 この⼊⼒からのイベントを保管するインデックスを設 39 デフォルト the IP address or fullyqualified domain name of the host where the data originated. またはデフォルトイン デックスに設定した任意の main 定します。 <string> の前には「index::」が付けられます。 インデックスフィールドの詳細は、『インデクサーと クラスタの管理』マニュアルの「インデックス作成の 仕組み」を参照してください。 sourcetype = <string> source = <string> queue = parsingQueue | indexQueue _rcvbuf = <integer> no_priority_stripping = true | false no_appending_timestamp = true | false この⼊⼒からのイベントの sourcetype キー/フィー ルドを設定します。 このデータのソースタイプを⾃動的に判断する代わり に、明⽰的に宣⾔します。このことは、パーシングお よびインデックス作成中の、このタイプのデータに対 するサーチ可能性と関連するフォーマットの適⽤の両 ⽅で重要になります。 ソースタイプキーの初期値を設定します。このキー は、パーシング/インデックス作成時に使⽤されます (特に host フィールドの設定時)。サーチ時に使⽤さ れる source type フィールドでもあります。 <string> の前には「sourcetype::」が付けられます。 ソースタイプの詳細は、このマニュアルの「ソースタ イプが重要な理由」を参照してください。 デックスに設定した任意の 値 データのさまざまな側⾯に 基づいてソースタイプが選 択されます。ハードコード 化されたデフォルト値はあ りません。 ⼊⼒ファイルパス この⼊⼒からのイベントの source キー/フィールドを 設定します。 注意: source キーに優先する設定を⾏うことは、⼀ 般的にお勧めできません。通常⼊⼒レイヤーは、デー タの取得場所を正確に記録し、問題の分析と調査を⽀ 援するために、より正確な⽂字列を提供しています。 この値に優先する設定を⾏う前に、ソースタイプ、タ グ設定、およびワイルドカードを使ったサーチの使⽤ を検討してください。 <string> の前には「source::」が付けられます。 parsingQueue ⼊⼒プロセッサが、読み込んだイベントをデポジット するかどうかを指定します。 データに props.conf および他のパーシングルールを適 ⽤する場合は、「parsingQueue」を設定します。 データを直接インデックスに送信する場合は、 「indexQueue」を設定します。 UDP ポートの受信バッファ (バイト) を指定します。 値が 0 または負の場合、それは無視されます。 1,572,864 - ただし OS に 対してデフォルト値が⼤き すぎる場合、バッファサイ ズが許容できるレベルにな るまで、このデフォルト値 が順次半減されていきま す。 偽 (False) (Splunk syslog データ受信⽤設定。 Enterprise は <priority> この属性に 真 (True) を設定すると、受信したイベン を削除します。) トから <priority> syslog フィールドは除去されませ ん。 この属性に応じて、イベントのタイムスタンプには異 なる設定が⾏われます。 真 (True) を設定した場合、ソースから取得され たタイムスタンプがそのまま使⽤されます。 偽 (False) を設定した場合、イベントにはロー カル時刻が割り当てられます。 false この属性に真 (True) を設定した場合、受信イベント にタイムスタンプとホストは追加されません。 注意: 受信したイベントにタイムスタンプとホストを 追加したい場合は、この属性を指定しないでくださ い。 UDP パケットと⾏の結合 各 UDP パケットが個別のイベントとして、インデックスが作成されるとお考えかもしれません。しかし、そのよ うにはなりません。明確なタイムスタンプがない場合、Splunk Enterprise はデータストリームのイベントの結合 を実⾏し、各イベントが結合されます。 1 ⾏のイベントの場合、props.conf でそのソースタイプを編集して、SHOULD_LINEMERGE 属性に false に設定すること で、この問題を防⽌することができます。それにより、パケットの結合を防⽌することができます。 Answers 40 何か質問がありますか?Splunk Answers をご覧ください。ここには、Splunk コミュニティに寄せられた UDP ⼊⼒、TCP ⼊⼒、および他の⼊⼒に関する質問と回答が記載されています。 Splunk Enterprise への SNMP イベントの送信 重要 このトピックに記載されている⼿順は (*nix と Windows の両⽅) 、単なる例です。Splunk Enterprise に SNMP を送信する⽅法は⼿順は他にも存在しています。たとえば、Net-SNMP の代わりに Snare や SNMPGate などのツールを使って、Splunk Enterprise でモニターする SNMP トラップをファイルストレージ に書き込むことができます。 SNMP トラップは、リモートデバイスが⽣成するアラートです。このトピックは、Splunk インデクサーでの SNMP トラップの受信とインデクサーの作成⽅法について説明しています。 注意: Network Management System コンソールなどの、他のシステムに SNMP アラートを送信するためのモ ニタリングツールとして Splunk Enterprise を使⽤する⽅法については、『管理マニュアル』の「他のシステム への SNMP トラップの送信」を参照してください。 SNMP トラップのインデックス作成⽅法 SNMP トラップのインデックスを作成するもっとも効率的な⽅法は、まず SNMP トラップを Splunk Enterprise サーバー上のファイルに書き込むことです。次に、Splunk Enterprise がそのファイルをモニターするように設定 します。 この作業は 3 つのステップから成り⽴っています。 1. リモートデバイスがトラップを、Splunk サーバーの IP アドレスに直接送信するように設定します。SNMP ト ラップのデフォルトポートは udp:162 です。 2. このトピックで後述するように、SNMP トラップを Splunk サーバー上のファイルに書き込みます。 3. 「ファイルとディレクトリのモニター」の説明に従って、ファイルをモニターするように Splunk を設定しま す。 注意: このトピックでは、リモートデバイスにポーリングを⾏う SNMP ポーリングについては説明していませ ん。 SNMP トラップの Splunk サーバー上のファイルへの書き込み 重要: 以下の⼿順は (*nix と Windows の両⽅) 、単なる例です。Splunk Enterprise に SNMP を送信する⽅法は ⼿順は他にも存在しています。たとえば、Net-SNMP の代わりに Snare や SNMPGate などのツールを使って、 Splunk Enterprise でモニターする SNMP トラップをファイルストレージに書き込むことができます。 SNMP ソフトウェアの詳細は、SNMP ポータル (http://www.snmplink.org) Web サイトを参照してください。 *nix の場合 *nix 上では、Net-SNMP プロジェクトの システムに snmptrapd snmptrapd を使って、ファイルに SNMP トラップを書き込めます。 をインストールする前に、以下のドキュメントを参照してください。 ご利⽤のディストリビューションのツールパッケージ (使⽤している *nix ディストリビューションによって 異なります。たとえば、Red Hat または CentOS Linux の場合、net-snmp RPM パッケージを利⽤できま す。利⽤できるインストーラパッケージがない場合、ソースファイルからパッケージをビルドしなければな らないことがあります) ⽤のローカルドキュメント。 snmptrapd の man ページ。 もっとも単純な設定: # snmptrapd -Lf /var/log/snmp-traps 注意: 従来、snmptrapd はすべての着信通知を受け付け、それを⾃動的にログに記録していました (明⽰的に設定 されていない場合でも)。snmptrapd リリース 5.3 (snmptrapd --version で確認) から、すべての着信通知にアクセス 制御チェックが適⽤されるようになりました。適切なアクセス制御設定を⾏わずに snmptrapd を実⾏すると、その ようなトラップが処理されることはありません 。これを回避するには、以下のように指定します。 # snmptrapd -Lf /var/log/snmp-traps --disableAuthorization=yes トラブルシューティング: デフォルトのポート 162 で待機する場合、このポートは権限が必要なポートなので、snmptrapd を root とし て実⾏する必要があります。 テスト中に snmptrapd をフォアグラウンドで実⾏させるためには、-f フラグを指定します。標準出⼒に記録 する場合は、-Lf の代わりに -Lo を使⽤します。 snmptrapd コマンドを使って、以下のようにサンプルトラップを⽣成することができます。 41 # snmptrap -v2c -c public localhost 1 1 Windows の場合 SNMP トラップを Windows 上のファイルに記録するには: 1. Net-SNMP Web サイトから Windows 版の NET-SNMP をダウンロード、インストールします。 重要: ご利⽤のシステムで利⽤できる、最新版のファイルをダウンロード、インストールしてください。また、 システム上に OpenSSL バージョン 1.0 以降がインストールされていないことを確認してください。 2. NET-SNMP に含まれているスクリプトを使って、snmptrapd をサービスとして登録します。 3. C:\usr\etc\snmp\snmptrapd.conf を編集します。 snmpTrapdAddr [System IP]:162 authCommunity log [community string] 4. ログの場所のデフォルトは、次の場所になります: C:\usr\log\snmptrapd.log 管理情報ベース (MIB) の使⽤ 管理情報ベース (MIB) は、SNMP トラップが報告した数値オブジェクト ID (OID) とユーザーが理解できる形式 のテキスト間のマップを提供しています。snmptrapd は MIB ファイルがなくても動作できますが、各結果を完全に 同じ⽅法では表⽰できません。 SNMP トラップを送信するデバイスのメーカーが、特定の MIB を提供している場合があります。たとえば、すべ ての Cisco デバイスの MIB を、オンラインの Cisco SNMP Object Navigator を使って検索することができま す。 新しい MIB ファイルを追加するには、2 ステップの作業を⾏う必要があります。 1. MIB ファイルをダウンロードして、MIB 検索ディレクトリにコピーします。*nix 版の Net-SNMP の場合、デ フォルトの場所は /usr/local/share/snmp/mibs ですが、snmptrapd に引数 -m を指定して、別のディレクトリを設定す ることもできます。 2. -m 引数にコロンで区切ったリストを指定することで、snmptrapd に MIB のロードを指⽰します。ここで 2 つの 重要な情報があります。 先頭に「+」を追加すると、デフォルトのリストを上書きする代わりに、デフォルトリストに加えて MIB を ロードします。 特殊キーワード ALL は、snmptrapd に MIB ディレクトリ内のすべての MIB モジュールをロードすることを指 ⽰します。 もっとも安全な引数は、次のようになります:-m +ALL: snmptrapd -m +ALL Windows データの取得 Windows データと Splunk Enterprise について さまざまな種類の Windows データのインデックスを作成できます。ログ・ファイル、ディレクトリ内のファイ ル、イベント・ログ、レジストリ、または Active Directory など、任意のデータを利⽤することができます。 Splunk は Windows データをモニターするために、特別な⼊⼒も⽤意されています。以下に例を⽰します。 Windows イベントログ: マシン上で利⽤できる任意のイベント・ログ・チャネルで、Windows イベン ト・ログサービスが⽣成したイベントをモニターすることができます。ローカル・マシン上のイベントを収 集することも、ユニバーサルフォワーダーや WMI を使ってリモート・イベントを収集することも可能で す。 パフォーマンスモニタリング: Windows マシン上のパフォーマンス・データを収集して、そのデータに基 づいてアラートやレポートを作成することができます。パフォーマンス・モニターで利⽤できる任意のパ フォーマンス・カウンタも、Splunk Enterprise で利⽤することができます。パフォーマンスをローカルに 監視することも、または WMI またはユニバーサルフォワーダーを使ってリモートに監視することも可能で す。 WMI 経由のリモートモニタリング: WMI を使って、リモート・マシン上のイベント・ログやパフォーマ ンス・データにアクセスすることができます。 レジストリ監視: レジストリ・モニタリング機能を使って、ローカルWindows レジストリへの変更をモニ ターすることができます。ユニバーサルフォワーダーを使って、リモートマシン上のレジストリデータを収 集することもできます。 Active Directory モニタリング: ユーザー、グループ、マシン、およびグループポリシーオブジェクト 42 などの、Active Directory に対する変更を監視することができます。Active Directory データを、他の Splunk Enterprise サーバーに転送することができます。 これらの特殊な⼊⼒は、Windows 版の Splunk Enterprise でのみ利⽤できます。ファイルとディレクトリ、ネッ トワークモニタリング⼊⼒、およびスクリプト⼊⼒などの、標準の Splunk Enterprise ⼊⼒セットを利⽤するこ ともできます。 Splunk App for Windows インフラ Splunk App for Windows インフラは、Windows サーバーおよびデスクトップの管理⽤に、データの取り込み、 サーチ、レポート、アラート、およびダッシュボードを提供しています。Windows オペレーティングシステムの モニター、管理、トラブルシューティングを 1 カ所から⾏えます。この App には、CPU、ディスク I/O、メモ リー、イベント・ログ、設定、およびユーザー・データ⽤の⼊⼒、そして Windows イベント・ログのインデック スを作成するための Web ベースのセットアップ UI が含まれています。 Windows への Splunk Enterprise デプロイの初期検討事項 Windows に Splunk Enterprise をインストール、デプロイする場合、以下の事項を検討する必要があります。 認証: ネットワーク内のリモート Windows マシンで操作を実施するには、それらのマシンにアクセスする ための資格情報を持つユーザーとして Splunk Enterprise を動作させる必要があります。デプロイ前にこれ らの資格情報を⽤意しておくことをお勧めします。「リモート Windows データのモニター⽅法決定の検討 事項」を参照してください。 ディスクの帯域幅: Splunk Enterprise インデクサーは、⼤量のディスク I/O 帯域幅を必要としています (特に⼤量のデータのインデックスを作成する場合)。ウィルス対策ソフトウェアがインストールされている 場合、ウィルススキャンなどでパフォーマンスが⼤幅に低下するため、Splunk Enterprise ディレクトリま たはプロセスを監視対象にしないようにウィルス対策ソフトウェアを設定する必要があります。 共有サーバー: 他のサービスが動作しているサーバー上に Splunk Enterprise をインストールする前に、 『キャパシティ・プランニング』マニュアルの「Splunk Enterprise のキャパシティ・プランニングの概 要」を参照してください。このことは、ドメインコントローラに Splunk Enterprise をインストールする場 合、または Exchange、SQL Server 、または仮想ホストサーバーなどのメモリーを消費するサービスが動 作するコンピュータ上に Splunk Enterprise をインストールする場合に重要になります。 Windows サーバーから効率的にデータを収集するには、データの収集対象マシン上にユニバーサルフォワーダー をインストールします。ユニバーサルフォワーダーは⼩型軽量で、わずかなリソースしか消費しません。レジスト リのモニタリングなど、⼀部の状況下では、レジストリの変更をリモート収集できないためフォワーダーを使⽤す る必要があります。 Splunk Enterprise への Windows データの取り込み Splunk Enterprise では、さまざまな種類の Windows データを収集することができます。 Splunk Enterprise をダウンロードして Windows マシン上にインストールする場合、以下のような Windows 統 計情報を収集できます。 Windows イベントログ ファイルシステムの変更 Active Directory WMI インフラでやり取りされるデータ レジストリデータ パフォーマンス測定基準 ホスト情報 印刷情報 ネットワーク情報 これらのすべてのタイプのデータは、Windows マシン上でのみ収集できます。その他のオペレーティング・シス テムには、ローカルに Windows データを収集する⼿段はありません。ただし、Windows のデータを Windows 以外のシステムが動作している Splunk Enterprise インスタンスに転送することは可能です。 Splunk Web を使った Windows データの収集 Splunk Web では、ほぼすべての Windows ⼊⼒を利⽤して Windows データを収集することができます。例外の 1 つが MonitorNoHandle ⼊⼒で、これを利⽤するには、設定ファイルに設定する必要があります。 Splunk Web を使って⽬的のタイプのデータを収集するには: 1. Splunk Enterprise インスタンスにログインします。 2. 右上の [設定] をクリックして、表⽰されるポップアップウィンドウから [データ⼊⼒] をクリックしま す。[データ⼊⼒] ページが表⽰されます。 3. 利⽤可能な⼊⼒のリストから、追加する⼊⼒を探します。次にその⼊⼒の [アクション] 列にある [新規追加] を クリックします。 注意: Windows 以外のシステムで動作している Splunk Enterprise にログインした場合、Windows ⼊⼒は表⽰ されません。 4. 以降に表⽰されるページの指⽰に従って作業を⾏います。⽅法については、上記のページを参照してください。 5. [保存] をクリックして、⼊⼒を保存します。たいていの場合は、即座にデータの収集が開始されます。 43 設定ファイルを使った Windows データの収集 Splunk Web を使ってデータ⼊⼒を作成、有効化できない場合 (ユニバーサルフォワーダーを使ってデータを収集 する場合など) は、設定ファイルを使⽤する必要があります。多くの場合、設定ファイルを利⽤すれば、Splunk Web よりもきめ細かく設定を制御、調整することができます。⼀部の⼊⼒は、設定ファイルを使ってのみ指定す ることができます。 注意: ユニバーサルフォワーダーの Windows 版インストーラは、インストール時にいくつかの Windows ⼊⼒を 設定できますが、すべての⼊⼒を設定することはできません。 設定ファイルを使って⼊⼒を設定するには: 1. コマンドプロンプトまたは PowerShell ウィンドウから、%SPLUNK_HOME%\etc\system\default ディレクトリに移動 します。 2. このディレクトリに します。 inputs.conf のコピーを作成し、それを %SPLUNK_HOME%\etc\system\local 注意: このステップは 1 回のみ実施する必要があります (または、local ディレクトリの い場合)。 3. メモ帳や他のエディタを使って、local ディレクトリの inputs.conf ディレクトリに移動 inputs.conf を上書きした ファイルを開きます。 4. inputs.conf ファイルにスタンザを定義して⼊⼒を追加します。また、必要に応じて、既存のスタンザを変更し てください。⽅法については、各⼊⼒のページ上部を参照してください。 5. ファイルを保存して終了します。 6. Splunk Enterprise を再起動します。設定ファイルが再読み込みされ、新しい設定に基づいてデータの収集が開 始されます。 注意: これは、設定ファイルを使った⼊⼒の設定の基本的な説明です。詳細は、『管理マニュアル』の「設定 ファイルについて」を参照してください。 リモート Windows データのモニター⽅法決定の検討事項 このトピックは、Splunk Enterprise を使ってリモート Windows データを収集する際の、検討事項を説明してい ます。 リモート Windows データの概要 Splunk Enterprise はインデックス作成⽤のリモート Windows データを、2 種類のいずれかの⽅法で収集しま す。 Splunk フォワーダーから WMI 経由 フォワーダーの使⽤ フォワーダーを使ってリモート Windows データを収集することができます。ライトフォワーダー、ヘビーフォ ワーダー、およびユニバーサルフォワーダーの 3 種類のフォワーダーが存在しています。 『データの転送』マ ニュアルの「データの転送と受信について」を参照してください。 可能な場合はいつでも、リモート Windows データの収集にユニバーサルフォワーダーを使⽤することをお勧めし ます。ユニバーサルフォワーダーを使⽤する利点を以下に⽰します。 ユニバーサル・フォワーダーは、インストールされているマシン上で最低限のネットワーク/ディスク・リ ソースを消費します。 ユニバーサル・フォワーダーは権限のないユーザーとしてインストールできますが、WMI を使ったアクセ スには管理者権限が必要です。 ユニバーサル・フォワーダーを Local System ユーザーとしてインストールした場合、このユーザーはマシ ンへの管理者権限アクセスを保有しているため、そのデータを取得するために特に認証は必要ありません。 ただし、WMI では必要になります。 また、⼤規模環境にも柔軟に対応でき、デプロイも簡単です。System Center Configuration Manager (SCCM) や Systems Management Server (SMS) などの、Microsoft のデプロイツール、または BigFix/Tivoli のようなサードパーティ製の分散ソリューションを使⽤して、⼿動でデプロイすることができ ます。 ユニバーサルフォワーダーをインストールすると、フォワーダーは情報をローカルに収集して、それを Splunk Enterprise インデクサーに送信します。収集するデータはインストール時に指定するか、または後ほど⼿動また はデプロイ・サーバー経由で設定の更新情報を配布して、フォワーダーに指⽰します。ユニバーサルフォワーダー にアドオンをインストールすることもできます。 ネットワーク構成やレイアウトによっては、ユニバーサルフォワーダーの使⽤にいくつかの⽋点が出ることもあり ます。後述する「フォワーダーと WMI を使ったリモート収集」を参照してください。 WMI の使⽤ WMI フレームワークを利⽤して、リモート Windows マシンから実質的に任意の種類のデータ を収集することが できます。この構成では、Splunk Enterprise をインストール時に指定した (または後で [サービス] コントロー ル・パネルで指定した) ユーザーとして実⾏します。 44 この構成では: 指定したアカウントがリモートアクセス⽤に保有している、最⼤限のネットワークアクセス権が Splunk Enterprise に与えられます。 全社規模でリモート Windows マシンからデータが収集され、そのデータが集中リポジトリに保管されま す。 各ネットワークセグメントに最低 1 台のインデクサーが存在する、⼩〜中規模ネットワークに適していま す。 ただし、この⽅法では収集に関するいくつかの注意事項があります。後述する「フォワーダーと WMI」を参照し てください。 注意: Active Directory (AD) モニタリングは WMI を使⽤しませんが、使⽤するデータ⼊⼒には同じような認証 上の検討事項が存在しています。Splunk Enterprise が Active Directory をモニターする仕組みについては、こ のマニュアルの「Active Directory のモニター」を参照してください。 WMI を使ってデータを取得する場合の検討事項 WMI 経由でリモート Windows データを収集する場合、以下の事項を検討する必要があります。 リモート Windows データの認証 Windows でのリモート操作には認証が必要です。ネットワーク経由で Splunk Enterprise が Windows とどのよ うなやり取りを⾏うのかを正しく理解しないと、最適なサーチ結果を得られない、または何も結果が得られない可 能性があります。ここでは、リモート Windows データを収集するための、セキュリティ上のガイドラインを説明 していきます。 Splunk Enterprise をインストールする際に、Local System ユーザーまたは他のユーザーとして実⾏することを 指定できます。この選択は、インストールとデータ収集の両⾯に影響してきます。 指定した Splunk Enterprise を実⾏するユーザーに応じて、リモート・マシンから取得できるデータのタイプや 量が変わります。⽬的のデータを取得するには、このユーザーに適切なレベルの権限 (アクセス許可) を与える必 要があります。 もっとも簡単な⽅法は、Splunk Enterprise を実⾏するユーザーを、Administrators (または Domain Admins) グループのメンバーにすることです。これはセキュリティ・リスクを伴い、組織によっては使⽤できないこともあ ります。この⽅法はお勧めできません。 たいていの場合、Splunk Enterprise ユーザー・アカウントには、⽬的のデータ・ソースにアクセスするために最 低限必要な権限を与える必要があります。これには以下の事項が含まれます。 ユーザーをさまざまなドメインセキュリティグループに追加する アクセスする必要があるデータソースに応じて、各種 Active Directory オブジェクトのアクセス制御リスト を変更する Active Directory ドメインセキュリティポリシーが、定期的なパスワードの変更を強制している場合は、以下の 作業も必要になります。 Splunk Enterprise ユーザーのパスワードが失効しないようにするか、またはパスワード・ポリシーに定義 されているパスワードの失効前に、パスワードを⼿動で変更する。 パスワードを変更したら、ネットワーク上のすべてのサーバーで、そのアカウントとして動作している Splunk サービスを再起動する。 注意: 最新版の Windows サーバーでは、管理されたサービスアカウント (MSA) を使って、パスワード失効に関 する問題に対処することができます。詳細は、『インストール・マニュアル』の「Windows Server 2008 および Windows 7 での管理されたサービス・アカウント」を参照してください。 また、ユーザーがワークステーションに対話形式でログインすることを防⽌するために、ローカル・セキュリ ティ・ポリシーで Splunk Enterprise アカウントに、ユーザー権利の割り当て [ローカルでログオンを拒否する] を設定する必要もあります。Windows データを収集する場合は、そうする必要はありません。 この⽅法は作業に時間がかかりますが、よりきめ細かく管理でき、またドメイン管理者としてのアクセス権を与え るよりも安全です。 このマニュアルの、Windows マシンへのリモートアクセスについて説明している各データの取り込み⽅法には、 Splunk Enterprise を実⾏するユーザーに最低限のアクセス許可/権限を設定するための追加情報や推奨事項が記 載されています。これらのページの「セキュリティとリモート・アクセスの検討事項 」セクションを参照して ください。 ネットワークと I/O 使⽤に関する検討事項 ネットワーク帯域幅の使⽤状況は、⼊念にモニターする必要があります (特に低速の WAN リンクを利⽤している ネットワークの場合)。この理由からだけでも、⼤量のリモート収集操作を⾏う場合は、ユニバーサル・フォワー ダーが最善の選択肢になります。 ディスク帯域幅も重要な考慮事項です。ウィルス対策ソフトウェアのドライバ、および Splunk Enterprise とオ ペレーティングシステム間を中継するドライバは、インストールタイプに関係なく、常に Splunk Enterprise ディレクトリとプロセスを無視するように設定する必要があります。 Splunk フォワーダーと WMI リモート Windows ホストからデータを取り込むには、ユニバーサル・フォワーダーを使⽤します。ユニバーサ ル・フォワーダーは⼤半の種類のデータ・ソースに対応しており、より詳細なデータ (例:パフォーマンス測定基 45 準) を提供します。また、ネットワークのオーバーヘッドを最⼩限に抑え、運⽤上のリスクと複雑さを低減できま す。また多くの場合、環境の拡張にも WMI よりも柔軟に対応できます。 リモートからデータを収集したい、または収集する必要がある場合 (企業規則やセキュリティ・ポリシーによりプ ログラムのインストールが制限されている、またはパフォーマンスや相互運⽤性に関する問題がある場合など)、 ネイティブの WMI インターフェイスを使ってイベント・ログやパフォーマンス・データを収集することができま す。 WMI とフォワーダーの主なトレードオフを以下に⽰します。 パフォーマンス デプロイ 管理 パフォーマンス パフォーマンスの点では、以下の場合にフォワーダーの⽅が適しています。 ローカルイベントログまたはフラットファイルを収集する。フォワーダーの⽅が CPU の消費が少なく、ま たネットワークのオーバーヘッドを減らすために、データの基本的な事前圧縮が⾏われます。 認証の問題に悩まされることなく、マシンからデータを収集したい場合。フォワーダーを Local System ユーザーとしてインストールする場合、マシンに対する管理者アクセスがあるため、そこから任意のデータ を収集することができます。 Exchange、SQL Server/Oracle、VMWare、Hyper-V、または SharePoint サーバー、および Active Directory ドメイン・コントローラまたは継続的に使⽤率が⾼いマシンなどの、処理負荷が⾼いホストから データを収集する場合。WMI では、これらのサービスが⽣成するデータ量に追随できない可能性がありま す。設計上 WMI のポーリングはベストエフォート型で、また Splunk Enterprise も意図しないサービス拒 否攻撃を防⽌するために、WMI を抑制します。 CPU およびネットワーク使⽤率を考慮する必要がある場合。フォワーダーはこれらのリソースの使⽤をでき る限り控えるようにしています。⼀⽅、WMI はデータの転送により多くの CPU およびネットワーク・リ ソースを使⽤します。 スケーラビリティが関⼼事項の場合。ユニバーサルフォワーダーは環境の拡張にも柔軟に対応できます。ヘ ビー・フォワーダーはユニバーサル・フォワーダーほど柔軟には対応できませんが、どちらのフォワーダー も WMI よりは⼤幅に柔軟に対応することができます。 WMI の⽅が適している場合を以下に⽰します。 メモリー使⽤量が⾼いシステム上で、メモリー消費量が関⼼事項の場合。フォワーダーはデータの収集時に ローカルマシンに常駐し、より多くのポーリングオプションが⽤意されているため、WMI よりも多くのメ モリーを消費します。 デプロイ デプロイにフォワーダーが適している場合を以下に⽰します。 システムイメージの作成時など、OS のベースビルドを管理している場合。 収集するデータソース数が多い場合 (特に、データの収集時に何らかの変換が必要な場合)。 注意: いくつかの事例を除いて、インデクサーに送信せずにユニバーサル・フォワーダーでデータを処理するこ とはできません。インデックス作成前にデータを変更する必要がある場合は、ヘビーフォワーダーを使⽤する必要 があります。 WMI の⽅が適している場合を以下に⽰します。 ベース OS ビルドを管理していない、またはドメイン管理者アクセス権がない、またはデータを収集するマ シンのローカル Administrotor 権限がない。 多数のホストから、わずかなセットのデータしか必要ない場合 (例:使⽤状況により課⾦するための CPU データの収集)。 ⼀般的なデプロイのシナリオでは、まずリモートポーリングを使ってテストを⾏った後、正常なまたは有益なデー タ⼊⼒をフォワーダー設定に追加する (または⼀括デプロイ時)。 管理 どちらの⽅法でも、ログとアラート機能を使って、ホストが起動または停⽌した時、または接続できなくなったこ とを知らせることができます。ただし、Splunk Enterprise では想定外のサービス拒否攻撃を防⽌するために、 WMI ポーリングサービスは⼀定期間ホストと通信できなかった場合、ポーリングの頻度を徐々に減らしていき、 最終的には通信できなくなったホストへのポーリングを中⽌します。そのため、ラップトップや動的にプロビジョ ニングされる仮想マシンなどの、頻繁にオフラインになるマシンに対して、WMI によるリモートポーリングを使 ⽤しないことをお勧めします。 データソースの⼀覧と、各データソースに適したデータ収集タイプを以下の表に⽰します。 データソースと収集⽅法 データソース ローカルフォワーダー WMI イベントログ はい はい* パフォーマンス はい はい レジストリ はい いいえ Active Directory はい いいえ 46 ログファイル はい はい** クロール はい いいえ * リモート・イベント・ログの収集の場合、収集するイベント・ログの名前を知っている必要があります。ローカ ルフォワーダー上では、名前に関係なくすべてのログを収集するオプションがあります。 ** Splunk Enterprise は、「\\SERVERNAME\SHARE」の構⽂でのリモートログファイルの収集をサポートして います。ただし、アプリケーション層ファイルアクセスプロトコルとして CIFS (Common Internet File System またはサーバーメッセージブロック) を使⽤する必要があります。また、Splunk Enterprise には共有とそのファ イルシステムの両⽅に対して、最低でも読み取りアクセス権が必要です。 Windows 版以外の Splunk Enterprise インスタンス上での Windows データのサーチ Windows 版以外の Splunk Enterprise インスタンス上で、Windows データのインデックス作成とサーチを⾏え ます。ただしその場合、まず Windows 版の Splunk インスタンスを使って Windows データを収集する必要があ ります。そのためには、Windows コンピュータに Splunk フォワーダーをインストールして、その Windows データを⾮ Windows 版 Splunk Enterprise インスタンスに転送するように設定します。 作業を⾏うには、2 種類の⽅法があります。 データを収集する各 Windows マシン上に、ローカルにフォワーダーを設定する。これらのフォワーダー は、Windows データを ⾮ Windows Splunk インスタンスに送信することができます。 フォワーダーを 1 台の Windows マシン上に設定する。フォワーダーは WMI を使って、環境内のすべての Windows マシンからデータを収集することができます。次に収集したデータを、⾮ Windows 版Splunk イ ンスタンスにまとめて転送します。 ⾮Windows 版 Splunk Enterprise インスタンスが Windows データを処理するように、明⽰的に設定する必要が あります。詳細は、『データの転送』マニュアルの「異なるオペレーティング・システムが動作するフォワーダー から受信したデータのサーチ」を参照してください。 フォワーダーの設定については、『データの転送』マニュアルの「転送と受信の設定」を参照してください。 Active Directory のモニター Active Directory (AD) は、Windows ネットワークの中核を為しています。Active Directory データベース (NT ディレクトリサービス (NTDS) データベース) は、Active Directory ドメイン/フォレスト内のユーザー、コン ピュータ、ネットワーク、デバイス、およびセキュリティオブジェクトの集中リポジトリです。ユーザー、メン バーサーバー、またはドメインコントローラの追加や削除など、Active Directory を変更する場合、それらの変 更を記録することができます。Splunk Enterprise では、これらの変更をモニターし、リアルタイムにアラートを ⽣成することができます。 Active Directory モニタリングを設定して、Active Directory フォレストに対する変更を監視し、ユーザーとマ シンのメタデータを収集することができます。この機能と動的リストルックアップを組み合わせて、Active Directory で利⽤できる情報をイベントに追加、変更することができます。 Active Directory をモニターするように Splunk を設定したら、Active Directory スキーマのベースラインス ナップショットが取得されます。このスナップショットを使⽤して、モニターの開始点が確⽴されます。この処理 が完了するまで、少し時間がかかる場合があります。 Active Directory モニタリング⼊⼒は、splunk-admon.exe と呼ばれる別個のプロセスとして実⾏されます。Splunk に定義されている各 Active Directory モニタリング⼊⼒に対して、1 回実⾏されます。 Active Directory の監視理由 Active Directory の整合性、セキュリティ、およびヘルスの維持管理を担当している場合、⽇々どのような作業 が⾏われているのかを把握することが重要になります。Splunk Enterprise では、誰がまたは何が変更をいつ⾏っ たのかなど、Active Directory の変更内容を確認することができます。 このデータをレポートに変換して、企業のセキュリティコンプライアンスや法的証拠として利⽤することができま す。また、取得したデータから侵⼊検知アラートを利⽤して、不正⾏為に即座に対処することができます。さら に、インデックス作成したデータからヘルスレポートを作成し、操作マスターロール、Active Directory レプリ カ、およびグローバルカタログの割り当てなどの、将来の Active Directory インフラのプランニングに活⽤する ことができます。 Active Directory のモニターに何が必要か? Active Directory スキーマのモニターに必要な、明⽰的なアクセス許可の⼀覧を以下の表に⽰します。 アクティビティ: Active Directory ス キーマをモニター 必要なアクセス許可: * Splunk は Windows 上で実⾏する必要があります。 * Splunk はドメインユーザーとして実⾏する必要があります。 * Splunk を実⾏するユーザーには、モニター対象のすべての Active Directory オブ ジェクトに対する読み取りアクセスが必要です。 Active Directory モニターの検討事項 Splunk Enterprise を使った Active Directory のモニターで最良の結果を引き出すために、以下の事項に注意し てください。 47 この機能は Windows 版の Splunk Enterprise でのみ利⽤できます。*nix 版の Splunk で Active Directory の変更をモニターすることはできません (ただし、Windows 版の Splunk で収集したデータを、*nix インデ クサーに転送することは可能です)。 Active Directory モニタリングプロセスは、完全版 Splunk インスタンスまたは任意の種類のフォワーダー で実⾏することができます。 Active Directory への変更をモニターするマシンは、モニター対象のドメインまたはフォレストに所属して いる必要があります。 Splunk を実⾏するユーザーも、ドメインの⼀部である必要があります。このことは、ユーザーが保有して いるアクセス許可により、Splunk がモニターできる Active Directory の部分が決まるためです。 Windows データをリモートにモニターする⽅法を決定する際に役⽴つその他の情報については、このマニュアル の「リモート Windows データのモニター⽅法決定の検討事項」を参照してください。インストール時に指定する Splunk を実⾏するユーザーの決定に関する情報については、『インストールマニュアル』の「Splunk を実⾏す るためのユーザーの選択」を参照してください。 Active Directory モニタリングの設定 Splunk Web を使って、または設定ファイルを編集して、Active Directory モニタリングを設定することができ ます。設定ファイルを使⽤する場合は、複数のドメインコントローラのモニター設定などのオプションを利⽤する ことができます。 Splunk Web を使った Active Directory モニタリングの設定 Active Directory のモニターを設定する場合は、このマニュアルの「Windows Active Directory」を参照してく ださい。 設定ファイルを使った Active Directory モニタリングの設定 Active Directory モニター設定は、inputs.conf 設定ファイルで⾏います。%SPLUNK_HOME%\etc\system\local ディレ クトリ内の inputs.conf のコピーを編修します。デフォルトディレクトリにあるファイルを編集すると、Splunk のアップグレード時に変更内容が上書きされてしまいます。設定ファイルの優先度については、このマニュアルの 「設定ファイルの優先度」を参照してください。 1. %SPLUNK_HOME%\etc\system\default\inputs.conf のコピーを作成し、%SPLUNK_HOME%\etc\system\local\inputs.conf に保 管します。 2. inputs.conf を編集し、適切な Active Directory モニタリングスタンザと設定を追加します。 注意: デフォルトでは、Active Directory モニタリング⼊⼒を有効にすると、Splunk は接続できる最初のドメイ ンコントローラから、Active Directory 変更データを収集します。それを許容できる場合は、それ以上の設定は 不要です。 inp u ts.c onf の設定 には、各 Active Directory モニタリング⼊⼒に対して 1 つのスタンザが含まれており、ヘッダーは以 下のようになっています。 inputs.conf [admon://<name of stanza>] 各スタンザで、以下の項⽬を指定することができます。 属性 targetDc 必須? はい 説明 Active Directory モニタリングに使⽤するドメインコ ントローラの⼀意の名前。 デフォルト N/A 以下の場合に、この属性に⼀意の名前を指定します。 ⾮常に⼤きな Active Directory が存在してお り、特定の組織単位 (OU) やサブドメインなどの 情報のみをモニターしたい場合。 セキュリティが⾮常に⾼度な環境で、モニタリン グ⽬的で使⽤できる特定の (読み取り専⽤) ドメ インコントローラがある場合。 推移性の信頼がある複数のドメインまたはフォレ ストが存在しており、Splunk が常駐している サーバー以外のツリーを対象にしたい場合。 複数のドメインコントローラを対象にするよう に、複数の Active Directory モニタリング⼊⼒ を設定する場合。たとえば、分散環境で Active Directory レプリケーションをモニターする場合 が挙げられます。 注意: 複数のドメインコントローラを対象にする場 合、ツリーに他のターゲットの [admon://<uniquename>targetDc] スタンザを追加してくだ さい。 startingNode いいえ 完全修飾 LDAP 名 (例:"LDAP://OU=Computers,DC=ad,DC=splunk,DC=com")。こ れは、インデックスの作成を開始する Active 48 Splunk がアクセス できる、ツリー内の 最上位のルートドメ イン。 Directory ツリー内の場所を表しています。Splunk は そこから開始して、monitorSubtree 属性の設定に応じて サブコンテナを列挙します。 イン。 注意: Splunk が正常に Active Directory データを収 集するために、startingNode の値は、対象としているド メインコントローラのスコープ内でなければなりませ ん。 monitorSubtree いいえ インデックスを作成するターゲット Active Directory コンテナの量。0 の場合、ターゲットコンテナのみの インデックスが作成され、そのコンテナのサブコンテ ナは対象にはなりません。1 の場合、Splunk がアクセ ス可能なすべてのサブコンテナとドメインが列挙され ます。 1 (Splunk がアクセ スできるすべてのド メインをモニターす る) baseline いいえ 初回実⾏時に、⼊⼒が既存の利⽤可能なすべての Active Directory オブジェクトを列挙するかどうか。 0 の場合、ベースラインは設定されません。1 の場合 は、ベースラインが設定されます。 1 (ベースラインを設 定) index いいえ Active Directory モニタリングデータを送信するイン デックス。 デフォルト (default) のインデックス disabled いいえ Splunk が⼊⼒を実⾏するかどうか。0 の場合⼊⼒が有 0 (有効)。 効なことを、1 の場合⼊⼒が無効なことを Splunk に 指⽰します。 Active Directory モニタリング設定の例 inputs.conf を使った、Active Directory ネットワークの⽬的の部分のモニター⽅法の例を以下に⽰します。 Active Directory の上部からデータのインデックスを作成するには: #Gather all AD data that this server can see [admon://NearestDC] targetDc = startingNode = モニター対象にする OU よりも上位の root レベルにあるドメインコントローラを使⽤するには: # Use the pri01.eng.ad.splunk.com domain controller to get all AD metadata for # the Computers OU in this forest. We want schema data for the entire AD tree, not # just this node. [admon://DefaultTargetDc] targetDc = pri01.eng.ad.splunk.com startingNode = OU=Computers,DC=eng,DC=ad,DC=splunk,DC=com 複数のドメインコントローラをモニターするには: # Get change data from two domain controllers (pri01 and pri02) in the same AD tree. # Index both and compare/contrast to ensure AD replication is occurring properly. [admon://DefaultTargetDc] targetDc = pri01.eng.ad.splunk.com startingNode = OU=Computers,DC=eng,DC=ad,DC=splunk,DC=com [admon://SecondTargetDc] targetDc = pri02.eng.ad.splunk.com startingNode = OU=Computers,DC=eng,DC=ad,DC=splunk,DC=com Active Directory モニタリングの出⼒例 Splunk の Active Directory モニタリングユーティリティを実⾏すると、Active Directory の変更イベントが収 集されます。各変更イベントが、Splunk のイベントとしてインデックスが作成されます。これらのイベントは、 Splunk のサーチ App で参照することができます。 Splunk がインデックスを作成できる、さまざまな種類の Active Directory 変更イベントが存在しています。こ れらのイベントの例は後述しています。これらのイベントのコンテンツの⼀部は、公開のために曖昧化または変更 されています。 更新イベント 49 Active Directory オブジェクトが何らかの⽅法で変更されると、Splunk はこのタイプのイベントを⽣成します。 Splunk はこの変更を、タイプ admonEventType=Update として記録します。 2/1/10 3:17:18.009 PM 02/01/2010 15:17:18.0099 dcName=stuff.splunk.com admonEventType=Update Names: objectCategory=CN=Computer,CN=Schema,CN=Configuration name=stuff2 displayName=stuff2 distinguishedName=CN=stuff2,CN=Computers Object Details: sAMAccountType=805306369 sAMAccountName=stuff2 logonCount=4216 accountExpires=9223372036854775807 objectSid=S-1-5-21-3436176729-1841096389-3700143990-1190 primaryGroupID=515 pwdLastSet=06:30:13 pm, Sat 11/27/2010 lastLogon=06:19:43 am, Sun 11/28/2010 lastLogoff=0 badPasswordTime=0 countryCode=0 codePage=0 badPwdCount=0 userAccountControl=4096 objectGUID=blah whenChanged=01:02.11 am, Thu 01/28/2010 whenCreated=05:29.50 pm, Tue 11/25/2008 objectClass=top|person|organizationalPerson|user|computer Event Details: uSNChanged=2921916 uSNCreated=1679623 instanceType=4 Additional Details: isCriticalSystemObject=FALSE servicePrincipalName=TERMSRV/stuff2|TERMSRV blah dNSHostName=stuff2.splunk.com operatingSystemServicePack=Service Pack 2 operatingSystemVersion=6.0 (6002) operatingSystem=Windows Vista? Ultimate localPolicyFlags=0 削除イベント Active Directory オブジェクトに削除のマークが付けられた時に、このイベントタイプが⽣成されます。イベン トタイプは admonEventType=Update と似ていますが、イベントの最後に isDeleted=True キー/値のペアが含まれていま す。 2/1/10 3:11:16.095 PM 02/01/2010 15:11:16.0954 dcName=stuff.splunk.com admonEventType=Update Names: name=SplunkTest DEL:blah distinguishedName=OU=SplunkTest\0ADEL:blah,CN=Deleted Objects DEL:blah Object Details: objectGUID=blah whenChanged=11:31.13 pm, Thu 01/28/2010 whenCreated=11:27.12 pm, Thu 01/28/2010 objectClass=top|organizationalUnit Event Details: uSNChanged=2922895 50 uSNCreated=2922846 instanceType=4 Additional Details: dSCorePropagationData=20100128233113.0Z|20100128233113.0Z|20100128233113.0Z|16010108151056.0Z lastKnownParent=stuff '''isDeleted=TRUE''' 同期イベント Active Directory モニタリング⼊⼒が設定されると、Splunk 開始時に Active Directory メタデータのベースラ インの捕捉が試みられます。Splunk は、1 つの Active Directory オブジェクトのインスタンスとそのすべての フィールド値を表すイベントタイプ admonEventType=Sync を⽣成します。Splunk は、最後に記録された更新シーケ ンス番号 (USN) から、すべてのオブジェクトの捕捉を試みます。 注意: Splunk または splunk-admon.exe プロセスを再起動した場合、Splunk は余分な「sync」イベントを記録し ます。この動作は正常です。 2/1/10 3:11:09.074 PM 02/01/2010 15:11:09.0748 dcName=ftw.ad.splunk.com admonEventType=Sync Names: name=NTDS Settings distinguishedName=CN=NTDS Settings,CN=stuff,CN=Servers,CN=Default-First-SiteName,CN=Sites,CN=Configuration cn=NTDS Settings objectCategory=CN=NTDS-DSA,CN=Schema,CN=Configuration,DC=ad,DC=splunk,DC=com fullPath=LDAP://stuff.splunk.com/<GUID=bla bla bla> CN=NTDS Settings Object Details: whenCreated=10:15.04 pm, Tue 02/12/2008 whenChanged=10:23.00 pm, Tue 02/12/2008 objectGUID=bla bla bla objectClass=top|applicationSettings|nTDSDSA classPath=nTDSDSA Event Details: instanceType=4 Additional Details: systemFlags=33554432 showInAdvancedViewOnly=TRUE serverReferenceBL=CN=stuff,CN=Domain System Volume (SYSVOL share),CN=File Replication Service,CN=System options=1 msDS-hasMasterNCs=DC=ForestDnsZones|DC=DomainDnsZones|CN=Schema,CN=Configuration|CN=Configuration msDS-HasInstantiatedNCs= msDS-HasDomainNCs=blah msDS-Behavior-Version=2 invocationId=bla bla bla hasMasterNCs=CN=Schema,CN=Configuration|CN=Configuration dSCorePropagationData= dMDLocation=CN=Schema,CN=Configuration nTSecurityDescriptor=NT AUTHORITY\Authenticated Users SchemaName=LDAP://stuff.splunk.com/schema/nTDSDSA スキーマイベント Active Directory モニタリングを設定した後 Splunk を起動すると、スキーマタイプイベント admonEventType=schema が⽣成されます。 02/01/2010 15:11:16.0518 dcName=LDAP://stuff.splunk.com/ admonEventType=schema className=msExchProtocolCfgSMTPIPAddress classCN=ms-Exch-Protocol-Cfg-SMTP-IP-Address instanceType=MandatoryProperties nTSecurityDescriptor=MandatoryProperties objectCategory=MandatoryProperties objectClass=MandatoryProperties 51 adminDescription=OptionalProperties adminDisplayName=OptionalProperties allowedAttributes=OptionalProperties allowedAttributesEffective=OptionalProperties allowedChildClasses=OptionalProperties allowedChildClassesEffective=OptionalProperties bridgeheadServerListBL=OptionalProperties canonicalName=OptionalProperties cn=OptionalProperties createTimeStamp=OptionalProperties description=OptionalProperties directReports=OptionalProperties displayName=OptionalProperties displayNamePrintable=OptionalProperties distinguishedName=OptionalProperties dSASignature=OptionalProperties dSCorePropagationData=OptionalProperties extensionName=OptionalProperties flags=OptionalProperties fromEntry=OptionalProperties frsComputerReferenceBL=OptionalProperties fRSMemberReferenceBL=OptionalProperties fSMORoleOwner=OptionalProperties heuristics=OptionalProperties isCriticalSystemObject=OptionalProperties isDeleted=OptionalProperties isPrivilegeHolder=OptionalProperties lastKnownParent=OptionalProperties legacyExchangeDN=OptionalProperties managedObjects=OptionalProperties masteredBy=OptionalProperties memberOf=OptionalProperties modifyTimeStamp=OptionalProperties mS-DS-ConsistencyChildCount=OptionalProperties mS-DS-ConsistencyGuid=OptionalProperties msCOM-PartitionSetLink=OptionalProperties msCOM-UserLink=OptionalProperties msDFSR-ComputerReferenceBL=OptionalProperties msDFSR-MemberReferenceBL=OptionalProperties msDS-Approx-Immed-Subordinates=OptionalProperties msDs-masteredBy=OptionalProperties msDS-MembersForAzRoleBL=OptionalProperties msDS-NCReplCursors=OptionalProperties msDS-NCReplInboundNeighbors=OptionalProperties msDS-NCReplOutboundNeighbors=OptionalProperties msDS-NonMembersBL=OptionalProperties msDS-ObjectReferenceBL=OptionalProperties msDS-OperationsForAzRoleBL=OptionalProperties msDS-OperationsForAzTaskBL=OptionalProperties msDS-ReplAttributeMetaData=OptionalProperties msDS-ReplValueMetaData=OptionalProperties msDS-TasksForAzRoleBL=OptionalProperties msDS-TasksForAzTaskBL=OptionalProperties msExchADCGlobalNames=OptionalProperties msExchALObjectVersion=OptionalProperties msExchHideFromAddressLists=OptionalProperties msExchInconsistentState=OptionalProperties msExchIPAddress=OptionalProperties msExchTurfList=OptionalProperties msExchUnmergedAttsPt=OptionalProperties msExchVersion=OptionalProperties msSFU30PosixMemberOf=OptionalProperties name=OptionalProperties netbootSCPBL=OptionalProperties nonSecurityMemberBL=OptionalProperties objectGUID=OptionalProperties objectVersion=OptionalProperties otherWellKnownObjects=OptionalProperties ownerBL=OptionalProperties partialAttributeDeletionList=OptionalProperties partialAttributeSet=OptionalProperties possibleInferiors=OptionalProperties 52 proxiedObjectName=OptionalProperties proxyAddresses=OptionalProperties queryPolicyBL=OptionalProperties replicatedObjectVersion=OptionalProperties replicationSignature=OptionalProperties replPropertyMetaData=OptionalProperties replUpToDateVector=OptionalProperties repsFrom=OptionalProperties repsTo=OptionalProperties revision=OptionalProperties sDRightsEffective=OptionalProperties serverReferenceBL=OptionalProperties showInAddressBook=OptionalProperties showInAdvancedViewOnly=OptionalProperties siteObjectBL=OptionalProperties structuralObjectClass=OptionalProperties subRefs=OptionalProperties subSchemaSubEntry=OptionalProperties systemFlags=OptionalProperties unmergedAtts=OptionalProperties url=OptionalProperties uSNChanged=OptionalProperties uSNCreated=OptionalProperties uSNDSALastObjRemoved=OptionalProperties USNIntersite=OptionalProperties uSNLastObjRem=OptionalProperties uSNSource=OptionalProperties wbemPath=OptionalProperties wellKnownObjects=OptionalProperties whenChanged=OptionalProperties whenCreated=OptionalProperties wWWHomePage=OptionalProperties Answers 何か質問がありますか?「Splunk Answers」では、Splunk コミュニティに寄せられた、Splunk を使った Active Directory のモニターに関する質問と回答をご覧いただけます。 Windows イベントログデータのモニター Windows はその運⽤の⼀環としてログデータを⽣成します。Windows イベントログサービスは、これに関する ほぼすべての事項を処理します。インストールされているアプリケーション、サービス、およびシステムプロセス が発⾏したログデータを収集し、それをイベントログチャネルに保管します。このチャネルは中間保管場所で、そ の後イベントログファイルに書き込まれます。Microsoft のイベントビューアなどのプログラムは、これらのログ チャネルを参照して、システムに発⽣したイベントを表⽰します。 Splunk Enterprise は Windows イベントログのモニタリングもサポートしています。イベントログチャネルや ローカルマシンに保管されているログファイルをモニターしたり、リモートマシンからログを収集したりすること ができます。 イベントログモニターは、splunkd サービス内の⼊⼒プロセッサとして実⾏されます。Splunk Enterprise に定義 されている各イベントログ⼊⼒に対して、1 回実⾏されます。 イベントログをモニターする理由 Windows イベントログは、Windows サーバーの運⽤に関する中⼼的な測定基準です。Windows システムに何か 問題がある場合は、おそらくイベントログにそれに関する情報が記載されています。Splunk Enterprise のイン デックス作成、サーチ、およびレポート機能により、ログ情報にアクセスできるようになります。 イベント・ログのモニターに何が必要か? アクティビティ: 必要なアクセス許可: ローカルイベント ログのモニター * Splunk Enterprise はWindows 上で実⾏する必要があります。 * すべてのローカルイベントログを読み取るには、Splunk Enterprise を Local System ユーザーとして実⾏する必要があります。 リモートイベント ログのモニター * Splunk Enterprise は Windows 上で実⾏する必要があります。 および * Splunk Enterprise は、イベントログを収集するサーバー上にインストールされている、 ユニバーサルフォワーダー上で動作する必要があります。 または * ターゲットサーバー上の WMI への読み取りアクセスを持つドメインまたはリモートユー ザーとして、Splunk Enterprise を実⾏する必要があります。 * Splunk Enterprise を実⾏するユーザーには、⽬的のイベントログへの読み取りアクセス が必要です。 53 セキュリティとリモートアクセスの検討事項 Splunk Enterprise は、WMI またはフォワーダーを使って、リモートマシンからイベントログデータを収集しま す。リモートマシンからインデクサーへのイベントログデータの送信には、ユニバーサルフォワーダーを使⽤する ことをお勧めします。イベントログデータを収集するための、フォワーダーのインストール、設定、使⽤⽅法につ いては、『データの転送』マニュアルの「ユニバーサルフォワーダーの紹介」を参照してください。 イベントログデータを収集するために、リモートマシン上にフォワーダーをインストールする場合、それらのマシ ンにはフォワーダーを Local System ユーザーとしてインストールすることができます。Local System ユーザー は、ローカルマシン上のすべてのデータにアクセスできますが、リモートマシンにアクセスすることはできませ ん。 WMI を使ってリモートマシンからイベントログデータを収集する場合、ネットワークと Splunk Enterprise イン スタンスが適切に設定されていることを確認する必要があります。Splunk を Local System ユーザーとしてイン ストールすることはできません。また、インストールするユーザーによって、Splunk が参照できるイベントログ が決まります。Splunk が WMI を使ってリモートデータを適切に収集するために、満たす必要がある要件につい ては、このマニュアルの「WMI ベースのデータのモニター」の「セキュリティとリモートアクセスの検討事項」 を参照してください。 デフォルトでは、Windows のバージョンに応じて、⼀部のイベントログへのアクセスが制限されます。特に、デ フォルトでセキュリティイベントログは、ローカル Administrators またはグローバル Domain Admins グループ のメンバーのみが参照することができます。 リモート Windows マシンからのイベントログの収集 Splunk Enterprise を使ってリモートマシンからイベントログを収集する場合、2 種類の選択肢があります。 WMI を使ってリモートにログを収集する。このオプションは、Splunk Web で [リモートイベントログの収 集] を選択した場合に使⽤します。 収集するログがあるマシン上に、ユニバーサル・フォワーダー をインストールする。 WMI を使ってイベントログを収集する場合、Splunk Enterprise を Active Directory ドメインユーザーとしてイ ンストールする必要があります。リモート Windows マシンからのデータの収集については、「リモート Windows データのモニター⽅法決定の検討事項」を参照してください。選択したドメインユーザーが Administrators または Domain Admins グループのメンバーでない場合、ドメインユーザーをイベントログにア クセスさせるための、イベントログセキュリティを設定する必要があります。 リモートマシンからイベントログにアクセスするために、イベントログセキュリティを変更するには、以下の条件 を満たす必要があります。 収集するイベントログがあるサーバーへの管理者アクセスを保有している。 SDDL (Security Description Definition Language) (外部リンク) の仕組み、およびそれを使った アクセス 許可の割り当て⽅法を理解している。 Windows XP および Windows Server 2003/2003 R2 でのイベントログセキュリティアクセス許可の設定⽅法に ついては、Microsoft サポート技術情報の記事を参照してください。Windows Vista、Windows 7、または Windows Server 2008/2008 R2 を利⽤している場合は、wevtutil ユーティリティを使ってイベントログセキュ リティを設定します。 ⼀部のシステムではイベントログに変則的なホスト名が表⽰される Windows Vista および Server 2008 システムで、⼀部のイベントログにランダムに⽣成されたホスト名が表⽰さ れることがあります。これは、OS のインストールプロセス中に、ユーザーがシステム名を指定する前にシステム がイベントを記録したためです。 このような変則的な名称は、上記のバージョンの Windows から WMI 経由でリモートにログを収集した場合にの み発⽣します。 Splunk Web を使ったイベントログのモニタリング ローカル・マシンから Windows イベント・ログ・データを収集するには、このマニュアルの「Windows イベン ト・ログ - ローカル」を参照してください。 リモートイベントログのモニタリングの設定 リモート・イベント・ログのモニタリング⼿順は、ローカル・イベント・ログのモニター⼿順とほぼ同じです。 リモート Windows マシンから Windows イベント・ログ・データを収集するには、このマニュアルの 「Windows イベント・ログ - リモート」を参照してください。 inputs.conf を使ったイベントログモニタリングの設定 を使ってイベントログのモニタリングを設定することができます。inputs.conf を使ったデータ⼊⼒の 設定の詳細は、このマニュアルの「⼊⼒の設定」を参照してください。 inputs.conf 注意: 設定ファイルのデフォルトは、%SPLUNK_HOME%\etc\system\default 内のファイルまたは『管理マニュアル』で 確認することができます。 設定ファイルの編集⽅法については、『管理マニュアル』の「設定ファイルについて」を参照してくださ い。 54 inputs.conf を編集してイベントログ⼊⼒を有効にするには: 1. inputs.conf を %SPLUNK_HOME%\etc\system\default 2. エクスプローラまたは ATTRIB から etc\system\local にコピーします。 コマンドを使って、ファイルの読み取り専⽤フラグを削除します。 3. ファイルを開いて編集し、Windows イベントログ⼊⼒を有効にします。 4. Splunk を再起動します。 次のセクションでは、イベントログのモニタリングのための、利⽤可能な設定値について説明していきます。 イベントログモニターの設定値 Windows イベントログ (*.evt) ファイルはバイナリ形式です。標準のテキストファイルのようにモニターすること はできません。splunkd サービスは、適切な API を使ってこれらのバイナリファイルを読み取り、ファイル内の データのインデックスを作成しています。 Splunk は inputs.conf 内の以下のスタンザを使って、デフォルトの Windows イベントログをモニターします。 # Windows platform specific input processor. [WinEventLog://Application] disabled = 0 [WinEventLog://Security] disabled = 0 [WinEventLog://System] disabled = 0 また、デフォルト以外の Windows イベントログをモニターするように、Splunk Enterprise を設定することもで きます。作業を⾏う前に、ログを Windows イベントビューアにインポートする必要があります。ログをインポー トしたら、以下のようにそれを inputs.conf のローカルコピーに追加することができます。 [WinEventLog://DNS Server] disabled = 0 [WinEventLog://Directory Service] disabled = 0 [WinEventLog://File Replication Service] disabled = 0 注意:インデックス作成には、ログプロパティの「Full Name:」を使⽤します。[Microsoft] > [Windows] > [タ スクスケジューラ] > [稼働中] 内のタスクスケジューラをモニターするには、[稼働中] を右クリックしてプロパ ティを選択します。WinEventLog: スタンザに追加するには、「Full Name」を使⽤します。 [WinEventLog://Microsoft-Windows-TaskScheduler/Operational] disabled = 0 イベントログのインデックス作成を無効にするには、%SPLUNK_HOME%\etc\system\local\inputs.conf のスタンザのリス ト下に disabled = 1 を追加します。 Splunk Enterprise は inputs.conf 内の以下の属性を使って、イベントログファイルをモニターします。 属性 start_from 説明 時系列的なイベントの読み込み⽅法を⽰します。 oldest (古いものから新しいものへとログを読み込む) および newest (新しいも のから古いものへとログを読み込む) を指定できます。 属性に newest を設定すると、最新のものから古いものへとログを読み込んだ 後、処理を終了します。 デフォ ルト oldest 注意: current_only 属性に 1 を設定した場合、この属性に newest を設定することは できません (⽭盾しているため)。この組み合わせは無視されます。 current_only 0 Splunk Enterprise 開始後の、イベントのインデックス作成⽅法を⽰しま す。 1 (*nix システムの 「tail -f」のように、⼊⼒の取り込み開始後に到着したイ ベントのみを取得する) または 0 (ログ内の既存のすべてのイベントを取得し て、それ以降に到着するイベントを継続的かつリアルタイムにモニターする) を指定できます。 注意: start_from 属性に newest を設定した場合、この属性に 1 を設定することはで きません (⽭盾しているため)。この組み合わせは無視されます。 55 checkpointInterval evt_resolve_ad_obj evt_dc_name evt_dns_name suppress_text whitelist 5 Windows イベントログ⼊⼒が、チェックポイントを保存する頻度 (秒) を指 定します。 チェックポイントは、取得したイベントの eventID を保管しています。 これにより、シャットダウンや機能停⽌後にも、正しくイベントのモニター を継続することができます。 1 Windows イベントログイベントのインデックス作成中の、Active Directory とのやり取り⽅法を⽰します。 1 (特定の Windows イベントログチャネルに対して、GUID オブジェクトや SID オブジェクトなどの Active Directory オブジェクトを正規名に解決す る) および 0 (解決は⾏わない) を指定できます。 1 を設定した場合、必要に応じてドメインコントローラ名やバインド先ドメ インの DNS 名を指定することができます。Splunk はこれを使って、Active Directory オブジェクトを解決します。 この値を設定しない場合は、Splunk が Active Directory オブジェクトの解 決を試みます。 N/A Active Directory オブジェクトを解決するためにバインドする、Active Directory ドメインコントローラを指定します。 これには、ドメインコントローラの NetBIOS 名または完全修飾 DNS 名を使 ⽤できます。 どちらの種類の名前でも、必要に応じて前に 2 ⽂字の円記号 (バックスラッ シュ) を付けることができます。 N/A Active Directory オブジェクトを解決するためにバインドする、ドメインの 完全修飾 DNS 名を指定します。 0 セキュリティイベントに付属のメッセージテキストを含めるかどうかを指定 します。 1 はメッセージテキストを抑制します。0 はテキストを保持します。 N/A 指定したテキスト⽂字列に⼀致するイベントのインデックスを作成します。 この属性は省略することができます。 2 種類のいずれかのフォーマットで指定することができます。 1 つまたは複数のイベントログイベントコードまたはイベント ID。 1 つまたは複数のキーと正規表現のセット。詳細は、このトピックの後 半にある「whitelist と blacklist による ⾼度なフィルタの作成」を参照 してください。 単⼀の項⽬に、複数のフォーマットを混在して指定することはできません。 また、同じスタンザ内に複数のフォーマットを混在指定することもできませ ん。 Splunk Enterprise は、まずホワイトリストを処理した後に、ブラックリス トを処理します。 ホワイトリストがない場合は、すべてのイベントのインデックスが作成され ます。 イベントコード/ID フォーマットを使⽤する場合: 複数のコード/ID を使⽤する場合は、カンマで区切ります。 範囲を指定する場合は、ハイフンを使⽤します (例:0-1000,5000-1000)。 ⾼度なフィルタリングフォーマットを使⽤する場合: ⾼度なフィルタリングの場合、フィルタを表すキーと正規表現の間には「=」 を使⽤します (例:whitelist = EventCode=%^1([8-9])$%)。 単⼀の⾼度なフィルタリング項⽬内に、複数のキー/正規表現のセットを指定 することができます。Splunk Enterprise は論理的に各セットを結合しま す。つまり、エントリ内のすべてのセットが 真 (True) の場合にのみ、その エントリは有効になります。 whitelist 属性の最後に数字を付けることで、スタンザあたり最⾼ 10 件のホ ワイトリストを指定することができます (例:whitelist1...whitelist9)。 blacklist 指定されたテキスト⽂字列に⼀致するイベントのインデックスを作成しな い ことを指定します。 この属性は省略することができます。 2 種類のいずれかのフォーマットで指定することができます。 1 つまたは複数のイベントログイベントコードまたはイベント ID。 1 つまたは複数のキーと正規表現のセット。詳細は、このトピックの後 半にある「whitelist と blacklist による ⾼度なフィルタの作成」を参照 してください。 単⼀の項⽬に、複数のフォーマットを混在して指定することはできません。 また、同じスタンザ内に複数のフォーマットを混在指定することもできませ ん。 56 Splunk Enterprise は、まずホワイトリストを処理した後に、ブラックリス トを処理します。 ブラックリストがない場合は、すべてのイベントのインデックスが作成され ます。 イベントログコード/ID フォーマットを使⽤する場合: 複数のコード/ID を使⽤する場合は、カンマで区切ります。 範囲を指定する場合は、ハイフンを使⽤します (例:0-1000,5000-1000)。 ⾼度なフィルタリングフォーマットを使⽤する場合: ⾼度なフィルタリングの場合、フィルタを表すキーと正規表現の間には「=」 を使⽤します (例:blacklist = EventCode=%^1([8-9])$%)。 単⼀の⾼度なフィルタリング項⽬内に、複数のキー/正規表現のセットを指定 することができます。Splunk Enterprise は論理的に各セットを結合しま す。つまり、エントリ内のすべてのセットが 真 (True) の場合にのみ、その エントリは有効になります。 blacklist 属性の最後に数字を付けることで、スタンザあたり最⾼ 10 件のブ ラックリストを指定することができます (例:blacklist1...blacklist9)。 renderXml index disabled イベント・データを Windows イベント・ログ・サブシステムが提供する XML として表⽰することを指⽰します。 この属性は省略することができます。 「1」または「true」を指定すると、イベントが XML として表⽰されます。 「0」または「false」を指定すると、イベントが普通のテキストとして表⽰ されます。 この⼊⼒がデータを送るインデックスを指定します。 0 (false) デフォ ルトの イン デック ス 0 ⼊⼒を実⾏するかどうかを指定します。 0 (⼊⼒を実⾏する) および 1 (⼊⼒を実⾏しない ) を指定できます。 セキュリティイベントログを使ったファイル変更のモニター システム上のファイル変更をモニターするには、⼀連のファイル/ディレクトリのセキュリティ監査を有効にし て、次にセキュリティイベントログチャネルの変更イベントをモニターします。イベントログモニタリング⼊⼒に は、inputs.conf で使⽤できる 3 種類の属性が含まれています。以下に例を⽰します。 [WinEventLog://Security] disabled = 0 start_from = oldest current_only = 0 evt_resolve_ad_obj = 1 checkpointInterval = 5 # only index events with these event IDs. whitelist = 0-2000,3001-10000 # exclude these event IDs from being indexed. blacklist = 2001-3000 ⼀連のファイル/ディレクトリのセキュリティ監査を有効にするには、MS Technet の「セキュリティ イベントの 監査の操作⽅法」 (http://technet.microsoft.com/ja-jp/library/cc727935%28v=ws.10%29.aspx) を参照して ください。 また、suppress_text 属性を使って、セキュリティイベントに付いているメッセージテキストを含めるまたは除外す ることもできます。 [WinEventLog://Security] disabled = 0 start_from = oldest current_only = 0 evt_resolve_ad_obj = 1 checkpointInterval = 5 # suppress message text, we only want the event number. suppress_text = 1 # only index events with these event IDs. whitelist = 0-2000,2001-10000 # exclude these event IDs from being indexed. blacklist = 2001-3000 57 デフォルトで、suppress_text は 0 (偽 (False)) です。 「ホワイトリスト」と「ブラックリスト」による⾼度なフィルタの作成 イベントコードに基づいたフィルタリングに加えて、whitelist および blacklist 属性を使って、到着したイベント をさらにフィルタリングすることができます。そのためには、属性にキー/正規表現を指定します。 whitelist = key=<regular expression> [key=<regular expression] ... このフォーマットで、key は以下のリストからの有効なエントリです。 キー 説明 $TimeGenerated イベントを⽣成したコンピュータの時刻。イベントの時刻⽂字列のみが⽣成されます。 $Timestamp イベント・ログ・サービスがイベントを受信、記録した時刻。イベントの時刻⽂字列のみが ⽣成されます。 Category 特定のイベント・ソースのカテゴリ番号。 CategoryString カテゴリの⽂字列変換。変換はイベント・ソースによって異なります。 ComputerName イベントを⽣成したコンピュータ名。 EventCode イベントのイベント ID 番号。イベント・ビューアでのイベント ID に対応しています。 EventType ログに記録できる 5 種類のイベント (「Error」、「Warning」、「Information」、 「Success Audit」、および「Failure Audit」) のいずれかを表す数値。Windows Server 2003 以前が動作するサーバーまたは Windows XP 以前が動作するクライアント・マシン上 でのみ利⽤できます。MSDN の「Win32_NTLogEvent class (Windows)」 (http://msdn.microsoft.com/en-us/library/aa394226(v=vs.85).aspx) を参照してくださ い。 Keywords イベント・ログ・チャネル内の異なるタイプのイベントを分類するために使⽤されるエレメ ント。たとえば、セキュリティ・イベント・ログ・チャネルがこのエレメントを保有してい ます。 LogName イベントを受信したイベント・ログ・チャネル名。イベント・ビューアのログ名に対応して います。 Message イベント内のメッセージ・テキスト。 OpCode イベントの重⼤度レベル (イベント・ビューアの「オペコード」)。 RecordNumber Windows イベント・ログのレコード番号。Windows サーバー上の各イベントがレコード番 号を受け取ります。システム上で最初に⽣成されたイベントの番号が 0 で始まり、最⼤数の 4294967295 に達するまで新たなイベントが⽣成されるたびに値が増加していきます。最 ⼤値に達すると、再び 0 に戻ります。 Sid イベントに関連する、またはイベントを⽣成したプリンシパル (ユーザー、グループ、コン ピュータ、または他のエンティティなど) のセキュリティ ID (SID)。MSDN の 「Win32_UserAccount class」(http://msdn.microsoft.com/enus/library/windows/desktop/aa394507%28v=vs.85%29.aspx) を参照してください。 SidType イベントに関連付けられている SID のタイプを表す数値。MSDN の 「Win32_UserAccount class」(http://msdn.microsoft.com/enus/library/windows/desktop/aa394507%28v=vs.85%29.aspx) を参照してください。 SourceName イベントを⽣成したエンティティのソース (イベント・ビューアの「ソース」)。 TaskCategory イベントのタスク・カテゴリ。イベント・ソースでカテゴリを定義して、イベント・ビュー アでの表⽰時にフィルタリングを⾏えます ([タスク・カテゴリ] フィールドを使⽤)。MSDN の「Event Categories (Windows)」 (http://msdn.microsoft.com/enus/library/aa363649%28VS.85%29.aspx) を参照してください。 Type ログに記録できる 5 種類のイベント (「Error」、「Warning」、「Information」、 「Success Audit」、および「Failure Audit」) のいずれかを表す数値。Windows Server 2008 以降が動作するサーバー・マシン、または Windows Vista 以降が動作するクライアン トでのみ利⽤できます。MSDN の「Win32_NTLogEvent class (Windows)」 (http://msdn.microsoft.com/en-us/library/aa394226(v=vs.85).aspx) を参照してくださ い。 User イベントに関連するユーザー。イベント・ビューアの「ユーザー」に対応しています。 は含める (whitelist 属性と⼀緒に使⽤) または除外する (blacklist 属性と⼀緒に使⽤) フィル タを表す、有効な正規表現です。 <regular expression> 正規表現の詳細と使⽤⽅法については、Regularexpressions.info (http://www.regular-expressions.info) Web サイトを参照してください。 単⼀のエントリ⾏に、複数のキー/正規表現セットを指定することができます。そうした場合、それらのセットは 論理的に連結されます。つまり、すべてのセットを満たすイベントのみが、含める/除外の対象となります。例: whitelist = EventCode="^1([0-5])$" Message="^Error" 58 この場合、EventCode が 10〜15 で、単語 Error を含む Message があるイベントが含められます。 各スタンザには、最⼤で 10 件の個別のホワイトリストまたはブラックリストエントリを指定することができま す。そのためには、個別の⾏の whitelist または blacklist エントリに、数字を付けます。 whitelist = key=<regular expression> whitelist1 = key=<regular expression> key2=<regular expression 2> whitelist2 = key=<regular expression> 注意: 同じキーを参照する、複数のキー/正規表現セットを持つエントリを指定することはできません。たとえ ば、以下のように指定すると: whitelist = EventCode="^1([0-5])$" EventCode="^2([0-5])$" 最初のセットは無視されて、2 番⽬のセットに⼀致するイベントのみが含められます。この場合、EventCode が 20 〜25 のイベントのみが⼀致します。EventCode が 10〜15 のイベントは⼀致にはなりません。エントリの最後の セットのみが照合されます。 この問題に対処するには、スタンザ内に 2 つの個別のエントリを指定します。 whitelist = EventCode="^1([0-5])$" whitelist1 = EventCode="^2([0-5])$" イベントログファイル内の Active Directory オブジェクトの解決 特定のイベントログチャネルに対して、グローバル⼀意識別⼦ (GUID) やセキュリティ識別⼦ (SID) などの Active Directory オブジェクトを解決するかどうかを指定するには、inputs.conf のローカルコピーの、該当する チャネルのスタンザに evt_resolve_ad_obj 属性を指定します (1=有効、0=無効)。デフォルトでは、セキュリティ チャネルに対して evt_resolve_ad_obj 属性がオンになっています。 例: [WinEventLog://Security] disabled = 0 start_from = oldest current_only = 0 evt_resolve_ad_obj = 1 checkpointInterval = 5 Active Directory オブジェクトを解決するために、Splunk がバインドする必要があるドメインのドメインコント ローラを指定するには、evt_dc_name 属性を使⽤します。 属性に指定する⽂字列は、ドメインコントローラの NetBIOS 名または完全修飾ドメイン名 (FQDN) でなければなりません。どちらの種類の名前でも、必要に応じて前に 2 ⽂字の円記号 (バックスラッシュ) を付け ることができます。 evt_dc_name 正しい形式のドメインコントローラ名を使⽤した例を以下に⽰します。 FTW-DC-01 \\FTW-DC-01 FTW-DC-01.splunk.com \\FTW-DC-01.splunk.com バインドするドメインの完全修飾ドメイン名を指定するには、evt_dns_name 属性を使⽤します。 例: [WinEventLog://Security] disabled = 0 start_from = oldest current_only = 0 evt_resolve_ad_obj = 1 evt_dc_name = ftw-dc-01.splunk.com evt_dns_name = splunk.com checkpointInterval = 5 制約 evt_dc_resolve_obj 属性の使⽤時には、いくつかの理解しておく必要がある事項があります。 この属性を指定すると、Splunk はまず evt_dc_name 属性に指定されているドメインコントローラを使⽤し 59 て、SID および GUID の解決を試みます。そのドメインコントローラを使って SID を解決できなかった場 合、デフォルトのドメインコントローラにバインドして解決を試みます。 SID を解決するためのドメインコントローラと通信できなかった場合は、次にローカルマシンを使った解決 が試みられます。 これらの⼿段がどれも利⽤できなかった場合、Splunk はイベントに捕捉された SID を出⼒します。 Splunk は、S-1-N-NN-NNNNNNNNNN-NNNNNNNNNN-NNNNNNNNNN-NNNN の形式ではない SID を解決することはできませ ん。 Splunk が SID を適切に解決/変換できていない場合は、インデクサーの splunkd.log を参照して問題を調査 してください。 もっとも早いまたは最新のイベントからインデックス作成を開始するかどうかの指定 Splunk Enterprise がもっとも早いイベントまたは最新のイベントからインデックスの作成を開始するかどうかを 指定するには、start_from 属性を使⽤します。デフォルトで、Splunk はもっとも古いデータからインデックスの 作成を開始して、新しいデータへと進んでいきます。変更するには、この属性に newest を設定します。この場 合、最新のイベントからインデックスの作成が開始され、古いデータへと処理を進めます。Splunk はこの⽅法を 使ってバックログのインデックスを作成した後、インデックス作成を中⽌するため、この設定を変更することはお 勧めできません。 特定のログチャネルにある既存のすべてのイベントのインデックスを作成するかどうかを指定するに は、current_only 属性を使⽤します。1 を設定すると、Splunk が開始された時点から新たに登場したイベントの み、インデックスが作成されます。0 を設定すると、すべてのイベントのインデックスが作成されます。 例: [WinEventLog://Application] disabled = 0 start_from = oldest current_only = 1 イベントを XML で表⽰ イベントを XML で⽣成するには、renderXml 属性を使⽤します。 [WinEventLog://System] disabled = 0 renderXml = 1 evt_resolve_ad_obj = 1 evt_dns_name = \"SV5DC02\" この⼊⼒スタンザは、以下のようなイベントを⽣成します。 <Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'> <System> <Provider Name='Service Control Manager' Guid='{555908d1-a6d7-4695-8e1e-26931d2012f4}' EventSourceName='Service Control Manager'/> <EventID Qualifiers='16384'>7036</EventID> <Version>0</Version> <Level>4</Level> <Task>0</Task> <Opcode>0</Opcode> <Keywords>0x8080000000000000</Keywords> <TimeCreated SystemTime='2014-04-24T18:38:37.868683300Z'/> <EventRecordID>412598</EventRecordID> <Correlation/> <Execution ProcessID='192' ThreadID='210980'/> <Channel>System</Channel> <Computer>SplunkDoc.splunk-docs.local</Computer> <Security/> </System> <EventData> <Data Name='param1'>Application Experience</Data> <Data Name='param2'>stopped</Data> <Binary>410065004C006F006F006B00750070005300760063002F0031000000</Binary> </EventData> </Event> 注意: イベントを XML で表⽰するように設定した場合、XML 内のイベント・キーはマシンのシステム⾔語に関 係なく英語で⽣成されます。フランス語版の Windows サーバーで⽣成された以下のイベントを⽐較してくださ い。 標準イベント: 60 04/29/2014 02:50:23 PM LogName=Security SourceName=Microsoft Windows security auditing. EventCode=4672 EventType=0 Type=Information ComputerName=sacreblue TaskCategory=Ouverture de session spéciale OpCode=Informations RecordNumber=2746 Keywords=Succès de l’audit Message=Privilèges spéciaux attribués à la nouvelle ouverture de session. Sujet : ID de sécurité : AUTORITE NT\Système Nom du compte : Système Domaine du compte : AUTORITE NT ID d’ouverture de session : Privilèges : 0x3e7 SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege XML イベント: <Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'> <System><Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA3E3B0328C30D}'/> <EventID>4672</EventID> <Version>0</Version> <Level>0</Level> <Task>12548</Task> <Opcode>0</Opcode> <Keywords>0x8020000000000000</Keywords> <TimeCreated SystemTime='2014-04-29T22:15:03.280843700Z'/> <EventRecordID>2756</EventRecordID> <Correlation/><Execution ProcessID='540' ThreadID='372'/> <Channel>Security</Channel> <Computer>sacreblue</Computer> <Security/> </System> <EventData> <Data Name='SubjectUserSid'>AUTORITE NT\Système</Data> <Data Name='SubjectUserName'>Système</Data> <Data Name='SubjectDomainName'>AUTORITE NT</Data> <Data Name='SubjectLogonId'>0x3e7</Data> <Data Name='PrivilegeList'>SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege</Data> </EventData> </Event> XML イベント内の されます。 Data Name キーは、標準イベントではシステムの使⽤⾔語で表⽰される場合でも、英語で表⽰ 61 CLI を使ったローカル・イベント・ログのモニタリング CLI を使って、ローカル・イベント・ログのモニタリングを設定できます。CLI を使⽤する前に、inputs.conf に スタンザのエントリを作成する必要があります。「inputs.conf を使ったイベント・ログ・モニタリングの設定」 を参照してください。 注意: リモート・イベント・ログ・コレクションに対しては、CLI を使⽤できません。 ローカルマシン上に設定されているすべてのイベント・ログ・チャネルを表⽰するには: > splunk list eventlog 名前を指定することで、特定のチャネルを表⽰することもできます: > splunk list eventlog <ChannelName> イベント・ログ・チャネルを有効にするには: > splunk enable eventlog <ChannelName> チャネルを無効にするには: > splunk disable eventlog <ChannelName> エクスポートされたイベントログ (.evt または .evtx) ファイルのインデックスの作成 エクスポートした Windows イベントログファイルのインデックスを作成するには、ファイルとディレクトリのモ ニターの説明に従って、エクスポートしたファイルを保管しているディレクトリをモニターします。 制約 Windows XP および Server 2003 システムでは API とログチャネルの処理上の制約により、それらのシス テムからインポートした .evt ファイルには、「Message」フィールドが含まれていません。つまり、 「Message」フィールドの内容が、Splunk インデックスには含まれません。 Windows XP および Windows Server 2003/2003 R2 上で動作している Splunk は、Windows Vista 以降 または Windows Server 2008/2008 R2 以降が動作しているシステムからエクスポートされた、.evtx ファ イルのインデックスを作成できません。 Windows Vista 以降および Windows Server 2008/2008 R2 以降上で動作する Splunk は、.evt および .evtx の両⽅のファイルのインデックスを作成することができます。 .evt または .evtx ファイルが標準のイベントログチャネルからのファイルでない場合は、そのチャネルが必 要とする DLL ファイルが、インデックスを作成するコンピュータ上にあることを確認する必要がありま す。 .evt または .evtx ファイルのインデックスは、それを収集したコンピュータのプライマリロケール/⾔語で作 成されます。 警告: 現在書き込み中の .evt または .evtx ファイルのモニターは、試みないようにしてください。Windows は、そのようなファイルに対する読み取りアクセスを禁⽌しています。代わりにイベントログのモニタリング機能 を使⽤してください。 注意: あるシステム上で .evt または .evtx ファイルを⽣成し、それを別のシステムでモニターする場合、イベン トを⽣成したシステムのように、各イベントの⼀部のフィールドが展開されない可能性があります。この問題は DLL のバージョンの違い、DLL の有無、API のバリエーションなどが原因です。OS のバージョン、⾔語、 Service Pack のレベル、およびインストールされているサードパーティ製 DLL などの要因により、この問題が 発⽣することもあります。 Answers 何か質問がありますか?「Splunk Answers」では、Splunk コミュニティに寄せられた、Windows イベントログ に関する質問と回答をご覧いただけます。 Windows のファイルシステム変更のモニター Splunk Enterprise は Windows ファイルシステムの変更を、セキュリティイベントログチャネルを介してモニ ターすることができます。ファイルやディレクトリに対する変更のモニタリングを有効にするには、まず変更をモ ニターするファイル/ディレクトリのセキュリティ監査を有効にします。次に、イベントログモニター機能で、セ キュリティイベントログチャネルをモニターします。 このファイルシステム変更のモニター⼿順は、廃⽌予定のファイルシステムモニター⼊⼒に代わるものです。 ファイル・システム変更のモニターに何が必要か? アクティビ ティ: ファイルシ ステム変更 必要なアクセス許可: Splunk Enterprise は Windows 上で実⾏する必要があります、および 62 の監視 Splunk Enterprise は Local System ユーザー、またはセキュリティイベントログを読み取 るための、特定のセキュリティポリシー権限を持つドメインユーザーとして実⾏する必要が あります、および 変更をモニターするファイル/ディレクトリのセキュリティ監査を有効にする必要がありま す。 セキュリティイベントログを使ったファイル変更のモニター システム上のファイル変更をモニターするには、⼀連のファイル/ディレクトリのセキュリティ監査を有効にし て、次にセキュリティイベントログチャネルの変更イベントをモニターします。イベントログモニタリング⼊⼒に は、inputs.conf で使⽤できる 3 種類の属性が含まれています。 属性 whitelist 説明 デ フォ ルト N/A 指定したテキスト⽂字列に⼀致するイベントのインデックスを作成します。 この属性は省略することができます。 2 種類のいずれかのフォーマットで指定することができます。 1 つまたは複数のイベントログイベントコードまたはイベント ID。 1 つまたは複数のキーと正規表現のセット。詳細は、このトピックの後半にあ る「whitelist と blacklist による ⾼度なフィルタの作成」を参照してくださ い。 単⼀の項⽬に、複数のフォーマットを混在して指定することはできません。 また、同じスタンザ内に複数のフォーマットを混在指定することもできません。 Splunk Enterprise は、まずホワイトリストを処理した後に、ブラックリストを処理 します。 ホワイトリストがない場合は、すべてのイベントのインデックスが作成されます。 イベントコード/ID フォーマットを使⽤する場合: 複数のコード/ID を使⽤する場合は、カンマで区切ります。 範囲を指定する場合は、ハイフンを使⽤します (例:0-1000,5000-1000)。 ⾼度なフィルタリングフォーマットを使⽤する場合: ⾼度なフィルタリングの場合、フィルタを表すキーと正規表現の間には「=」を使⽤ します (例:whitelist = EventCode=%^1([8-9])$%)。 単⼀の⾼度なフィルタリング項⽬内に、複数のキー/正規表現のセットを指定するこ とができます。Splunk Enterprise は論理的に各セットを結合します。つまり、エン トリ内のすべてのセットが 真 (True) の場合にのみ、そのエントリは有効になりま す。 whitelist 属性の最後に数字を付けることで、スタンザあたり最⾼ 10 件のホワイトリ ストを指定することができます (例:whitelist1...whitelist9)。 blacklist 指定されたテキスト⽂字列に⼀致するイベントのインデックスを作成しない ことを指 定します。 この属性は省略することができます。 2 種類のいずれかのフォーマットで指定することができます。 1 つまたは複数のイベントログイベントコードまたはイベント ID。 1 つまたは複数のキーと正規表現のセット。詳細は、このトピックの後半にあ る「whitelist と blacklist による ⾼度なフィルタの作成」を参照してくださ い。 単⼀の項⽬に、複数のフォーマットを混在して指定することはできません。 また、同じスタンザ内に複数のフォーマットを混在指定することもできません。 Splunk Enterprise は、まずホワイトリストを処理した後に、ブラックリストを処理 します。 ブラックリストがない場合は、すべてのイベントのインデックスが作成されます。 イベントログコード/ID フォーマットを使⽤する場合: 複数のコード/ID を使⽤する場合は、カンマで区切ります。 範囲を指定する場合は、ハイフンを使⽤します (例:0-1000,5000-1000)。 ⾼度なフィルタリングフォーマットを使⽤する場合: ⾼度なフィルタリングの場合、フィルタを表すキーと正規表現の間には「=」を使⽤ します (例:blacklist = EventCode=%^1([8-9])$%)。 単⼀の⾼度なフィルタリング項⽬内に、複数のキー/正規表現のセットを指定するこ とができます。Splunk Enterprise は論理的に各セットを結合します。つまり、エン トリ内のすべてのセットが 真 (True) の場合にのみ、そのエントリは有効になりま す。 blacklist 属性の最後に数字を付けることで、スタンザあたり最⾼ 10 件のブラックリ ストを指定することができます (例:blacklist1...blacklist9)。 suppress_text セキュリティイベントに付属のメッセージテキストを含めるかどうかを指定します。1 は メッセージテキストを抑制します。0 はテキストを保持します。 63 0 注意: これらの属性は、セキュリティイベントログおよびファイルシステム変更のコンテキスト外で使⽤できま す。また、これらの属性リストは inputs.conf で利⽤できる属性の⼀部でしかありません。その他の属性について は、このマニュアルの「Windows イベントログデータのモニター 」を参照してください。 ⾼度なフィルタの作成: whitelist および blacklist イベントコードに基づいたフィルタリングに加えて、whitelist および blacklist 属性を使って、到着したイベント をさらにフィルタリングすることができます。そのためには、属性にキー/正規表現を指定します。 whitelist = key=<regular expression> [key=<regular expression] ... このフォーマットで、key は以下のリストからの有効なエントリです。 キー 説明 $TimeGenerated イベントを⽣成したコンピュータの時刻。イベントの時刻⽂字列のみが⽣成されます。 $Timestamp イベント・ログ・サービスがイベントを受信、記録した時刻。イベントの時刻⽂字列のみが ⽣成されます。 Category 特定のイベント・ソースのカテゴリ番号。 CategoryString カテゴリの⽂字列変換。変換はイベント・ソースによって異なります。 ComputerName イベントを⽣成したコンピュータ名。 EventCode イベントのイベント ID 番号。イベント・ビューアでのイベント ID に対応しています。 EventType ログに記録できる 5 種類のイベント (「Error」、「Warning」、「Information」、 「Success Audit」、および「Failure Audit」) のいずれかを表す数値。Windows Server 2003 以前が動作するサーバーまたは Windows XP 以前が動作するクライアント・マシン上 でのみ利⽤できます。MSDN の「Win32_NTLogEvent class (Windows)」 (http://msdn.microsoft.com/en-us/library/aa394226(v=vs.85).aspx) を参照してくださ い。 Keywords イベント・ログ・チャネル内の異なるタイプのイベントを分類するために使⽤されるエレメ ント。たとえば、セキュリティ・イベント・ログ・チャネルがこのエレメントを保有してい ます。 LogName イベントを受信したイベント・ログ・チャネル名。イベント・ビューアのログ名に対応して います。 Message イベント内のメッセージ・テキスト。 OpCode イベントの重⼤度レベル (イベント・ビューアの「オペコード」)。 RecordNumber Windows イベント・ログのレコード番号。Windows サーバー上の各イベントがレコード番 号を受け取ります。システム上で最初に⽣成されたイベントの番号が 0 で始まり、最⼤数の 4294967295 に達するまで新たなイベントが⽣成されるたびに値が増加していきます。最 ⼤値に達すると、再び 0 に戻ります。 Sid イベントに関連する、またはイベントを⽣成したプリンシパル (ユーザー、グループ、コン ピュータ、または他のエンティティなど) のセキュリティ ID (SID)。MSDN の 「Win32_UserAccount class」(http://msdn.microsoft.com/enus/library/windows/desktop/aa394507%28v=vs.85%29.aspx) を参照してください。 SidType イベントに関連付けられている SID のタイプを表す数値。MSDN の 「Win32_UserAccount class」(http://msdn.microsoft.com/enus/library/windows/desktop/aa394507%28v=vs.85%29.aspx) を参照してください。 SourceName イベントを⽣成したエンティティのソース (イベント・ビューアの「ソース」)。 TaskCategory イベントのタスク・カテゴリ。イベント・ソースでカテゴリを定義して、イベント・ビュー アでの表⽰時にフィルタリングを⾏えます ([タスク・カテゴリ] フィールドを使⽤)。MSDN の「Event Categories (Windows)」 (http://msdn.microsoft.com/enus/library/aa363649%28VS.85%29.aspx) を参照してください。 Type ログに記録できる 5 種類のイベント (「Error」、「Warning」、「Information」、 「Success Audit」、および「Failure Audit」) のいずれかを表す数値。Windows Server 2008 以降が動作するサーバー・マシン、または Windows Vista 以降が動作するクライアン トでのみ利⽤できます。MSDN の「Win32_NTLogEvent class (Windows)」 (http://msdn.microsoft.com/en-us/library/aa394226(v=vs.85).aspx) を参照してくださ い。 User イベントに関連するユーザー。イベント・ビューアの「ユーザー」に対応しています。 は含める (whitelist 属性と⼀緒に使⽤) または除外する (blacklist 属性と⼀緒に使⽤) フィル タを表す、有効な正規表現です。 <regular expression> 正規表現の詳細と使⽤⽅法については、Regularexpressions.info (http://www.regular-expressions.info) Web サイトを参照してください。 単⼀のエントリ⾏に、複数の正規表現を指定することができます。そうした場合、それらの式は論理的に連結され ます。つまり、その⾏のすべての式を満たすイベントのみが、含める/除外の対象となります。例: 64 whitelist = EventCode="^1([0-5])$" Message="^Error" この場合、EventCode が 10〜15 で、単語 Error を含む Message があるイベントが含められます。 各スタンザには、最⼤で 10 件の個別のホワイトリストまたはブラックリストエントリを指定することができま す。そのためには、個別の⾏の whitelist または blacklist エントリに、数字を付けます。 whitelist = key=<regular expression> whitelist1 = key=<regular expression> key2=<regular expression 2> whitelist2 = key=<regular expression> 注意: 同じキーを参照する、複数の式を持つエントリを指定することはできません。たとえば、以下のように指 定すると: whitelist = EventCode="^1([0-5])$" EventCode="^2([0-5])$" 最初の式は無視されて、2 番⽬の式に⼀致するイベントのみが含められます。この場合、EventCode が 20〜25 の イベントのみが⼀致します。EventCode が 10〜15 のイベントは⼀致にはなりません。エントリの最後の式のみが 照合されます。 この問題に対処するには、スタンザ内に 2 つの個別のエントリを指定します。 whitelist = EventCode="^1([0-5])$" whitelist1 = EventCode="^2([0-5])$" ファイルシステム変更の監視 ⼀連のファイル/ディレクトリに対するファイルシステムの変更をモニターするには: 1. MS Technet の「セキュリティ イベントの監査の操作⽅法」 (http://technet.microsoft.com/jajp/library/cc727935%28v=ws.10%29.aspx) を参考に、セキュリティを有効にします。 重要: この作業を⾏うには、管理者権限が必要です。 2. セキュリティイベントログチャネルをモニターするように、イベントログモニター⼊⼒を設定します。 注意: イベントログモニター⼊⼒の設定⽅法については、このマニュアルの「Windows イベントログデータの モニター 」を参照してください。 例 ファイルシステム変更をモニターするための、inputs.conf スタンザの例を以下に⽰します。 このスタンザは、イベント ID コードが 0〜2000、および 3001〜10000 のセキュリティイベントを収集しま す。 [WinEventLog:Security] disabled = 0 start_from = oldest current_only = 0 evt_resolve_ad_obj = 1 checkpointInterval = 5 # only index events with these event IDs. whitelist = 0-2000,2001-10000 # exclude these event IDs from being indexed. blacklist = 2001-3000 このスタンザは、イベント ID コードが 0〜2000、および 3001〜10000 のセキュリティイベントを収集しま す。また、特定のイベント ID のメッセージテキストを抑制します。 [WinEventLog:Security] disabled = 0 start_from = oldest current_only = 0 evt_resolve_ad_obj = 1 checkpointInterval = 5 # suppress message text, we only want the event number. suppress_text = 1 # only index events with these event IDs. whitelist = 0-2000,2001-10000 # exclude these event IDs from being indexed. blacklist = 2001-3000 65 WMI ベースのデータのモニター Splunk Enterprise では、リモートマシン上のパフォーマンスおよびイベントログデータにエージェントレスでア クセスするために、WMI を使⽤することができます。このことは、環境内のすべての Windows マシンに何もイ ンストールすることなく、それらのマシンからイベント・ログを収集できることを意味しています。 重要: 可能な場合は、WMI ではなく ユニバーサル・フォワーダーを使ってリモート・マシンからデータを収集し てください。多くの場合 WMI のリソース負荷は、ユニバーサルフォワーダーよりも⾼くなります。特に、各ホス トから複数のイベント・ログやパフォーマンス・カウンタを収集する場合、またはドメイン・コントローラのよう な処理負荷が⼤きなホストに対しては、フォワーダーを使⽤してください。このマニュアルの「リモート Windows データのモニター⽅法決定の検討事項」を参照してください。 WMI ベースのデータ⼊⼒は、複数の WMI プロバイダに接続できます。⼊⼒は、splunk-wmi.exe と呼ばれる別個の プロセスとして実⾏されます。これはスクリプト⼊⼒ です。 WMI ベースのデータのモニターに何が必要か? WMI ベースのデータをモニターするための、最低の基本要件を以下に⽰します。モニターするログやパフォーマ ンスカウンタによっては、他のアクセス許可が必要になることもあります。 WMI ベースのデータのモニターに必要な事項については、このトピック後半の「セキュリティとリモート・アク セスの検討事項」を参照してください。 アクティビティ: 必要なアクセス許可: WMI 経由のリモートイベントロ グのモニター * Splunk Enterprise は Windows 上で実⾏する必要があります。 * Splunk Enterprise は、最低でも WMI への読み取りアクセスを持つドメイ ンユーザーとして実⾏する必要があります。 * Splunk Enterprise は、⽬的のイベントログへの適切なアクセス権を持つ、 ドメインユーザーとして実⾏する必要があります。 WMI 経由のリモートパフォーマ ンスモニターカウンタのモニ ター * Splunk Enterprise は Windows 上で実⾏する必要があります。 * Splunk Enterprise は、最低でも WMI への読み取りアクセスを持つドメイ ンユーザーとして実⾏する必要があります。 * Splunk Enterprise は、パフォーマンスデータヘルパーライブラリへの適切 なアクセス権を持つ、ドメインユーザーとして実⾏する必要があります。 セキュリティとリモートアクセスの検討事項 Splunk Enterprise と Windows ネットワークを、WMI データにアクセスするために正しく設定する必要があり ます。Splunk Enterprise を使って WMI データの収集を試みる前に、以下の前提条件を確認してください。 Splunk Enterprise が WMI ベースのデータを取得する前に: リモートネットワーク接続を実施するアクセス許可を持つユーザーとしてインストールする必要がありま す。 Splunk Enterprise を実⾏するユーザーは、Active Directory ドメイン/フォレストのメンバーで、WMI プ ロバイダにクエリーするための適切な権限を持っている必要があります。 また Splunk Enterprise ユーザーは、Splunk Enterprise を実⾏するコンピュータのローカル Administrators グループのメンバーでなければなりません。 Splunk Enterprise を実⾏するコンピュータは、リモートマシンに接続でき、また接続後にはリモートマシ ンから⽬的のデータを取得するための、アクセス許可を保有している必要があります。 Splunk Enterprise インスタンスと、ターゲット・マシンの両⽅が、同じ Active Directory ドメイン/フォ レストに存在している必要があります。 Splunk ユーザーは Domain Admins グループのメンバーになる必要はありません (セキュリティ上の理由から、 そうしないでください)。ただし、Splunk ユーザーのアクセスを設定するには、ドメイン管理者権限が必要になり ます。ドメイン管理者権限がない場合は、他の適切な権限を持っているユーザーに、Splunk ユーザー・アクセス の設定、または⾃分へのドメイン管理者権限の割り当てを依頼してください。 注意: Splunk Enterprise を Local System ユーザーとしてインストールした場合、WMI 経由のリモート認証は 機能しません。Local System ユーザーには、ネットワーク上の他のマシンに対するアクセス権がありません。マ シンの Local System アカウントに、他のマシンにアクセスするための権限を与えることはできません。 Splunk ユーザーに WMI プロバイダへのアクセス権を割り当てるには、以下のいずれかの作業を⾏います。 ユーザーを、ポーリングを⾏う各メンバーサーバーの、ローカル Administrators グループに追加する (セ キュリティ上の理由からお勧めできません)。 Domain Admins グローバルグループに追加する (セキュリティ上の理由からお勧めできません)。 後述するように、必要最低限の権限のみを割り当てる (推奨)。 グループメンバーシップとリソースアクセス制御リスト (ACL) に関する重要な注意事項 セキュリティ整合性を維持するためには、Splunk ユーザーをドメイン・グローバル・グループに配置して、ユー ザーに直接アクセス許可を割り当てる代わりに、そのグループに Windows マシンのアクセス許可とリソース ACL を割り当てます。ユーザーに直接アクセス許可を割り当てるとセキュリティリスクが⽣じてしまい、セキュ リティ監査時や将来の変更により問題が発⽣する可能性があります。 必要最低限のアクセスを与えるための WMI の設定 Splunk Enterprise を実⾏するユーザーがドメイン管理者でない場合、そのユーザーにアクセス権を提供するよう 66 に WMI を設定する必要があります。WMI も含めてすべての Windows リソースに対する、必要最低限のアクセ ス権のみを与えるようにしてください。このようなアクセス権を与えるために、以下のチェックリストに従ってく ださい。その他の情報と作業⼿順については、『インストール・マニュアル』の「Splunk Enterprise インストー ル⽤の Windows ネットワークの準備」を参照してください。 WMI 経由でデータを収集するためには、Splunk Enterprise を動作させるユーザーに、「最低限必要な権限を与 える」⼿法で、各レベルのアクセス権を割り当てる必要があります。 1.ローカルセキュリティポリシーアクセス許可。 Splunk ユーザー向けに、WMI ベースのデータをポーリング する各マシン上で、以下のローカルセキュリティポリシーの、ユーザー権利の割り当てを定義する必要がありま す。 ネットワーク経由でコンピュータへアクセス オペレーティング システムの⼀部として機能 バッチジョブとしてログオン サービスとしてログオン システム パフォーマンスのプロファイル プロセスレベルトークンの置き換え 注意: これらのユーザー権利の割り当てをドメイン全体にデプロイするには、ドメイン・セキュリティ・ポリ シー (dompol.msc) Microsoft 管理コンソール (MMC) スナップインを使⽤します。デプロイが完了すると、それら の権利割り当ては次回の Active Directory レプリケーション・サイクル時に、ネットワーク上のメンバー・サー バーに継承されます。変更内容を反映するには、それらのマシン上で Splunk Enterprise インスタンスを再起動 する必要があります。 このアクセスをドメインコントローラにまで拡張するには、ドメインコントローラセキュリティポリシー (dcpol.msc) スナップインを使って権限を割り当てます。 2.Distributed Component Object Model (DCOM) の設定とアクセス許可。 モニターする各マシン上 で、DCOM を有効にする必要があります。また、Splunk Enterprise ユーザーには、DCOM にアクセスするた めのアクセス許可を割り当てる必要があります。そのためにはさまざまな⽅法がありますが、「Distributed COM Users」ドメイン・グローバル・グループを、モニターする各マシン上の「Distributed COM Users」ロー カル・グループに⼊れ⼦して、次に Splunk ユーザーを「Distributed COM Users」ドメイン・グローバル・グ ループに追加することをお勧めします。Splunk Enterprise ユーザーに DCOM へのアクセス権を与えるための⾼ 度なオプションについては、MSDN の「Securing a Remote WMI Connection」 (http://msdn.microsoft.com/en-us/library/aa393266(VS.85).aspx) を参照してください。 3.パフォーマンスモニターの設定とアクセス許可。 WMI 経由でリモート・パフォーマンス・オブジェクトにア クセスするには、Splunk Enterprise ユーザーが「Performance Log Users」ローカル・グループのメンバーでな ければなりません。このためには、「Performance Log Users」ドメイン・グローバル・グループを、各メン バー・サーバーの「Performance Log Users」ローカル・グループに⼊れ⼦して、次にユーザーをグローバル・ グループに割り当てることをお勧めします。 4.WMI 名前空間のセキュリティ。 Splunk Enterprise がアクセスする WMI 名前空間 (⼀般的には Root\CIMV2) には、適切なアクセス許可セットが必要です。グローバル WMI セキュリティは存在しないため、企業内の各サー バーに以下のアクセス許可を設定する必要があります。Splunk ユーザーの Root 名前空間で、各ホストに対して WMI ツリー上で以下のアクセス許可を有効にするには、WMI セキュリティ MMC スナップイン (wmimgmt.msc) を 使⽤します。 メソッドの実⾏ アカウントの有効化 リモートの有効化 セキュリティの読み取り これらの権限は、Root 名前空間とその下のすべてのサブ名前空間に割り当てる必要があります。詳細は、 Microsoft サポート技術情報の記事「[HOWTO] Windows Server 2003 で WMI 名前空間のセキュリティを設定 する⽅法」 (http://support.microsoft.com/kb/325353) を参照してください。 重要: グループポリシーを使って、複数のリモートマシンに WMI セキュリティ設定を⼀度にデプロイするため の、標準機能はありません。ただし、MSDN ブログの「Set WMI namespace security via GPO」 (http://blogs.msdn.com/spatdsg/archive/2007/11/21/set-wmi-namespace-security-via-gpo-script.aspx) に は、グループ・ポリシー・オブジェクト (GPO) 内に配置できる起動スクリプトの作成⽅法の説明が記載されてい ます。GPO が⽬的のホストに適⽤されると、このスクリプトが名前空間のセキュリティを設定します。次に GPO をドメイン全体、または 1 つまたは複数の組織単位 (OU) にデプロイすることができます。 5.ファイアウォールの設定。 ファイアウォールを有効にしている場合、WMI へのアクセスを許可するように設 定する必要があります。最新版の Windows に同梱されている Windows ファイアウォールを使⽤する場合は、例 外リストに WMI が明⽰的に含まれます。この例外は、発信元とターゲットの両⽅のマシンに設定する必要があり ます。詳細は、MSDN の「Connecting to WMI Remotely Starting with Vista」 (http://msdn.microsoft.com/en-us/library/aa822854(VS.85).aspx) を参照してください。 6.ユーザーアクセス制御 (UAC) の設定。 Windows Vista、Windows 7、Windows 8.1 または Windows Server 2003/2008/2012 のファミリーを使⽤している場合、UAC が Windows によるアクセス許可の割り当て ⽅法に影響してきます。MSDN の「User Account Control and WMI」 (http://msdn.microsoft.com/enus/library/aa826699(v=vs.85).aspx) を参照してください。 WMI プロバイダへのテストアクセス WMI を設定して、Splunk ユーザーのドメインへのアクセスを設定したら、リモート・マシンへのアクセスをテ ストします。 重要: この⼿順には、⼀時的に Splunk Enterprise のデータ保管ディレクトリ (SPLUNK_DB が指している場所) を変 更する作業が含まれています。この作業は、WMI にアクセスする前に⾏う必要があります。そうしないと、WMI イベントが失われる可能性があります。これは、splunk-wmi.exe プロセスが、実⾏時には毎回 WMI チェックポ 67 イントファイルを更新するためです。 WMI プロバイダにテストアクセスするには: 1. Splunk ユーザーとして Splunk Enterprise を実⾏するマシンにログインします。 注意: ドメインコントローラにログインする場合、ドメインコントローラのセキュリティポリシーを編集して、 そのユーザーに「ローカル ログオンを許可する」ポリシーを割り当てなければならないことがあります。 2. コマンドプロンプトを開きます ([スタート] -> [ファイル名を指定して実⾏] をクリックして、cmd と⼊⼒す る)。 3. Splunk Enterprise インストールディレクトリ (例:cd に移動します。 c:\Program Files\Splunk\bin) 下の bin サブディレクトリ 4. Splunk Enterprise が現在データを格納している場所を確認します。 > splunk show datastore-dir 注意: この作業を⾏うには、Splunk Enterprise インスタンスの認証を受ける必要があります。確認した Splunk Enterprise のデータ保管場所は忘れないように記録してください。後ほどの作業で必要になります。 5. 以下のコマンドを実⾏して、⼀時的に Splunk Enterprise データ保管ディレクトリを変更します。 > splunk set datastore-dir %TEMP% 注意: この例では、データ保管ディレクトリを、現在 TEMP 環境変数に指定されているディレクトリに変更しま す。別のディレクトリを指定することもできますが、そのディレクトリはすでに存在している必要があります。 6. Splunk Enterprise を再起動します。 > splunk restart 注意: Splunk Enterprise の再起動には、少し時間がかかることもあります。これは、ステップ 5 で指定した、 新しいデータ・ストアが作成されるためです。 7. Splunk Enterprise を再起動したら、WMI プロバイダへのアクセスをテストします。ここで、<server> は、リ モート・サーバー名に置き換えてください。 > splunk cmd splunk-wmi -wql "select * from win32_service" -namespace \\<server>\root\cimv2 8. データがストリーム配信され、エラーメッセージが何も表⽰されなければ、Splunk Enterprise が WMI プロバ イダに接続できて、クエリーが成功しています。 9. エラーがあった場合は、エラーの理由を⽰すメッセージが表⽰されます。出⼒の に、問題解決の⼿がかりを探してください。 error="<msg>" ⽂字列を参考 WMI アクセスをテストしたら、以下のコマンドを実⾏してデータベースディレクトリを元の場所に戻してから、 Splunk Enterprise を再起動します。 > splunk set datastore-dir <directory shown from Step 4> WMI ベースの⼊⼒の設定 Windows 上で Splunk Enterprise が⾏うすべてのリモートデータ収集作業は、WMI プロバイダまたはフォワー ダーを介して⾏われます。このマニュアルの「リモート Windows データのモニター⽅法決定の検討事項」を参照 してください。 Splunk Web を使って、または設定ファイルを編集して、WMI ベースの⼊⼒を設定することができます。設定 ファイルを使⽤する場合は、より多くのオプションを利⽤することができます。 Splunk Web を使った WMI ベースの⼊⼒の設定 WMI ベースの⼊⼒を追加するには、このマニュアルの適切なトピックを参照してください。 Splunk Web を使ったリモート Windows パフォーマンスモニタリングの設定 リモート Windows イベントログのモニタリングの設定 設定ファイルを使った WMI ベースの⼊⼒の設定 wmi.conf は、リモートデータ収集の設定を担当しています。WMI ベースの⼊⼒のデフォルト値は、このファイ ルを参照してください。デフォルト値を変更する場合は、%SPLUNK_HOME%\etc\system\local\ 内の wmi.conf のコピーを 編集してください。特定のタイプのデータ⼊⼒の、変更が必要な属性にのみ値を設定してください。『管理マニュ アル』の「設定ファイルについて」を参照してください。 wmi.conf には、さまざまなスタンザが存在しています。 スタンザは、グローバル WMI パラメータを指定します。 1 つまたは複数の⼊⼒固有のスタンザは、WMI プロバイダに接続して、リモートマシンからデータを収集す るための⽅法を定義しています。 [settings] 68 グローバル設定 スタンザは、グローバル WMI パラメータを指定します。スタンザ全体およびその中の各パラメータ は、すべてオプションで省略することができます。このスタンザがない場合、Splunk Enterprise はデフォルト値 を仮定します。 [settings] Splunk Enterprise が定義されている WMI プロバイダに接続できない場合、splunkd.log にエラーが記録されま す。 05-12-2011 02:39:40.632 -0700 ERROR ExecProcessor - message from ""C:\Program Files\Splunk\bin\splunk-wmi.exe"" WMI - Unable to connect to WMI namespace "\\w2k3m1\root\cimv2" (attempt to connect took 42.06 seconds) (error="The RPC server is unavailable." HRESULT=800706BA) 以下の属性はエラー発⽣時に、指定されている WMI プロバイダに Splunk Enterprise が再接続する⽅法を定義 します。 属性 説明 デ フォ ルト 値 initial_backoff 初めてのエラー発⽣後に、WMI プロバイダへの再接続を試みるまでに待機す る時間を秒で指定します。引き続き接続エラーが発⽣する場合は、max_backoff に指定されている値に達するまで、待機時間を 2 倍に増やしながら再試⾏し ます。 max_backoff max_retries_at_max_backoff 5 を発⾏するまでに、各接続試⾏間に待機する最⼤秒 20 数を指定します。 max_retries_at_max_backoff 接続試⾏間の待機時間が max_backoff に達した場合に、max_backoff 秒間隔でさ 2 らに再試⾏する回数を指定します。これらの接続試⾏を⾏った後もエラーが発 ⽣する場合は、接続が断念されます。Splunk Enterprise を再起動しない限 り、問題のあるプロバイダへの接続は試みられません。ただし、上記の例のよ うに、エラーの記録は継続されます。 checkpoint_sync_interval 状態データ (イベントログチェックポイント) をディスクに書き込むまでに待 機する秒数を指定します。 2 ⼊⼒固有の設定 ⼊⼒固有のスタンザは、WMI プロバイダへの接続⽅法を Splunk Enterprise に指⽰しています。これは、 Splunk Enterprise が収集するデータのタイプを⽰す 2 種類のいずれかの属性で定義します。任意のスタンザ名 を使⽤できますが、通常は WMI: から始まる名前を指定します。例: [WMI:AppAndSys] Splunk Web で WMI ベースの⼊⼒を設定する場合、Splunk Enterprise はこの命名規則で⼊⼒固有のスタンザの ⾒出しを定義します。 ⼊⼒固有のスタンザには、2 種類の中のいずれかのデータ⼊⼒タイプを指定できます。 イベントログ: event_log_file 属性は、スタンザ内に定義されているソースからイベントログデータを収集 することを⽰します。 Windows Query Language (WQL): wql 属性は、WMI プロバイダからデータを収集する予定であるこ とを⽰します。この属性を使⽤する場合は、有効な WQL ステートメントも指定する必要があります。パ フォーマンスデータを収集する場合は、この属性を使⽤する必要があります。 警告: 1 つのスタンザに、これらの両⽅の属性は定義しないでください。どちらか 1 つのみを使⽤してくださ い。そうしないと、スタンザが定義する⼊⼒は機能しません。 両⽅のタイプの⼊⼒に共通のパラメータを以下に⽰します。 属性 説明 デフォル ト値 server データを取得するサーバーのカンマ区切りリスト。このパラメータを指定しない場合、 Splunk Enterprise はローカルマシンへの接続を仮定します。 ローカル サーバー interval 新しいデータのポーリングを⾏う頻度を秒で指定します。この属性が指定されていない場 合、スタンザが定義している⼊⼒は機能しません。 N/A disabled ⼊⼒が有効か無効かを⽰します。⼊⼒を無効にするには 1 を、有効にするには 0 を設定し 0 (有効) ます。 イベントログ固有のパラメータを以下に⽰します。 属性 説明 デ フォ ルト 値 event_log_file モニターするイベントログチャネルのカンマ区切りリスト。 current_only 稼働中に発⽣したイベントのみを収集するかどうかを⽰します。Splunk 0 (す 69 N/A current_only disable_hostname_normalization Enterprise が停⽌中にイベントが⽣成された場合、その後の再起動時に それらのイベントのインデックス作成は⾏われません。1 を設定する と、Splunk Enterprise は稼働中に発⽣したイベントのみを収集しま す。0 を設定すると、Splunk Enterprise はすべてのイベントを収集し ます。 べての イベン トを収 集) WMI イベントから取得したホスト名を正規化しないことを⽰します。 デフォルトでは、Splunk Enterprise はホスト名を正規化します。正規 化により、ローカルシステムの各種同等ホスト名が判別され、単⼀のホ スト名が⽣成されます。イベント内のホスト名の正規化を無効にするに は、このパラメータに 1 を設定します。0 を設定すると、イベント内の ホスト名が正規化されます。 0 (WMI イベン トのホ スト名 を正規 化す る) WQL 固有のパラメータ名を以下に⽰します。 属性 説明 デフォルト値 wql 有効な WQL ステートメント。 N/A namespace (オプション) WMI プロバイダへのパスを指定します。ローカルマシンは、代 理認証を使ってリモートマシンに接続できなければなりません。リモートマシ ンへのパスを指定しない場合、Splunk Enterprise はデフォルトのローカル名 前空間 (\Root\CIMV2) に接続します。デフォルトの名前空間は、クエリーする可 能性がある⼤半のプロバイダが常駐している場所です。Microsoft は、 Windows XP 以降の名前空間の⼀覧を提供しています (http://msdn.microsoft.com/en-us/library/aa394084(VS.85).aspx)。 \\<local イベント通知クエリーを想定しているかどうかを⽰します。詳細は、「WQL クエリ:イベント通知と標準」を参照してください。イベント通知クエリーを 想定している場合は 1 を、標準クエリーを想定している場合は 0 を設定しま す。 0 (標準クエリー を想定) current_only server>\Root\CIMV2 WQL クエリータイプ:イベント通知と標準 WQL スタンザ内の current_only 属性は、スタンザが WMI ベースのデータの収集に使⽤するクエリーのタイプを 決定します。この属性に 1 を設定すると、イベント通知データを予期します。イベント通知データは、着信イベ ントを知らせるデータです。イベント通知データを取得するには、イベント通知クエリーを使⽤する必要がありま す。 たとえば、リモート・サーバーがプロセスを⽣成する時期を知りたい場合は、イベント通知クエリーを使⽤する必 要があります。標準クエリーには、イベント発⽣時に通知する機能はありません。すでに存在している結果情報の みを返します。 逆に、システム上ですでに実⾏されているプロセスの中で「splunk」で始まるものを知りたい場合は、標準クエ リーを使⽤する必要があります。イベント通知クエリーは、静的な既存の情報を知らせることはできません。 イベント通知クエリーの場合、スタンザに定義されている WQL ステートメントが、構造的および構⽂的に正しく なければなりません。不適切に WQL が定義されていると、そのスタンザが定義している⼊⼒は機能しません。詳 細と例については、wmi.conf 設定ファイルを参照してください。 WQL クエリースタンザが WMI チェックポイントファイルを更新しない WQL クエリー・スタンザを使って WMI 経由でデータを収集する場合、WMI チェックポイント・ファイル (WMI データのインデックスがすでに作成されたかどうかを判断するためのファイル) は更新されません。これは設計上 の仕様です。WQL クエリーは動的データを返すため、⽣成されたデータの保存⽤チェックポイントを作成できな いためです。つまり、WQL クエリースタンザ経由で収集された WMI データは、スタンザの処理時に毎回新規 データとしてインデックスが作成されます。そのため重複するイベントのインデックスが作成され、ライセンスボ リュームに影響が出る可能性もあります。 イベントログなどのように定期的にデータのインデックスを作成する必要がある場合は、ユニバーサルフォワー ダー上で適切なモニターを使⽤してください。WMI を使⽤する必要がある場合、WQL は使⽤しないでくださ い。 wmi.conf の例 wmi.conf ファイルの例を以下に⽰します。 [settings] initial_backoff = 5 max_backoff = 20 max_retries_at_max_backoff = 2 checkpoint_sync_interval = 2 [WMI:AppAndSys] server = foo, bar interval = 10 event_log_file = Application, System, Directory Service 70 disabled = 0 [WMI:LocalSplunkWmiProcess] interval = 5 wql = select * from Win32_PerfFormattedData_PerfProc_Process where Name = "splunk-wmi" disabled = 0 # Listen from three event log channels, capturing log events that occur only # while Splunk Enterprise runs. Gather data from three machines. [WMI:TailApplicationLogs] interval = 10 event_log_file = Application, Security, System server = srv1, srv2, srv3 disabled = 0 current_only = 1 # Listen for process-creation events on a remote machine [WMI:ProcessCreation] interval = 1 server = remote-machine wql = select * from __InstanceCreationEvent within 1 where TargetInstance isa 'Win32_Process' disabled = 0 current_only = 1 # Receive events whenever someone plugs/unplugs a USB device to/from the computer [WMI:USBChanges] interval = 1 wql = select * from __InstanceOperationEvent within 1 where TargetInstance ISA 'Win32_PnPEntity' and TargetInstance.Description='USB Mass Storage Device' disabled = 0 current_only = 1 WMI データのフィールド Splunk Enterprise が WMI ベース⼊⼒からのデータのインデックスを作成する場合、受信したイベントのソー ス には wmi が設定されます。着信イベントのソースタイプ は、以下の条件に基づいて設定されます。 イベントログデータの場合、Splunk Enterprise はソースタイプに WinEventLog:<name of log file> を設定し ます。例:WinEventLog:Application。 WQL データの場合、Splunk Enterprise はソースタイプに、⼊⼒を定義しているスタンザ名を設定しま す。たとえば、スタンザ名が [WMI:LocalSplunkdProcess] の場合、ソースタイプには WMI:LocalSplunkdProcess が 設定されます。 送信元ホストは受信データから⾃動的に定義されます。 WMI およびイベント変換 インデックス時には、WMI イベントの変換は利⽤できません。つまり、インデックス作成時に、WMI イベント を変更または抽出することはできません。これは、WMI イベントは単⼀のソース (スクリプト⼊⼒) として到着 し、単⼀のソースとしてしか照合できないためです。 ただし、サーチ時には WMI イベントの変更や抽出を⾏えます。また、ソースタイプ パーシング時に WMI ベースの⼊⼒を処理することもできます。 [wmi] を指定することで、 Splunk Enterprise に取り込まれたイベントの変換⽅法の詳細は、このマニュアルの「インデックス作成した フィールドの抽出について」を参照してください。 WMI ⼊⼒のトラブルシューティング WMI プロバイダ経由のイベント受信に問題が発⽣した、または想定する結果が得られない場合は、 『Troubleshooting Manual』の「Common Issues with Splunk and WMI」を参照してください。 Windows レジストリデータのモニター Windows レジストリは、Windows マシンの集中設定データベースです。ほぼすべての Windows プロセスと サードパーティ製プログラムがやり取りを⾏っています。正常なレジストリがないと、Windows は実⾏しませ ん。Splunk Enterprise では、Windows レジストリ設定を捕捉して、リアルタイムにレジストリへの変更をモニ ターすることができます。 プログラムが設定を変更する場合、それらの変更をレジストリに書き込みます。後ほどプログラムを再び実⾏する と、プログラムはレジストリからそれらの設定を探します。Windows プログラムがシステムにレジストリエント リを追加、更新、削除する時期を知ることができます。レジストリエントリが変更されると、Splunk Enterprise は変更を⾏ったプロセス名、および変更されたエントリへのパス全体を取得します。 Windows レジストリ⼊⼒モニターは、splunk-regmon.exe と呼ばれるプロセスとして実⾏されます。 71 レジストリのモニター理由 レジストリはおそらくもっとも使⽤されているけれども、ほとんど理解されていない Windows 運⽤コンポーネン トです。レジストリは常時使⽤されており、さまざまなプログラムがレジストリを読み書きしています。何かが正 常に動作しない場合、Microsoft はしばしば管理者やユーザーに RegEdit ツールを使って直接レジストリを変更 することを指⽰しています。これらの編集作業や他の変更をリアルタイムに捕捉することは、レジストリの重要性 を理解するための最初のステップになります。 レジストリのヘルス状態を理解することも⾮常に重要です。Splunk Enterprise はレジストリの変更を知らせるだ けでなく、それらの変更が成功したかどうかも確認することができます。プログラムやプロセスがレジストリを読 み書きできない場合、Windows システムに障害などの不具合が⽣じる可能性があります。Splunk Enterprise は レジストリ操作に関する問題のアラートを⽣成できるため、バックアップから設定を復元してシステムの正常動作 を維持できます。 レジストリのモニターに何が必要か? レジストリのモニターに必要な、明⽰的なアクセス許可の⼀覧を以下の表に⽰します。モニターするレジストリ キーに基づいて、他のアクセス許可が必要な場合もあります。 アクティビ ティ: 必要なアクセス許可: レジストリの モニター * Splunk Enterprise は Windows 上で実⾏する必要があります。 および * Splunk Enterprise は Local System ユーザーとして実⾏するか または * Splunk Enterprise をモニターするレジストリハイブまたはキーへの読み取りアクセスを持つ ドメインユーザーとして実⾏する必要があります。 パフォーマンスの検討事項 レジストリのモニターを有効にする場合、ユーザー・ハイブ (RegEdit の HKEY_USERS) または マシン・ハイブ (HKEY_LOCAL_MACHINE) のどちらのレジストリ・ハイブをモニターするのかを指定します。ユーザーハイブには、 Windows やプログラムが必要とするユーザー固有の設定が含まれています。マシンハイブには、サービス、ドラ イバ、オブジェクトクラス、およびセキュリティ記述⼦の場所などの、マシン固有の設定情報が含まれています。 レジストリは Windows マシン運⽤の中⼼的な役割を果たしているため、両⽅のレジストリパスを有効にすると Splunk Enterprise は⼤量のデータをモニターしなければならない可能性があります。最適なパフォーマンスを達 成するために、inputs.conf を設定し、Splunk Enterprise がインデックスを作成するレジストリデータ量を、フィ ルタリングで制限してください。 同様に、最初に Splunk Enterprise を起動する際に、現在の Windows レジストリの状態のスナップショットと なるベースラインを取得し、その後も指定時間経過後に再取得していくことができます。このスナップショットに より、ある時点でのレジストリの内容と⽐較し、時間の経過に伴うレジストリ変更の追跡を容易にします。 スナップショットの処理にはある程度 CPU を消費し、処理の完了まで数分ほどかかることもあります。ベースラ イン・スナップショットの取得は、Splunk Enterprise でモニターするレジストリ・エントリの範囲を絞り込むま で延期することができます。 の詳細およびそれを使った着信レジストリイベントのフィルタリング⽅法については、後述する「着 信レジストリイベントのフィルタリング」を参照してください。 inputs.conf Splunk Web でレジストリのモニターを有効にする ローカル Windows マシンでレジストリ・モニタリングを有効にするには、このマニュアルの「Windows レジス トリ - ローカル」を参照してください。 レジストリ変更データの表⽰ Splunk Enterprise がインデックスを作成したデータのレジストリ変更を表⽰するには、サーチ App でソースが WinRegistry のイベントをサーチします。ユーザーがドメインにログインした時に、グループ・ポリシーが⽣成す るイベントの例を以下に⽰します。 3:03:28.505 PM 06/19/2011 15:03:28.505 event_status="(0)The operation completed successfully." pid=340 process_image="c:\WINDOWS\system32\winlogon.exe" registry_type="SetValue" key_path="HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\History\DCName" data_type="REG_SZ" data="\\ftw.ad.splunk.com" 各レジストリモニタリングイベントには、以下の項⽬が含まれます。 属性 説明 レジストリ変更の試⾏結果。これは常に「(0) 72 The operation completed successfully.」でなければ event_status なりません。そうでない場合は、バックアップからの復元が必要なレジストリに関する問題にな る可能性があります。 pid レジストリの変更を試みたプロセスのプロセス ID。 process_image レジストリの変更を試みたプロセス名。 registry_type process_image が実⾏しようとしたレジストリ操作のタイプ。 key_path process_image が変更を試みたレジストリキーのパス。 data_type レジストリの変更を⾏う process_image が取得または設定を試みた、レジストリデータのタイプ。 data レジストリの変更を⾏う process_image が読み取りまたは書き込みを試みたデータ。 Splunk Enterprise のサーチコマンドやレポート機能を使って、着信データに基づくレポートを作成したり、ア ラート機能を使って何か問題が発⽣した時にアラートを送信したりすることができます。 着信レジストリイベントのフィルタリング Windows レジストリは、ほぼ常時利⽤されるため、⼤量のイベントを⽣成します。そのためライセンス上の問題 が発⽣する可能性があります。レジストリのモニタリングでは、⽇あたり数百メガバイトものデータが⽣成される 可能性があります。 Splunk の Windows レジストリモニタリング機能は、設定ファイル inputs.conf を使ってシステムの何を監視す るのかを決定します。このファイルは、レジストリモニターを実⾏するサーバーの $SPLUNK_HOME\etc\system\local\ に保管する必要があります。 には、レジストリハイブのパスを限定、フィルタリングする正規表現を指定して、Splunk にモニター させる項⽬を指⽰します。 inputs.conf inputs.conf 内の各スタンザが、特定のフィルタを表しています。定義には、以下の項⽬が含まれます。 属性 proc 説明 モニターするプロセスへのパスを含む正規表現。 モニターするエントリへのパスを含む正規表現。Splunk は、Windows に事前定義されてい る root キー値のマッピングをサポートしています。 または次の項⽬にマップします: HKU は HKEY_CLASSES_ROOT または次の項⽬にマップします: HKCR \\REGISTRY\\MACHINE は、次の項⽬にマップします: HKEY_LOCAL_MACHINE or HKLM \\REGISTRY\\MACHINE\\SOFTWARE\\Classes は HKEY_CLASSES_ROOT または次の項⽬にマップしま す: HKCR \\REGISTRY\\MACHINE\\SYSTEM\\CurrentControlSet\\Hardware Profiles\\Current は HKEY_CURRENT_CONFIG または次の項⽬にマップします: HKCC 注意: Splunk のレジストリモニターはカーネルモードで実⾏されるた め、HKEY_CURRENT_USER または HKCU に対する直接のマッピングはありません。ただ し、\\REGISTRY\\USER\\.* を使⽤すると (最後のピリオドとアスタリスクに注意してくだ さい)、ログインユーザーのセキュリティ ID (SID) を含むイベントが⽣成されます。 代わりに、\\REGISTRY\\USER\\<SID> を使って、モニターするレジストリキーを持つユー ザーを指定することができます。ここで、SID はユーザーの SID です。 \\REGISTRY\\USER\\ は HKEY_USERS \\REGISTRY\\USER\\_Classes hive type モニターするイベントタイプのサブセット。1 つまたは複数の delete, set, create, rename, open, close または query を使⽤できます。ここの値は sysmon.conf に設定した event_types の値 のサブセットでなければなりません。 baseline その特定のハイブパスのベースラインスナップショットを取得するかどうか。はいの場合は 1、いいえの場合は 0 を設定します。 baseline_interval Splunk Enterprise がここに指定した時間 (秒数) を超えて停⽌していた場合に、スナップ ショットを再取得します。デフォルトは 86,400 秒 (1 ⽇) です。 disabled フィルタを有効にするかどうか。フィルタを無効にするには 1 を、有効にするには 0 を設定 します。 ベースラインスナップショットの取得 レジストリ・モニタリングを有効にした場合、次回の Splunk Enterprise 起動時にレジストリ・ハイブのベース ライン・スナップショットを記録することができます。デフォルトで、スナップショットは HKEY_CURRENT_USER and HKEY_LOCAL_MACHINE ハイブをカバーしています。また、デフォルトでス ナップショットを再取得する時期も決定しています。前回のチェックポイントから 24 時間を超えて Splunk が停 ⽌していた場合、ベースライン・スナップショットが再取得されます。inputs.conf 内の各フィルタに対して、こ の値をカスタマイズできます (baseline_interval に値 (秒) を設定)。 Windows パフォーマンスのモニター Splunk Enterprise は、すべての Windows パフォーマンス・カウンタの、リアルタイム・モニタリングをサポー 73 トしています。また、ローカル/リモートの両⽅のパフォーマンス・データを収集することができます。 Splunk Enterprise のパフォーマンス・モニタリング・ユーティリティによる、Web インターフェイスでパ フォーマンスをモニターすることができます。Splunk Enterprise はパフォーマンスデータヘルパー (PDH) API を使って、ローカルマシンのパフォーマンスカウンタのクエリーを⾏います。 Splunk Enterprise で利⽤できるパフォーマンスオブジェクト、カウンタ、およびインスタンスのタイプは、シス テムにインストールされているパフォーマンスライブラリによって異なります。Microsoft とサードパーティベン ダーの両⽅が、パフォーマンスカウンタを含むライブラリを提供しています。パフォーマンスモニタリングの詳細 は、MSDN の「Performance Counters」 (http://msdn.microsoft.com/enus/library/aa373083%28v=VS.85%29.aspx) を参照してください。 完全版 Splunk Enterprise インスタンスとユニバーサルフォワーダーの両⽅が、パフォーマンス測定基準のロー カル収集をサポートしています。リモート・パフォーマンス・モニタリングは、WMI (Windows Management Instrumentation) を介して実⾏します。この場合、適切な Active Directory 資格情報を持つユーザーとして、 Splunk Enterprise を実⾏する必要があります。 パフォーマンスモニター⼊⼒は、splunk-perfmon.exe と呼ばれるプロセスとして実⾏されます。これは定義されて いる各⼊⼒に対して、⼊⼒に指定されている間隔で 1 回実⾏されます。パフォーマンス・モニタリングの設定に は Splunk Web、または inputs.conf (ローカル・パフォーマンス・データ) または wmi.conf (リモート・マシンか らのパフォーマンス・データ) を使⽤します。 パフォーマンス測定基準のモニター理由 パフォーマンスのモニタリングは、Windows 管理者にとって重要な役割を果たします。Windows は、システム のヘルス状態に関するさまざまなデータを⽣成します。このデータを適切に分析することが、正常で円滑に動作す るシステムと、頻繁に停⽌するシステムの違いを⽣み出します。 パフォーマンス・カウンタのモニターに何が必要か? Windows でパフォーマンスカウンタのモニターに必要な、アクセス許可の⼀覧を以下の表に⽰します。モニター するパフォーマンスオブジェクトやカウンタによっては、他のアクセス許可が必要になることもあります。 パフォーマンス測定基準のモニターに必要な事項については、このトピック後半の「セキュリティとリモートアク セスの検討事項」を参照してください。 アクティビティ: 必要なアクセス許可: ローカルパフォーマンス測定基 準のモニター * Splunk Enterprise は Windows 上で実⾏する必要があります。 * Splunk Enterprise は Local System ユーザーとして実⾏する必要がありま す。 WMI を介した他のコンピュー タ上のパフォーマンス測定基準 のリモートモニター * Splunk Enterprise は Windows 上で実⾏する必要があります。 * Splunk Enterprise は、最低でもターゲットコンピュータ上の WMI への読 み取りアクセスを持つドメインユーザーとして実⾏する必要があります。 * Splunk Enterprise は、ターゲットコンピュータ上のパフォーマンスデータ ヘルパーライブラリへの適切なアクセス権を持つ、ドメインまたはリモート ユーザーとして実⾏する必要があります。 セキュリティとリモートアクセスの検討事項 Splunk Enterprise は、WMI またはフォワーダーを使って、リモートマシンからデータを収集します。リモート マシンからインデクサーへのパフォーマンスデータの送信には、ユニバーサルフォワーダーを使⽤することをお勧 めします。『データの転送』マニュアルの「ユニバーサル・フォワーダーの紹介」を参照してください。 パフォーマンスデータを収集するために、リモートマシン上にフォワーダーをインストールする場合、それらのマ シンにはフォワーダーを Local System ユーザーとしてインストールすることができます。Local System ユー ザーは、ローカルマシン上のすべてのデータにアクセスできますが、リモートコンピュータにアクセスすることは できません。 WMI を使ってリモート・マシンからパフォーマンス・データを収集する場合、Splunk Enterprise とネットワー クの両⽅を設定する必要があります。Splunk Enterprise を Local System ユーザーとしてインストールすること はできません。また、選択したユーザーによって、Splunk Enterprise が参照できる情報が決まります。このマ ニュアルの「WMI データのモニター」にある「セキュリティとリモート・アクセスの検討事項」を参照してくだ さい。 適切なユーザーとして Splunk Enterprise をインストールしたら、ローカルパフォーマンスモニター⼊⼒を有効 にする前に、そのユーザーを以下のグループに追加します。 Performance Monitor Users (ドメイングループ) Performance Log Users (ドメイングループ) ローカル Windows のパフォーマンスモニタリングを有効にする Splunk Web を使って、または設定ファイルを編集して、ローカルのパフォーマンス・モニタリングを設定する ことができます。 パフォーマンスモニタリングデータ⼊⼒の追加には、Splunk Web の使⽤をお勧めします。設定ファイルを使⽤ する場合、指定誤りが発⽣する可能性があります。パフォーマンス API に定義されている通りに、正確にパ フォーマンスモニターオブジェクトを指定することが重要です。詳細は、このトピック後半にある「inputs.conf にパフォーマンス・モニター・オブジェクトを指定する場合の重要な情報」を参照してください。 74 Splunk Web を使ったローカル Windows パフォーマンスモニタリングの設定 ローカル・マシンで Windows パフォーマンス・モニタリングを設定するには、このマニュアルの「Windows パ フォーマンス・モニタリング - ローカル」を参照してください。 設定ファイルを使ったローカル Windows パフォーマンスモニタリングの設定 inputs.conf がパフォーマンスモニタリングの設定を管理しています。設定ファイルを使ってパフォーマンスモニ タリングを設定する場合、%SPLUNK_HOME%\etc\system\local に inputs.conf を作成して、それを編集します。Splunk の設定ファイルで初めて作業を⾏う場合は、事前に「設定ファイルについて」を参照してください。 スタンザは、inputs.conf にパフォーマンス・モニタリング⼊⼒を定義します。モニターする各 パフォーマンスオブジェクトに対して、それぞれ 1 つのスタンザを定義します。 [perfmon://<name>] 各スタンザでは、以下の属性を指定することができます。 属性 必 須? 説明 interval はい 新しいデータのポーリングを⾏う頻度を秒で指定します。この属性が指定、定 義されていない場合、デフォルト値は存在しないためその⼊⼒は機能しませ ん。 object はい 収集するパフォーマンスオブジェクト。⼤⽂字⼩⽂字の区別も含めて正確に、 既存のパフォーマンスモニターオブジェクトの名前を指定するか、または複数 のオブジェクトを指定するために正規表現を使⽤します。この属性が指定、定 義されていない場合、デフォルト値は存在しないためその⼊⼒は機能しませ ん。 counters はい instances いい counters に指定されているパフォーマンスカウンタに関連する、1 つまたは複 え 数の有効なインスタンス。複数のインスタンスを指定する場合は、セミコロン で区切ります。すべてのインスタンスを指定するには、アスタリスク (*) を使 ⽤します。スタンザ内にこの属性を定義しない場合、デフォルトではすべての インスタンスが対象になります (アスタリスク指定と同じ)。 index いい パフォーマンスカウンタデータを送るインデックス。指定しない場合は、 え 「default」インデックスが使⽤されます。 disabled いい この⼊⼒に定義されているパフォーマンスデータを収集するかどうか。このス え タンザを無効にするには 1 を、有効にするには 0 を設定します。指定しない 場合、デフォルトの 0 (有効) が使⽤されます。 samplingInterval いい 詳細オプション: Splunk がパフォーマンスデータを収集する頻度 (ミリ秒)。 え この属性は、⾼頻度のパフォーマンスサンプリングを有効にします。⾼頻度の パフォーマンス・サンプリングを有効にすると、Splunk Enterprise は指定さ れた間隔でパフォーマンス・データを収集し、データの平均値および他の統計 情報をレポートします。デフォルトは 100 ミリ秒です。また、interval 属性に 指定した値未満でなければなりません。 stats いい 詳細オプション: ⾼頻度のパフォーマンスサンプリングで Splunk え Enterprise が報告する、統計値のセミコロン区切りリスト。 に指定されているオブジェクトに関連する、1 つまたは複数の有効なパ フォーマンスカウンタ。複数のカウンタを指定する場合は、セミコロンで区切 ります。object で利⽤できるすべてのカウンタを指定するには、アスタリスク (*) を使⽤します。この属性が指定、定義されていない場合、デフォルト値は存 在しないためその⼊⼒は機能しません。 object 利⽤可能な値:average, min, max, dev、および count。 デフォルトの設定はありません (無効)。 mode いい 詳細オプション: ⾼頻度のパフォーマンスサンプリングを有効にする場合、 え この属性で Splunk Enterprise によるイベントの出⼒⽅法を制御できます。 利⽤可能な値:single, multikv, multiMS、および multikvMS または multikvMS を有効にした場合、収集された各パフォーマンス測定 基準に対して 2 つのイベントが出⼒されます。最初のイベントは平均値、2 番 ⽬は統計イベントになります。統計イベントは、使⽤する出⼒モードに応じて 特別なソースタイプを保有します (multiMS の場合は perfmonMSStats、multikvMS の場合は perfmonMKMSStats)。 multiMS ⾼頻度のパフォーマンスサンプリングを有効にしない場合、multikvMS 出⼒モー ドと multikv 出⼒モードは同じです。 デフォルトは useEnglishOnly single です。 いい 詳細オプション: ロケールが英語ではないシステム上のパフォーマンス測定 え 基準の、インデックスの作成⽅法を⽰します。特に、英語を使⽤していない 75 サーバー上でパフォーマンス測定基準のインデックスを作成する際に使⽤す る、Windows パフォーマンス・モニター API を⽰しています。 真 (True) を設定すると、システムのロケールに関係なく英語でパフォーマン ス測定基準が収集されます。カウンタ⽂字列の追加に は、PdhAddEnglishCounter() API が使われます。また、object および counter 属 性の正規表現とワイルドカード照合も無効になります。 偽 (False) を設定した場合、システムで使⽤されている⾔語でパフォーマンス 測定基準が収集されます。また、その⾔語の object および counter 属性が設定 されていると仮定されます。カウンタ⽂字列の追加には、PdhAddCounter() API が使われます。ワイルドカードと正規表現を利⽤できますが、オペレーティン グ・システムのロケールに固有の、有効な object、counters、および instances 値を指定する必要があります。 デフォルトは偽 (False) です。 システム・ロケールに関係なく英語のパフォーマンス測定基準を収集 Splunk Enterprise が英語以外の⾔語で動作している場合でも、パフォーマンス測定基準を英語で収集することが できます。 そのためには、inputs.conf 内のスタンザで 定する⽅法はありません。 useEnglishOnly 属性を使⽤します。Splunk Web で useEnglishOnly を設 注意: inputs.conf スタンザで useEnglishOnly を使⽤する場合、いくつかの注意事項があります。このトピックの 後半にある、注意事項のセクションを参照してください。 パフォーマンス・モニタリング⼊⼒スタンザの例 inputs.conf を使ったパフォーマンス・モニター・オブジェクトのモニター⽅法を表した、スタンザの例を以下に ⽰します。 # Query the PhysicalDisk performance object and gather disk access data for # all physical drives installed in the system. Store this data in the # "perfmon" index. # Note: If the interval attribute is set to 0, Splunk resets the interval # to 1. [perfmon://LocalPhysicalDisk] interval = 0 object = PhysicalDisk counters = Disk Bytes/sec; % Disk Read Time; % Disk Write Time; % Disk Time instances = * disabled = 0 index = PerfMon # Gather SQL statistics for all database instances on this SQL server. # 'object' attribute uses a regular expression "\$.*" to specify SQL # statistics for all available databases. [perfmon://SQLServer_SQL_Statistics] object = MSSQL\$.*:SQL Statistics counters = * instances = * # Gather information on all counters under the "Process" and "Processor" # Perfmon objects. # We use '.*' as a wild card to match the 'Process' and 'Processor' objects. [perfmon://ProcessandProcessor] object = Process.* counters = * instances = * # Collect CPU processor usage metrics in English only on a French system. [perfmon://Processor] object = Processor instances = _Total counters = % Processor Time;% User Time useEnglishOnly = 1 interval = 30 disabled = 0 # Collect CPU processor usage metrics in the French system's native locale. 76 # Note that you must specify the counters in the language of that locale. [perfmon://FrenchProcs] counters = * disabled = 0 useEnglishOnly = 0 interval = 30 object = Processeur instances = * inputs.conf にパフォーマンスモニターオブジェクトを指定する場合の重要な情報 perfmon キーワードの指定時にはすべて⼩⽂字を使⽤する にパフォーマンスモニター⼊⼒を作成する場合、perfmon キーワードにはすべて⼩⽂字を使⽤する必要 があります。以下に例を⽰します。 inputs.conf 正しい [perfmon://CPUTime] 誤り [Perfmon://CPUTime] [PERFMON://CPUTime] キーワードで⼤⽂字を使⽤、または⼤⽂字⼩⽂字を混在すると、Splunk Enterprise 起動時にその問題の警告が表 ⽰され、指定されているパフォーマンスモニター⼊⼒は機能しません。 複数のパフォーマンスモニターオブジェクトを取得する場合は有効な正規表現を指定する 単⼀のパフォーマンスモニタースタンザ内に複数のオブジェクトを指定する必要がある場合、有効な正規表現を 使ってそれらのオブジェクトを取得する必要があります。たとえば、⼀定の⽂字数を超える⽂字列と⼀致するワイ ルドカードを指定するには、* ではなく .* を使⽤します。オブジェクトにドル記号または類似の特殊⽂字が含ま れている場合は、円記号 (\)、またはバックスラッシュを使ってエスケープ処理する必要があります。 上記の場合を除いて、値はパフォーマンスモニター API に定義されている通りに正しく指定する必要があります スタンザに object、counters、および instances 属性の値を指定する場合、それらの値は⼤⽂字⼩⽂字 の区別も含めてパフォーマンスモニター API に定義されてい通りに正確に指定する必要があります。そうしない と、誤ったデータが返されるか、またはまったくデータが返されないことがあります。指定したパフォーマンスオ ブジェクト、カウンタ、またはインスタンス値に⼀致する項⽬が⾒つからない場合、その旨が splunkd.log に記録 されます。例: [perfmon://] 01-27-2011 21:04:48.681 -0800 ERROR ExecProcessor - message from ""C:\Program Files\Splunk\bin\splunk-perfmon.exe" noui" splunk-perfmon - PerfmonHelper::enumObjectByNameEx: PdhEnumObjectItems failed for object - 'USB' with error (0xc0000bb8): The specified object is not found on the system. 正しくオブジェクト、カウンタ、およびインスタンスを指定する最良の⽅法は、Splunk Web を使ってパフォー マンスモニターデータ⼊⼒を追加することです。 WMI を介したリモート Windows パフォーマンスのモニタリングを有効にする Splunk Web を使って、または設定ファイルを編集して、リモートのパフォーマンスモニタリングを設定するこ とができます。 WMI 経由でパフォーマンス測定基準を収集する場合、リモートのパフォーマンス測定基準コレクションにアクセ スするための、適切な権限を持つ Active Directory ユーザーとして Splunk Enterprise を実⾏する必要がありま す。それらの測定基準の収集を試みる前に、この作業を実施する必要があります。Splunk を実⾏するマシンと、 Splunk がリモートにパフォーマンスデータを収集するマシンは、同じ Active Directory ドメイン/フォレスト内 に存在している必要があります。 注意: WMI は設計上、サービス拒否攻撃を防⽌するために⾃⼰抑制を⾏います。Splunk Enterprise も WMI 呼 び出しがエラーを返した場合の予防⼿段として、呼び出し数を減らします。ネットワークのサイズ、設定、および セキュリティプロファイルによっては、パフォーマンス測定基準を収集するシステム上に、ローカルにフォワー ダーをインストールする⽅が適していることもあります。詳細は、このマニュアルの「リモート Windows データ のモニター⽅法決定の検討事項」を参照してください。 WMI ベースのパフォーマンス測定基準に関する重要な情報 WMI 経由でリモートのパフォーマンス測定基準を収集する場合、⼀部の測定基準が 0 を返す、またはパフォーマ ンスモニターが返す値とは異なる値が返されることがあります。これは、パフォーマンスモニターカウンタ⽤の WMI の実装の制限によるもので、Splunk Enterprise の問題でも WMI ベースのデータの取得⽅法の問題でもあ りません。 WMI は、Win32_PerfFormattedData_* クラスを使って、パフォーマンス測定基準を収集します。特定のクラスに関す る情報は、MSDN の「Win32 Classes」 (http://msdn.microsoft.com/enus/library/aa394084%28v=vs.85%29.aspx) を参照してください。 WMI は、これらのクラス内のデータ構造を、ご利⽤の Windows のバージョンに応じて、32 ビットまたは 64 ビットの符号なし整数として定義します。⼀⽅パフォーマンスモニターオブジェクトは、浮動⼩数点型変数として 定義されます。これは、WMI ベースの測定基準が、丸められることにより変則的に⾒えることがあることを意味 しています。 77 たとえば、「Average Disk Queue Length」 (ディスクキューの平均の⻑さ) パフォーマンスモニターカウンタ上 のデータと同時に WMI を介して Win32_PerfFormattedData_PerfDisk_PhysicalDisk\AvgDiskQueueLength 測定基準を収集 する場合、パフォーマンスモニターの測定基準の値が 0 より⼤きい (ただし 0.5 未満の) 場合でも、WMI ベース の測定基準は値として 0 を返すことがあります。これは、 WMI は表⽰する前に値を丸めることが原因です。 よりきめ細かなパフォーマンス測定基準が必要な場合は、パフォーマンスデータを収集する各マシン上にユニバー サルフォワーダーをインストールして、パフォーマンスモニタリング⼊⼒を設定することをお勧めします。次に、 そのデータをインデクサーに転送します。この⽅法を使って取得したデータは、WMI ベースの⼊⼒を使ってリ モートに収集したデータよりも信頼性が⾼くなります。 Splunk Web を使ったリモート Windows パフォーマンスモニタリングの設定 リモート Windows マシンで Windows パフォーマンス・モニタリングを設定するには、このマニュアルの 「Windows パフォーマンス・モニタリング - リモート」を参照してください。 設定ファイルを使ったリモート Windows パフォーマンスモニタリングの設定 リモートパフォーマンスモニタリングの設定は、wmi.conf で管理します。設定ファイルを使ってリモートパ フォーマンスモニタリングを設定する場合、%SPLUNK_HOME%\etc\system\local に wmi.conf を作成して、それを編集し ます。設定ファイルの作業を初めて⾏う場合は、事前に「設定ファイルについて」をお読みください。 警告: リモートパフォーマンスモニター⼊⼒を作成する場合、Splunk Web を使⽤することを強くお勧めしま す。これは、パフォーマンスモニターオブジェクト、カウンタ、およびインスタンスの名前は、⼤⽂字⼩⽂字の区 別も含めて、パフォーマンスモニターが定義しているのと、完全に 同じでなければならないためです。Splunk Web は、WMI を使って適切な形式の名前を取得するため、誤⼊⼒を防⽌することができます。 には、モニター対象各リモートパフォーマンスモニターのスタンザが含まれています。各スタンザでは、 以下の項⽬を指定することができます。 wmi.conf グローバル設定 属性 必 須? 説明 デフォル ト initial_backoff いい エラー発⽣時に WMI プロバイダへの接続を再試⾏するまでに待 5 え 機する秒数です。プロバイダへの接続に引き続き問題が発⽣する 場合は、接続を試みるまでの待機時間を 2 倍にしながら、接続が 成功するか、または待機時間が max_backoff に指定される値以上に なるまで接続を試みていきます。 max_backoff いい WMI プロバイダへの再接続を試みる最⼤時間 (秒)。 え 20 max_retries_at_max_backoff いい WMI プロバイダとの再接続試⾏が max_backoff の秒数に達した場 え 合に、そのプロバイダとの再接続を試⾏する回数。 2 checkpoint_sync_interval いい 状態データをディスクからフラッシュするまでに待機する秒数。 え 2 必 須? デフォル ト ⼊⼒固有の設定 属性 説明 interval はい 新しいデータのポーリングを⾏う頻度を秒で指定します。この属 性がない場合、デフォルト値は存在しないためその⼊⼒は機能し ません。 N/A server いい パフォーマンスをモニターする 1 つまたは複数の有効なサー え バー。複数の項⽬を指定する場合は、カンマで区切ります。 ローカル マシン event_log_file いい ポーリングする 1 つまたは複数の Windows イベントログチャネ え ル。この属性は、着信データがイベントログ形式であることを Splunk Enterprise に指⽰します。 N/A 注意: すでに wql 属性があるスタンザには、event_log_file 属性を 指定しないでください。 wql いい リモートにポーリングするパフォーマンスオブジェクト、カウン N/A え タ、およびインスタンスを⽰す、有効な WQL ステートメント。 この属性は、WMI プロバイダからデータを収集する予定であるこ とを⽰します。 注意: すでに event_log_file 属性があるスタンザには、wql 属性を 指定しないでください。 namespace いい クエリーする WMI プロバイダが存在する名前空間。この属性の え 値は、相対値 (Root\CIMV2) または絶対値 (\\SERVER\Root\CIMV2) にで 78 Root\CIMV2 きます。ただし、server 属性を指定する場合は相対値でなければ なりません。 注意: wql 属性があるスタンザでのみ、namespace 属性を使⽤して ください。 index いい パフォーマンスカウンタデータを送るインデックス。 え default current_only いい WMIベースのイベント収集の特徴とやり取り。 え N/A を定義した場合、この属性は Splunk Enterprise がイベ ント通知クエリーを予期すべきかどうかを⽰します。イベン ト通知クエリーを予定している場合は 1 を、標準クエリー を予定している場合は 0 を設定します。WQL およびイベン ト通知クエリーの追加要件は以下を参照してください。 event_log_file を定義した場合、Splunk が動作中に発⽣した イベントのみを収集するかどうかを⽰します。Splunk 動作 中に発⽣したイベントのみを収集する場合は 1 を、最後の チェックポイントからのイベントを収集する場合は 0 を設 定します。0 を指定して、チェックポイントが存在していな い場合は、利⽤可能なもっとも古いイベントから収集されま す。 wql disabled いい この⼊⼒に定義されているパフォーマンスデータを収集するかど え うかを⽰します。このスタンザのパフォーマンスモニタリングを 無効にするには 1 を、有効にするには 0 を設定します。 0 ローカルディスクおよびメモリーのパフォーマンス測定基準を収集し、「wmi_perfmon」インデックスに保管す る wmi.conf の例を以下に⽰します。 [settings] initial_backoff = 5 max_backoff = 20 max_retries_at_max_backoff = 2 checkpoint_sync_interval = 2 # Gather disk and memory performance metrics from the local system every second. # Store event in the "wmi_perfmon" Splunk index. [WMI:LocalPhysicalDisk] interval = 1 wql = select Name, DiskBytesPerSec, PercentDiskReadTime,PercentDiskWriteTime, PercentDiskTime from \ Win32_PerfFormattedData_PerfDisk_PhysicalDisk disabled = 0 index = wmi_perfmon [WMI:LocalMainMemory] interval = 10 wql = select CommittedBytes, AvailableBytes, PercentCommittedBytesInUse, Caption from \ Win32_PerfFormattedData_PerfOS_Memory disabled = 0 index = wmi_perfmon WQL クエリーステートメントの追加情報 WQL クエリーは構造的および構⽂的たに正確でなければなりません。誤っている場合は、指定しても望ましくな い結果が得られるか、またはまったく結果が得られない可能性があります。特に、イベント通知クエリーの作成時 (WQL クエリーが存在するスタンザ内に current_only=1 を指定)、WQL ステートメントにはそのようなクエリーを 指定する句 (WITHIN, GROUP, や HAVING) を含める必要があります。詳細は、WQL のクエリーに関する MSDN の記 事を参照してください。 Splunk Web を使ってパフォーマンスモニター⼊⼒を作成する場合、適切な WQL クエリーが⽣成されるため、 WQL 構⽂に関する問題を防⽌することができます。 注意事項 パフォーマンス測定基準の収集時はメモリー使⽤量が増加する 「Thread」オブジェクトやそれに関連するカウンタなどの、⼀部のパフォーマンスオブジェクトのデータ収集時 には、Splunk のメモリー使⽤量が増加することがあります。これは正常な動作です。⼀部のパフォーマンスオブ ジェクトは、収集プロセス時に他のオブジェクトよりも多くのメモリーを消費します。 79 Processor Time カウンタが 100 より⼤きい値を返さない Microsoft が Processor:% Processor Time および Process:% Processor Time カウンタを使って CPU 使⽤率を算出する ⽅法により、これらのカウンタはシステムの CPU 数やコア数に関係なく 100 を超える値を返すことはありませ ん。これは仕様です。これらのカウンタは、アイドルプロセスが費やした時間量を、100% から減算していきま す。 ⾮英語版のインストール環境では、useEnglishOnly 属性の使⽤に制限がある ⾮英語版システムで inputs.conf を編集してパフォーマンス・モニタリングを有効にする場合、useEnglishOnly 属 性の機能にいくつかの制限事項があります。 この属性に true を設定すると、object および counters 属性に対してワイルドカードや正規表現を使⽤できませ ん。これらの属性には、パフォーマンス・データ・ヘルパー・ライブラリに定義されている、有効な英語の値に基 づいて、特定のエントリを指定する必要があります。instances 属性にはワイルドカードを指定できます。以下に 例を⽰します。 [perfmon://Processor] object = Processor instances = _Total counters = % Processor Time;% User Time useEnglishOnly = 1 interval = 30 disabled = 0 システムで使⽤されている⾔語が英語以外の場合でも、counters 属性には英語の値が含まれることに注意してくだ さい。 この属性に false を設定した場合、これらの属性に対してワイルドカードや正規表現を使⽤できますが、オペレー ティング・システムの⾔語に基づいた値を指定する必要があります。フランス語版のシステムのスタンザの例を以 下に⽰します。 [perfmon://FrenchProcs] counters = * disabled = 0 useEnglishOnly = 0 interval = 30 object = Processeur instances = * この例で object 属性には Processeur が設定されていることに注意してください。これは、Processor のフランス語 です。ここに英語の値を指定すると、Splunk Enterprise はパフォーマンス・オブジェクトやインスタンスを⾒つ けることができません。 u seEnglish Only 属性を使⽤する場合のその他の影響 この属性を使⽤する際には、他にも検討事項があります。 Splunk Web を使って⾮英語版オペレーティング・システムにパフォーマンス・モニター⼊⼒を作成する場 合、常に useEnglishOnly = false を指定します。 また、Splunk Web でこれらのスタンザを有効化、無効化、複製、または削除することができます。ただ し、オペレーティング・システムのロケールがスタンザに指定されているロケールと⼀致しない限り、 Splunk Web でそれを編集することはできません。 useEnglishOnly 属性に真 (True) を設定すると、Splunk Web でパフォーマンス・モニター・スタンザを有効 化、無効化、複製、または削除することができます。ただし、システムのロケールが英語でない限り、それ を Splunk Web で編集することはできません。 Windows ホスト情報のモニター Splunk Enterprise は、Windows ホスト情報 (ローカル Windows マシンの詳細な統計情報) のモニターをサポー トしています。Windows ホストに関する以下の情報を収集することができます。 ⼀般のコンピュータ: コンピュータのメーカーとモデル、そのホスト名と参加している Active Directory ドメイン。 オペレーティングシステム: コンピュータにインストールされているオペレーティングシステムのバー ジョンとビルド番号、およびサービスパック、コンピュータ名、前回起動時刻、搭載メモリーと空きメモ リー量、およびシステムドライブ。 プロセッサ: システムの CPU のメーカーとモデル、動作速度とバージョン、プロセッサ/コア数、および プロセッサ ID。 ディスク: システムが利⽤できるすべてのドライブ⼀覧、および利⽤できる場合はファイルシステムタイプ と合計/利⽤可能スペース。 ネットワークアダプタ: 製造業者、製品名、および MAC アドレスを含めた、システムに取り付けられて いるネットワークアダプタに関する情報。 サービス: 名前、表⽰名、説明、パス、サービスタイプ、開始モード、状態、およびステータスを含めた、 システムにインストールされているサービスに関する情報。 プロセス: 名前、実⾏時のコマンドライン (および引数)、および実⾏形式ファイルのパスを含めた、システ 80 ムで動作中のプロセスに関する情報。 アプリケーション: 名前とシリアル番号、インストール⽇時とインストール場所、ベンダー、およびバー ジョン番号を含めた、システムにインストールされているアプリケーションに関する情報。 完全版 Splunk Enterprise インスタンスとユニバーサルフォワーダーの両⽅が、ホスト情報のローカル収集をサ ポートしています。 ホストモニター⼊⼒は、splunk-winhostmon.exe と呼ばれるプロセスとして実⾏されます。このプロセスは定義され ている各⼊⼒に対して、⼊⼒に指定されている間隔で 1 回実⾏されます。ホストのモニタリングは、Splunk Web または inputs.conf を使って設定できます。 ホスト情報のモニター理由 Windows ホストのモニタリングにより、Windows システムに関する詳細な情報を収集することができます。ソ フトウェアのインストールと削除、サービスの起動と停⽌、および稼働時間などの、システムに対する任意の変更 をモニターすることができます。システム障害が発⽣した場合、まず Windows ホストモニタリング情報を⼿がか りに調査を進めていくことができます。Splunk Enterprise のサーチ⾔語を利⽤して、Windows ネットワーク内 のすべてのマシンの統計情報を⼀⽬で把握できる、ダッシュボードやビューを作成することができます。 ホスト情報のモニターに何が必要か アクティビ ティ: 必要なアクセス許可: ホスト情報の * Splunk Enterprise はWindows 上で実⾏する必要があります。 モニター * すべてのローカルホスト情報を読み取るには、Splunk Enterprise を Local System ユーザー またはローカル管理者として実⾏する必要があります。 セキュリティとリモートアクセスの検討事項 デフォルトでは、Windows ホスト情報を収集するために、Splunk Enterprise を Local System ユーザーとして 実⾏する必要があります。 リモートマシンからインデクサーへのホスト情報の送信には、ユニバーサルフォワーダーを使⽤することをお勧め します。Windows ホストデータを収集するための、フォワーダーのインストール、設定、使⽤⽅法については、 『データの転送』マニュアルの「ユニバーサルフォワーダーの紹介」を参照してください。 Windows ホストデータを収集するために、リモートマシン上にフォワーダーをインストールする場合、それらの マシンにはフォワーダーを Local System ユーザーとしてインストールすることができます。Local System ユー ザーは、ローカルマシン上のすべてのデータにアクセスできますが、リモートマシンにアクセスすることはできま せん。 Splunk Enterprise を「Local System」以外のユーザーとして実⾏する場合、そのユーザーには収集するホスト データがあるマシンに対する、ローカル Administrator 権限が必要です。また、『インストールマニュアル』の 「Splunk Enterprise を実⾏する Windows ユーザーの選択」で説明しているように、ユーザーには他の明⽰的な アクセス許可が必要です。 Splunk Web を使ったホストモニタリングの設定 A. [新規追加] ページに移動 ⼊⼒ (データの取り込み) は、Splunk Web の [新規追加] ページから追加します。「データの追加⽅法は?」を参 照してください。 2 種類の⽅法でこのページを表⽰できます。 Splunk ホーム Splunk 設定 Splunk 設定を使⽤する場合: 1. Splunk Web の右上にある [設定] をクリックします。 2. [設定] ポップアップの [データ] セクションで、[データ⼊⼒] をクリックします。 3. [ファイルとディレクトリ] をクリックします。 4. [新規] ボタンをクリックして、⼊⼒を追加します。 Splunk ホームを使⽤する場合: 1. Splunk ホームの [データの追加] リンクをクリックします。 2. ローカル Windows マシンからホスト情報をモニターするには、[モニター] をクリックします。 B. ⼊⼒ソースの選択 '1.左側のパネルで、[ローカル Windows ホスト監視] を探して選択します。 2. [コレクション名] フィールドに、この⼊⼒の覚えやすい⼀意の名前を⼊⼒します。 81 3. [イベント・タイプ] リスト・ボックスで、この⼊⼒でモニターするホスト・モニタリング・イベント・タイプ を探します。 4. モニターする各タイプを、1 回クリックします。Splunk Enterprise は、タイプを [利⽤可能なタイプ] ウィン ドウから [選択されたタイプ] ウィンドウに移動します。 5. タイプの選択を解除するには、[選択されたタイプ] ウィンドウでその名前をクリックします。Splunk Enterprise は、カウンタを [選択されたタイプ] ウィンドウから [利⽤可能なタイプ] ウィンドウに移動します。 6. すべてのタイプを選択/選択解除するには、[すべて追加] または [すべて削除] リンクをクリックします。重 要: すべてのタイプを選択すると⼤量のデータのインデックスを作成することになり、ライセンスの上限を超え てしまう可能性があります。 7. [間隔] フィールドで、⼊⼒のポーリング間隔を秒で指定します。 8. 緑⾊の [次へ] ボタンをクリックします。 C. ⼊⼒の設定 [⼊⼒設定] ページでは、アプリケーション・コンテキスト、デフォルトのホスト値、およびインデックスを指定 できます。これらのパラメータは省略することができます。 1. この⼊⼒の適切なアプリケーション・コンテキスト を選択します。 2. ホスト 名の値を設定します。さまざまな選択肢があります。ホスト値の設定の詳細は、「ホストについて」を 参照してください。 注意: [ホスト] は、イベントの host フィールドの設定のみを⾏います。Splunk Enterprise にネットワー ク上の特定のホストを探すように指⽰するものではありません。 3. データを保管するインデックス を設定します。異なる種類のイベントを取り扱うために、複数のインデックス を定義している場合を除き、この値は「default」のままにしてください。ユーザーデータ⽤のインデックスに加 えて、Splunk Enterprise にはさまざまなユーティリティインデックスが存在しています。これらのインデックス も、このドロップダウンボックスに表⽰されます。 4. 緑⾊の [確認] ボタンをクリックします。 D. 選択項⽬の確認 ⼊⼒設定をすべて指定したら、選択内容をレビューすることができます。Splunk Enterprise には、モニターのタ イプ、ソース、ソースタイプ、アプリケーション・コンテキスト、インデックスなど (これ以外が表⽰されること もあります) の、選択したオプションが表⽰されます。 設定を確認します。意図通りの内容でない場合は、⽩い [< ] ボタンをクリックして、ウィザードの前のステップに 戻ります。そうでない場合は、緑⾊の [送信] ボタンをクリックします。 [成功] ページが表⽰され、指定されたホスト情報のインデックス作成が開始されます。 inputs.conf を使ったホストモニタリングの設定 を使ってホストのモニタリングを設定することができます。inputs.conf を使ったデータ⼊⼒の設定の 詳細は、このマニュアルの「⼊⼒の設定」を参照してください。 inputs.conf 注意: 設定ファイルのデフォルトは、%SPLUNK_HOME%\etc\system\default 内のファイルまたは『管理マニュアル』で 確認することができます。 設定ファイルの編集⽅法については、『管理マニュアル』の「設定ファイルについて」を参照してくださ い。 inputs.conf を編集してホストのモニタリング⼊⼒を有効にするには: 1. %SPLUNK_HOME%\etc\system\local に inputs.conf を作成し、編集のためにそれを開きます。 2. %SPLUNK_HOME%\etc\system\default\inputs.conf を開いて、有効にする Windows イベントログ⼊⼒を確認します。 3. %SPLUNK_HOME%\etc\system\default\inputs.conf から、有効にする Windows イベントログ⼊⼒スタンザをコピーし ます。 4. コピーしたスタンザを、%SPLUNK_HOME%\etc\system\local\inputs.conf に貼り付けます。 5. スタンザを、⽬的の Windows イベントログデータを収集するように編集します。 6. %SPLUNK_HOME%\etc\system\local\inputs.conf を保存して終了します。 7. Splunk Enterprise を再起動します。 次のセクションでは、ホストのモニタリングのための、特定の設定値について説明していきます。 Windows ホストのモニター設定値 Splunk Enterprise は、Windows ホスト情報をモニターするために、inputs.conf 内の以下の属性を使⽤していま 82 す。 属性 必 須? 説明 interval はい 新しいデータのポーリングを⾏う頻度を秒で指定します。負の値を指定した場 合は、1 回のみ⼊⼒を実⾏します。この属性を定義しない場合、デフォルト値 は存在しないためその⼊⼒は機能しません。 type はい モニターするホスト情報のタイプ。Computer, operatingSystem, processor, disk, networkAdapter, service, process, driver のいずれか、または application を使⽤ できます。この変数が存在しない場合、⼊⼒は実⾏されません。 disabled いい ⼊⼒をまったく実⾏しないかどうか。この属性に え されません。 1 を設定すると、⼊⼒は実⾏ Windows ホストモニタリング設定の例 次のファイル内の、Windows ホストモニタリング設定属性の、使⽤⽅法の例を以下に⽰します: inputs.conf # Queries computer information. [WinHostMon://computer] type = Computer interval = 300 # Queries OS information. # 'interval' set to a negative number tells Splunk Enterprise to # run the input once only. [WinHostMon://os] type = operatingSystem interval = -1 # Queries processor information. [WinHostMon://processor] type = processor interval = -1 # Queries hard disk information. [WinHostMon://disk] type = disk interval = -1 # Queries network adapter information. [WinHostMon://network] type = networkAdapter interval = -1 # Queries service information. # This example runs the input ever 5 minutes. [WinHostMon://service] type = service interval = 300 # Queries information on running processes. # This example runs the input every 5 minutes. [WinHostMon://process] type = process interval = 300 # Queries information on installed applications. # This example runs the input every 5 minutes. [WinHostMon://application] type = application interval = 300 Windows ホストモニタリングデータのフィールド Splunk Enterprise が Windows ホストモニタリング⼊⼒からのデータのインデックスを作成する場合、受信した イベントのソース には windows が設定されます。受信イベントのソースタイプ には、WinHostMon が設定されます。 Answers 83 何か質問がありますか?「Splunk Answers」では、Splunk コミュニティに寄せられた、Windows ホスト情報に 関する質問と回答をご覧いただけます。 Windows プリンタ情報のモニター Splunk Enterprise は、Windows 印刷サブシステム情報のモニターをサポートしています。ローカルマシン上の プリンタとドライバ、印刷ジョブ、およびプリンタポートなど、あらゆる統計情報をモニターすることができま す。以下の印刷システム情報を収集することができます。 プリンタ: 接続されているプリンタのステータス、およびプリンタの追加/削除⽇時などの、印刷サブシス テムに関する情報。 ジョブ: 誰が何を印刷したか、ジョブの詳細、既存のジョブのステータスなどの、印刷ジョブに関する情 報。 ドライバ: 既存のプリントドライバ情報、プリントドライバの追加/削除⽇時などの、プリントドライバサ ブシステムの情報。 ポート: システムにインストールされているプリンタポートの情報、および追加/削除⽇時。 完全版 Splunk Enterprise インスタンスとユニバーサルフォワーダーの両⽅が、プリンタサブシステム情報の ローカル収集をサポートしています。 プリンタモニター⼊⼒は、splunk-winprintmon.exe と呼ばれるプロセスとして実⾏されます。このプロセスは定義さ れている各⼊⼒に対して、⼊⼒に指定されている間隔で 1 回実⾏されます。プリンタサブシステムのモニタリン グは、Splunk Web または inputs.conf を使って設定できます。 プリンタ情報のモニター理由 プリンタのモニタリングにより、プリンタサブシステムに関する詳細な情報を収集することができます。プリン タ、プリントドライバ、およびポートのインストールと削除、印刷ジョブの開始と完了、誰が何をいつ印刷したか などの、システムに対する任意の変更をモニターできます。プリンタ障害が発⽣した場合、まずプリンタモニタリ ング情報を⼿がかりに調査を進めていくことができます。Splunk のサーチ⾔語を利⽤して、Windows ネット ワーク内のすべてのプリンタの統計情報を⼀⽬で把握できる、ダッシュボードやビューを作成することができま す。 プリンタ情報のモニターに何が必要か アクティビ ティ: 必要なアクセス許可: ホスト情報のモ * Splunk Enterprise はWindows 上で実⾏する必要があります。 ニター * すべてのローカルホスト情報を読み取るには、Splunk Enterprise を Local System ユー ザーとして実⾏する必要があります。 セキュリティとリモートアクセスの検討事項 デフォルトでは、Windows 印刷サブシステム情報を収集するために、Splunk Enterprise を Local System ユー ザーとして実⾏する必要があります。 リモートマシンからインデクサーへのプリンタ情報の送信には、ユニバーサルフォワーダーを使⽤することをお勧 めします。印刷サブシステムデータを収集するための、フォワーダーのインストール、設定、使⽤⽅法について は、『データの転送』マニュアルの「ユニバーサルフォワーダーの紹介」を参照してください。 印刷サブシステムデータを収集するために、リモートマシン上にフォワーダーをインストールする場合、それらの マシンにはフォワーダーを Local System ユーザーとしてインストールすることができます。Local System ユー ザーは、ローカルマシン上のすべてのデータにアクセスできますが、リモートマシンにアクセスすることはできま せん。 Splunk Enterprise を「Local System」以外のユーザーとして実⾏する場合、そのユーザーには収集する印刷情 報があるマシンに対する、ローカル Administrator 権限が必要です。また、『インストールマニュアル』の 「Splunk Enterprise を実⾏する Windows ユーザーの選択」で説明しているように、ユーザーには他の明⽰的な アクセス許可が必要です。 Splunk Web を使ったプリンタ情報の設定 A. [新規追加] ページに移動 ⼊⼒ (データの取り込み) は、Splunk Web の [新規追加] ページから追加します。「データの追加⽅法は?」を参 照してください。 2 種類の⽅法でこのページを表⽰できます。 Splunk ホーム Splunk 設定 Splunk 設定を使⽤する場合: 1. Splunk Web の右上にある [設定] をクリックします。 2. [設定] ポップアップの [データ] セクションで、[データ⼊⼒] をクリックします。 3. [ローカル印刷モニター] をクリックします。 84 4. [新規] ボタンをクリックして、⼊⼒を追加します。 Splunk ホームを使⽤する場合: 1. Splunk ホームの [データの追加] リンクをクリックします。 2. ローカル Windows マシンから印刷情報をモニターするには、[モニター] をクリックします。 3. 左側のパネルで、[ローカル Windows 印刷監視] を探して選択します。 B. ⼊⼒ソースの選択 1. [コレクション名] フィールドに、この⼊⼒の覚えやすい⼀意の名前を⼊⼒します。 2. [イベント・タイプ] リスト・ボックスで、この⼊⼒でモニターする印刷モニタリング・イベント・タイプを探 します。 3. モニターする各タイプを、1 回クリックします。Splunk Enterprise は、タイプを [利⽤可能なタイプ] ウィン ドウから [選択されたタイプ] ウィンドウに移動します。 4. タイプの選択を解除するには、[選択されたタイプ] ウィンドウでその名前をクリックします。Splunk Enterprise は、カウンタを [選択されたタイプ] ウィンドウから [利⽤可能なタイプ] ウィンドウに移動します。 5. すべてのタイプを選択/選択解除するには、[すべて追加] または [すべて削除] リンクをクリックします。重 要: すべてのタイプを選択すると⼤量のデータのインデックスを作成することになり、ライセンスの上限を超え てしまう可能性があります。 6. Splunk Enterprise 起動後すぐに⼊⼒を実⾏するには、[ベースライン] で [はい] ラジオボタンをクリックしま す。[間隔 (分)] フィールドで指定した間隔で⼊⼒を実⾏する場合は、[いいえ] をクリックします。 7. 緑⾊の [次へ] ボタンをクリックします。 C. ⼊⼒の設定 [⼊⼒設定] ページでは、アプリケーション・コンテキスト、デフォルトのホスト値、およびインデックスを指定 できます。これらのパラメータは省略することができます。 1. この⼊⼒の適切なアプリケーション・コンテキスト を選択します。 2. ホスト 名の値を設定します。さまざまな選択肢があります。ホスト値の設定の詳細は、「ホストについて」を 参照してください。 注意: [ホスト] は、イベントの host フィールドの設定のみを⾏います。Splunk Enterprise にネットワー ク上の特定のホストを探すように指⽰するものではありません。 3. データを保管するインデックス を設定します。異なる種類のイベントを取り扱うために、複数のインデックス を定義している場合を除き、この値は「default」のままにしてください。ユーザーデータ⽤のインデックスに加 えて、Splunk Enterprise にはさまざまなユーティリティインデックスが存在しています。これらのインデックス も、このドロップダウンボックスに表⽰されます。 4. 緑⾊の [確認] ボタンをクリックします。 D. 選択項⽬の確認 ⼊⼒設定をすべて指定したら、選択内容をレビューすることができます。Splunk Enterprise には、モニターのタ イプ、ソース、ソースタイプ、アプリケーション・コンテキスト、インデックスなど (これ以外が表⽰されること もあります) の、選択したオプションが表⽰されます。 設定を確認します。意図通りの内容でない場合は、⽩い [< ] ボタンをクリックして、ウィザードの前のステップに 戻ります。そうでない場合は、緑⾊の [送信] ボタンをクリックします。 [成功] ページが表⽰され、指定された印刷情報のインデックス作成が開始されます。 inputs.conf を使ったホストモニタリングの設定 を使ってホストのモニタリングを設定することができます。inputs.conf を使ったデータ⼊⼒の設定の 詳細は、このマニュアルの「⼊⼒の設定」を参照してください。 inputs.conf 注意: 設定ファイルのデフォルトは、%SPLUNK_HOME%\etc\system\default 内のファイルまたは『管理マニュアル』で 確認することができます。 設定ファイルの編集⽅法については、『管理マニュアル』の「設定ファイルについて」を参照してくださ い。 inputs.conf を編集して印刷のモニタリング⼊⼒を有効にするには: 1. inputs.conf を %SPLUNK_HOME%\etc\system\default 2. エクスプローラまたは ATTRIB から etc\system\local にコピーします。 コマンドを使って、ファイルの読み取り専⽤フラグを削除します。 3. ファイルを開いて編集し、Windows 印刷モニタリング⼊⼒を有効にします。 85 4. Splunk を再起動します。 次のセクションでは、ホストのモニタリングのための、特定の設定値について説明していきます。 印刷モニタリングの設定値 Splunk Enterprise は、Windows プリンタサブシステムをモニターするために、inputs.conf 内の以下の属性を使 ⽤しています。 属性 必 須? 説明 interval はい 新しいデータのポーリングを⾏う頻度を秒で指定します。この属性が指定、定 義されていない場合、デフォルト値は存在しないためその⼊⼒は機能しませ ん。 type はい モニターするホスト情報のタイプ。printer, job, driver のいずれか、または port を使⽤できます。この変数が存在しない場合、⼊⼒は実⾏されません。 baseline いい 既存のプリンタ、ジョブ、ドライバ、またはポートの状態のベースラインを⽣ え 成するかどうかを⽰します。この属性に 1, を設定すると、ベースラインが⽣ 成されます。この場合、Splunk Enterprise の起動までに時間がかかり、CPU リソースも消費される可能性があります。 disabled いい ⼊⼒をまったく実⾏しないかどうか。この属性に え されません。 1 を設定すると、⼊⼒は実⾏ Windows ホストモニタリング設定の例 inputs.conf での、Windows ホストモニタリング設定属性の、使⽤⽅法の例を以下に⽰します。 # Monitor printers on system. [WinPrintMon://printer] type = printer baseline = 0 # Monitor print jobs. [WinPrintMon://job] type = job baseline = 1 # Monitor printer driver installation and removal. [WinPrintMon://driver] type = driver baseline = 1 # Monitor printer ports. [WinPrintMon://port] type = port baseline = 1 Windows 印刷モニタリングデータのフィールド Splunk Enterprise が Windows 印刷モニタリング⼊⼒からのデータのインデックスを作成する場合、受信したイ ベントのソース には windows が設定されます。受信イベントのソースタイプ には、WinPrintMon が設定されます。 Answers 何か質問がありますか?「Splunk Answers」では、Splunk コミュニティに寄せられた、Windows 印刷モニタリ ングに関する質問と回答をご覧いただけます。 Windows ネットワーク情報のモニター Splunk Enterprise は Windows ネットワーク情報のモニタリングをサポートしています。Windows マシンとや り取りされるネットワークアクティビティに関する、詳細な統計情報をモニターできます。以下のネットワーク情 報を収集することができます。 ネットワーク活動: Windows マシンプラットフォームが任意のネットワーク活動を⾏う場合、Splunk Enterprise を使ってそれをモニターすることができます。 アドレスファミリー: IPv4 または IPv6 プロトコル経由でネットワークトランザクションが⾏われたかど うか。 パケットタイプ: トランザクションで送信されたパケットタイプ (例:「connect」または「transport」パ ケット)。 プロトコル: TCP または UDP プロトコル経由でネットワークトランザクションが⾏われたかどうか。 ホスト: ローカル/リモートホスト、ホストが通信したポート、利⽤可能な DNS 情報などの、ネットワー クトランザクションに関与したホストに関する情報。 86 アプリケーション: ネットワークトランザクションを開始したアプリケーション。 ユーザー: ネットワークトランザクションを開始したユーザー、およびその ID と SID。 その他: 伝送ヘッダーサイズやトランザクションが IPSec で保護されていたかどうかなどを含めた、ネッ トワークトランザクションに関するその他の情報。 完全版 Splunk Enterprise インスタンスとユニバーサルフォワーダーの両⽅が、ネットワーク情報のローカル収 集をサポートしています。 ネットワークモニター⼊⼒は、splunk-netmon.exe と呼ばれるプロセスとして実⾏されます。このプロセスは定義さ れている各⼊⼒に対して、⼊⼒に指定されている間隔で 1 回実⾏されます。ネットワークのモニタリングは、 Splunk Web または inputs.conf を使って設定できます。 重要: Splunk Enterprise の Windows ネットワーク・モニタリングは、64 ビット Windows システムでのみ利 ⽤できます。32 ビットの Windows システムでは利⽤できません。 ネットワーク情報のモニター理由 Windows ネットワークのモニタリングにより、Windows ネットワークアクティビティに関する詳細な情報を収 集することができます。ユーザーまたはプロセスによるネットワーク接続の開始、トランザクションが IPv4 また は IPv6 アドレスを使⽤しているかどうかなど、ネットワーク上のトランザクションをモニターすることができま す。Splunk Enterprise のネットワークモニタリングを利⽤すれば、サービス拒否攻撃の受信/発信に関与してい るマシンを通知して、攻撃を検出、防⽌することができます。Splunk のサーチ⾔語を利⽤して、Windows ネッ トワーク内のすべてのネットワーク操作の統計情報を⼀⽬で把握できる、ダッシュボードやビューを作成すること ができます。 ネットワーク情報のモニターに何が必要か アク ティビ ティ: ネット ワーク 情報の モニ ター 要件: Splunk は Windows 上で実⾏する必要があります マシンの Windows は以下のいずれかでなければなりません Windows Vista Windows 7 Windows 8 Windows Server 2008 Windows Server 2008 R2 Windows Server 2012 Windows システムには、Windows Vista、Windows 7、Windows Server 2008、および Windows Server 2008 R2 が動作するマシンのカーネルモード・ドライバ・フレームワーク・ バージョン 1.11 アップデートを含め、利⽤可能なすべてのアップデートやサービス・パックを 適⽤する必要があります。 すべてのローカルホスト情報を読み取るには、Splunk Enterprise を Local System ユーザーま たはローカル管理者アカウントとして実⾏する必要があります。 セキュリティとリモートアクセスの検討事項 デフォルトでは、Windows ネットワーク情報を収集するために、Splunk Enterprise を Local System ユーザー として実⾏する必要があります。 リモートマシンからインデクサーへのホスト情報の送信には、ユニバーサルフォワーダーを使⽤することをお勧め します。Windows ホストデータを収集するための、フォワーダーのインストール、設定、使⽤⽅法については、 『データの転送』マニュアルの「ユニバーサルフォワーダーの紹介」を参照してください。 Windows ネットワーク情報を収集するために、リモートマシン上にフォワーダーをインストールする場合、それ らのマシンにはフォワーダーを Local System ユーザーとしてインストールすることができます。Local System ユーザーは、ローカルマシン上のすべてのデータにアクセスできますが、リモートマシンにアクセスすることはで きません。 Splunk Enterprise を「Local System」以外のユーザーとして実⾏する場合、そのユーザーには収集するホスト データがあるマシンに対する、ローカル Administrator 権限が必要です。また、『インストールマニュアル』の 「Splunk Enterprise を実⾏する Windows ユーザーの選択」で説明しているように、ユーザーには他の明⽰的な アクセス許可が必要です。 Splunk Web を使ったホストモニタリングの設定 A. [新規追加] ページに移動 ⼊⼒ (データの取り込み) は、Splunk Web の [新規追加] ページから追加します。「データの追加⽅法は?」を参 照してください。 2 種類の⽅法でこのページを表⽰できます。 Splunk ホーム Splunk 設定 Splunk 設定を使⽤する場合: 1. Splunk Web の右上にある [設定] をクリックします。 87 2. [設定] ポップアップの [データ] セクションで、[データ⼊⼒] をクリックします。 3. [ローカル Windows ネットワークモニタリング] をクリックします。 4. [新規] ボタンをクリックして、⼊⼒を追加します。 Splunk ホームを使⽤する場合: 1. Splunk ホームの [データの追加] リンクをクリックします。 2. ローカル Windows マシンのネットワーク情報をモニターするには、[モニター] をクリックします。他の Windows マシンからネットワーク情報を転送するには、[転送] をクリックします。[データの追加 - ソースの選 択] ページが表⽰されます。 注意: ネットワーク情報の転送には、追加設定が必要です。 3. 左側のパネルで、[ローカル Windows ネットワーク監視] を探して選択します。 B. ⼊⼒ソースの選択 1. [ネットワーク・モニター名] フィールドに、この⼊⼒の覚えやすい⼀意の名前を指定します。 2. [アドレス・ファミリー] で、モニターする IP アドレスファミリーのタイプ (IPv4 または IPv6) を選択しま す。 3. [パケット・タイプ] で、モニターするパケット・タイプ (connect 、accept 、transport .) を選択します。 4. [⽅向] で、モニターするネットワークの⽅向を選択します ([着信] (モニターしているホストが受信) または [発 信] (モニターしているホストから送信))。 5. [プロトコル] で、モニターするプロトコルの種類を選択します ([tcp] または [udp] )。 6. [リモートアドレス] フィールドに、モニターしているホストとネットワーク通信する、モニター対象リモート ホストのホスト名または IP アドレスを⼊⼒します。 注意: 複数のホストをモニターする場合は、このフィールドに正規表現を指定します。 7. [プロセス] フィールドに、ネットワーク通信をモニターするプロセスの、名前の⼀部または全部を⼊⼒しま す。 注意: リモートアドレスと同様に、正規表現を使って複数のプロセスをモニターすることができます。 8. [ユーザー] フィールドに、ネットワーク通信をモニターするユーザーの、名前の⼀部または全部を⼊⼒しま す。 注意: リモートアドレスやプロセスの場合と同様に、正規表現を使って複数のプロセスをモニターすることがで きます。 9. 緑⾊の [次へ] ボタンをクリックします。 C. ⼊⼒の設定 [⼊⼒設定] ページでは、アプリケーション・コンテキスト、デフォルトのホスト値、およびインデックスを指定 できます。これらのパラメータは省略することができます。 1. この⼊⼒の適切なアプリケーション・コンテキスト を選択します。 2. ホスト 名の値を設定します。さまざまな選択肢があります。ホスト値の設定の詳細は、「ホストについて」を 参照してください。 注意: [ホスト] は、イベントの host フィールドの設定のみを⾏います。Splunk Enterprise にネットワー ク上の特定のホストを探すように指⽰するものではありません。 3. データを保管するインデックス を設定します。異なる種類のイベントを取り扱うために、複数のインデックス を定義している場合を除き、この値は「default」のままにしてください。ユーザーデータ⽤のインデックスに加 えて、Splunk Enterprise にはさまざまなユーティリティインデックスが存在しています。これらのインデックス も、このドロップダウンボックスに表⽰されます。 4. 緑⾊の [確認] ボタンをクリックします。 D. 選択項⽬の確認 ⼊⼒設定をすべて指定したら、選択内容をレビューすることができます。Splunk Enterprise には、モニターのタ イプ、ソース、ソースタイプ、アプリケーション・コンテキスト、インデックスなど (これ以外が表⽰されること もあります) の、選択したオプションが表⽰されます。 設定を確認します。意図通りの内容でない場合は、⽩い [< ] ボタンをクリックして、ウィザードの前のステップに 戻ります。そうでない場合は、緑⾊の [送信] ボタンをクリックします。 [成功] ページが表⽰され、指定された印刷情報のインデックス作成が開始されます。 inputs.conf を使ったネットワークモニタリングの設定 88 を使ってネットワークのモニタリングを設定することができます。inputs.conf を使ったデータ⼊⼒の 設定の詳細は、このマニュアルの「⼊⼒の設定」を参照してください。 inputs.conf 注意: 設定ファイルのデフォルトは、%SPLUNK_HOME%\etc\system\default 内のファイルまたは『管理マニュアル』で 確認することができます。 設定ファイルの編集⽅法については、『管理マニュアル』の「設定ファイルについて」を参照してくださ い。 inputs.conf を編集してネットワークのモニタリング⼊⼒を有効にするには: 1. inputs.conf を %SPLUNK_HOME%\etc\system\default 2. エクスプローラまたは ATTRIB から etc\system\local にコピーします。 コマンドを使って、ファイルの読み取り専⽤フラグを削除します。 3. ファイルを開いて編集し、Windows ネットワークモニタリング⼊⼒を有効にします。 4. Splunk を再起動します。 次のセクションでは、ホストのモニタリングのための、特定の設定値について説明していきます。 Windows ホストのモニター設定値 Windows ネットワークモニタリング⼊⼒を定義するには、inputs.conf で [WinNetMon://<name>] スタンザを定義し ます。Splunk Enterprise は Windows ネットワークモニター⼊⼒の設定に、以下の属性を使⽤します。 属性: 説明: disabled = [0|1] デフォルト: 0 (有効) ⼊⼒を有効にするかどうかを⽰します。 ⼊⼒を無効にするには 1 を、有効にするには 0 を設定します。 index = <⽂字列> デフォルトのインデックス データを保管するインデックスを指定しま す。 この属性は省略することができます。 remoteAddress = <正規表 現> (空⽂字列 - すべてに⼀致) 設定した場合、ネットワークトランザクショ ンに関与している IP アドレスと照合します。 IP アドレスを表す正規表現のみを使⽤できま す (ホスト名は不可)。 正規表現に⼀致しないリモートアドレスのイ ベントはフィルタリングされます。 正規表現に⼀致するリモートアドレスを持つ イベントは収集されます。 例:192\.163\..* は、192.163.x.x の範囲の すべての IP アドレスと⼀致します。 process = <正規表現> 設定した場合、ネットワークアクセスを実⾏ したプロセスまたはアプリケーション名と照 合されます。 正規表現に⼀致しないプロセスが⽣成したイ ベントはフィルタリングされます。 正規表現に⼀致するプロセスが⽣成したイベ ントは収集されます。 user = <正規表現> 設定した場合、ネットワークアクセスを実⾏ したユーザー名と照合されます。 正規表現に⼀致しないユーザーが⽣成したイ ベントはフィルタリングされます。 正規表現に⼀致するユーザーが⽣成したイベ ントは収集されます。 addressFamily = [ipv4;ipv6] packetType = [connect;accept;transport] (空⽂字列 - すべてのプロセ スまたはアプリケーションに ⼀致) (空⽂字列 - すべてのユー ザーによるアクセスが含まれ ます) (空⽂字列 - すべての IP トラ 設定した場合、ネットワークアクセスに使⽤ フィックが含まれます) されたアドレスファミリーに対して照合が⾏ われます。 「ipv4;ipv6」のように、セミコロンで区切っ た値を使⽤できます。 設定した場合、トランザクション内で使⽤さ れているパケットタイプに対して照合が⾏わ れます。 「connect;transport」のように、セミコロン 89 (空⽂字列 - すべてのパケッ トタイプが含まれます) で区切った値を使⽤できます。 direction = [inbound;outbound] (空⽂字列 - 両⽅の⽅向が含 設定した場合、ネットワークトラフィックの まれます) ⽅向に対して照合が⾏われます。 「Inbound」はモニターを⾏っているマシン に到着するトラフィックを、「outbound」は モニターを⾏っているマシンから出て⾏くト ラフィックを表しています。 「inbound;outbound」のように、セミコロ ンで区切った値を使⽤できます。 protocol = [tcp;udp] (空⽂字列 - 両⽅のプロトコ 設定した場合、指定したネットワークプロト ルタイプが含まれます) コルに対して照合が⾏われます。 「tcp」は、トランザクションの設定にハンド シェークと状態を使⽤する、TCP を表してい ます。 「udp」は、状態を持たない UDP を表して います。 「tcp;udp」のように、セミコロンで区切っ た値を使⽤できます。 readInterval = <整数> 100 ネットワークモニターフィルタドライバを読 み込む間隔 (ミリ秒) を指定します。 詳細オプション: ⼊⼒のパフォーマンスに問 題がない限り、デフォルト値の使⽤をお勧め します。 カーネルドライバの呼び出し頻度を調整する ことができます。頻度を多くするとネット ワークパフォーマンスに影響する可能性があ ります。頻度を少なくすると、イベントが失 われる可能性があります。 妥当な最⼩値は 10、最⼤値は 1000 です。 driverBufferSize = <整数> 1024 ネットワークモニターフィルタドライバの バッファに保持するネットワークパケット数 を⽰します。 詳細オプション: ⼊⼒のパフォーマンスに問 題がない限り、デフォルト値の使⽤をお勧め します。 ドライバがキャッシュに格納するパケットの 量を制御します。値を⼩さくするとイベント が失われる可能性が、⼤きくすると⾮ページ メモリーサイズが増加する可能性がありま す。 妥当な最⼩値は 128、最⼤値は 8192 です。 mode = <⽂字列> 各イベントの出⼒⽅法を⽰します。 Splunk Enterprise は各イベントを、single または multikv (キー/値のペア) モードで出⼒ することができます。 multikvMaxEventCount = <整数> mode multikvMaxTimeMs = <整 数> mode single 100 に multikv を設定した場合に、出⼒する イベントの最⼤量を⽰します。 詳細オプション: ⼊⼒のパフォーマンスに問 題がない限り、デフォルト値の使⽤をお勧め します。 妥当な最⼩値は 10、最⼤値は 500 です。 1000 に multikv を設定した場合に、mulitkv イ ベントを出⼒するための最⼤時間を⽰しま す。 詳細オプション: ⼊⼒のパフォーマンスに問 題がない限り、デフォルト値の使⽤をお勧め します。 妥当な最⼩値は 100、最⼤値は 5000 です。 Windows ネットワークモニタリングデータのフィールド Splunk Enterprise が Windows ネットワークモニタリング⼊⼒からのデータのインデックスを作成する場合、受 信したイベントのソース には windows が設定されます。受信イベントのソースタイプ には、WinNetMon が設定され 90 ます。 Windows マシンにすべてのパッチを適⽤していることを確認してください Windows Vista、Windows 7、Windows Server 2008、または Windows Server 2008 R2 マシン上でネット ワーク・モニタリング⼊⼒を利⽤中に問題が発⽣した場合は、マシンに利⽤可能なすべてのパッチを適⽤している ことを確認してください。これには、カーネル・モード・ドライバ・フレームワーク・バージョン 1.11 アップ デートも含まれています。このアップデートについては、Microsoft サポート技術情報の記事 2685811 (http://support.microsoft.com/kb/2685811) を参照してください。システムにこのアップデートが適⽤されて いない場合、ネットワーク・モニタリング⼊⼒が正常に機能しない可能性があります。 Answers 何か質問がありますか?「Splunk Answers」では、Splunk コミュニティに寄せられた、Windows ネットワーク モニタリングに関する質問と回答をご覧いただけます。 その他の取り込み⽅法 FIFO キューからのデータの取得 このトピックでは、inputs.conf を使った FIFO ⼊⼒の設定⽅法を説明していきます。現在 Splunk Web では FIFO ⼊⼒を定義できません。 警告 :FIFO 経由で送信されるデータはメモリーには保持されないため、データソースとしては信頼性に⽋ける場 合があります。データを失わないようにするためには、代わりにモニター⼊⼒を使⽤してください。 inputs.conf への FIFO の追加 FIFO ⼊⼒を追加するには、$SPLUNK_HOME/etc/system/local/ にある inputs.conf、または $SPLUNK_HOME/etc/apps/ 内の 独⾃のカスタム App ディレクトリにある inputs.conf に、スタンザを追加します。設定ファイルで初めて作業を ⾏う場合は、事前に『管理マニュアル』の「設定ファイルについて」を参照してください。 FIFO スタンザを追加するための基本的な構⽂を以下に⽰します。 [fifo://<path>] <attrbute1> = <val1> <attrbute2> = <val2> ... この⼊⼒スタンザは、指定したパスにある FIFO から読み込むことを Splunk Enterprise に指⽰するものです。 FIFO スタンザでは、以下の属性を使⽤することができます。 属性 host = <string> 説明 ホスト/キーフィールドに、このスタンザの静的な値を設定し ます。 ホストキーの初期値を設定します。このキーは、パーシ ング/インデックス作成時に使⽤されます (特に host フィールドの設定時)。サーチ時に使⽤される host フィールドでもあります。 <string> の前には「host::」が付けられます。 index = <string> この⼊⼒からのイベントを保管するインデックスを設定しま す。 の前には「index::」が付けられます。 インデックスフィールドの詳細は、『インデクサーとク ラスタの管理』マニュアルの「インデックス作成の仕組 み」を参照してください。 <string> sourcetype = <string> デフォルト データの起源となる ホストの IP アドレ スまたは完全修飾ド メイン名。 main、またはデフォ ルトのインデックス として設定した任意 の値になります。 この⼊⼒からのイベントの sourcetype キー/フィールドを設定 * データのさまざま します。 な側⾯に基づいて ソースタイプが選択 このデータのソースタイプを⾃動的に判断する代わり されます。ハード に、明⽰的に宣⾔します。このことは、パーシングおよ コード化されたデ びインデックス作成中の、このタイプのデータに対する フォルト値はありま サーチ可能性と関連するフォーマットの適⽤の両⽅で重 せん。 要になります。 ソースタイプキーの初期値を設定します。このキーは、 パーシング/インデックス作成時に使⽤されます (特に host フィールドの設定時)。サーチ時に使⽤される source type フィールドでもあります。 <string> の前には「sourcetype::」が付けられます。 ソースタイプの詳細は、このマニュアルの「ソースタイ プが重要な理由」を参照してください。 91 source = <string> * この⼊⼒からのイベントの source キー/フィールドを設定し ます。 ⼊⼒ファイルパス。 注意: source キーに優先する設定を⾏うことは、⼀般的 にお勧めできません。通常⼊⼒レイヤーは、データの取 得場所を正確に記録し、問題の分析と調査を⽀援するた めに、より正確な⽂字列を提供しています。この値に優 先する設定を⾏う前に、ソースタイプ、タグ設定、およ びワイルドカードを使ったサーチの使⽤を検討してくだ さい。 <string> の前には「source::」が付けられます。 queue = [parsingQueue|indexQueue] * ⼊⼒プロセッサが、読み込んだイベントをデポジットするか どうかを指定します。 デフォルトは parsingQueue です。 データに props.conf および他のパーシングルールを適⽤ する場合は、「parsingQueue」を設定します。 データを直接インデックスに送信する場合は、 「indexQueue」を設定します。 ファイルシステムへの変更のモニター この機能は廃⽌予定です。 この機能は、Splunk Enterprise バージョン 5.0 から⾮推奨 (廃⽌予定) となりました。このことは、Splunk Enterprise 6.x でこの機能はまだ機能しますが、将来のバージョンでは削除される可能性があることを意味して います。代替案: Windows システムでのファイルシステム変更のモニター⽅法を学習する。 *nix システムで auditd デーモンを使って、デーモンからの出⼒をモニターする。 ⾮推奨で廃⽌予定の機能の⼀覧は、リリースノートの「⾮推奨 (廃⽌予定) の機能」を参照してください。 Splunk Enterprise のファイルシステム変更モニター 機能は、ファイルシステム内の変更を追跡する場合に役⽴ ちます。ファイルシステム変更モニターは、指定した任意のディレクトリを監視して、そのディレクトリに何らか の変更が⾏われた場合に、イベントを⽣成します。さまざまな設定を変更することができ、システム上の任意の ファイル (Splunk 固有のファイルだけでなく) の編集、削除、追加を検知することができます。たとえ ば、/etc/sysconfig/ を監視して、システム設定が変更された時にアラートを⽣成するように設定することができま す。 ファイルシステム変更モニターは、inputs.conf に設定します。 重要: この機能と転送 機能を使ってリモートインデクサーにイベントを送信する場合は、ヘビーフォワーダー を 使⽤するか、または「ユニバーサルフォワーダーでの使⽤」の説明に従って設定を⾏う必要があります。 注意: Windows でのファイル読み取りの監査については、Splunk コミュニティのベストプラクティス Wiki を 参照してください。ユーザーによっては、Windows のネイティブ監査ツールを利⽤する⽅が簡単なこともありま す。 ファイルシステム変更モニター機能の仕組み ファイルシステム変更モニターは、以下の情報を使って変更を検出します。 変更⽇時 グループ ID ユーザー ID ファイルモード (読み取り/書き込み属性など) ファイルコンテンツの SHA256 ハッシュ (オプション) ファイルシステム変更モニターの以下の機能を設定することができます。 正規表現を使ったホワイトリスト 監視対象ファイルの指定 正規表現を使ったブラックリスト スキップするファイルの指定 ディレクトリ再帰 シンボリックリンクトラバーサルを含める 複数ディレクトリのスキャン、およびそれぞれに対する独⾃のポーリング頻度の指定 暗号化署名 ファイルシステム変更の分散監査データの作成 追加/変更時にファイル全体を 1 つのイベントとしてインデックス作成 ファイル全体やハッシュの送信⽤にサイズ削減 すべての変更イベントのインデックス作成と Splunk Enterprise を使ったサーチ 警告: root ファイルシステムのモニターに、ファイルシステム変更モニターを使⽤しないでください。そうする と、ディレクトリ再帰が有効になっている場合に危険で、また時間もかかります。 92 ファイルシステム変更モニターの設定 デフォルトでファイルシステム変更モニターは、$SPLUNK_HOME/etc/ の内容が変更、削除、または追加された場合 に、監査イベント を⽣成します。Splunk Enterprise を初めて起動する場合、$SPLUNK_HOME/etc/ ディレクトリとそ のサブディレクトリ内の各ファイルに対して、監査イベントが⽣成されます。その後は、設定に変更が⾏われると (⼿段に関係なく)、影響するファイルに対して監査イベントが作成されます。signedaudit=true の場合、ファイルシ ステム変更監査イベントは監査インデックス (index=_audit) に保管されます。signedaudit が有効になっていない 場合は、他のインデックスを指定しない限り、デフォルトでイベントは main インデックスに書き込まれます。 注意: ファイルシステム変更モニターは、変更を⾏ったアカウントのユーザー名は追跡しません。変更の発⽣の みを追跡しています。ユーザーレベルのモニタリングの場合は、その情報にアクセスするネイティブのオペレー ティングシステム監査ツールの使⽤を検討してください。 ファイルシステム変更モニターを使ってディレクトリを監視するには、$SPLUNK_HOME/etc/system/local/ 内または $SPLUNK_HOME/etc/apps/ の独⾃の App ディレクトリ内の、inputs.conf に [fschange] スタンザを追加または編集しま す。設定ファイルの⼀般情報については、『管理マニュアル』の「設定ファイルについて」を参照してください。 注意: [fschange] スタンザを変更した場合は、Splunk Enterprise を再起動する必要があります。 構⽂ [fschange] スタンザの構⽂を以下に⽰します。 [fschange:<directory or file to monitor>] <attribute1> = <val1> <attribute2> = <val2> ... 以下の事項に注意してください。 指定ディレクトリとそのサブディレクトリの、すべての追加/更新/削除操作がモニターされます。 任意の変更により、Splunk がインデックスを作成するイベントが⽣成されます。 <directory or file to monitor> デフォルトは $SPLUNK_HOME/etc/ です。 属性 すべての属性は任意で、省略することができます。利⽤可能な属性の⼀覧を以下に⽰します。 属性 説明 デフォルト index=<indexname> ⽣成されたすべてのイベントを保管するイ ンデックス。 recurse=<true | false> 真 (True) の場合、 true <code[fschange]</code> で指定されてい るディレクトリ内のすべてのディレクトリ が再帰されます。 followLinks=<true | false> 真 (True) の場合、ファイルシステム変更 モニターはシンボリックリンクを追いま す。 false このディレクトリに対する変更を、N 秒ご とにチェックします。 3600 秒 pollPeriod=N (監査イベント署名を 有効にしていない場合)。 main 警告: followLinks の設定 には注意を払う必要があ ります。そうしないと、 システムループが発⽣す る可能性があります。 何らかの変更 を⾏った場 合、そのシス テム監査イベ ントが⽣成さ れ、それが監 査⽤サーチに 利⽤できるよ うになるま で、1〜3600 秒ほどかかり ます。 hashMaxSize=N * N バイト以下の各ファイルの SHA1 ハッ シュを算出します。 このハッシュは、ファイル/ディレク トリの変更を検出するための、追加 の⼿段として利⽤することができま す。 93 -1 (変更検出にハッシュを 使⽤しない)。 signedaudit=<true | false> * 暗号化署名した追加/更新/削除イベント を送信します。 false 真 (True) を設定すると、_audit イン デックス内にイベントが⽣成されま す。 index 属性を設定している場合は、偽 (False) を設定する必要があります。 注意: signedaudit に真 (True) を設定する 場合は、audit.conf で監査が有効になって いることを確認してください。 fullEvent=<true | false> * 追加または更新を検出した場合に、完全 なイベントを送信します。 sendEventMaxSize false 属性でさらに修飾さ れます。 sendEventMaxSize=N * イベントのサイズが N バイト以下の場合 にのみ、完全なイベントを送信します。 -1 (無制限) これにより、インデックス作成され たファイルデータのサイズを制限し ます。 sourcetype = <string> * この⼊⼒からのイベントのソースタイプ を設定します。 audittrail * <integer> 件のファイルの処理 後、delayInMills に指定されている時間に 相当する遅延を挟みます。 N/A (signedaudit=true の場合) または fs_notification <string> の前には「sourcetype::」が (signedaudit=false の場合) ⾃動的に追加されます。 filesPerDelay = <integer> これは、CPU を消費しすぎないよう に、ファイルシステムのモニタリン グを抑制するために⽤いられます。 delayInMills = <integer> * filesPerDelay に指定されているよう に、<integer> 件のファイルの処理ごとに使 ⽤する遅延時間 (ミリ秒)。 これは、CPU を消費しすぎないよう に、ファイルシステムのモニタリン グを抑制するために⽤いられます。 filters=<filter1>,<filter2>,...<filterN> これらの各フィルタは、モニターのポーリ ングサイクル中に⾒つかった各ファイルや ディレクトリに対して、左から右へと適⽤ されていきます。フィルタの定義について は、次のセクションを参照してください。 N/A フィルタの定義 filters 属性で使⽤するフィルタを定義するには、以下のように [filter...] スタンザを定義します。 [filter:blacklist:backups] regex1 = .*bak regex2 = .*bk [filter:whitelist:code] regex1 = .*\.c regex2 = .*\.h [fschange:/etc] filters = backups,code fschange ホワイトリスト/ブラックリストは、⼀般的なファイアウォールのロジックと同様に処理されます。イ ベントは、最初に⼀致するフィルタが⾒つかるまで、フィルタのリストと順番に照合されていきます。イベントと 最初に⼀致したフィルタがホワイトリストの場合、そのイベントのインデックスが作成されます。イベントと最初 に⼀致したフィルタがブラックリストの場合、そのイベントのインデックスは作成されません。⼀致するフィルタ が⾒つからなかった場合は、イベントのインデックスが作成されます。これは、暗黙的に「すべて通過」フィルタ が存在し、すべてに該当しないイベントのインデックスが作成されることを意味しています。そのような場合にイ 94 ンデックスを作成させたくない 場合は、リストの最後に残りのイベントに⼀致するブラックリストを設定しま す。 例: ... filters = <filter1>, <filter2>, ... terminal-blacklist [filter:blacklist:terminal-blacklist] regex1 = .? 重要: ⼀連のホワイトリストの最後にある最終ブラックリストも含めて 、あるディレクトリをブラックリスト の対象にした場合、そのすべての サブフォルダとファイルが⾃動的にブラックリストの対象となり、ホワイトリ ストに渡されることはありません。これに対処するために、ブラックリストフィルタの前に、必要なフォルダとサ ブフォルダすべてを明⽰的にホワイトリストに指定してください。 例 指定ディレクトリ内の拡張⼦が .config、.xml、.properties、および を無視する設定を以下に⽰します。 .log のファイルをモニターし、その他すべて 注意: この例では、1 つのディレクトリがブラックリストに該当する可能性があります。その場合、そのすべ て のサブフォルダとファイルも⾃動的にブラックリスト化されます。ホワイトリストに指定されたディレクトリ内 のファイルのみがモニターされます。 [filter:whitelist:configs] regex1 = .*\.config regex2 = .*\.xml regex3 = .*\.properties regex4 = .*\.log [filter:blacklist:terminal-blacklist] regex1 = .? [fschange:/var/apache] index = sample recurse = true followLinks = false signedaudit = false fullEvent = true sendEventMaxSize = 1048576 delayInMills = 1000 filters = configs,terminal-blacklist ユニバーサルフォワーダーでの使⽤ ユニバーサルフォワーダーからファイルシステム変更モニターイベントを転送するには、signedaudit index=_audit を設定する必要があります。 = false と [fschange:<directory or file to monitor>] signedaudit = false index=_audit この⽅法では、ファイルシステムモニターイベントのインデックスが、_audit インデックスに作成さ れ、sourcetype に fs_notification が、source に fschangemonitor が設定されます (sourcetype と source の両⽅に対し てデフォルト値の audittrail ではない)。 スクリプト⼊⼒を介した API や他のリモートデータインターフェイス からのデータの取得 Splunk Enterprise は、指定したスクリプトからのイベントを受け取ることができます。スクリプト⼊⼒ は、vmstat、iostat、netstat、top、などの Windows/*nix コマンドラインツールと連携使⽤する場合に役⽴ちま す。スクリプト⼊⼒を使って、API や他のリモートデータインターフェイス/メッセージキューからデータを取得 することができます。次にそのデータに対して vmstat や iostat などのコマンドを使って、測定基準やステータス データを⽣成することができます。 注意: このトピックは、すでに⼀連の⼊⼒に書き込んだスクリプト⼊⼒の追加⽅法を説明しています。スクリプ ト⼊⼒の開発⽅法については、『Developing Views and Apps for Splunk Web』マニュアルの「Build scripted inputs」を参照してください。 Splunk Apps にあるさまざまな App が、特定の⽤途向けのスクリプト⼊⼒を提供しています。検索するに は、[App] メニューで [Browse more apps] (他の App を参照) オプションを使⽤します。 95 スクリプト⼊⼒を設定するには、[システム] を使⽤するか、または inputs.conf を編集します。 注意: Windows プラットフォームでは、中継 Windows バッチ (.bat) または PowerShell (.ps1) ファイルを使っ て、perl や python などのテキストベースのスクリプトを有効にすることができます。 警告: スクリプト⼊⼒経由で起動されたスクリプトは、Splunk Enterprise 環境を継承します。スクリプトの動 作に影響する環境変数は、忘れずに消去してください。問題が発⽣する可能性が⾼い唯⼀の環境変数が、ライブラ リパスの環境変数です (⼀般的に Linux、Solaris、および FreeBSD では LD_LIBRARY_PATH)。 Splunk Enterprise は stderr I/O チャネルに送信される任意のメッセージを、スクリプト⼊⼒を使って splunkd.log に記録します。 Splunk Web を使ったスクリプト⼊⼒の追加 Splunk Web にスクリプト⼊⼒を追加するには、このマニュアルの「スクリプト」を参照してください。 inputs.conf を使ったスクリプト⼊⼒の追加 スクリプト⼊⼒を追加するには、inputs.conf に [script] スタンザを追加します。 構⽂ [script] スタンザの構⽂を以下に⽰します。 [script://$SCRIPT] <attrbute1> = <val1> <attrbute2> = <val2> ... 以下の事項に注意してください。 は、スクリプトのある場所への完全パスです。 ベストプラクティスとして、スクリプトを指定した inputs.conf から、もっとも近い bin/ ディレクトリにス クリプトを保管してください。たとえば、$SPLUNK_HOME/etc/system/local/inputs.conf を設定した場合、スクリ プトは $SPLUNK_HOME/etc/system/bin/ に保管してください。$SPLUNK_HOME/etc/apps/$APPLICATION/ 内のアプリケー ションに対して作業を⾏っている場合は、Splunk を $SPLUNK_HOME/etc/apps/$APPLICATION/bin/ に保管します。 $SCRIPT 属性 すべての属性は任意で、省略することができます。利⽤可能な属性の⼀覧を以下に⽰します。 属性 interval = <number>|<cron schedule> 説明 デフォルト * 指定したコマンドの実⾏頻度を⽰します。秒を表す整 60 秒 数値または有効な cron スケジュールを指定します。 を指定した場合、起動時にスクリプ トは実⾏されません。cron スケジュールに定義 されている時間に実⾏されます。 Splunk Enterprise はインスタンスあたり 1 つ のスクリプト呼び出しを維持します。間隔は、ス クリプトの完了時期に基づいています。そのた め、10 分ごとに実⾏するように設定したスクリ プトがあり、スクリプトの実⾏完了に 20 分か かった場合、次回のスクリプト実⾏は最初の実⾏ から 30 分後に⾏われます。 常時データストリームがある場合は、1 (また は、スクリプトの間隔よりも⼩さな値) を⼊⼒し ます。 単発のデータストリームの場合は、-1 を⼊⼒し ます。interval に -1 を設定すると、毎回 Splunk デーモンの再起動時にスクリプトが実⾏されま す。 cron schedule index = <string> * この⼊⼒からのイベントを保管するインデックスを設 main、またはデフォルトのイン 定します。 デックスとして設定した任意の 値になります。 <string> の前に index:: が付けられます。 インデックスフィールドの詳細は、『インデク サーとクラスタの管理』マニュアルの「インデッ クス作成の仕組み」を参照してください。 sourcetype = <string> この⼊⼒からのイベントの sourcetype キー/フィール ドを設定します。 データのさまざまな側⾯に基づ いてソースタイプが選択されま す。ハードコード化されたデ このデータのソースタイプを⾃動的に判断する代 フォルト値はありません。 わりに、明⽰的に宣⾔します。このことは、パー 96 シングおよびインデックス作成中の、このタイプ のデータに対するサーチ可能性と関連するフォー マットの適⽤の両⽅で重要になります。 ソースタイプキーの初期値を設定します。この キーは、パーシング/インデックス作成時に使⽤ されます (特に host フィールドの設定時)。サー チ時に使⽤される source type フィールドでも あります。 <string> の前には「sourcetype::」が付けられま す。 ソースタイプの詳細は、このマニュアルの「ソー スタイプが重要な理由」を参照してください。 source = <string> * この⼊⼒からのイベントの source キー/フィールド を設定します。 ⼊⼒ファイルパス 注意: ソースキーに優先する設定は⾏わないこ とをお勧めします。通常⼊⼒レイヤーは、データ の取得場所を正確に記録し、問題の分析と調査を ⽀援するために、より正確な⽂字列を提供してい ます。この値に優先する設定を⾏う前に、ソース タイプ、タグ設定、およびワイルドカードを使っ たサーチの使⽤を検討してください。 <string> の前に source:: が付けられます。 disabled = <true | false> * disabled は、⼊⼒を無効にしたい場合に真 (True) を 設定する論理値です。 false スクリプトを継続的に実⾏する場合は、終了しないようにスクリプトを作成し、それに短い間隔を設定します。こ れにより、何か問題があった場合でも、Splunk が再起動されます。Splunk Enterprise は実⾏されたスクリプト を追跡し、終了時にはシャットダウンを⾏います。 ラッパースクリプトの使⽤ スクリプト⼊⼒⽤に、引数を指定したコマンドを使⽤するラッパースクリプトを作成するのもお勧めできます。コ マンドに、Splunk Web が⼊⼒されたテキストの検証時にエスケープ処理を⾏う、特殊⽂字を使⽤できることも あります。この場合、以前に設定した⼊⼒の更新すると、保存に失敗してしまいます。 注意: Splunk Enterprise がテキストの検証時にエスケープ処理を⾏う⽂字とは、等号 (=) やセミコロン (;) などの、パスに使⽤できない⽂字のことです。 たとえば、以下のスクリプト⼊⼒を Splunk Web で編集した場合、Splunk Enterprise がパラメータ内の等号 (=) をエスケープ処理して myUtil.py ユーティリティに渡すため、正しく保存されません。 [script://$SPLUNK_HOME/etc/apps/myApp/bin/myUtil.py file=my_datacsv] disabled = false この問題を回避するために、スクリプト⼊⼒を含むラッパースクリプトを作成してください。(conf ファイルの直 接編集による⼊⼒の更新は、この⼊⼒検証の対象にはなりません。)ラッパースクリプトの作成については、 『Developing Views and Apps for Splunk Web』マニュアルの「Scripted inputs overview」を参照してくだ さい。 inputs.conf の使⽤例 データ⼊⼒のソースとして UNIX の top コマンドを使⽤する例を以下に⽰します。 1. 新しいアプリケーションディレクトリを作成します。この例では、scripts/ を使⽤します。 $ mkdir $SPLUNK_HOME/etc/apps/scripts 2. すべてのスクリプトは、アプリケーションディレクトリ内の bin/ ディレクトリから実⾏する必要があります。 $ mkdir $SPLUNK_HOME/etc/apps/scripts/bin 3. この例は、⼩さなシェルスクリプト top.sh を使⽤します。 $ #!/bin/sh top -bn 1 # linux only - different OSes have different parameters 4. スクリプトが実⾏形式であることを確認してください。 chmod +x $SPLUNK_HOME/etc/apps/scripts/bin/top.sh 5. シェルを介してスクリプトを実⾏することで、スクリプトが正しく機能することを確認してください。 97 $SPLUNK_HOME/etc/apps/scripts/bin/top.sh スクリプトは 1 つの top 出⼒を送信する必要があります。 6. スクリプトのエントリを $SPLUNK_HOME/etc/apps/scripts/local/ 内の inputs.conf に追加します。 [script:///opt/splunk/etc/apps/scripts/bin/top.sh] interval = 5 # run every 5 seconds sourcetype = top # set sourcetype to top source = script://./bin/top.sh # set source to name of script 注意: props.conf を変更しなければならない場合もあります。 デフォルトで Splunk Enterprise は、単⼀の top エントリを複数のイベントに分割します。 この問題に対処するには、出⼒に存在していない何らかの項⽬の前でのみ分割するように、サーバーに指⽰ します。 たとえば、$SPLUNK_HOME/etc/apps/scripts/default/props.conf に以下の項⽬を追加すると、すべての⾏が単⼀のイベ ントに含まれます。 [top] BREAK_ONLY_BEFORE = <stuff> top 出⼒にはタイムスタンプがないため、現在の時刻を使⽤するように指定する必要があります。そのために は、props.conf に以下の項⽬を設定します。 DATETIME_CONFIG = CURRENT cron スケジュールへの interval 属性の設定 上記の例で、以下のような⽂字列を使⽤して、「cron」スケジュールに す。 0 * * * *:1 interval 属性を設定することもできま 時間に 1 回、時間の開始時に実⾏することを⽰します。 */15 9-17 * * 1-5:⽉〜⾦曜の午前 9 時から午後 5 時までの間、15 分ごとに実⾏することを⽰します。 15,35,55 0-6,20-23 1 */2 *:各偶数⽉ (2 ⽉、4 ⽉、6 ⽉...など) の始めに、午前 0 時〜午前 7 時および午後 8 時〜 午前 0 時の間の各時間の 15、35、および 55 分に実⾏することを⽰します。 cron スケジュールの詳細は、Crontab Web サイトの CRONTAB(5) を参照してください。 crawl を使ったモニター項⽬の発⾒ この機能は廃⽌予定です。 この機能は、Splunk Enterprise バージョン 6.0 から⾮推奨 (廃⽌予定) となりました。このことは、この機能 はまだ利⽤できますが、将来のバージョンでは削除される可能性があることを意味しています。代わりに、ファ イルやディレクトリをサーチして、⼿動でモニターすることができます。 ⾮推奨で廃⽌予定の機能の⼀覧は、リリースノートの「⾮推奨 (廃⽌予定) の機能」を参照してください。 ファイルシステムまたはネットワークをサーチして、インデックスに追加する新たなデータソースを探すに は、crawl サーチコマンドを使⽤します。 デフォルトの crawl 設定を変更するには、crawl.conf を編修します。crawl 実⾏時の crawl のデフォルトに優先す る設定を⾏えます。 crawl は、crawl アクティビティのログを⽣成し、$SPLUNK_HOME/var/log/splunk/crawl.log に保管します。 crawl のデフォルトの変更 crawl のデフォルトの設定を変更するには、$SPLUNK_HOME/etc/system/local/crawl.conf を編集します。ファイルと ネットワークの crawl は、それぞれ独⾃のスタンザに個別に定義します。 構⽂ には、2 つのスタンザが存在しています。[files]と の crawl のデフォルトを定義しています。 crawl.conf [network] は、それぞれがファイルとネットワーク これらのスタンザに定義できる属性とデフォルト値の詳細は、crawl.conf spec ファイルを参照してください。 例 98 ファイルとネットワークの両⽅に対して crawl 設定が定義されている、crawl.conf ファイルの例を以下に⽰しま す。 [files] bad_directories_list= bin, sbin, boot, mnt, proc, tmp, temp, home, mail, .thumbnails, cache, old bad_extensions_list= mp3, mpg, jpeg, jpg, m4, mcp, mid bad_file_matches_list= *example*, *makefile, core.* packed_extensions_list= gz, tgz, tar, zip collapse_threshold= 10 days_sizek_pairs_list= 3-0,7-1000, 30-10000 big_dir_filecount= 100 index=main max_badfiles_per_dir=100 [network] host = myserver subnet = 24 </pre> イベント処理の設定 イベント処理の概要 イベントは、ログファイル内のアクティビティレコードで、インデックスに保管されます。これが主に Splunk Enterprise がインデックスを作成するデータです。イベントは、ログファイルを⽣成したシステムに関する情報 を提供しています。「イベントデータ 」と呼ばれる⽤語は、Splunk インデックスの内容を表しています。 イベントの例を以下に⽰します。 172.26.34.223 - - [01/Jul/2005:12:05:27 -0700] "GET /trade/app?action=logout HTTP/1.1" 200 2953 Splunk Enterprise がイベントのインデックスを作成する場合、以下のような処理が⾏われます。 ⽂字セットのエンコードを設定する。 複数⾏イベントの⾏分割を設定する。 イベントのタイムスタンプを識別する (イベントにタイムスタンプが存在しない場合はタイムスタンプを割 り当てる)。 host、source、および sourcetype などの、役に⽴つ⼀連の標準フィールドを抽出する。 イベントをセグメントに分割する。 イベントに動的にメタデータを割り当てる (指定されている場合)。 データを匿名化する (指定されている場合)。 Splunk Enterprise のインデックス作成処理の概要については、『インデクサーとクラスタの管理』マニュアルの 「インデックスの概要」を参照してください。 ⽂字セットのエンコードの設定 Splunk Enterprise では、データソースの⽂字セットのエンコード を設定することができます。Splunk Enterprise には、Splunk デプロイ環境 の国際化をサポートするために、内蔵の⽂字セット規格が⽤意されてい ます。Splunk Enterprise は、さまざまな⾔語をサポートしています (UTF-8 エンコードを使⽤しない⼀部の⾔語 も含む)。 デフォルトでは、ソースに対して UTF-8 エンコードの適⽤が試みられます。ソースが UTF-8 エンコードを使⽤ していない場合、または⾮ ASCII ファイルの場合、props.conf に CHARSET キーを設定して使⽤する⽂字セットを指 定していない限り、Splunk Enterprise はソースからのデータの UTF-8 エンコードへの変換を試みます。 ⼤部分の *nix システムでは、iconv -l コマンドを使って有効な⽂字エンコード規格の⼀覧を取得することができ ます。Windows では iconv のポートを利⽤できます。 サポートする⽂字セット Splunk Enterprise は、以下のような⽂字セットを含め、多彩な⽂字セットをサポートしています。 UTF-8 UTF-16LE Latin-1 BIG5 SHIFT-JIS 完全な⼀覧については、このトピックの最後にある「サポートするすべての⽂字セットの⼀覧」を参照してくださ い。 ここでは、Splunk Enterprise がサポートしている主要な⽂字セットと対応する⾔語の⼀覧を記載しています。 ⾔語 コード 99 アラビア語 CP1256 アラビア語 ISO-8859-6 アルメニア語 ARMSCII-8 ベラルーシ語 CP1251 ブルガリア語 ISO-8859-5 チェコ語 ISO-8859-2 グルジア語 Georgian-Academy ギリシャ語 ISO-8859-7 ヘブライ語 ISO-8859-8 ⽇本語 EUC-JP ⽇本語 SHIFT-JIS 韓国語 EUC-KR ロシア語 CP1251 ロシア語 ISO-8859-5 ロシア語 KOI8-R スロバキア語 CP1250 スロベニア語 ISO-8859-2 タイ語 TIS-620 ウクライナ語 KOI8-U ベトナム語 VISCII ⽂字セットの⼿動指定 ⼊⼒に適⽤する⽂字セットを⼿動で指定するには、props.conf に CHARSET キーを設定します。 [spec] CHARSET=<string> たとえば、ギリシャ語のデータを⽣成しているホスト (この例では「GreekSource」) があり、そのホストが ISO8859-7 エンコードを使⽤している場合は、props.conf 内でそのホストに対して CHARSET=ISO-8859-7 を設定します。 [host::GreekSource] CHARSET=ISO-8859-7 注意: Splunk Enterprise は、UTF-8 マッピングのある⽂字エンコードのみをパーシングします。⼀部の EUCJP ⽂字セットには、UTF-8 エンコードへのマッピングがありません。 ⽂字セットの⾃動指定 Splunk Enterprise は、その洗練された⽂字セットエンコードアルゴリズムを使って、⾃動的に⾔語と適切な⽂字 セットを認識することができます。 特定の⼊⼒に対して⾃動的に適切な⾔語と⽂字セットを認識するには、props.conf 内でその⼊⼒に CHARSET=AUTO を 設定します。たとえば、ホスト「my-foreign-docs」の⽂字セットエンコードを⾃動的⻩に認識させる場合 は、props.conf 内でそのホストに CHARSET=AUTO を設定します。 [host::my-foreign-docs] CHARSET=AUTO Splunk が⽂字セットを認識しない場合 Splunk Enterprise が認識できない⽂字セットエンコードを使⽤する場合は、以下のパスにサンプルファイルを追 加して、⽂字セットの認識⽅法を学習させます。 $SPLUNK_HOME/etc/ngram-models/_<language>-<encoding>.txt ⽂字セット仕様ファイルを追加したら、Splunk Enterprise を再起動する必要があります。再起動後、新しい⽂字 セットを使⽤するソースを認識できるようになり、インデックス時にそれが⾃動的に UTF-8 に変換されます。 100 たとえば、「vulcan-ISO-12345」⽂字セットを使⽤する場合、仕様ファイルを以下のパスにコピーします。 /SPLUNK_HOME/etc/ngram-models/_vulcan-ISO-12345.txt サポートするすべての⽂字セットの⼀覧 前述の共通の⽂字セットは、CHARSET 属性がサポートする⽂字セットの⼩さなサブセットに過ぎません。 Splunk Enterprise がサポートしている⽂字セットやエイリアスのリストは膨⼤で、*nix の iconv ユーティリティ がサポートしているリストと同じです。ここでは、すべての⽂字セットのリストを記載します。また、括弧内はエ イリアスを表しています。 utf-8 (aka、CESU-8、ANSI_X3.4-1968、ANSI_X3.4-1986、ASCII、CP367、IBM367、ISO-IR-6、 ISO646-US ISO_646.IRV:1991、US、US-ASCII、CSASCII) utf-16le (aka、UCS-2LE, UNICODELITTLE) utf-16be (aka、ISO-10646-UCS-2、UCS-2、CSUNICODE、UCS-2BE、UNICODE-1-1、 UNICODEBIG、CSUNICODE11、UTF-16) utf-32le (aka、UCS-4LE) utf-32be (aka、ISO-10646-UCS-4、UCS-4、CSUCS4、UCS-4BE、UTF-32) utf-7 (aka、UNICODE-1-1-UTF-7、CSUNICODE11UTF7) c99 (aka、java) utf-ebcdic latin-1 (aka、CP819、IBM819、ISO-8859-1、ISO-IR-100、ISO_8859-1:1987、L1、CSISOLATIN1) latin-2 (aka、ISO-8859-2、ISO-IR-101、ISO_8859-2:1987、L2、CSISOLATIN2) latin-3 (aka、ISO-8859-3、ISO-IR-109、ISO_8859-3:1988、L3、CSISOLATIN3) latin-4 (aka、ISO-8859-4、ISO-IR-110、ISO_8859-4:1988、L4、CSISOLATIN4) latin-5 (aka、ISO-8859-9、ISO-IR-148、ISO_8859-9:1989、L5、CSISOLATIN5) latin-6 (aka、ISO-8859-10、ISO-IR-157、ISO_8859-10:1992、L6、CSISOLATIN6) latin-7 (aka、ISO-8859-13、ISO-IR-179、L7) latin-8 (aka、ISO-8859-14、ISO-CELTIC、ISO-IR-199、ISO_8859-14:1998、L8) latin-9 (aka、ISO-8859-15、ISO-IR-203、ISO_8859-15:1998) latin-10 (aka、ISO-8859-16、ISO-IR-226、ISO_8859-16:2001、L10、LATIN10) ISO-8859-5 (aka、CYRILLIC、ISO-IR-144、ISO_8859-5:198,8 CSISOLATINCYRILLIC) ISO-8859-6(aka、ARABIC、ASMO-708、ECMA-114、ISO-IR-127、ISO_8859-6:1987、 CSISOLATINARABIC、MACARABIC) ISO-8859-7 (aka、ECMA-118、ELOT_928、GREEK、GREEK8、ISO-IR-126、ISO_8859-7:1987、 ISO_8859-7:2003、CSISOLATINGREEK) ISO-8859-8 (aka、HEBREW、ISO-8859-8、ISO-IR-138、ISO8859-8、ISO_8859-8:1988、 CSISOLATINHEBREW) ISO-8859-11 roman-8 (aka、HP-ROMAN8、R8、CSHPROMAN8) KOI8-R (aka、CSKOI8R) KOI8-U KOI8-T GEORGIAN-ACADEMY GEORGIAN-PS ARMSCII-8 MACINTOSH (aka、MAC、MACROMAN、CSMACINTOSH) [注意:これらの MAC* ⽂字セットは MacOS 9 ⽤です。Mac OS X は Unicode を使⽤しています。] MACGREEK MACCYRILLIC MACUKRAINE MACCENTRALEUROPE MACTURKISH MACCROATIAN MACICELAND MACROMANIA MACHEBREW MACTHAI NEXTSTEP CP850 (aka、850、IBM850、CSPC850MULTILINGUAL) CP862 (aka、862、IBM862、CSPC862LATINHEBREW) CP866 (aka、866、IBM866、CSIBM866) CP874 (aka、WINDOWS-874) CP932 CP936 (aka、MS936、WINDOWS-936) CP949 (aka、UHC) CP950 CP1250 (aka、MS-EE、WINDOWS-1250) CP1251 (aka、MS-CYRL、WINDOWS-1251) CP1252 (aka、MS-ANSI、WINDOWS-1252) CP1253 (aka、MS-GREEK、WINDOWS-1253) CP1254 (aka、MS-TURK、WINDOWS-1254) CP1255 (aka、MS-HEBR、WINDOWS-1255) CP1256 (aka、MS-ARAB、WINDOWS-1256) CP1257 (aka、WINBALTRIM、WINDOWS-1257) CP1258 (aka、WINDOWS-1258) CP1361 (aka、JOHAB) BIG-5 (aka、BIG-FIVE、CN-BIG5、CSBIG5) BIG5-HKSCS(aka、BIG5-HKSCS:2001) CN-GB (aka、EUC-CN、EUCCN、GB2312、CSGB2312) EUC-JP (aka、EXTENDED_UNIX_CODE_PACKED_FORMAT_FOR_JAPANESE、 CSEUCPKDFMTJAPANESE) EUC-KR (aka、CSEUCKR) 101 EUC-TW (aka、CSEUCTW) GB18030 GBK GB_1988-80 (aka、ISO-IR-57、ISO646-CN、CSISO57GB1988、CN) HZ (aka、HZ-GB-2312) GB_2312-80 (aka、CHINESE, ISO-IR-58、CSISO58GB231280) SHIFT-JIS (aka、MS_KANJI、SJIS, CSSHIFTJIS) ISO-IR-87 (aka、JIS0208 JIS_C6226-1983、JIS_X0208 JIS_X0208-1983、JIS_X0208-1990、 X0208、CSISO87JISX0208、ISO-IR-159、JIS_X0212、JIS_X0212-1990、JIS_X0212.1990-0、 X0212、CSISO159JISX02121990) ISO-IR-14 (aka、ISO646-JP、JIS_C6220-1969-RO、JP、CSISO14JISC6220RO) JISX0201-1976 (aka、JIS_X0201、X0201、CSHALFWIDTHKATAKANA) ISO-IR-149 (aka、KOREAN、KSC_5601、KS_C_5601-1987、KS_C_5601-1989、CSKSC56011987) VISCII (aka、VISCII1.1-1、CSVISCII) ISO-IR-166 (aka、TIS-620、TIS620-0、TIS620.2529-1、TIS620.2533-0、TIS620.2533-1) 注意: Splunk Enterprise は、CHARSET の照合時に句読点と⼤⽂字⼩⽂字の区別を無視します。たとえば、 「utf-8」、「UTF-8」、および「utf8」はすべて同⼀とみなされます。 イベント改⾏の設定 イベントの中には複数の⾏から構成されているものもあります。デフォルトで Splunk Enterprise は、⼤部分の 複数⾏イベントを正確に処理できます。正しく処理されない複数⾏イベントがある場合は、ソフトウェアの⾏分割 動作を変更するように設定する必要があります。 Splunk Enterprise がイベント境界を判別する仕組み Splunk Enterprise は 2 つのステップで、イベント境界を判別しています。 1. 改⾏、LINE_BREAKER 属性の正規表現値を使って、受信ストリームのバイトを個別の⾏に分割します。デフォルト で、LINE_BREAKER は任意の改⾏または復帰改⾏ (([\r\n]+)) になります。 2. ⾏の結合、SHOULD_LINEMERGE 属性が真 (True) (デフォルト) の場合にのみ⾏われます。このステップは、他のすべ ての⾏結合設定 (例:BREAK_ONLY_BEFORE, BREAK_ONLY_BEFORE_DATE, MUST_BREAK_AFTER, など) を使って、以前に分割した ⾏を結合してイベントを作成します。 2 番⽬のステップが実⾏されない場合 (SHOULD_LINEMERGE に偽 (False) を設定した場合)、イベントは単純に LINE_BREAKER により決定される、個別の⾏になります。最初のステップは⽐較的効率的に⾏われますが、2 番⽬の ステップの処理には⽐較的時間がかかります。LINE_BREAKER 正規表現を熟知していれば、最初のステップだけ実施 して、2 番⽬のステップを⾶ばしても、⼗分に⽬的の結果を得られることがあります。データの⼤部分が複数⾏イ ベントである場合などに、この⽅法が特に役⽴ちます。 イベント境界の設定⽅法 多くのログは厳密に 1 ⾏に 1 つのイベントの形式を採⽤していますが、そうではないログも存在しています。⼀ 般的には、Splunk Enterprise が⾃動的にイベント境界を認識することができます。イベント境界の認識が正しく ⾏われない場合には、props.conf にカスタムルールを設定することができます。 複数⾏イベントを設定するには、まずイベントの形式を調査します。イベントの開始または終了を設定するため に、イベント内のパターンを判断します。次に $SPLUNK_HOME/etc/system/local/props.conf を編集して、データを設 定するために必要な属性を指定します。 複数⾏イベントを処理するには、2 種類の⽅法があります。 データストリームを⾏に分割し、それをイベントに再構築する。⼀般的にこの⽅法は、複数の属性を使って ⾏結合ルールを定義できるため、設定プロセスが簡単になります。データを複数の⾏に分割するに は、LINE_BREAKER 属性を使⽤します。それと⼀緒に、SHOULD_LINEMERGE=true を設定し、また⾏結合属性 (BREAK_ONLY_BEFORE など) を設定して、⾏を再構築してイベントを作成する⽅法を Splunk に指⽰します。 データがデフォルトの LINE_BREAKER 設定 (任意の数の改⾏と復帰改⾏) に正しく準拠している場合 は、LINE_BREAKER を変更する必要はありません。単純に SHOULD_LINEMERGE=true を設定して、再構築するための ⾏結合属性を使⽤します。 LINE_BREAKER 機能を使って、データストリームを直接イベントに分割する。この⽅法はインデックス作成速 度が向上する可能性がありますが、作業はある程度複雑で困難になります。インデックス作成に時間がかか り、⼤量のデータが複数⾏イベントから成り⽴っている場合は、この⽅法でパフォーマンスを⼤幅に改善す ることができます。LINE_BREAKER 属性と SHOULD_LINEMERGE=false を使⽤します。 これらの属性については後述します。 ⾏分割の⼀般属性 ⾏分割に影響する 属性 TRUNCATE = <nonnegative integer> props.conf 属性を以下に⽰します。 説明 デフォルト デフォルトの最⼤⾏⻑ (バイト) を変更します。この 属性の単位はバイトですが、複数バイト⽂字のために ⽂字の途中で終了する場合、⾏の⻑さが丸められるこ とに注意してください。 切り詰めを⾏わない場合は 0 を設定します (た 102 10000 バイト だし、⾮常に⻑い⾏はしばしば無効なデータの 兆候でもあります)。 LINE_BREAKER = <regular expression> * ⾏の結合処理 (後述の SHOULD_LINEMERGE 属性が指定さ れている場合) を⾏う前の、raw テキストを初期イベ ントに分割する⽅法を決定する正規表現を指定しま す。 正規表現には、捕捉グループ (⼀致項⽬の識別さ れたサブコンポーネントを定義する括弧のペア) を含める必要があります。 正規表現に⼀致する場合、Splunk Enterprise は最初の捕捉グループの開始点を前のイベント の終了点とみなし、最初の捕捉グループの終了 点を次のイベントの開始点とみなします。 最初の捕捉グループの内容は破棄されます。こ の内容は、どのイベントにも存在しません。こ れは、Splunk にそのテキストが⾏間に存在して いることを知らせるものです。 注意: LINE_BREAKER を使って複数⾏イベントを分 割した場合 (SHOULD_LINEMERGE を使って個別の⾏ を複数⾏イベントに再構築しない)、処理速度が ⼤幅に向上することを実感できると思います。 データの⼤部分が複数⾏イベントである場合な どに、この⽅法の使⽤を検討してください。 LINE_BREAKER と分岐式の使⽤⽅法の詳細は、 props.conf 仕様ファイルを参照してください。 LINE_BREAKER_LOOKBEHIND = <integer> SHOULD_LINEMERGE = [true|false] (この場合、任意の数 の復帰改⾏ (\r) または改⾏ (\n) ⽂字で区切られている各⾏が、 それぞれ 1 つのイベントに分割 されます。) ([\r\n]+) * 前の raw データチャンクからの残りデータがある場 合、Splunk が LINE_BREAKER 正規表現を適⽤する raw データチャンクの終了 (次のチャンクを連結した状態 で) までの⽂字数を LINE_BREAKER_LOOKBEHIND に指定し ます。特に巨⼤なイベントや複数⾏イベントを処理す る場合に、この値をデフォルト値よりも増やした⽅が 良い場合があります。 100 ⽂字 * 真 (True) を設定すると、Splunk Enterprise は複数 の⼊⼒⾏を単⼀のイベントにまとめ、次のセクション で説明している属性に基づいて設定を⾏います。 true SHOULD_LINEMERGE に真 (True) を設定した場合にのみ適⽤される属性 SHOULD_LINEMERGE=true (デフォルト) の場合、これらの属性を使って⾏分割動作を定義します。 属性 BREAK_ONLY_BEFORE_DATE = [true|false] BREAK_ONLY_BEFORE = <regular expression> MUST_BREAK_AFTER = <regular expression> 説明 デフォルト 真 (True) を設定すると、⽇付のある改⾏に遭遇した場 true 合にのみ新しいイベントが作成されます。 注意: DATETIME_CONFIG に CURRENT または NONE を設定 した場合、Splunk はタイ ムスタンプを識別しない ため、この属性は意味を 持たなくなります。 真 (True) を設定すると、正規表現に⼀致する改⾏に遭 空⽂字列 遇した場合にのみ新しいイベントが作成されます。 設定した場合に、現在の⾏と正規表現が⼀致すると、 次の⼊⼒⾏⽤の新しいイベントが常に作成されます。 空⽂字列 他のルールと⼀致した場合、現在の⾏の前で分割 されることもあります。 設定した場合に、現在の⾏が正規表現と⼀致すると、 以降の⾏は MUST_BREAK_AFTER 式に⼀致するまでの間分 割されません。 空⽂字列 <regular expression> MUST_NOT_BREAK_BEFORE 設定した場合に、現在の⾏が正規表現に⼀致すると、 現在の⾏の前の最後のイベントは分割されません。 空⽂字列 任意のイベントに追加する⼊⼒⾏数の最⼤値を指定し ます。 256 ⾏ MUST_NOT_BREAK_AFTER = = <regular expression> MAX_EVENTS = <integer> 指定した⾏数を読み込んだ後に分割されます。 例 103 イベント分割の指定 [my_custom_sourcetype] BREAK_ONLY_BEFORE = ^\d+\s*$ 数字のみで構成されている⾏を新しいイベントの開始として、イベントを分割する例を以下に⽰します。ソースタ イプが my_custom_sourcetype の任意のデータに対して処理を⾏います。 複数⾏を単⼀のイベントに結合 以下のログイベントには、同じリクエストの⼀部となる複数の⾏が含まれています。各リクエスト間の違いはパス (Path) です。この例では、これらのすべての⾏を単⼀のイベントエントリとして表⽰する必要があることを前提 にしています。 {{"2006-09-21, 02:57:11.58", 122, 11, "Path=/LoginUser Query=CrmId=ClientABC&ContentItemId=TotalAccess&SessionId=3A1785URH117BEA&Ticket=646A1DA4STF896EE&SessionTime=25368&ReturnUrl=http://www.client Method=GET, IP=209.51.249.195, Content=", ""}} {{"2006-09-21, 02:57:11.60", 122, 15, "UserData:<User CrmId="clientabc" UserId="p12345678"><EntitlementList></EntitlementList></User>", ""}} {{"2006-09-21, 02:57:11.60", 122, 15, "New Cookie: SessionId=3A1785URH117BEA&Ticket=646A1DA4STF896EE&CrmId=clientabc&UserId=p12345678&AccountId=&AgentHost=man&AgentId=man, MANUser: Version=1&Name=&Debit=&Credit=&AccessTime=&BillDay=&Status=&Language=&Country=&Email=&EmailNotify=&Pin=&PinPayment=&PinAmount=&PinPG=&PinPGRate ""}} この複数⾏イベントのインデックスを正しく作成するには、設定に Path を使⽤しま す。$SPLUNK_HOME/etc/system/local/props.conf に以下の項⽬を追加します。 [source::source-to-break] SHOULD_LINEMERGE = True BREAK_ONLY_BEFORE = Path= このコードは、イベントの各⾏を結合して、⽤語 Path= の前でのみ分割することを表しています。 複数⾏イベントの⾏分割とセグメント分割の制限事項 極端に⼤きなイベントには、⾏分割とセグメント分割制限が適⽤されます。 10,000 バイトを超える⾏: Splunk Enterprise は、10,000 バイトを超える⾏のインデックスを作成する 場合、それぞれが 10,000 バイトの複数⾏に分割します。切り詰められた各セクションの最後に は、meta::truncated フィールドが追加されます。ただし、Splunk Enterprise は引き続きこれらの⾏を単⼀ のイベントにグループ化します。 100,000 バイトを超えるイベントのセグメント分割: サーチ結果には、イベントの最初の 100,000 バ イトしか表⽰されません。ただし、⾮常に⻑い⾏の最初の 100,000 バイト以降のセグメントを、サーチす ることは可能です。 1,000 セグメントを超えるイベントのセグメント分割: サーチ結果では、イベントの最初の 1,000 件の セグメントが、セグメントとして空⽩⽂字で区切られて表⽰されます。マウスカーソルをセグメントの上に 移動すると、強調表⽰されます。イベントの残りの部分は raw テキストとして表⽰され、対話形式の書式は 設定されません。 Answers 何か質問がありますか?「Splunk Answers」では、Splunk コミュニティに寄せられた、⾏分割に関する質問と 回答をご覧いただけます。 イベントのタイムスタンプの設定 このトピックは、Splunk Enterprise でのタイムスタンプの設定⽅法について説明しています。 次のサンプルイベントを調査します。 172.26.34.223 - - [01/Jul/2005:12:05:27 -0700] "GET /trade/app?action=logout HTTP/1.1" 200 2953 イベント内の時間情報に注⽬してください:[01/Jul/2005:12:05:27 -0700]。これが、タイムスタンプ になります。 Splunk Enterprise はタイムスタンプを使って、時間別にイベントを相関させ、Splunk Web でのヒストグラムの 作成やサーチの時間範囲の設定を⾏います。⼤部分のイベントにはタイムスタンプが含まれています。イベントに タイムスタンプ情報が含まれていない場合は、インデックス時のタイムスタンプ値がイベントに割り当てられま す。 たいていの場合、タイムスタンプの処理は正しく⾏われますが、状況によってはタイムスタンプの処理⽅法を設定 しなければならないこともあります。たとえば、⼀部のソースを利⽤している、または分散デプロイ環境を運⽤し ている場合、タイムスタンプの認識とフォーマットを再設定しなければならないことがあります。 タイムスタンプの詳細は、このマニュアルの「タイムスタンプの設定」を参照してください。 104 インデックス作成フィールド抽出の設定 Splunk がインデックス時に抽出できるフィールドは 3 種類あります。 デフォルトフィールド カスタムフィールド ファイルヘッダーフィールド Splunk Enterprise は各イベントに対して、常に⼀連のデフォルトフィールドを抽出しています。カスタムフィー ルド、またデータによってはファイルヘッダーフィールドを抽出するように設定することも可能です。 インデックス作成フィールドの抽出の詳細は、このマニュアルの「インデックス作成フィールドの抽出」を参照し てください。 データの匿名化 このトピックは、Splunk Enterprise に取り込まれる、クレジットカード番号や社会保障番号などのデータの匿名 化について説明しています。 ログイベントのインデックス作成時に、個⼈の機密情報を隠したい場合もあります。クレジットカード番号や社会 保障番号などは、インデックスに表⽰させたくないデータです。このトピックでは、プライバシーを保護するため に機密情報フィールドの⼀部をマスクしながら、残りのデータでイベントを追跡できるようにする⽅法を説明して います。 Splunk Enterprise では、2 種類の⽅法でデータを匿名化することができます。 正規表現変換を使⽤する ストリームエディタ処理 (sed) スクリプトを使⽤する 正規表現変換を使ったデータの匿名化 transforms.conf で正規表現を利⽤して、データをマスクすることができます。 この例では、アプリケーションサーバーログの いて残りの⽂字をマスクします。 SessionId および Ticket number フィールドの、最後の 4 ⽂字を除 ⽬的の出⼒は以下のようになります。 SessionId=###########7BEA&Ticket=############96EE ⼊⼒のサンプルは以下のようになります。 "2006-09-21, 02:57:11.58", 122, 11, "Path=/LoginUser Query=CrmId=ClientABC& ContentItemId=TotalAccess&SessionId=3A1785URH117BEA&Ticket=646A1DA4STF896EE& SessionTime=25368&ReturnUrl=http://www.clientabc.com, Method=GET,IP=209.51.249.195, Content=", "" "2006-09-21, 02:57:11.60", 122, 15, "UserData:<User CrmId="clientabc" UserId="p12345678"><EntitlementList></EntitlementList></User>", "" "2006-09-21, 02:57:11.60", 122, 15, "New Cookie: SessionId=3A1785URH117BEA& Ticket=646A1DA4STF896EE&CrmId=clientabcUserId=p12345678&AccountId=&AgentHost=man& AgentId=man, MANUser: Version=1&Name=&Debit=&Credit=&AccessTime=&BillDay=&Status= &Language=&Country=&Email=&EmailNotify=&Pin=&PinPayment=&PinAmount=&PinPG= &PinPGRate=&PinMenu=&", "" データをマスクするには、$SPLUNK_HOME/etc/system/local/ ディレクトリ内の イルを変更します。 props.conf および transforms.conf ファ props.conf の設定 $SPLUNK_HOME/etc/system/local/props.conf を編集して、以下のスタンザを追加します。 [<spec>] TRANSFORMS-anonymize = session-anonymizer, ticket-anonymizer 以下の事項に注意してください。 <spec> には、以下のいずれかを使⽤する必要があります。 <sourcetype>、イベントのソースタイプ。 host::<host>、ここで <host> はイベントのホストを表します。 はイベントのソースを表します。 および ticket-anonymizer は任意の TRANSFORMS クラス名で、そのアクショ ファイル内のスタンザに定義されています。transforms.conf 内に作成したクラ source::<source>、ここで <source> この例で、session-anonymizer ンは対応する transforms.conf ス名を使⽤してください。 transforms.conf の設定 105 $SPLUNK_HOME/etc/system/local/transforms.conf に、適切な TRANSFORMS を追加します。 [session-anonymizer] REGEX = (?m)^(.*)SessionId=\w+(\w{4}[&"].*)$ FORMAT = $1SessionId=########$2 DEST_KEY = _raw [ticket-anonymizer] REGEX = (?m)^(.*)Ticket=\w+(\w{4}&.*)$ FORMAT = $1Ticket=########$2 DEST_KEY = _raw 以下の事項に注意してください。 REGEX には、イベント内の匿名化する⽂字列を指す正規表現を指定する必要があります。 注意: 正規表現プロセッサは、複数⾏イベントを処理しません。この問題に対処するためには、イベントが複数 ⾏であることを指定する必要があります。transforms.conf 内の正規表現の前に、(?m) を設定してください。 は、マスク値を⽰します。$1は正規表現までのすべてのテキスト、$2 は正規表現後のすべてのテキス トです。 FORMAT DEST_KEY = _raw は、FORMAT からの値をログ内の raw 値に書き込んでイベントを変更することを⽰していま す。 sed スクリプトを使ったデータの匿名化 sed スクリプトを使ってイベント内の⽂字列を置換/代替することで、データを匿名化することもできます。 UNIX ユーザーの⽅ならば、おそらく UNIX ユーティリティ sed をご存じかと思います。このユーティリティ は、ファイルを読み込んで、指定されている⼀連のコマンドに従って⼊⼒を変更します。Splunk Enterprise で は、props.conf 内で sed 類似の構⽂を使って、データを匿名化することができます。 props.conf への sed スクリプトの定義 $SPLUNK_HOME/etc/system/local sed script 内に props.conf のコピーを作成または編集します。 を指定するには、SEDCMD を使⽤するスタンザを props.conf に作成します。 [<spec>] SEDCMD-<class> = <sed script> 以下の事項に注意してください。 <spec> には、以下のいずれかを使⽤する必要があります。 <sourcetype>、イベントのソースタイプ。 host::<host>、ここで <host> はイベントのホストを表します。 はイベントのソースを表します。 source::<source>、ここで <source> は、インデックス時に _raw フィールドにのみ適⽤されます。現在 Splunk Enterprise は、以下の コマンドのサブセットをサポートしています。 置換 (s) ⽂字代替 (y) sed script sed 注意: props.conf を変更したら、変更内容を反映するために Splunk Enterprise を再起動してください。 正規表現照合による⽂字列の置換 sed 置換の構⽂を以下に⽰します。 SEDCMD-<class> = s/<regex>/<replacement>/flags 以下の事項に注意してください。 は、PERL 正規表現です。 は、正規表現に⼀致した項⽬と置換する⽂字列です。「\n」は逆参照を⽰しており、n は単⼀の 数字です。 flags に「g」を指定すると、すべての⼀致項⽬が置換されます。また、数字を指定すると、指定された⼀致 項⽬が置換されます。 regex replacement 例 以下の例では、社会保障番号とクレジットカード番号を含むデータのインデックスを作成します。インデックス時 に、イベント内でこれらの値は最後の 4 桁のみを表⽰し、残りはマスクします。props.conf スタンザは以下のよう 106 になります。 [source::.../accounts.log] SEDCMD-accounts = s/ssn=\d{5}(\d{4})/ssn=xxxxx\1/g s/cc=(\d{4}-){3}(\d{4})/cc=xxxx-xxxx-xxxx-\2/g これで、イベント内で社会保障番号は ⽰されるようになります。 ssn=xxxxx6789、クレジットカード番号は cc=xxxx-xxxx-xxxx-1234 のように表 ⽂字の代替 sed ⽂字代替の構⽂を以下に⽰します。 SEDCMD-<class> = y/<string1>/<string2>/ これにより、string1 内の各⽂字が、string2 内の⽂字で代⽤されます。 例 インデックスを作成するファイル abc.log があり、イベント内では⼩⽂字の「a」、「b」、「c」の代わりに、⼤ ⽂字の「A」、「B」、および「C」を使⽤したい場合を考えてみましょう。props.conf に以下の項⽬を追加しま す。 [source::.../abc.log] SEDCMD-abc = y/abc/ABC/ これで、source="*/abc.log" でサーチしても、データ内に⼩⽂字の「a」、「b」、「c」は⾒つからないはずです。 Splunk Enterprise により、各「a」が「A」に、「b」が「B」に、「c」が「C」に代替されています。 タイムスタンプの設定 タイムスタンプ割り当ての仕組み Splunk Enterprise でタイムスタンプ は⾮常に重要な役割を果たします。Splunk Enterprise はタイムスタンプ を使って、時間別にイベント を相関させ、Splunk Web でのタイムラインヒストグラムの作成やサーチの時間範 囲の設定を⾏います。 イベントへのタイムスタンプの割り当ては、インデックス時 に⾏われます。通常タイムスタンプ値は、raw イベ ントデータ内の情報を使って⾃動的に割り当てられます。イベントに明⽰的なタイムスタンプがない場合は、他の ⼿段でのタイムスタンプ値の割り当てが試みられます。⼀部のデータでは、タイムスタンプの認識⽅法を設定しな ければならないこともあります。 Splunk Enterprise はタイムスタンプ値を _time フィールドに 保管します (UTC 形式)。 タイムスタンプ処理は、イベント処理 時の主要ステップの 1 つです。イベント処理の詳細は、このマニュアルの 「イベント処理の設定」を参照してください。 Splunk Enterprise によるタイムスタンプの割り当て⽅法 Splunk Enterprise は、以下の優先ルールを使って、イベントにタイムスタンプを割り当てます。 1. TIME_FORMATが明⽰的に指定されている場合は、それを使ってイベントの⽇時を探します。props.conf に TIME_FORMAT 属性を設定します。 2. データに TIME_FORMAT が設定されていない場合は、Splunk Enterprise がイベントのタイムスタンプを判別しよ うと試みます。イベントのソースタイプ (TIME_FORMAT 情報が含まれている) を使ってタイムスタンプを探します。 3. イベントに時間または⽇付がない場合は、同じソースからの直前のイベントを使⽤します。 4. ソース内のイベントに⽇付がない場合は、ソース名またはファイル名から⽇付を探します。ファイル名で時刻は 識別されません。(この場合、イベントには⽇付がなくとも、時刻が存在している必要があります。) 5. ファイルソースの場合、ファイル名から⽇付を特定できなかった場合、そのファイルの変更時刻を使⽤します。 6. 最後の⼿段として、各イベントのインデックス作成時に、現在のシステム時刻をタイムスタンプとして設定しま す。 注意: Splunk Enterprise はソースから⽇付のみを抽出できます。時間は抽出できません。ソースから時刻を抽 出する必要がある場合は、transform を使⽤します。 タイムスタンプの設定 ⼤部分のイベントでは、特別なタイムスタンプ処理を⾏う必要はありません。Splunk Enterprise が⾃動的にタイ ムスタンプを認識して抽出します。ただし、⼀部のソースや分散デプロイ環境では、タイムスタンプが適切に フォーマットされるように、タイムスタンプの抽出⽅法を設定しなければならないことがあります。 107 タイムスタンプ抽出を設定するには、2 種類の⽅法があります。 サンプル・データのタイムスタンプを対話的に調整するには、Splunk Web の [ソースタイプの設定] ページ を使⽤します。満⾜できる結果が得られたら、変更内容を新しいソースタイプに保存して、そのソースタイ プをデータ⼊⼒に適⽤します。「[ソースタイプの設定] ページ」を参照してください。 props.conf を直接編集する。詳細は、「タイムスタンプ認識の設定」を参照してください。 以下の⽬的で、タイムスタンプ抽出プロセッサを設定することも可能です。 タイムゾーンオフセットを適⽤する。 複数のタイムスタンプを使ってイベントから正確なタイムスタンプを取得する。 インデックス作成パフォーマンスを向上する。 新しい⼊⼒からデータを追加する場合の注意事項 新しい⼊⼒からのデータのインデックスを作成した後に、タイムスタンプの抽出処理を調整する必要があることに 気が付いた場合は、設定を変更した後に、データのインデックスを再作成する必要があります。そのため、「デー タのプレビュー」で説明しているように、データのプレビューを⾏うことをお勧めします。 または、新しいデータ⼊⼒をテスト⽤ Splunk Enterprise インスタンスで (または実働環境 Splunk インスタンス の別のインデックスを使⽤して) テストしてから、実働環境のインスタンスにデータを追加します。そうすること で、何か調整が必要な場合でも、データを⼿軽に削除してから、インデックスを再作成して、⽬的の結果が得られ るまで調整を⾏うことができます。 タイムスタンプ認識の設定 ⼤部分のイベントでは、特別なタイムスタンプ処理を⾏う必要はありません。Splunk Enterprise が⾃動的にタイ ムスタンプを認識して抽出します。ただし、⼀部のソースや分散デプロイ環境では、タイムスタンプが適切に フォーマットされるように、タイムスタンプの抽出⽅法を設定しなければならないことがあります。 タイムスタンプ抽出を設定するには、2 種類の⽅法があります。 サンプル・データのタイムスタンプを対話的に調整するには、Splunk Web の [ソースタイプの設定] ページ を使⽤します。満⾜できる結果が得られたら、変更内容を新しいソースタイプに保存して、そのソースタイ プをデータ⼊⼒に適⽤します。「[ソースタイプの設定] ページ」を参照してください。 props.conf を直接編集する。タイムスタンプ抽出のための、props.conf の編集⽅法については、このまま読 み進めてください。 タイムスタンププロセッサ Splunk Enterprise のタイムスタンププロセッサは、デフォルトでは $SPLUNK_HOME/etc/datetime.xml に存在してい ます。例外的な独⾃のタイムスタンプを処理するのではない限り、通常このファイルを編集する必要はありませ ん。何らかの⽅法でタイムスタンプ認識⽅法を設定する必要がある場合は、通常は後述のように props.conf のタイ ムスタンプ属性設定を変更することで問題を解決できます。 の設定では対処できない独⾃のタイムスタンプがある場合は、DATETIME_CONFIG 属性を使って、独⾃のタ イムスタンププロセッサで代⽤することができます (次のセクションを参照)。この属性には、Splunk Enterprise がタイムスタンプ処理に使⽤するファイルを指定します。 props.conf props.conf でのタイムスタンププロパティの編集 タイムスタンプの認識⽅法を設定するには、props.conf を編修します。タイムスタンプに関連するさまざまな属 性が存在しています。特に、TIME_FORMAT 属性を使ってタイムスタンプの strptime() フォーマットを指定すること で、Splunk Enterprise によるタイムスタンプの認識⽅法を決定することができます。また、その他のタイムスタ ンプ関連属性を設定することもできます。たとえば、イベント内のタイムスタンプの位置、使⽤するタイムゾー ン、さまざまな単位のタイムスタンプの処理⽅法などを指定することができます。 内、または $SPLUNK_HOME/etc/apps/ の独⾃のカスタムアプリケーションディレクトリ 内にある、props.conf ファイルを編集します。設定ファイルの⼀般情報については、『管理マニュアル』の「設定 ファイルについて」を参照してください。 $SPLUNK_HOME/etc/system/local/ タイムスタンプ認識を設定するには、props.conf 内の 1 つまたは複数のタイムスタンプ属性を設定します。これら の属性およびその他の属性の詳細は、props.conf 仕様ファイルを参照してください。 構⽂の概要 タイムスタンプ属性の構⽂の概要を以下に⽰します。 [<spec>] DATETIME_CONFIG = <filename relative to $SPLUNK_HOME> TIME_PREFIX = <regular expression> MAX_TIMESTAMP_LOOKAHEAD = <integer> TIME_FORMAT = <strptime-style format> TZ = <posix time zone string> MAX_DAYS_AGO = <integer> MAX_DAYS_HENCE = <integer> 108 MAX_DIFF_SECS_AGO = <integer> MAX_DIFF_SECS_HENCE = <integer> この構⽂で、<spec> には以下のものを使⽤できます。 <sourcetype>、イベントのソースタイプ。 host::<host>、ここで <host> source::<source>、<source> はイベントのホストを表します。 はイベントのソース値を表します。 イベントに <spec> の値と⼀致するデータが含まれている場合、スタンザに定義されているタイムスタンプルール がそのイベントに適⽤されます。異なる <spec> 値に対処するために、複数のスタンザを設定することができま す。 タイムスタンプ属性 props.conf に設定できるタイムスタンプ属性を以下に⽰します。 属性 説明 DATETIME_CONFIG = <filename Splunk Enterprise のタイムスタンププロセッサの 設定に使⽤するファイルを指定します。 relative to $SPLUNK_HOME> デフォルト $SPLUNK_HOME/etc/datetime.xml 標準環境下では、独⾃のタイムスタンププロ セッサファイルを作成したり、デフォルトの datetime.xml ファイルを修正したりする必要 はありません。⼀般的には、このトピックに 記述されている他の props.conf 属性を使っ て、ご⾃分のニーズを満たすように、Splunk Enterprise のタイムスタンプ認識機能を調整 することができます。ただし、データに独⾃ のタイムスタンプ形式が存在している場合 は、このファイルに代わる独⾃のファイルを 作成して、それで機能を代⽤しなければなら ないこともあります。 タイムスタンププロセッサの実⾏を防⽌する 場合は、DATETIME_CONFIG = NONE を設定しま す。タイムスタンプ処理をオフにすると、イ ベント内のタイムスタンプ・テキストが調査 されることはありません。代わりにイベント の「受信時刻」が使⽤されます (⼊⼒からイ ベントを受信した時刻)。ファイルベースの⼊ ⼒の場合、イベントのタイムスタンプは、⼊ ⼒ファイルの変更時刻から取得されます。 DATETIME_CONFIG = CURRENT を設定すると、イン デックス作成時に現在のシステム時刻が各イ ベントに割り当てられます。 注意: CURRENT と NONE の両⽅が、明⽰的にタ イムスタンプの識別を無効にします。そのた め、デフォルトのイベント境界検出 (BREAK_ONLY_BEFORE_DATE = true) は、⽬的通り には機能しません。これらの設定を使⽤する 場合は、SHOULD_LINEMERGE や BREAK_ONLY_* , MUST_BREAK_* 設定を使ってイベントの結合を 管理します。 TIME_PREFIX = <regular expression> 設定した場合、Splunk Enterprise はタイムスタン 空⽂字列 プの抽出を試みる前に、この正規表現と⼀致する イベントテキスト内の項⽬を探します。タイムス タンプアルゴリズムは、最初の正規表現⼀致項⽬ の最後に続くイベントテキスト内のみで、タイム スタンプを探します。 イベントのタイムスタンプの直前を正確に指 ⽰する正規表現を使⽤する必要があります。 たとえば、フレーズ「abc123」に続いてタイ ムスタンプが登場する場合、TIME_PREFIX には abc123 を設定する必要があります。 イベントテキスト内に TIME_PREFIX が⾒つか らなかった場合、タイムスタンプの抽出は⾏ われません。 MAX_TIMESTAMP_LOOKAHEAD = <integer> Splunk Enterprise がイベント内でタイムスタンプ 150 ⽂字 をどこまで探すのかを、⽂字数で指定します。 これらの制約は、TIME_PREFIX が⽰す位置 から適⽤されます。 たとえば、TIME_PREFIX の位置がイ ベント内の 11 ⽂字⽬で、 MAX_TIMESTAMP_LOOKAHEAD に 109 10 が設定されている場合、タイムスタ ンプ抽出は、11〜20 ⽂字に制限されま す。 0 または-1 を設定した場合、タイムスタンプ 認識の⻑さ制約は事実上無効になります。こ のことは、⼊⼒⾏の⻑さ (またはイベント分 割⽤に LINE_BREAKER が再定義された時 のイベントサイズ) に応じて負の影響が出る 可能性があります。 TIME_FORMAT = <strptimestyle format> タイムスタンプを抽出するための、strptime() フォーマット⽂字列を指定します。 空⽂字列 は、時間フォーマットを指定する ための UNIX 標準規格です。詳細は、後述す る「拡張 strptime() サポート」を参照してく ださい。 TIME_FORMAT は、TIME_PREFIX の後 (TIME_PREFIX 属性が指定されていない場合はイベントの開 始点) から読み込みを開始しま す。TIME_PREFIX を使⽤する場合、タイムスタ ンプの開始点前の⽂字列と⼀致し、それらの ⽂字が含まれるように指定する必要がありま す。TIME_PREFIX を設定せずに TIME_FORMAT を 設定する場合、タイムスタンプは各イベント の開始点に登場する必要があります。そうし ないと、設定されているフォーマットに従っ て処理することができないため、各イベント には警告が含まれ、strptime を使⽤すること はできません。(それでも、Splunk が問題に どのように対処するのかによっては、有効な タイムスタンプが得られる可能性がありま す。) 最良の結果を得るために、<strptime-style format> には年の⽇付、および⽇の時刻を記述 する必要があります。 <strptime-style format> に時間コンポーネント が含まれているけれども、分コンポーネント が含まれていない場合、TIME_FORMAT は 時間コンポーネントを無視します。フォー マットは例外として取り扱われ、精度は⽇付 のみとみなされます。 strptime() TZ = <time zone identifier> * Splunk Enterprise は以下のように、特定のイベ ントのタイムゾーンを判断します。 空⽂字列 イベントの raw テキストにタイムゾー ンがある場合は (UTC や -08:00 など)、 それが使⽤されます。 そうでない場合は、TZ に有効なタイム ゾーン⽂字列が設定されていれば、そ れが使⽤されます。zoneinfo TZ デー タベースからの値を使って、タイム ゾーン設定を指定します。 インデクサーに到着したイベントの起 源がフォワーダーで、インデクサーと フォワーダーの両⽅で Splunk Enterprise 6.0 以降が動作している場 合は、フォワーダーのタイムゾーンを 使⽤します。 それ以外の場合は、splunkd が動作して いるシステムのタイムゾーンを使⽤し ます。 詳細と例については、このマニュアルの「タ イムスタンプのタイムゾーンの指定」を参照 してください。 TZ_ALIAS = <key=value>[,<key=value>]... * イベントから抽出されたタイムゾーン⽂字列の解 未設定 釈⽅法に対して、管理者レベルの制御を提供しま す。たとえば、EST は⽶国の東部標準時 (Eastern Standard Time) または豪州の東部標準時 (Eastern Standard Time) と解釈することができ ます。その他にも、複数のタイムゾーンに解釈で きる、3 ⽂字のタイムゾーン省略形が存在していま す。 これらの値に対する従来の Splunk デフォル トマッピングが期待通りに機能する場 合、TZ_ALIAS の使⽤に関する要件はありませ ん。たとえば、デフォルトで EST は⽶国東 部標準時にマップされます。 110 の値には効果がありません。TIME_FORMAT に 設定されている、またはパターンベースの推 測フォールバックからの、イベントテキスト 内のタイムゾーン⽂字列にのみ影響します。 この設定は key=value ペアをカンマで区切っ たリストです。 このキーは、イベントのタイムゾーン指定⼦ のテキストに対して照合され、値はタイムス タンプを UTC/GMT にマッピングする際に 使⽤するタイムゾーン指定⼦になります。 値は、必要なオフセットを表す他の TZ 指定 ⼦です。 例:TZ_ALIAS = EST=GMT+10:00(その他の例につ いては、「設定ファイルリファレンス」の props.conf サンプルファイルを参照してくだ さい)。 TZ MAX_DAYS_AGO = <integer> * 抽出した⽇付が有効になる、現在の⽇付から過去 への最⼤⽇数を指定します。 2000 ⽇ 注意: 2000 ⽇より古 いデータがある場合 は、この値を増やして ください。 たとえば、MAX_DAYS_AGO = 10 の場合、現在の ⽇付から 10 ⽇を超えて古い⽇付は無視され ます。 設定可能な過去最⼤⽇数は、10951 です。 MAX_DAYS_HENCE = <integer> * 抽出した⽇付が有効になる、現在の⽇付から将来 への最⼤⽇数を指定します。 2⽇ たとえば、MAX_DAYS_HENCE = 3 の場合、3 ⽇を 超えて将来の⽇付は無視されます。 重要: ウィンドウを限定すると、誤判定の可 能性が低くなります。変更する際には細⼼の 注意を払ってください。 サーバーに誤った⽇付セットがある場合、ま たはサーバーが 1 ⽇先のタイムゾーンに存在 している場合は、3 以上の値を設定してくだ さい。 この場合、1 ⽇先までのタイムスタンプ抽出 を⾏えます。 設定可能な最⼤⽇数は、10950 です。 MAX_DIFF_SECS_AGO = <integer> イベントのタイムスタンプが 1 つ前のタイムスタ ンプよりも <integer> 秒を超えて前 の場合、ソース からのタイムスタンプの⼤半と時間フォーマット が同じ場合にのみそれを受け付けます。 3600 秒 (1 時間) 重要: タイムスタンプの順序が乱雑な場合 は、この値を増やすことを検討してくださ い。 設定可能な最⼤秒数は、2147483646 で す。 MAX_DIFF_SECS_HENCE = <integer> イベントのタイムスタンプが 1 つ前のタイムスタ ンプよりも <integer> 秒を超えて後 の場合、ソース からのタイムスタンプの⼤半と時間フォーマット が同じ場合にのみそれを受け付けます。 604800 秒 (1 週間) 重要: タイムスタンプの順序が乱雑な場合、 または週に 1 回未満しか書き込まれないログ がある場合は、この値を増やすことを検討し てください。 設定可能な最⼤秒数は、2147483646 で す。 拡張 strptime() サポート タイムスタンプのパーシングを設定するには、props.conf で TIME_FORMAT 属性を使⽤します。この属性 は、strptime() フォーマット⽂字列を取ります。この⽂字列は、タイムスタンプの抽出に⽤いられます。 Splunk Enterprise は拡張版の UNIX strptime() を実装しており、マイクロ秒、ミリ秒、任意の時間幅フォー マット、および互換性を保つための他の時間フォーマットの利⽤を可能にする、追加の時間フォーマットがサポー トされています。次のような追加のフォーマットがあります: %N %Q,%q GNU ⽇付-時刻ナノ秒⽤。width: %3N = ミリ秒、 %6N = マイクロ秒、 %9N = ナノ秒を 指定して、1 秒未満の任意のパーシングを指定します。 ミリ秒⽤、Apache Tomcat の場合はマイクロ秒⽤。 width を指定した場合、%Q およ び %q で、任意の時間分解能をフォーマットできます。 111 %I 12 時間形式の時間⽤。%I が %S または %s の後にある場合 (「%H:%M:%S.%l」など)、 log4cpp の観点からのミリ秒として解釈されます。 %+ 標準 UNIX ⽇付形式タイムスタンプ⽤。 %v BSD および OSX 標準⽇付フォーマット⽤。 %Z, %z, %::z, %:::z GNU libc サポート。 %o AIX タイムスタンプサポート⽤ (%o は、 %Y のエイリアスとして使⽤されます)。 %p ロケールの AM または PM との同等。(注意:存在しない場合もあります。) %s エポック (10 桁) 注意: リテラルドットと %Q、%q、%N などの 1 秒未満の指定⼦で終わる strptime 式は、終点のドットと変換 指定⼦をオプションとして取り扱います。テキストに .subseconds 部が存在しない場合でも、抽出は⾏われま す。 strptime() フォーマット式の例 strptime() 式で処理するサンプルの⽇付形式を以下に⽰します。 1998/12/31 %Y-%m-%d 98-12-31 %y-%m-%d 1998 years, 312 days %Y years, %j days Jan 24, 2003 %b %d, %Y January 24, 2003 %B %d, %Y 1397477611.862 %s.%3N 注意: 現在 Splunk Enterprise は、タイムスタンプ内の英語以外の⽉名を認識しません。ログファイルに英語以 外の⽉名を書き込む App がある場合、可能な場合は数値の⽉を使⽤するように App を再設定してください。 例 データには、以下のような簡単に認識できるタイムスタンプが含まれていることがあります。 ...FOR: 04/24/07 PAGE 01... このようなタイムスタンプを抽出するには、props.conf に以下のスタンザを追加します。 [host::foo] TIME_PREFIX = FOR: TIME_FORMAT = %m/%d/%y データには、Splunk Enterprise がタイムスタンプとしてパーシングしてしまうような情報が含まれていることも あります。以下に例を⽰します。 ...1989/12/31 16:00:00 ed May 23 15:40:21 2007... Splunk Enterprise は⽇付を Dec 31, 1989 (1989 年 12 ⽉ 31 ⽇) として抽出しますが、この情報は役に⽴ちま せん。この場合、host::foo のイベントから正しいタイムスタンプを抽出するように、props.conf を設定してくださ い。 [host::foo] TIME_PREFIX = \d{4}/\d{2}/\d{2} \d{2}:\d{2}:\d{2} \w+\s TIME_FORMAT = %b %d %H:%M:%S %Y この設定は、host::foo からのすべてのタイムスタンプが、同じフォーマットであることを前提にしています。潜 在的なタイムスタンプ設定エラーを防⽌するために、props.conf のスタンザは、できる限りきめ細かく設定してく ださい。 複数のタイムスタンプを持つイベントから正しいタイムスタンプを抽出する⽅法の詳細は、「複数のタイムスタン プを持つイベントのタイムスタンプ割り当ての設定」を参照してください。 特定のニーズに合わせたタイムスタンプの設定 このトピックで説明している属性を使って、以下のような特定の⽬的に合わせてタイムスタンプ抽出プロセッサを 設定することができます。 タイムゾーンオフセットを適⽤する。 複数のタイムスタンプを使ってイベントから正確なタイムスタンプを取得する。 インデックス作成パフォーマンスを向上する。 112 サーチ結果へのタイムスタンプの表⽰⽅法の設定 ブラウザのロケール設定を使って、ブラウザによるサーチ結果内のタイムスタンプの、フォーマット⽅法を設定す ることができます。ブラウザのロケールの設定については、「ユーザーの⾔語とロケール」を参照してください。 raw データ内のタイムスタンプの表⽰⽅法の再設定 Splunk Enterprise はブラウザのロケールを使ってサーチ結果内のタイムスタンプの表⽰⽅法を設定しています。 raw データのフォーマットは引き続き元の形式で保持されています。raw データとサーチ結果の両⽅のデータ フォーマットを標準化するために、これを変更することができます。そのためには、props.conf および transforms.conf を使⽤します。以下に例を⽰します。 raw イベント内のタイムスタンプデータが、以下のようになっていると仮定してみましょう。 06/07/2011 10:26:11 PM このデータを、以下のようにしたいと考えています (サーチ結果の表⽰⽅法と合わせるために)。 07/06/2011 10:26:11 PM この例では、props.conf および しています。 transforms.conf transforms.conf を使った、raw イベント内のタイムスタンプの変換⽅法の概要を表 に以下のスタンザを追加します。 [resortdate] REGEX = ^(\d{2})\/(\d{2})\/(\d{4})\s([^/]+) FORMAT = $2/$1/$3 $4 DEST_KEY = _raw props.conf に以下のスタンザを追加します。ここで、<spec> がデータを修飾します。 [<spec>] TRANSFORMS-sortdate = resortdate Answers 何か質問がありますか?「Splunk Answers」では、Splunk コミュニティに寄せられた、タイムスタンプの認識 と設定に関する質問と回答をご覧いただけます。 複数のタイムスタンプを持つイベントのタイムスタンプ割り当ての設 定 イベントに複数のタイムスタンプが含まれている場合、Splunk Enterprise が使⽤するタイムスタンプを指定する ことができます。これは、特に syslog のホストチェーンデータが含まれているイベントのインデックスを作成す る場合に役⽴ちます。 props.conf を編修して、位置的タイムスタンプ抽出を設定します。props.conf のタイムスタンプ編集については、 「タイムスタンプ認識の設定」を参照してください。 位置的タイムスタンプ抽出の設定 イベント内の任意の場所にあるタイムスタンプを認識するように Splunk Enterprise を設定するには、props.conf のスタンザに TIME_PREFIX および MAX_TIMESTAMP_LOOKAHEAD 属性を追加します。TIME_PREFIX に正規表現を設定するこ とで、タイムスタンプ検索の開始場所を⽰す⽂字パターンを Splunk Enterprise に指⽰することができま す。MAX_TIMESTAMP_LOOKAHEAD の値を設定して、Splunk Enterprise にどの程度先までイベントのタイムスタンプを 探すのか (TIME_PREFIX の) を指⽰する値を設定します。先読みを制限することで、正確性とパフォーマンスの 両⽅を改善することができます。 を設定した場合、タイムスタンプの抽出を試みる前に、その正規表現に⼀致するイベントのテキスト が検索されます。Splunk Enterprise のタイムスタンプアルゴリズムは、最初に正規表現に⼀致した項⽬に続くテ キスト内のタイムスタンプのみに注⽬します。そのため、TIME_PREFIX に abc123 を設定すると、最初に登場した abc123 に続くテキストのみが、タイムスタンプ抽出に利⽤されます。 TIME_PREFIX は、MAX_TIMESTAMP_LOOKAHEAD の開始点も設定します。先読みは TIME_PREFIX 正規表現内の、⼀致するテキ スト項⽬の後から開始されます。たとえば、TIME_PREFIX がイベントの最初の 11 ⽂字からのテキストと⼀致して、 抽出するタイムスタンプが常に次の 30 ⽂字内に存在する場合、MAX_TIMESTAMP_LOOKAHEAD=30 を設定することができ ます。タイムスタンプ抽出は、12 ⽂字⽬から始まり、41 ⽂字⽬で終了するテキストに限定されます。 TIME_PREFIX 例 以下のようなイベントがある場合を考えてみましょう。 113 1989/12/31 16:00:00 Wed May 23 15:40:21 2007 ERROR UserManager - Exception thrown Ignoring unsupported search for eventtype: /doc sourcetype="access_combined" NOT eventtypetag=bot タイムスタンプを時間情報 を設定します。 May 23 15:40:21 2007 の 2 番⽬の⽂字列として識別するには、以下のように props.conf [source::/Applications/splunk/var/spool/splunk] TIME_PREFIX = \d{4}/\d{2}/\d{2} \d{2}:\d{2}:\d{2} \w+\s MAX_TIMESTAMP_LOOKAHEAD = 21 この設定は、最初のタイムスタンプ構造に⼀致するイベントを検索しますが、それは無視してそれに続く 21 ⽂字 (MAX_TIMESTAMP_LOOKAHEAD 属性から取得された値) 内にあるタイムスタンプに注⽬します。2 番⽬のタイムスタンプ は、常にその 21 ⽂字の範囲内に存在するため、それが発⾒されます。 注意: タイムスタンプ抽出速度を最適化するには、MAX_TIMESTAMP_LOOKAHEAD の値を変更して、イベント内の⽬的の タイムスタンプを発⾒するために必要な部分のみを検索するように調整します。この例で、MAX_TIMESTAMP_LOOKAHEAD はイベントの正規表現値から 21 ⽂字のみを検索するように最適化されています。 タイムスタンプのタイムゾーンの指定 異なるタイムゾーンからのデータのインデックスを作成する場合、タイムゾーンオフセットを使って、サーチ時に 正しく相関されるように調整することができます。タイムゾーンは、イベントのホスト、ソース、またはソースタ イプに基づいて設定することができます。 props.conf へのタイムゾーンの設定props.conf のタイムスタンプ編集については、「タイムスタンプ認識の設定」 を参照してください。 Splunk がタイムゾーンを適⽤する仕組み デフォルトで、Splunk Enterprise は以下の順序でこれらのルールを使ってタイムゾーンを適⽤します。 1. Splunk Enterprise は raw イベントデータに指定されている任意のタイムゾーンを使⽤します (例:PST, 0800)。 2. イベントがスタンザに指定されているホスト、ソース、またはソースタイプに⼀致する場合、props.conf に設定 されている TZ 属性の値を使⽤します。 3. インデクサーに到着したイベントの起源がフォワーダーで、フォワーダーと受信側インデクサーの両⽅で Splunk Enterprise 6.0 以降が動作している場合は、フォワーダーのタイムゾーンが使⽤されます。 4. それ以外の場合は、イベントのインデックスを作成するサーバーのタイムゾーンが使⽤されます。 注意: Splunk Enterprise が動作しているシステムのタイムゾーン設定を変更した場合、変更内容を反映するに は Splunk Enterprise を再起動する必要があります。 props.conf へのタイムゾーンの指定 タイムゾーンを設定するには、$SPLUNK_HOME/etc/system/local/ 内、または $SPLUNK_HOME/etc/apps/ の独⾃のカスタム App ディレクトリ内の、props.conf を編集します。設定ファイルの⼀般情報については、『管理マニュアル』の 「設定ファイルについて」を参照してください。 タイムゾーンを設定するには、props.conf 内の適切なスタンザに TZ 属性を追加します。Splunk TZ 属性は、 zoneinfo TZ ID を認識します。(zoneinfo (TZ) データベース内のすべてのタイムゾーン TZ ID を参照)ホスト、 ソース、またはソースタイプのスタンザ内で、TZ 属性に⽬的のタイムゾーンの TZ ID を設定します。これは、そ のホスト、ソース、またはソースタイプからのイベントのタイムゾーンでなければなりません。 インデクサーのタイムゾーンは Splunk Enterprise で設定されているのではなく、オペレーティングシステムの タイムゾーンが使われていることに注意してください。インデクサーのホストシステムで時刻が正しく設定されて いる限り、イベントのタイムゾーンのオフセットは正しく算出されます。 例 このインデクサーには、New York City (タイムゾーンは⽶国東部標準時 (US/Eastern)) および Mountain View, California (太平洋標準時 (US/Pacific)) からのイベントが到着します。これらの 2 種類のイベントセットのタイ ムスタンプを正しく処理するには、インデクサーの props.conf に、⽶国東部標準時と⽶国太平洋標準時の両⽅のタ イムゾーンを指定する必要があります。 最初の例では、名前が正規表現 標準時に設定します。 nyc.* と⼀致するホストから到着する、任意のイベントのタイムゾーンを⽶国東部 [host::nyc*] TZ = US/Eastern 2 番⽬の例では、バス /mnt/ca/... 内のソースから到着する、任意のイベントのタイムゾーンを⽶国太平洋標準時 114 に設定します。 [source::/mnt/ca/...] TZ = US/Pacific zoneinfo (TZ) データベース zoneinfo データベースは、公的に管理されているタイムゾーン値のデータベースです。 UNIX 版の Splunk は、ご利⽤の UNIXディストリビューションに含まれている TZ データベースを使⽤し ています。UNIX ディストリビューションの⼤半は、次のディレクトリ内にデータベースを保管していま す:/usr/share/zoneinfo。 Solaris 版の Splunk は、TZ 情報を次のディレクトリに保管しています:/usr/share/lib/zoneinfo。 Windows 版の Splunk には、TZ データベースのコピーが同梱されています。 可能な TZ 値については、zoneinfo (TZ) データベースを参照してください。 イベントデータから抽出されたタイムゾーン⽂字列のマップ イベントデータ内に登場するタイムゾーンの省略形の解釈⽅法を変更するには、props.conf で TZ_ALIAS 属性を使⽤ します。たとえば、「EST」はデフォルトで⽶国東部標準時を表していますが、イベントデータによってはそれが 豪州東部標準時を表していることもあります。「EST」を後者の意味に変更するには、以下のように属性を設定し ます。 TZ_ALIAS = EST=GMT+10:00 次に Splunk がイベントデータ内に「EST」を発⾒した場合、それはデフォルトの「GMT- 5:00」ではなく、 「GMT+10:00」として解釈されます。 この例のように、タイムゾーン⽂字列を「既存の⽂字列 + オフセット値」にマップすることができます。また、1 つの TZ ⽂字列を他の⽂字列に直接マップすることもできます。 タイムゾーン⽂字列のマッピング時には、夏時間と冬時間の両⽅のタイムゾーンを処理するようにしてください。 たとえば、EST をマッピングする場合は、EDT もマップします。ご利⽤の地域で⽤いられている組み合わせに応 じて、適切なマップを⾏ってください。ソフトウェアをテストして、⽣成されるタイムゾーン⽂字列を確認してく ださい。 複数のマッピングを指定することができます。TZ_ALIAS の構⽂を以下に⽰します。 TZ_ALIAS = <key=value>[,<key=value>]... 詳細と例については、「設定ファイルリファレンス」の props.conf ファイルの仕様と例を参照してください。 ユーザーのサーチ結果のタイムゾーン設定 Splunk ビルトイン認証を使ってユーザーを追加、編集する場合、ユーザーのタイムゾーンを設定することができ ます。そのユーザーのサーチ結果は、設定したタイムゾーンで表⽰されます。ただし、この設定によりインデック ス時に決定された、実際のイベントデータのタイムゾーンが変更されることはありません。この値の設定について は、『Splunk のセキュリティ』マニュアルの「Splunk Web を使ったユーザーの設定」を参照してください。 インデックス作成パフォーマンス向上のためのタイムスタンプ認識の 調整 インデックス作成を⾼速化するために、Splunk Enterprise のタイムスタンププロセッサがイベントを調査する度 合いを調整したり、タイムスタンププロセッサをオフにすることができます。そのためには、props.conf を編集 します。 props.conf のタイムスタンプ編集については、「タイムスタンプ認識の設定」を参照してください。 タイムスタンプ先読みの調整 タイムスタンプ先読みは、イベントを調査する度合い (何⽂字先まで) を決定します。この設定に は、MAX_TIMESTAMP_LOOKAHEAD 属性を使⽤します。 タイムスタンププロセッサがイベント内を調査するデフォルトの⽂字数は 150 ⽂字です。MAX_TIMESTAMP_LOOKAHEAD の値を減らすと、インデックス作成速度を向上することができます。特にタイムスタンプが常にイベントの最初の 部分に登場する場合は、この値を調整してください。 例: この例では、ソース foo から到着するイベントの最初の 20 ⽂字のみ、タイムスタンプを探します。 [source::foo] MAX_TIMESTAMP_LOOKAHEAD = 20 115 ... タイムスタンププロセッサを無効にする インデックス作成パフォーマンスを改善するために、タイムスタンププロセッサを無効にすることができます。特 定のホスト、ソース、またはソースタイプに⼀致するイベントのタイムスタンプ処理をオフにするに は、DATETIME_CONFIG 属性に NONE を設定します。DATETIME_CONFIG=NONE の場合、Splunk Enterprise はイベントのテ キストからタイムスタンプを探しません。代わりに「イベントの受信時刻」、つまり⼊⼒からイベントを受け取っ た時の時刻が使⽤されます。ファイルベースの⼊⼒ (モニターなど) の場合、タイムスタンプは⼊⼒ファイルの変 更時刻から取得されます。 また、DATETIME_CONFIG に CURRENT を設定して、インデックス作成のパフォーマンスを向上することもできます。こ の場合、インデックス時に現在のシステム時刻が、各イベントに割り当てられます。 例: この例は、ソース foo からのイベントのタイムスタンプ抽出をオフにします。 [source::foo] DATETIME_CONFIG = NONE ... 注意: CURRENT と NONE の両⽅が、明⽰的にタイムスタンプの識別を無効にします。そのため、デフォルトのイベン ト境界検出 (BREAK_ONLY_BEFORE_DATE = true) は、⽬的通りには機能しません。これらの設定を使⽤する場合 は、SHOULD_LINEMERGE や BREAK_ONLY_* , MUST_BREAK_* 設定を使ってイベントの結合を管理します。 インデックス作成フィールド抽出の設定 インデックス作成フィールドの抽出について Splunk Enterprise がデータのインデックスを作成する場合、データストリームをパーシングして⼀連のイベン ト を作成します。このプロセスの⼀環として、イベントデータ にさまざまなフィールド が追加されます。これら のフィールドには、⾃動的に追加されるデフォルトフィールド や、⾃分が指定したカスタムフィールド が含ま れます。 イベントへのフィールドの追加プロセスは、フィールドの抽出 と呼ばれています。2 種類のフィールド抽出が存 在しています。 インデックス作成フィールドの抽出 :このトピックの始めに簡単に説明しましたが、これがこの章で説明 する主な項⽬になります。これらのフィールドはインデックス内に保管され、フィールドはイベントデータ の⼀部となります。 サーチ時フィールドの抽出 :データのサーチ時に処理が⾏われます。それらのフィールドはその場で作成 されますが、インデックス内には保管されません。この種類のフィールド抽出については、『ナレッジ管 理』マニュアルの「フィールドについて」を参照してください。 2 種類のインデックスされたフィールドが存在しています。 デフォルトフィールド :Splunk が各イベントに⾃動的に追加します。この章の「デフォルトフィールドに ついて」を参照してください。 カスタムフィールド :⾃分が指定したフィールドです。このマニュアルの「インデックス時のカスタム・ フィールドの作成」を参照してください。 注意: フィールドに関する作業を⾏う場合、⼤部分のマシンデータは構造を持たないか、または常に変化する構 造を持っていることを考慮するようにしてください。このような種類のデータには、柔軟性の観点からサーチ時 フィールド抽出を使⽤することをお勧めします。サーチ時フィールド抽出の設定後、その変更は簡単に⾏えます。 より固定された構造のデータや、すでにファイル内のデータやイベントに構造がすでに定義されているデータもあ ります。Splunk Enterprise には、このような種類のファイルの構造を読み込むためのオプションが⽤意されてお り (カンマ区切りファイル (CSV)、タブ区切りファイル (TSV)、パイプ区切りファイル、JSON データ・ソースな ど)、インデックス時にフィールドのマッピングが⾏われます。仕組みについては、このマニュアルの「ヘッダー のあるファイルからのデータ抽出」を参照してください。 デフォルトフィールドについて (host、source、sourcetype など) データのインデックス作成時には、各イベントにさまざまなフィールドが追加されます。これらのフィールドは、 インデックスのイベントデータ の⼀部となります。Splunk が⾃動的に追加するフィールドは、デフォルト フィールド と呼ばれます。 デフォルトのフィールドは、さまざまな⽬的に利⽤されます。たとえば、デフォルトフィールド index はイベント が存在しているインデックスを⽰します。デフォルトフィールド linecount はイベントに含まれる⾏数 を、timestamp はイベントの発⽣時刻を⽰します。Splunk はデータのインデックス作成時に、⼀部のフィールドの 値、特に sourcetype の値を利⽤して、正しくイベントを作成します。データのインデックスが作成されたら、サー チにデフォルトフィールドを使⽤できます。 すべてのデフォルトフィールドの⼀覧を以下に⽰します。 116 フィー ルドの タイプ 内部 フィー ルド 基本的 なデ フォル ト フィー ルド フィールドの リスト _raw, _time, _indextime, _cd これらのフィールドには、Splunk が内部処理の⽬的で使⽤する情報が含まれていま す。 host, index, linecount, punct, source, sourcetype, splunk_server, これらのフィールドは、イベントのソース、含まれているデータの種類、保管されて いるインデックス、含まれている⾏数、発⽣⽇時などのイベントに関する基本情報を 表しています。 timestamp date_hour, デフォ ルトの ⽇時 フィー ルド 説明 date_mday, date_minute, date_month, date_second, date_wday, date_year, date_zone これらのフィールドは、イベントのタイムスタンプに対するサーチをさらに細かく制 御するために⽤いられます。 注意: 各システムで⽣成されたタイムスタンプ情報を持つイベントのみが、date_* フィールドを持っています。イベントに date_* フィールドがある場合、それはイベ ント⾃体からの直接の時間/⽇付値を表しています。インデックス時/⼊⼒時にタイム ゾーン変換や時間/⽇付値の変更を⾏った場合 (例:タイムスタンプがインデックス 時または⼊⼒時になるように設定した)、これらのフィールドはそれを表さないよう になります。 サーチの観点からのデフォルトフィールドについての情報は、『ナレッジ管理』マニュアルの「デフォルトフィー ルドの使⽤」を参照してください。 注意: インデックスに追加する、独⾃のカスタムフィールドを指定することもできます。この章の「インデック ス時のカスタムフィールドの作成」を参照してください。 このトピックは、3 つの主要デフォルトフィールドを取り上げていきます。 host source sourcetype host、source、および sourcetype の定義 host、source、および sourcetype フィールドは以下のように定義されます。 host - イベントの host の値は、⼀般的にはイベントの発⽣元となるホスト名、IP アドレス、またはネット ワークホストの完全修飾ドメイン名になります。host 値を利⽤すれば、特定のデバイスから収集されたデー タを⼿軽に特定することができます。ホストの詳細は、「ホストについて」を参照してください。 source - イベントの source は、イベントの起源となるファイル、ストリーム、または他の⼊⼒の名前で す。ファイルやディレクトリからモニターされるデータの場合、source の値は /archive/server1/var/log/messages.0 や /var/log/ などのフルパスになります。ネットワークベースのデータ ソースの場合、source は「UDP:514」のようなプロトコルとポートになります。 sourcetype - イベントの sourcetype は、access_combined や cisco_syslog などの、データ⽣成元のデータ⼊ ⼒の形式です。sourcetype は、Splunk によるデータのフォーマット⽅法を決定します。ソースタイプの詳 細は、「ソースタイプが重要な理由」を参照してください。 ソースとソースタイプ ソースとソースタイプを混同しないようにしてください。どちらもデフォルトフィールドですが、それ以外はまっ たく違います。 ソース (source) は、イベントが由来するファイル、ストリーム、または他の⼊⼒名です。 ソースタイプ (sourcetype) は、イベントのフォーマットを⽰します。Splunk はこのフィールドを使っ て、受信したデータストリームを個別のイベントにフォーマットする⽅法を決定します。 同じソースタイプを持つイベントが、異なるソースから来ることもあります。 たとえ ば、source=/var/log/messages をモニターしており、また udp:514 から syslog⼊⼒を直接受信している場合を考えて みましょう。sourcetype=linux_syslog をサーチした場合、それらの両⽅のソースからのイベントが返されます。 ホストおよびソースタイプの割り当てに優先する設定を⾏う状況 ほとんどの場合、Splunk は正確かつ有益なソースとソースタイプの値を、⾃動認識することができます。ただし 状況によっては、この処理に介⼊して優先する値を設定しなければならないこともあります。 ホスト割り当てに優先する設定 以下のような場合に、デフォルトの host 割り当てを変更することができます。 当初は別のホストで⽣成されたアーカイブデータを⼀括ロードしており、それらのイベントにそのホスト値 を設定したい場合。 データが別のホストから転送されている場合。(特に指定のない限り、フォワーダーがホストになります。) どこで⽣成されたログでも、そのログデータを受信したサーバーがホストになるような、集中ログサーバー 環境で作業を⾏っている場合。 117 ホストの詳細は、「ホスト値の設定」を参照してください。 ソースタイプ割り当てに優先する設定 以下のような場合に、デフォルトの sourcetype 割り当てを変更することができます。 Splunk がデータを適切に⾃動フォーマットできず、誤ったタイムスタンプ設定やイベントの⾏分割が⾏わ れるなどの問題が発⽣する場合。 離散グループのホストに由来するイベント、または特定の IP アドレスやユーザー ID に関連するイベントな ど、特定の⼊⼒から受信した特定のイベントにソースタイプを適⽤したい場合。 Splunk が⾃動的に認識できるソースタイプを拡張することも、または単にソースタイプの名前を変更することも 可能です。 ソースタイプの詳細は、「ソースタイプの設定」を参照してください。 デフォルトフィールドの動的割り当て Splunk への取り込み時に、ファイルにデフォルトフィールド (メタデータ) を動的に割り当てることができます。 この機能を利⽤して、受信データにソースタイプ、ホスト、またはソースを動的に指定できます。この機能は主 に、スクリプト⼊⼒ やスクリプトが処理した既存のファイルからのデータを処理する場合に役⽴ちます。 重要: 継続的なファイルモニタリング (tail) ⼊⼒に動的メタデータ割り当てを使⽤することはお勧めできません。 ファイル⼊⼒の詳細は、このマニュアルの「ファイルとディレクトリのモニター」を参照してください。 注意 :モジュール⼊⼒機能は、この ***SPLUNK*** ヘッダー機能よりも⼤幅に優れています。host、source、およ び sourcetype tの動的に⽣成された値を Splunk に提⽰する必要がある場合は、モジュール⼊⼒の作成を検討し てください。 この機能を使⽤するには、ファイルに単⼀の動的⼊⼒ヘッダーを追加して、値を割り当てるメタデータフィールド を指定します。利⽤可能なメタデータフィールドは、sourcetype、host、および source です。 inputs.conf、props.conf、および transforms.conf を編集する代わりに、この⽅法を使ってメタデータを割り当 てることができます。 単⼀の⼊⼒ファイルの設定 既存の⼊⼒ファイルに対してこの機能を使⽤するには、ファイルを編集して単⼀の⼊⼒ヘッダーを追加します (⼿ 動またはスクリプトを使って)。 ***SPLUNK*** <metadata field>=<string> <metadata field>=<string> ... には、有効なメタデータ/値のペアを設定します。複数のペアを指定することがで きます。例:sourcetype=log4j host=swan。 単⼀のヘッダーをファイル内の任意の場所に追加します。EOF に達するまで、ヘッダーに続く任意のデータ が、割り当てた属性と値に追加されます。 ファイルを $SPLUNK_HOME/var/spool/splunk または Splunk がモニターしている他のディレクトリに追加しま す。 <metadata field>=<string> スクリプトによる設定 スクリプトを作成して、受信するデータストリームに動的に⼊⼒ヘッダーを追加することができます。また、⼊⼒ ファイルの内容に基づいて、動的にヘッダーを設定することもできます。 インデックス時のカスタムフィールドの作成 警告: Splunk がインデックス時 に⾃動的に抽出してインデックスを作成する⼀連のデフォルトフィールド (timestamp、punct、host、source、sourcetype など)に、カスタムフィールドを追加することはお勧め できません 。 このフィールドリストに追加すると、インデックス作成された各フィールドがサーチ可能インデックスのサイズを 増やすため、インデックス作成のパフォーマンスとサーチ時間に悪影響を与える可能性があります。インデックス 作成フィールドは柔軟性にも⽋けています。⼀連のフィールドを変更すると、データセット全体のインデックスを 再作成する必要があります。詳細は、『インデクサーとクラスタの管理』マニュアルの「インデックス時とサーチ 時」を参照してください。 これらの注意事項や問題があっても、カスタムフィールドを追加しなければならないことがあります。たとえば、 特定のサーチ時フィールド抽出が、サーチのパフォーマンスに⼤きな影響を与えるような環境が挙げられます。た とえば、頻繁に⼤きなイベントセットに対してfoo!=bar や NOT foo=bar などの式でサーチを実⾏し、foo フィールド がほぼ常に値 bar を取る場合がこれにあたります。 反対に、サーチ時抽出フィールドの値が、ほぼフィールド外に存在している場合に、インデックス作成フィールド を追加したいこともあります。たとえば、foo=1 のみをサーチするような場合に、foo=1 を持たない多くのイベント 内に 1 が存在している場合、インデックス時に抽出されるフィールドのリストに foo を追加する⽅が効率的なこ とがあります。 ⼀般的には、サーチ時にカスタムフィールドを抽出するようにしてください。詳細は、『ナレッジ管理』マニュア ルの「フィールドについて」を参照してください。 追加のインデックス作成フィールドの定義 118 追加のインデックス作成フィールドを定義するには、props.conf、transforms.conf、および fields.conf を編集し ます。 内、または $SPLUNK_HOME/etc/apps/ の独⾃のカスタムアプリケーションディレクトリ 内にある、これらのファイルを編集します。設定ファイルの⼀般情報については、『管理マニュアル』の「設定 ファイルについて」を参照してください。 $SPLUNK_HOME/etc/system/local/ 分散環境での設定変更の保管場所 分散サーチ デプロイ環境の場合、処理はサーチピア (インデクサー) とサーチヘッドに分けて⾏われます。変更内 容は、以下の⽅法でデプロイする必要があります。 props.conf および transforms.conf の変更を、各サーチピアにデプロイします。 の変更をサーチヘッドにデプロイします。 fields.conf 注意: サーチピアへのデータ転送にヘビーフォワーダーを使⽤している場合、props および transforms の処理は サーチピアではなくフォワーダー上で⾏われます。そのため、props と transforms に関する変更は、サーチピア ではなくフォワーダーにデプロイする必要があります。 Splunk Enterprise 分散コンポーネントの詳細は、『分散デプロイ』マニュアルの「コンポーネントとロール」を 参照してください。 設定の保管場所については、『管理マニュアル』の「設定パラメータとデータパイプライン」を参照してくださ い。 フィールド名構⽂の制限事項 Splunk では、フィールド名に英数字とアンダースコアのみを使⽤できます。 フィールド名に使⽤できる⽂字は、a-z、A-Z、0-9 、_ です。 フィールド名の先頭に、0-9 または _ を使⽤することはできません。先頭のアンダースコアは、Splunk の 内部変数⽤に予約されています。 国際⽂字は使⽤できません。 transforms.conf への新規フィールド⽤正規表現スタンザの追加 にインデックス時フィールド変換を定義する場合は、以下のフォーマットに従ってください (注 意:LOOKAHEAD や DEST_KEY など⼀部の属性は、特定の⽤途でのみ必要になります): transforms.conf [<unique_transform_stanza_name>] REGEX = <regular_expression> FORMAT = <your_custom_field_name>::$1 WRITE_META = [true|false] DEST_KEY = <KEY> DEFAULT_VALUE = <string> SOURCE_KEY = <KEY> REPEAT_MATCH = [true|false] LOOKAHEAD = <integer> 以下の事項に注意してください。 REGEX のように、すべての変換に REGEX は、データからフィールドを抽出するための正規表現です。 REGEX の名前付きグループは、直接フィールドに抽出されます。単純なフィールド抽出の場合 は、FORMAT を指定する必要はありません。 REGEX でフィールド名と対応する値の両⽅を抽出する場合、以下の特殊グループを使って FORMAT 属性の マッピング指定をスキップすることができます。 <unique_stanza_name> が必要になります。 _KEY_<string>, _VAL_<string> たとえば、以下の事項は同じ意味を持っています。 FORMAT を使⽤: REGEX = ([a-z]+)=([a-z]+) FORMAT = $1::$2 FORMAT を不使⽤: REGEX = (?<_KEY_1>[a-z]+)=(?<_VAL_1>[a-z]+) は省略することができます。これを使って、追加する任意のフィールド名や値も含めて、抽出する フィールド/値のペアのフォーマットを指定します。名前付きグループを使った単純な REGEX の場合 は、FORMAT を指定する必要はありません。 FORMAT は、抽出がサーチ時に⾏われるのか、またはインデックス時に⾏われるのかによって動作が異なりま FORMAT 119 す。 インデックス時変換の場合、$n を使って各 REGEX 照合の出⼒を指定します (例:$1、$2 など)。 REGEX に n グループがない場合、照合は失敗します。 FORMAT のデフォルトは <unique_transform_stanza_name>::$1 です。 特殊識別⼦ $0 は、REGEX 実⾏前に DEST_KEY 内に存在していた情報を表します (インデックス時フィール ド抽出の場合 DEST_KEY は _meta です)。詳細は、後述する「Splunk によるインデックス作成フィール ドの構築⽅法」を参照してください。 インデックス時フィールド抽出の場合、さまざまな⽅法で FORMAT を設定することができます。<fieldname>::<field-value> を使って以下のように設定することもできます。 FORMAT = field1::$1 field2::$2 (REGEX は、捕捉グループ「field1」および「field2」のフィールド値を抽 出します。) または: FORMAT = $1::$2 (REGEX は、フィールド名とフィールド値の両⽅を抽出します) また、連結フィールドを作成するインデックス時フィールド抽出を設定することもできます。 FORMAT = ipaddress::$1.$2.$3.$4 を使って連結フィールドを作成する場合、$ が唯⼀の特殊⽂字であることを理解しておくことが重要 です。これは、その後に数字が続き、そしてその数字が既存の捕捉グループに適⽤される場合にのみ 、正規 表現捕捉グループのプリフィックスとして処理されます。 FORMAT 正規表現に捕捉グループが 1 つのみ存在し、その値が bar の場合: で⽣成される値: foobar で⽣成される値: foo$bar foo$1234 で⽣成される値: foo$1234 foo$1\$2 で⽣成される値: foobar\$2 FORMAT = foo$1 FORMAT = foo$bar FORMAT = FORMAT = は抽出されたフィールド名と値を、_meta (Splunk によるインデックス作成フィールドの保 管場所) に書き込みます。この属性は、DEST_KEY = _meta の場合を除いて、すべてのインデックス時フィール ド抽出に設定する必要があります (後述する DEST_KEY の説明を参照)。 _meta に関する情報、およびそれがインデックス作成フィールドの作成時に果たす役割については、後 述する「Splunk によるインデックス作成フィールドの構築⽅法」を参照してください。 WRITE_META = true が、インデックス時フィールド抽出には必要です (WRITE_META = false、または何も設定されていない 場合)。これは、REGEX の結果の保管場所を⽰します。 インデックス時サーチの場合は DEST_KEY = _meta (Splunk がインデックス作成フィールドを保管する場 所) です。その他の可能な KEY 値については、このマニュアルの transforms.conf に関するページを参照 してください。 _meta に関する情報、およびそれがインデックス作成フィールドの作成時に果たす役割については、後 述する「Splunk によるインデックス作成フィールドの構築⽅法」を参照してください。 DEST_KEY = _meta を使⽤する場合、FORMAT 属性の先頭に $0 を追加する必要があります。$0は、Splunk がREGEX を実⾏する前の DEST_KEY 値を表しています (_meta)。 注意: $0 の値が、REGEX から得られることはありません。 DEST_KEY DEFAULT_VALUE は省略することができます。REGEX が失敗した場合、この属性の値は DEST_KEY に書き込まれま す。 デフォルトは空です。 は省略することができます。これを使って、REGEX を適⽤する値の KEY を指定します。 デフォルトは SOURCE_KEY = _raw で、この場合すべてのイベントに丸ごと適⽤されます。 ⼀般的には、REPEAT_MATCH とともに使⽤されます。 その他の可能な KEY 値については、このマニュアルの transforms.conf に関するページを参照してくだ さい。 SOURCE_KEY REPEAT_MATCH は省略することができます。SOURCE_KEY に対して REGEX を複数回実⾏する場合は、true を設定し ます。 は、前回照合が停⽌された場所から開始し、⼀致する項⽬が⾒つからなくなるまで処理を 続⾏します。イベントあたりに予測される、フィールド/値の⼀致項⽬数が不明な場合などに役⽴ちま す。 デフォルトは false です。 REPEAT_MATCH は省略することができます。イベント内のサーチ⽂字数を指定します。 デフォルトは 4096 です。⾏の⻑さが 4096 ⽂字を超えるイベントがある場合は、LOOKAHEAD の値を増 やすことができます。 特に照合する必要があるテキストがこの⽂字数よりも後にある場合は、この値を増やす必要がありま す。 ただし、⼤きなテキストセグメントをスキャンする場合、複雑な正規表現のコストが⾮常に⾼くなる 可能性があることに注意してください。複数の最⻑マッチや先読み/前読みを使⽤する場合、速度が⼤ 幅に低下する可能性があります。 LOOKAHEAD 注意: 正規表現の構⽂と使⽤⽅法の概要については、Regular-Expressions.info を参照してください。正規表現 をテストするには、サーチ内で rex サーチコマンドを使ってそれらを指定します。正規表現式を作成、テストする ために役⽴つサードパーティ製ツールのリストも⽤意されています。 120 注意: 正規表現内の捕捉グループには、フィールド名構⽂の制限事項に従ってフィールド名を指定する必要があ ります。ASCII ⽂字 (a〜z、A〜Z、0〜9 または _) のみを使⽤できます。国際⽂字は使⽤できません。 props.conf への新しいフィールドのリンク props.conf に、以下の⾏を追加します。 [<spec>] TRANSFORMS-<class> = <unique_stanza_name> 以下の事項に注意してください。 には、以下の値を使⽤できます。 <sourcetype>、イベントのソースタイプ。 host::<host>、<host> はイベントのホストです。 source::<source>、<source> はイベントのソースです。 注意: <spec> の設定時には、正規表現型構⽂を使⽤できます。また、ソースおよびソースタイプスタ ンザの照合では⼤⽂字と⼩⽂字が区別されますが、ホストスタンザでは区別されません。詳細 は、props.conf 仕様ファイルを参照してください。 <class> は、抽出するフィールド (キー) の名前空間を識別する⼀意のリテラル⽂字列です。注意: <class>の 値は、フィールド名構⽂の制限 (前述) に従う必要はありません。a-z、A-Z、および 0-9 以外の⽂字を使⽤ でき、またスペースも利⽤できます。 <unique_stanza_name> は、transforms.conf のスタンザ名です。 <spec> 注意: インデックス時フィールド抽出の場合、props.conf は TRANSFORMS-<class> を使⽤します。⼀⽅、EXTRACT<class> は、サーチ時フィールド抽出の設定に⽤いられます。 fields.conf への新規フィールド⽤エントリの追加 fields.conf に新しいインデックス作成フィールド⽤のエントリを追加します。 [<your_custom_field_name>] INDEXED=true 以下の事項に注意してください。 は、transforms.conf に追加する⼀意のスタンザ内に設定する、カスタムフィールド の名前です。 フィールドのインデックスが作成されることを⽰すために、INDEXED=true を設定します。 <your_custom_field_name> 注意: サーチ時に同名のフィールドが抽出される場合は、フィールドに対して INDEXED=false を設定する必要があ ります 。また、そのフィールドの、インデックス時には取得されないけれども、サーチ時には抽出される値を持 つイベントが存在する場合も、INDEXED_VALUE=false を設定する必要があります。 たとえば、インデックス時に単純な <field>::1234 抽出を⾏う場合を考えてみましょう。これは機能します が、A(\d+)B のような正規表現に基づいてサーチ時フィールド抽出も⾏うような場合は、⽂字列 A1234B がその フィールドの値 1234 を⽣み出すため、問題が発⽣してしまいます。これによりサーチ時に 1234 のイベントが登場 するため、Splunk は <field>::1234 抽出を使ってインデックス時を特定することができなくなってしまいます。 変更内容を反映するための Splunk の再起動 や transforms.conf などの設定ファイルの変更は、影響するすべてのコンポーネント上で Splunk を シャットダウンして再起動しないと反映されません。 props.conf Splunk によるインデックス作成フィールドの構築⽅法 Splunk は す。 _meta に書き込むことで、インデックス作成フィールドを構築しています。その詳細を以下に⽰しま は、transforms.conf 内の、DEST_KEY = _meta または WRITE_META = true を含むすべての⼀致する変換によ り変更されます。 ⼀致する各変換は、_meta を上書きすることができます。_meta に追加する場合は、WRITE_META = true を使⽤ します。 WRITE_META を使⽤しない場合は、$0 で FORMAT を開始します。 パーシング中に _meta が完全に構築されたら、Splunk は以下の⽅法でテキストを変換します。 テキストはユニットに分割されます。各ユニットは空⽩⽂字で区切られます。 空⽩⽂字の有無に関係なく、引⽤符 (" ") で⽂字を⼤きなユニットにグループ化します。 引⽤符直前の円記号 (\) またはバックスラッシュは、引⽤符のグループ化特性を無効にします。 円記号の前に円記号があると、その円記号が無効になります。 2 つの連続するコロン (::) を含むテキストユニットは、抽出フィールドに変換されます。2 つの連続す るコロンの左側がフィールド名、右側が値になります。 _meta 注意: ⼀般的に正規表現抽出値を持ち引⽤符を含むインデックス作成フィールドは機能せず、円記号がある場合 にも問題があります。サーチ時に抽出されるフィールドには、これらの制限はありません。 121 引⽤符と円記号を含んでおり、それらが無効になるような、⼀連のインデックス時抽出の例を以下に⽰します。 WRITE_META = true FORMAT = field1::value field2::"value 2" field3::"a field with a \" quotation mark" field4::"a field which ends with a backslash\\" Splunk によるフィールド名の作成時 注意: Splunk がフィールド名を作成する場合、フィールド名構⽂の制限事項が適⽤されます。 1. a-z、A-Z、および 0-9 以外のすべての⽂字は、アンダースコア (_) に置換されます。 2. 先頭のアンダースコアはすべて削除されます。Splunk で先頭のアンダースコアは、内部フィールド ⽤に予約 されています。 インデックス時フィールド抽出の例 ここには、インデックス時フィールド抽出の、設定ファイルの設定例をいくつか記載しています。 新しいインデックス作成フィールドの定義 この基本的な例では、インデックス作成フィールド err_code を作成します。 tra nsform s.c onf transforms.conf に以下の項⽬を追加します。 [netscreen-error] REGEX = device_id=\[\w+\](?<err_code>[^:]+) FORMAT = err_code::"$1" WRITE_META = true このスタンザは、device_id= に続けて⾓括弧に囲まれた単語、およびコロンで終了するテキスト⽂字列を取りま す。イベントのソースタイプは testlog です。 コメント: ⾏には、以下の値が含まれています。 は、フィールド名です。 $1 は、インデックスに書き込まれる新しいフィールドを表しています。REGEX により抽出された値で す。 WRITE_META = true は、FORMAT の内容をインデックスに書き込むことを表しています。 FORMAT = err_code:: p rop s.c onf props.conf に以下の⾏を追加します。 [testlog] TRANSFORMS-netscreen = netscreen-error field s.c onf fields.conf に以下の⾏を追加します。 [err_code] INDEXED=true 設定ファイルの変更内容を反映するために、Splunk を再起動します。 1 つの正規表現で 2 つの新規インデックス作成フィールドを定義 この例では、インデックス作成フィールド username および login_result tra nsform s.c onf transforms.conf に以下の項⽬を追加します。 [ftpd-login] REGEX = Attempt to login by user: (.*): login (.*)\. FORMAT = username::"$1" login_result::"$2" 122 を作成します。 WRITE_META = true このスタンザは、リテラルテキスト Attempt to login by user: を探し、後ろにコロンが付いたユーザー名を抽出 し、次に後ろにピリオドが付いた結果を抽出します。⾏は以下のようになります。 2008-10-30 14:15:21 mightyhost awesomeftpd INFO Attempt to login by user: root: login FAILED. p rop s.c onf props.conf に以下の⾏を追加します。 [ftpd-log] TRANSFORMS-login = ftpd-login field s.c onf fields.conf に以下の⾏を追加します。 [username] INDEXED=true [login_result] INDEXED=true 設定ファイルの変更内容を反映するために、Splunk を再起動します。 インデックス時のイベントセグメントからのフィールド値の連結 この例は、インデックス時変換を使った、イベントの個別のセグメントの抽出、および 結合して、単⼀のフィールドを作成する⽅法を表しています。 FORMAT を使ってそれらを 以下のイベントが存在する場合を考えてみましょう。 20100126 08:48:49 781 PACKET 078FCFD0 UDP Rcv 127.0.0.0 8226 R Q [0084 A NOERROR] A (4)www(8)google(3)com(0) ⽬的は、(4)www(8)google(3)com(0) を dns_requestor フィールドの値として抽出することです。ただし、それらの無 意味な括弧と数字は不要で、単純に www.google.com のみを抽出たいと考えています。そのためにはどうすれば良い のでしょうか? tra nsform s.c onf まず、transforms.conf 内に変換 dnsRequest を設定します。 [dnsRequest] REGEX = UDP[^\(]+\(\d\)(\w+)\(\d\)(\w+)\(\d\)(\w+) FORMAT = dns_requestor::$1.$2.$3 この変換は、dns_requestor という名前のカスタムフィールドを定義します。その REGEX を使って、値 dns_requestor の 3 つのセグメントを抜き出します。次に FORMAT を使って、それらのセグメントの間にピリオドを付けながら並 べ、適切な URL のようにフォーマットします。 注意: このイベントセグメントを連結してフィールド値を作成する⽅法は、インデックス時抽出でのみ実⾏する ことができます。サーチ時抽出では、実⽤上の制限から実⾏できません。この⽅法で FORMAT を使⽤する必要があ る場合は、実⾏するために新しいインデックス作成フィールドを作成する必要があります。 p rop s.c onf 次に、dnsRequest 変換を参照し、それを を、props.conf に定義します。 server1 ソースタイプから受け取るイベントに適⽤するフィールド抽出 [server1] TRANSFORMS-dnsExtract = dnsRequest field s.c onf 最後に、fields.conf に以下のスタンザを設定します。 [dns_requestor] INDEXED = true 123 設定ファイルの変更内容を反映するために、Splunk を再起動します。 ヘッダーのあるファイルからのデータの抽出 カンマ区切り形式 (CSV) ファイルなどの構造化データの多くが、ファイルヘッダーに情報を保有しています。 Splunk Enterprise はその情報を使って、インデックス時イベント処理中にフィールドを抽出することができま す。これらのフィールドを⾃動抽出するように、Splunk Enterprise を設定することができます。 たとえば、⼀般的に従来の CSV ファイルは、それ以降の⾏の値に対する列⾒出しを含む⾏から始まります。以下 に例を⽰します。 host,status,message,"start date" srv1.splunk.com,error,"No space left on device",2013-06-10T06:35:00 srv2.splunk.com,ok,-,2013-06-11T06:00:00 設定ファイルを使ったヘッダーベースの⾃動フィールド抽出の有効化 ヘッダーがあるファイル (カンマ区切り形式ファイル、IIS Web サーバーログ、および他の構造化データファイル など) からデータを抽出するには、inputs.conf と props.conf を組み合わせて使⽤しま す。$SPLUNK_HOME/etc/system/local/ 内、または $SPLUNK_HOME/etc/apps/<app_name>/local の独⾃のカスタムアプリケー ションディレクトリ内にある、これらのファイルを編集します。Inputs.conf には、モニターするファイル、およ びモニターするために使⽤するソースタイプを指定します。props.conf には、ソースタイプ⾃体を定義します。 設定ファイルの⼀般情報については、『管理マニュアル』の「設定ファイルについて」を参照してください。 重要:props.conf に対して⾏った変更は (ヘッダーベースの⾃動フィールド抽出など)、Splunk Enterprise を再起 動しない限り反映されません。 構造化データ⽤の Props.conf 属性 props.conf には、ヘッダーを含むファイルを処理するために以下の属性が含まれています。他の props.conf 属性 については、props.conf 仕様ファイルを参照してください。 属性 説明 デフォルト ファイルのタイプと抽出、またはファイルに対して使⽤するパーシン グ⽅法を指定します。 N/A (設定さ れない) PREAMBLE_REGEX ファイルによってはプリアンブル⾏が含まれていることもあります。 この属性には、指定パターンに基づいてそれらのプリアンブル⾏を無 視するための、正規表現を指定します。 N/A FIELD_HEADER_REGEX プリフィックスが付いたヘッダー⾏のパターンを⽰す正規表現。 Splunk Enterprise は、正規表現に⼀致する最初の⾏を探して、それ をヘッダーフィールドとしてパーシングします。実際のヘッダーは⼀ 致したパターンの後から始まり、それ⾃⾝はパーシングされたヘッ ダーフィールドには含まれないことに注意してください。この属性に は、特殊⽂字を指定することができます。 N/A INDEXED_EXTRACTIONS = {CSV|W3C|TSV|PSV|JSON} FIELD_DELIMITER モニター対象ファイルまたはソース内のフィールドを区切る/分割する ⽂字を⽰します。この属性には、特殊⽂字を指定することができま N/A す。 FIELD_QUOTE 指定ファイルまたはソース内の、引⽤に使⽤する⽂字を⽰します。こ の属性には、特殊⽂字を指定することができます。 N/A HEADER_FIELD_DELIMITER ヘッダー⾏内のフィールド名を区切る⽂字を⽰します。この属性に は、特殊⽂字を指定することができます。 HEADER_FIELD_DELIMITER が指定されていない場合、ヘッダー ⾏には FIELD_DELIMITER が適⽤されます。 N/A HEADER_FIELD_QUOTE ヘッダー⾏内のフィールド名を囲む⽂字を⽰します。この属性には、 特殊⽂字を指定することができます。HEADER_FIELD_QUOTE が指 定されていない場合、ヘッダー⾏には FIELD_QUOTE が適⽤されま N/A す。 HEADER_FIELD_LINE_NUMBER ヘッダーフィールドを含むファイル内の、⾏の⾏番号を⽰します。0 を設定すると、Splunk がファイル内のヘッダーフィールドを⾃動的 に検索します。 TIMESTAMP_FIELDS = ⼀部の CSV および構造化ファイルには、区切り⽂字で区切られた、 イベント内の複数のフィールドにまたがるタイムスタンプが存在して いることもあります。この属性は、タイムスタンプを構成するそのよ うなフィールドを、カンマ区切り形式で指定することを Splunk に指 ⽰します。 field1,field2,...,fieldn 0 Splunk Enterprise は、イベン トのタイム スタンプの ⾃動抽出を 試みます。 FIELD_NAMES ⼀部の CSV および構造化ファイルには、ヘッダーが存在しないこと があります。この属性は、ヘッダーフィールドを直接指定することを Splunk に指⽰します。 N/A MISSING_VALUE_REGEX 構造化データファイル内に指定された正規表現が⾒つかった場合、⾏ N/A 124 MISSING_VALUE_REGEX 内のフィールドの値は空とみなされます。 N/A ⼀部の属性では特殊⽂字または値を使⽤できる ⼀部の属性には、円記号 (\) またはバックスラッシュを使⽤することで、スペース、垂直タブ、⽔平タブ、フォー ムフィードなどの特殊⽂字や値を指定することができます。 特殊値 Props.conf の表記 フォームフィード \f スペース space ⽔平タブ \t 垂直タブ \v 空⽩⽂字 whitespace なし none ファイル区切り⽂字 fs または \034 グループ区切り⽂字 gs または \035 レコード区切り⽂字 rs または \036 単位区切り⽂字 us または \037 または または ' ' tab または \0 これらの特殊⽂字は、以下の属性に指定することができます。 FIELD_DELIMITER FIELD_HEADER_REGEX FIELD_QUOTE 設定ファイルの編集によるソースタイプの作成と参照 これらの属性を使⽤するには、props.conf を編集する必要があります。Splunk がヘッダーデータを持つファイル から、フィールドを抽出するための⽅法を定義した新しいソースタイプを作成するには、props.conf を編集しま す。 を編集したら、次に Splunk がインデックスを作成するファイル内に新たに作成されたソースタイプを 参照するように、inputs.conf を編集します。 props.conf ヘッダーを持つファイル抽出⽤の新しいソースタイプを作成、参照するには: 1. テキストエディタを使って、適切な場所にある props.conf ファイルを開きます。前述の「設定ファイルを使った ヘッダーベースの⾃動フィールド抽出の有効化」を参照してください。 注意: このファイルが存在しない場合は、作成する必要があります。 2. 前述の属性を使って、Splunk Enterprise にファイルヘッダーおよび構造化ファイルデータの抽出⽅法を指⽰す るスタンザを作成することで、新しいソースタイプを定義します。例: [HeaderFieldsWithFewEmptyFieldNamesWithSpaceDelim] FIELD_DELIMITER=, HEADER_FIELD_DELIMITER=\s FIELD_QUOTE=" 注意: 必要に応じて、任意の数のスタンザ (ソースタイプ) を定義することができます。 3. props.conf ファイルを保存して終了します。 4. inputs.conf ファイルが存在していない場合は、同じディレクトリにファイルを作成します。 5. 編集するためにファイルを開きます。 6. ファイルヘッダーおよび構造化データを抽出するファイルを表すスタンザを追加します。複数追加することもで きます。例: [monitor:///opt/test/data/StructuredData/HeaderFieldsWithFewEmptyFieldNamesWithSpaceDelim.csv] sourcetype=HeaderFieldsWithFewEmptyFieldNamesWithSpaceDelim 注意: ヘッダーと構造化データを抽出するファイルやディレクトリのために、任意の数のスタンザを追加するこ とができます。 7. inputs.conf ファイルを保存して終了します。 125 8. 変更内容を有効にするために、Splunk Enterprise を再起動します。 ヘッダーファイルから抽出したデータの転送 ヘッダーを持つファイルから抽出したフィールドを、他の Splunk Enterprise インスタンスに転送することもで きます。 構造化データファイルから抽出したフィールドを転送するには、以下の⼿順に従ってください。 1. ファイルをモニターするインスタンス上で、このトピック前半の「設定ファイルの編集によるソースタイプの作 成と参照」の説明に従って props.conf および inputs.conf を編集します。 2. 次に、データを他の Splunk Enterprise インスタンスに転送するようにシステムを設定します。 注意: データの転送と受信のための設定⽅法については、『データの転送』マニュアルの「転送と受信の設定」 を参照してください。 3. データを受信するインスタンス上で、Splunk Enterprise をレシーバーとして設定します。 4. 受信側インスタンスの $SPLUNK_HOME/etc/system/local に レクトリにファイルを作成します。 5. モニターする Splunk インスタンス上の 成した props.conf にコピーします。 props.conf props.conf ファイルが存在していない場合は、そのディ から適切なスタンザを、受信側 Splunk インスタンス上に作 6. 受信側インスタンスで Splunk Enterprise を再起動します。 7. モニター側インスタンスで Splunk Enterprise を再起動します。 8. 受信側インスタンス上でサーチ App を使って、構造化データ・ファイルからフィールドが正しく抽出され、イ ンデックスが作成されたことを確認します。 注意事項 ⾏にデータが含まれているヘッダーフィールドのみインデックスが作成される 構造化データファイルからヘッダーフィールドを抽出する場合、最低 1 つの⾏にデータが存在しているフィール ドのみが抽出されます。ヘッダーフィールドのどの⾏にもデータが含まれていない場合、そのフィールドはスキッ プされ、インデックスは作成されません。たとえば、以下の CSV ファイルを考えてみましょう。 header1,header2,header3,header4,header5 one,1,won,,111 two,2,too,,222 three,3,thri,,333 four,4,fore,,444 five,5,faiv,,555 Splunk Enterprise がこのファイルを読み込むと、header4 列の⾏はすべて空のため、このヘッダーフィールドま たはその⾏のインデックスを作成することはありません。このことは、インデックス内で header4 またはその⾏内 のデータをサーチできないことを意味しています。 ただし、header4 フィールドに空⽂字列 (例:"") が存在する⾏が含まれている場合、そのフィールドおよびそのす べての⾏のインデックスが作成されます。 Splunk Enterprise は中間ファイルのヘッダーフィールド名変更をサポートしていない Internet Information Server などの⼀部のソフトウェアは、ファイル処理中のヘッダーフィールド名の変更をサ ポートしています。Splunk はこのような変更を認識できません。ファイル内でヘッダーフィールドの名前が変更 されたファイルのインデックス作成を試みても、名前が変更されたヘッダーフィールドのインデックスは作成され ません。 設定およびデータファイルの例 ファイルヘッダー抽出属性の使⽤⽅法を表す、inputs.conf と props.conf ファイルの例を以下に⽰します。 データをローカルに抽出するには、inputs.conf と props.conf を編集して、構造化データファイルの⼊⼒とソー スタイプを定義し、次に前述の属性を使って Splunk Enterprise にファイルの処理⽅法を指⽰します。このデー タを他の Splunk に転送するには、転送側インスタンスの inputs.conf と props.conf、および受信側インスタン スの props.conf を編集します。 Inputs.conf [monitor:///opt/test/data/StructuredData/CSVWithFewHeaderFieldsWithoutAnyValues.csv] sourcetype=CSVWithFewHeaderFieldsWithoutAnyValues [monitor:///opt/test/data/StructuredData/VeryLargeCSVFile.csv] 126 sourcetype=VeryLargeCSVFile [monitor:///opt/test/data/StructuredData/UselessLongHeaderToBeIgnored.log] sourcetype=UselessLongHeaderToBeIgnored [monitor:///opt/test/data/StructuredData/HeaderFieldsWithFewEmptyFieldNamesWithSpaceDelim.csv] sourcetype=HeaderFieldsWithFewEmptyFieldNamesWithSpaceDelim [monitor:///opt/test/data/FieldHeaderRegex.log] sourcetype=ExtractCorrectHeaders Props.conf [CSVWithFewHeaderFieldsWithoutAnyValues] FIELD_DELIMITER=, [VeryLargeCSVFile] FIELD_DELIMITER=, [UselessLongHeaderToBeIgnored] HEADER_FIELD_LINE_NUMBER=35 TIMESTAMP_FIELDS=Date,Time,TimeZone FIELD_DELIMITER=\s FIELD_QUOTE=" [HeaderFieldsWithFewEmptyFieldNamesWithSpaceDelim] FIELD_DELIMITER=, HEADER_FIELD_DELIMITER=\s FIELD_QUOTE=" [ExtractCorrectHeaders] FIELD_HEADER_REGEX=Ignore_This_Stuff:\s(.*) FIELD_DELIMITER=, サンプルファイル 設定したファイルがどのようになるのかを理解するために、先ほど取り上げた inputs.conf および props.conf の ⼀部を抜粋した、サンプルファイルを以下に⽰します。 注意: 内容をすべて参照するために、右⽅向に少しスクロールしなければならないかもしれません。 CS VWith FewHea d erField sWith ou tAnyVa lu es.c sv vqmcallhistoryid,serialnumber,vqmavgjbenvdelay,vqmavgjbenvnegdelta,vqmavgjbenvposdelta,vqmbitrate,vqmburstcount,vqmburstlengthavgms,vqmburstlen 99152,CFG0730084,-3,-2,356,64000,1,280,14,14.29,36,3499,201000,BW163736844290611-173170743@10.253.143.13,2011-06-29 12:37:37.292,0,4.68,1.43,0.19,0,0,0,0,52,60,15,17,60,10,0,Loopback,0.48,48,46,0,30,1334,10,99.55,10008,9962,0,0,,,,,6096147095,2,100590,5029,0. 60,975,488,179,192,999.3,0,0,4.07,,4.12,,4.2,,4.03,,0.02,63,76,76,,,,43,0,6.8,0,520,10054,87,87,89,93,9,79,12,12,12,6096147089,10.255.43.12,100 0/1,2,0,54,80,80,18500,6096147089,48,1,0,2011-06-29 12:41:47.303,2011-06-29 12:41:47.303 99154,CFG0730084,-3,-1,251,64000,4,195,9,20.52,28,3494,359000,BW163502270290611594566299@10.253.143.13,2011-06-29 12:35:02.324,0,2.88,1.11,3.44,0,0,0,0,40,40,26,24,50,10,0,Loopback,0.31,54,46,0,31,2455,10,99.8,17769,17732,0,0,,,,,6096147095,5,71556,3577,0.6 62,993,496.5,126,139,3404.7,0,0,4.04,,4.07,,4.2,,3.94,,0.36,58,64,69,,,,49,0,286,0,529,17839,86,86,87,93,9,137,8,8,8,6096147089,10.255.43.12,10 0/1,2,0,48,60,70,30400,6096147089,54,1,0,2011-06-29 12:41:47.342,2011-06-29 12:41:47.342 VeryL a rgeCS VFile.c sv IncidntNum,Category,Descript,DayOfWeek,Date,Time,PdDistrict,Resolution,Location,X,Y 030203898,FRAUD,"FORGERY, CREDIT CARD",Tuesday,02/18/2003,16:30,NORTHERN,NONE,2800 Block of VAN NESS AV,122.424612993055,37.8014488257836 000038261,WARRANTS,WARRANT ARREST,Thursday,04/17/2003,22:45,NORTHERN,"ARREST, BOOKED",POLK ST / SUTTER ST,122.420120319211,37.7877570602182 030203901,LARCENY/THEFT,GRAND THEFT PICKPOCKET,Tuesday,02/18/2003,16:05,NORTHERN,NONE,VAN NESS AV / MCALLISTER ST,122.42025048261,37.7800745746105 030203923,DRUG/NARCOTIC,SALE OF BASE/ROCK COCAINE,Tuesday,02/18/2003,17:00,BAYVIEW,"ARREST, BOOKED",1600 Block of KIRKWOOD AV,-122.390718076188,37.7385560584619 030203923,OTHER OFFENSES,CONSPIRACY,Tuesday,02/18/2003,17:00,BAYVIEW,"ARREST, BOOKED",1600 Block of KIRKWOOD AV,122.390718076188,37.7385560584619 030203923,OTHER OFFENSES,PROBATION VIOLATION,Tuesday,02/18/2003,17:00,BAYVIEW,"ARREST, BOOKED",1600 Block of KIRKWOOD AV,-122.390718076188,37.7385560584619 127 UselessL ongHea d erToBeIgnored .log ************ Start Display Current Environment ************ WebSphere Platform 6.1 [ND 6.1.0.21 cf210844.13] running with process name sammys_cell_A\fsgwws189Node_A\sammys_A_c01_s189_m06 and process id 17904 Detailed IFix information: ID: 6.1.0-WS-WASSDK-AixPPC32-FP0000021 BuildVrsn: null Desc: Software Developer Kit 6.1.0.21 ID: 6.1.0-WS-WAS-AixPPC32-FP0000021 BuildVrsn: null ID: 6.1.0-WS-WASSDK-AixPPC32-FP0000019 ID: 6.1.0-WS-WAS-AixPPC32-FP0000019 Desc: WebSphere Application Server 6.1.0.21 BuildVrsn: null BuildVrsn: null Desc: Software Developer Kit 6.1.0.19 Desc: WebSphere Application Server 6.1.0.19 ID: sdk.FP61021 BuildVrsn: null Desc: WebSphere Application Server 6.1.0.21 ID: sdk.FP61019 BuildVrsn: null Desc: WebSphere Application Server 6.1.0.19 ID: was.embed.common.FP61021 ID: was.embed.FP61021 BuildVrsn: null BuildVrsn: null Desc: WebSphere Application Server 6.1.0.21 Desc: WebSphere Application Server 6.1.0.21 Hea d erField sWith FewEm p tyField Na m esWith S p a c eDelim .c sv "Field 1" "Field 3" "Field 4" "Field 6" Value11,Value12,Value13,Value14,Value15,Value16 Value21,Value22,Value23,Value24,Value25 Value31,Value32,Value33,Value34,Value35, Value36 Field Hea d erRegex.log Garbage Garbage Garbage Ignore_This_Stuff: Actual_Header1 Actual_Header2 Answers 何か質問がありますか?「Splunk Answers」では、Splunk コミュニティに寄せられた、フィールドの抽出に関 する質問と回答をご覧いただけます。 ホスト値の設定 ホストについて イベントの host フィールドの値は、イベントが⽣成された物理デバイスの名前です。これは Splunk Enterprise がインデックスを作成した各イベントにホストを割り当てる、デフォルトフィールド のため、特定のホストが⽣ 成したすべてのイベントを、ホスト名を使ってサーチすることができます。 ⼀般的に host の値は、イベントの⽣成元となるホスト名、IP アドレス、またはネットワークホストの完全修飾ド メイン名になります。 Splunk Enterprise による host 値の割り当て Splunk Enterprise は以下の順序で設定を調査し、最初に⾒つかったホスト設定を使って各イベントに host 値を 割り当てます。 1. transforms.conf に指定されている、イベント固有のホスト割り当て。 2. イベントの⼊⼒の、デフォルトのホスト値 (ある場合)。 3. 最初にデータを取り込んだ Splunk インスタンス (インデクサーまたはフォワーダー) の、デフォルトのホスト 値。 これらの割り当て⽅法の概要と使⽤事例は、後述します。以降のトピックでは、これらの⽅法を詳細に説明してい きます。 デフォルトのホスト値 ソースに対して他のホストルールが指定されていない場合、任意の⼊⼒からインスタンスに取り込まれる、すべて のデータに適⽤されるデフォルト値が、host フィールドに割り当てられます。デフォルトのホスト値は、最初に データを取り込んだ Splunk Enterprise インスタンス (インデクサーまたはフォワーダー) のホスト名または IP アドレスになります。イベントが発⽣したサーバー上で Splunk Enterprise インスタンスが動作している場合 は、このホスト名は正確で⼿動による介⼊は必要ありません。 詳細は、このマニュアルの「Splunk Enterprise サーバーのデフォルトホストの設定」を参照してください。 ファイル/ディレクトリ⼊⼒のデフォルトホスト 128 Splunk Enterprise を集中ログアーカイブマシン上で実⾏している場合、または環境内の他のホストから転送され たファイルを処理している場合、特定の⼊⼒から取り込まれるイベントの、デフォルトのホスト割り当てに優先す る設定を⾏わなければならないことがあります。 特定の⼊⼒から取り込まれたデータのホスト値を割り当てるには、2 種類の⽅法があります。特定の⼊⼒から取り 込まれるすべてのデータに対して、静的なホスト値を定義する、またはパスの⼀部やソースのファイル名などを、 ホスト値に動的に割り当てることができます。各ホストのログアーカイブを異なるサブディレクトリに分類するよ うなディレクトリ構造を採⽤している場合は、後者の⽅法が役⽴ちます。 詳細は、このマニュアルの「ファイル/ディレクトリ⼊⼒のデフォルトホストの設定」を参照してください。 イベント固有の割り当て 状況によっては、イベントデータを調査してホスト値を割り当てなければならないこともあります。たとえば、イ ベントを Splunk Enterprise に送信する集中ログホストがある場合、そのメインのログサーバーには複数のホス トサーバーがデータを送信しています。各イベントにその⽣成元サーバーのホスト値を確実に設定するには、その イベントのデータを使ってホスト値を決定する必要があります。 詳細は、このマニュアルの「イベントデータに基づくホスト値の設定」を参照してください。 誤って割り当てられたホスト値の取り扱い イベントデータに誤ったホスト値が割り当てられた場合でも、⼼配することはありません。このような問題を修正 するための、さまざまな⼿段が存在しています。 詳細は、このマニュアルの「誤って割り当てられたホスト値の取り扱い」を参照してください。 ホスト値のタグ設定 正確なサーチを実⾏する⼿助けとして、ホスト値にタグを設定することができます。タグを利⽤することで、さま ざまなホストのグループを有⽤なサーチ可能カテゴリに変換することができます。 詳細は、『ナレッジ管理』マニュアルの「タグとエイリアスについて」を参照してください。 Splunk Enterprise サーバーのデフォルトホストの設定 イベントのホスト値は、イベントが⽣成されたネットワーク上の物理デバイスの、IP アドレス、ホスト名、また は完全修飾ドメイン名です。Splunk Enterprise はインデックス時に、インデックスを作成した各イベントに対し て host 値を割り当てるため、ホスト値でサーチを実⾏することで、特定のデバイスに由来するデータを⼿軽に発 ⾒することができます。 デフォルトのホスト割り当て ソースに対して他のホストルールを指定していない場合 (この章で説明している情報を使って)、イベントのデフォ ルトのホスト値は、最初にイベントデータを取り込んだ Splunk インスタンス (フォワーダーまたはインデクサー) が動作しているサーバーの、ホスト名または IP アドレスになります。イベントが Splunk Enterprise インスタン スが動作しているサーバー上で⽣成された場合、そのホスト名割り当ては正確で、何も設定を変更する必要はあり ません。ただし、すべてのデータが他のホストから転送される、またはアーカイブデータの⼀括ロードを⾏う場 合、そのデータのデフォルトのホスト値を変更した⽅が良いことがあります。 host フィールドのデフォルト値を設定するには、Splunk Web を使⽤するか、または inputs.conf を編集します。 Splunk Web を使ったデフォルトホスト値の設定 Splunk Web を使って、サーバーのデフォルトホスト値を設定します。 1. Splunk Web で、画⾯の右上にある、[システム] リンクをクリックします。 2. [システム] で、[システム設定] をクリックします。 3. [システム設定] ページで、[全般設定] をクリックします。 4. [全般設定] ページで、[インデックス設定] セクションまでスクロールして、[デフォルトのホスト名] を変更 します。 5. 変更内容を保存します。 この Splunk Enterprise インスタンスに取り込まれるすべてのイベントの、host フィールドのデフォルト値が設 定されます。この章の後半で説明しているように、個別のソースまたはイベントに対して、この値に優先する設定 を⾏うことができます。 inputs.conf を使ったデフォルトホスト値の設定 インストール時に、デフォルトのホスト割り当ては inputs.conf に設定されます。$SPLUNK_HOME/etc/system/local/ 内、または $SPLUNK_HOME/etc/apps/ の独⾃のカスタム App ディレクトリ内にあるファイルを編集して、ホスト値を 変更することができます。 ホスト割り当ては、[default] スタンザに保管されています。 129 inputs.conf 内の、デフォルトのホスト割り当ての形式を以下に⽰します。 [default] host = <string> にデフォルトのホスト値を設定します。<string>のデフォルトは、データの起源となるホストの IP アドレ スまたはドメイン名です。 <string> 警告: <string> の値を引⽤符で囲まないでください。host=fooで、host="foo" ではありません。 inputs.conf への変更内容を反映するために、Splunk Enterprise を再起動してください。 注意: デフォルトで、host 属性には $decideOnStartup 変数が設定されています。これは、splunkd が動作している マシンのホスト名が設定されることを意味しています。splunk デーモンの開始時には毎回、値が再解釈されま す。 特定の⼊⼒から取り込んだデータのデフォルトホスト値に優先する設定 Splunk Enterprise を集中ログアーカイブマシン上で実⾏している場合、または環境内の他のホストから転送され たファイルを処理している場合、特定の⼊⼒から取り込まれるイベントの、デフォルトのホスト割り当てに優先す る設定を⾏わなければならないことがあります。 特定の⼊⼒から取り込まれたデータのホスト値を割り当てるには、2 種類の⽅法があります。特定の⼊⼒から取り 込まれるすべてのデータに対して、静的なホスト値を定義する、またはパスの⼀部やソースのファイル名などを、 ホスト値に動的に割り当てることができます。各ホストのログアーカイブを異なるサブディレクトリに分類するよ うなディレクトリ構造を採⽤している場合は、後者の⽅法が役⽴ちます。 詳細は、このマニュアルの「ファイル/ディレクトリ⼊⼒のデフォルトホストの設定」を参照してください。 イベントデータを使ったデフォルトホスト値に優先する設定 状況によっては、イベントデータを調査してホスト値を割り当てなければならないこともあります。たとえば、イ ベントを Splunk Enterprise に送信する集中ログホストがある場合、そのメインのログサーバーには複数のホス トサーバーがデータを送信しています。各イベントにその⽣成元サーバーのホスト値を確実に設定するには、その イベントのデータを使ってホスト値を決定する必要があります。 詳細は、このマニュアルの「イベントデータに基づくホスト値の設定」を参照してください。 ファイル/ディレクトリ⼊⼒のデフォルトホストの設定 特定のファイル/ディレクトリ⼊⼒のすべてのデータに、ホスト値を設定することができます。ホストは静的にま たは動的に設定することができます。 ホスト値を静的 に設定する場合、指定したファイル/ディレクトリ⼊⼒から取り込まれる各イベントには、 同じホスト名が割り当てられます。 ホスト値を動的 に設定する場合、正規表現またはソースのディレクトリ・パスのセグメントを使って、ソー ス⼊⼒の⼀部がホスト名として抽出されます。 また、ソースまたはソースタイプの値 (および他の種類の情報) に基づいて、特定のファイル/ディレクトリ⼊⼒か ら取り込まれるイベントにホスト値を割り当てることも可能です。詳細は、このマニュアルの「イベントデータに 基づくホスト値の設定」を参照してください。 注意: 現在 Splunk Enterprise では、TCP、UDP、またはスクリプト⼊⼒ 経由で取り込んだイベントデータ の、デフォルトのホスト設定は有効にはなっていません。 デフォルトホスト値の静的設定 この⽅法では、特定のファイル/ディレクトリ⼊⼒から取り込まれた各イベントに、単⼀のデフォルトホスト値が 適⽤されます。 注意: 静的なホスト値割り当ては、対応する⼊⼒から新たに取り込まれるデータにのみ適⽤されます。すでにイ ンデックスが作成されたデータに、デフォルトのホスト値を割り当てることはできません。代わりに、ホスト値に タグを設定することは可能です。 Splunk Web の使⽤ Splunk Web の [システム] にある [データ⼊⼒] ページから、ファイル/ディレクトリタイプの⼊⼒を新たに追加 した場合、そのファイル/ディレクトリ⼊⼒のホストを定義することができます。 1. Splunk Web の左上にある [システム] をクリックします。 2. [システム] ポップアップの [データ] セクションで、[データ⼊⼒] をクリックします。 3. [ファイルとディレクトリ] をクリックします。 4. [ファイルとディレクトリ] ページで、既存の⼊⼒の名前をクリックするか (更新する場合)、または [新規] をク リックして、新しいファイル/ディレクトリ⼊⼒を作成します。 5. [ホスト] セクションで、[ホスト設定] ドロップダウンから [定数値] オプションを選択します。 130 6. [ホストフィールドの値] フィールドに、この⼊⼒⽤の静的なホスト値を⼊⼒します。 7. [保存 ] をクリックします。 ⼊⼒および⼊⼒タイプの詳細は、このマニュアルの「Splunk Enterprise がモニターできる項⽬」を参照してくだ さい。 inputs.conf の編集 inputs.conf を直接編集して、モニター対象ファイル/ディレクトリ⼊⼒のホスト値を指定することができます。 適切なスタンザに host 属性を設定してください。 [monitor://<path>] host = <your_host> 内、または $SPLUNK_HOME/etc/apps/ の独⾃のカスタムアプリケーションディレクトリ 内にある inputs.conf を編集してください。設定ファイルの⼀般情報については、『管理マニュアル』の「設定 ファイルについて」を参照してください。 $SPLUNK_HOME/etc/system/local/ ⼊⼒および⼊⼒タイプの詳細は、このマニュアルの「Splunk Enterprise がモニターできる項⽬」を参照してくだ さい。 静的ホスト値割り当ての例 この例は、/var/log/httpd から取り込まれる任意のイベントを対象にしています。この⼊⼒から取り込まれるイベ ントには、webhead-1 の host 値が割り当てられます。 [monitor:///var/log/httpd] host = webhead-1 デフォルトホスト値の動的設定 この⽅法は、ソース⼊⼒パスのセグメントまたは正規表現から、ファイル/ディレクトリ⼊⼒のホスト値を動的に 抽出します。たとえば、アーカイブディレクトリのインデックスを作成する場合に、ディレクトリ内の各ファイル の名前に、関連するホスト情報が含まれている場合、その情報を抽出してそれを host フィールドに割り当てるこ とができます。 注意: 正規表現の構⽂と使⽤⽅法の概要については、Regular-Expressions.info を参照してください。正規表現 をテストするには、サーチ内で rex サーチ・コマンドを使ってそれらを指定します。正規表現式を作成、テストす るために役⽴つサードパーティ製ツールのリストも⽤意されています。 Splunk Web の使⽤ 1. Splunk Web の左上にある [システム] をクリックします。 2. [システム] ポップアップの [データ] セクションで、[データ⼊⼒] をクリックします。 3. [ファイルとディレクトリ] をクリックします。 4. [ファイルとディレクトリ] ページで、既存の⼊⼒の名前をクリックするか (更新する場合)、または [新規] をク リックして、新しいファイル/ディレクトリ⼊⼒を作成します。 5. [ホスト] セクションで、[ホスト設定] ドロップダウンから、次のいずれかのオプションを選択します。 正規表現パス - 正規表現を使ってホスト名を抽出する場合、このオプションを選択します。次に、[正規表 現] フィールドに、ホストを抽出する正規表現を⼊⼒します。 セグメントパス - データソースのパス内のセグメントからホスト名を抽出する場合、このオプションを選択 します。次に [セグメント番号] フィールドに、セグメント番号を⼊⼒します。たとえば、ソースへのパス が /var/log/<host server name> で、3 番⽬のセグメント (ホストサーバー名) をホスト値にする場合は、3 を ⼊⼒します。 6. [保存 ] をクリックします。 inputs.conf の編集 inputs.conf を直接編集して、動的なホスト抽出ルールを設定することができます。 内、または $SPLUNK_HOME/etc/apps/ の独⾃のカスタムアプリケーションディレクトリ 内にある inputs.conf を編集してください。設定ファイルの⼀般情報については、『管理マニュアル』の「設定 ファイルについて」を参照してください。 $SPLUNK_HOME/etc/system/local/ 正規表現を使って抽出した値で host フィールドを上書きするには、host_regex を使⽤します。 [monitor://<path>] host_regex = <your_regular_expression> 131 正規表現は各⼊⼒のファイル名から、host 値を抽出します。正規表現の最初の捕捉グループが、ホストとして使⽤ されます。 注意: 正規表現に⼀致する項⽬がない場合、デフォルトの host 属性がホストとして設定されます。 データソースのパス内のセグメントから抽出した値で、host フィールドを上書きするには、host_segment を使⽤し ます。たとえば、ソースへのパスが /var/log/<host server name> で、3 番⽬のセグメント (ホストサーバー名) をホ スト値にする場合は、⼊⼒スタンザは以下のようになります。 [monitor://var/log/] host_segment = 3 動的なホスト割り当ての例 この例では、正規表現により /var/log/foo.log からのすべてのイベントに、ホスト値「foo」が割り当てられます。 [monitor://var/log] host_regex = /var/log/(\w+) この例は、パス apache/logs 内の 3 番⽬のセグメントをホスト値に割り当てます。 [monitor://apache/logs/] host_segment = 3 注意事項 inputs.conf スタンザで 同じスタンザ内に host_segment host_regex 属性を使⽤する場合、いくつかの注意事項があります。 と host_segment 属性を同時に指定することはできません。 同じスタンザ内に host_segment と source 属性を同時に指定すると、host_segment 属性の動作が変化します。 ソースに対して指定した値に / (スラッシュ) が含まれている場合、host_segment に指定したセグメント 番号に基づいてホスト値が抽出されます。 source に / がない場合、または source で利⽤できるセグメント数よりも⼤きな host_segment 値を指定 すると、Splunk Enterprise はホスト値を抽出できません。代わりに、データを抽出したホスト名が使 ⽤されます。以下の例を参照してください。 例 1: ホスト名は server01、ソース・パスは /mnt/logs/server01、inputs.conf には以下の項⽬を設定: [monitor:///mnt/logs/] host_segment = 3 この場合、Splunk Enterprise はホスト名 フィールドにこの値を設定します。 server01 例 2: ホスト名は server01、ソース・パスは をソース・パス (/mnt/logs/server01/*) から抽出し、ホスト・ /mnt/logs/server01、inputs.conf には以下の項⽬を設定: [monitor:///mnt/logs/server01] source = /mnt/logs/server01 host_segment = 3 この場合、Splunk Enterprise はホスト名 定します。 server01 例 3: ホスト名は server02、ソース・パスは を source 属性から抽出し、ホスト・フィールドにこの値を設 /mnt/logs/server02、inputs.conf には以下の項⽬を設定: [monitor:///mnt/logs/server02] source = serverlogs host_segment = 3 この場合、指定された source からホスト・セグメント値を抽出できないため、Splunk Enterprise はホスト・ フィールドとして server02 を使⽤します。 注意: 絶対に必要な場合を除いて、明⽰的に source を指定しないでください。この属性を指定してデフォルトの ソース値に優先する設定を⾏う代わりに、ソースタイプ、タグ設定、およびサーチでのワイルドカードの使⽤を検 討してください。 イベントデータに基づくホスト値の設定 132 Splunk Enterprise では、イベント内のデータに基づいて、イベントにホスト名を割り当てることができます。こ のトピックでは、イベントデータを使った、デフォルトのホスト割り当てに優先する設定を⾏う⽅法を説明してい きます。 設定 イベント単位の優先設定を⾏うには、transforms.conf に 1 つ、そして props.conf にもう 1 つ、合計 2 つのスタン ザを作成する必要があります。$SPLUNK_HOME/etc/system/local/ 内、または $SPLUNK_HOME/etc/apps/ の独⾃のカスタム アプリケーションディレクトリ内にある、これらのファイルを編集します。設定ファイルの⼀般情報については、 『管理マニュアル』の「設定ファイルについて」を参照してください。 transforms.conf 以下の構⽂に従って、transforms.conf にスタンザを作成します。 [<unique_stanza_name>] REGEX = <your_regex> FORMAT = host::$1 DEST_KEY = MetaData:Host 以下の事項に注意してください。 は、関連するホスト値を反映する必要があります。この名前は、後ほど ンザで使⽤します。 <your_regex> は、ホスト値を抽出するイベント内の位置を⽰す正規表現です。 FORMAT = host::$1 は、REGEX の値を host:: フィールドに書き込みます。 <unique_stanza_name> props.conf スタ 注意: 正規表現の構⽂と使⽤⽅法の概要については、Regular-Expressions.info を参照してください。正規表現 をテストするには、サーチ内で rex サーチコマンドを使ってそれらを指定します。正規表現式を作成、テストする ために役⽴つサードパーティ製ツールのリストも⽤意されています。 props.conf 次に、props.conf に、transforms.conf のスタンザを参照するスタンザを作成します。 [<spec>] TRANSFORMS-<class> = <unique_stanza_name> 以下の事項に注意してください。 <spec> には、以下の値を使⽤できます。 <sourcetype>、イベントのソースタイプ。 host::<host>、ここで <host> はイベントのホストを表します。 はイベントのソース値を表します。 <class> は、変換に割り当てる任意で⼀意の識別⼦です。 <unique_stanza_name> は、transforms.conf で作成したスタンザ名です。 source::<source>、<source> 例 ファイルから、以下のイベントセットを処理する場合を考えてみましょう。ホストは 3 番⽬にあり ます (「fflanda」など) 。 houseness.log 41602046:53 accepted fflanda 41602050:29 accepted rhallen 41602052:17 accepted fflanda まず、transforms.conf に新しいスタンザを作成し、ホスト値を抽出する正規表現を設定します。 [houseness] DEST_KEY = MetaData:Host REGEX = \s(\w*)$ FORMAT = host::$1 次に、props.conf スタンザで transforms.conf スタンザを参照します。例: [source::.../houseness.log] TRANSFORMS-rhallen=houseness SHOULD_LINEMERGE = false 上記のスタンザには、追加の属性/値のペア 改⾏ごとに分割することを⽰しています。 SHOULD_LINEMERGE = false 133 が存在しています。この指定は、イベントを これでサーチ結果には、イベントが以下のように表⽰されるようになります。 誤って割り当てられたホスト値の取り扱い 何らかの理由で、⼀部のイベントに誤ったホスト値が割り当てられていることに気が付くこともあるでしょう。た とえば、Splunk Enterprise サーバー上のディレクトリにいくつかの Web プロキシのログを収集して保管してお り、host フィールドの値に優先する設定を忘れたまま、そのディレクトリを⼊⼒として追加し、それらのすべて のイベントのオリジナルのホスト値が、Splunk Enterprise ホストと同じになってしまうことがあります。 このような事態が発⽣した場合の対処⽅法を、複雑さの順番に記載していきます。 データセット全体を削除して、再度インデックス作成する。 サーチを使って誤ったホスト値を持つイベントを削除して、その後それらのイベントのインデックスを再作 成する。 不正なホスト値にタグを設定し、サーチにはそのタグを使⽤する。 CSV ルックアップを設定してホストをルックアップし、ルックアップ・ファイル内のそれを新しいフィール ド名にマップして、その新しい名前をサーチに使⽤する。 host フィールドから新しいフィールド (temp_host など) へのエイリアスを設定し、名前 temp_host を使って正 しいホスト名をルックアップする CSV ルックアップを設定し、次にルックアップでオリジナルの host を新 しいルックアップ値で上書きする (ルックアップの定義時に OUTPUT オプションを使⽤)。 これらの⽅法の中で、データのインデックスを削除してからインデックスを再作成できないけれども、データを削 除して再インデックスを作成できれば最⾼のパフォーマンスを実現できるような場合は、最後の⽅法が最適です。 ソースタイプの設定 ソースタイプが重要な理由 ソースタイプ は、Splunk Enterprise が取り込んだすべてのデータに割り当てるデフォルトフィールド の 1 つ です。これは、Splunk がインデックス作成時にデータを正しくフォーマットできるように、収集したデータの種 類を表しています。また、これはデータの分類⽅法でもあり、これを使ってデータを⼿軽にサーチすることができ ます。 ソースタイプに関する重要事項 Splunk Enterprise はソースタイプを使ってデータのフォーマット⽅法を判断するため、データには正しいソース タイプを割り当てることが⾮常に重要になります。これにより、インデックスが作成されたデータ (イベントデー タ ) は、適切なタイムスタンプ およびイベント分割 を使って、期待通りのデータが作成されます。そのため、以 降のデータに対するサーチがとても簡単になります。 たいていの場合、データに正しいソースタイプを割り当てるのはとても簡単です。Splunk Enterprise には、多数 の事前定義されたソースタイプが⽤意されています。⼀般的には、データの取り込み時に Splunk Enterprise が 正しいソースタイプを⾃動的に選択します。ただし、ユーザーによる介⼊が必要な場合もあります。特殊なデータ の場合、別の事前定義ソースタイプを⼿動で選択しなければならないこともあります。またデータが⾮常に特殊な 場合は、独⾃のイベント処理設定を持つ新たなソースタイプを作成する必要があります。データソースに異機種環 境データが含まれている場合は、イベント単位 (ソース単位ではない) にソースタイプを割り当てなければならな いこともあります。 データのインデックスが作成されたら他のフィールドと同様に、ソースタイプを使ってイベントデータをサーチす ることもできます。ソースタイプはデータを分類する主要な⼿段であるため、しばしばサーチで頻繁に利⽤されま す。 ⼀般的なソースタイプ ⼀般的な任意のデータ⼊⼒フォーマットを、ソースタイプにすることができます。ソースタイプの⼤半は、ログ フォーマットです。Splunk Enterprise が⾃動的に認識できる、⼀般的なソースタイプの例を以下に⽰します。 access_combined :NCSA 結合フォーマットの HTTP Web サーバーログ⽤。 apache_error :標準の Apache Web サーバーエラーログ⽤。 cisco_syslog :Cisco ネットワークデバイス (PIX ファイアウォール、ルーター、および ACS を含む) が ⽣成する標準 syslog ⽤、⼀般的には集中ログホストへのリモート syslog 経由。 websphere_core :WebSphere からのコアファイルエクスポート。 注意 :Splunk Enterprise が⾃動的に認識するソースタイプの⼀覧については、このマニュアルの「事前定義ソー スタイプの⼀覧」を参照してください。 ソースタイプの設定 134 ソースタイプに関連する、2 種類の基本的な設定タイプがあります。 取り込んだデータに明⽰的にソースタイプを割り当てる。 最初から、または既存のソースタイプを変更して、新しいソースタイプを作成する。 ソースタイプの割り当て たいていの場合、Splunk Enterprise がデータに最適なソースを判断し、取り込んだイベントに⾃動的にそれを割 り当てます。ただし、データにソースタイプを明⽰的に割り当てなければならないこともあります。通常この作業 は、データ⼊⼒の定義時に⾏います。ソースタイプ割り当ての改善⽅法の詳細は、以下のトピックを参照してくだ さい。 「⾃動ソースタイプ割り当てに優先する設定」 「イベント単位でのソースタイプに優先する設定」 「ルールベースのソースタイプ認識の設定」 「ソースタイプ名の変更」 このトピックの後半では、Splunk Enterprise によるソースタイプの割り当て⽅法が説明されています。 新しいソースタイプの作成 ご利⽤のデータのニーズに既存のソースタイプでは対応できない場合は、新しいソースタイプを作成することがで きます。 Splunk のデータプレビュー機能を利⽤すれば、ユーザーインターフェイスを使ってデータに合わせてソースタイ プの設定を⼿軽に調整することができます。本質的にこの機能は、ビジュアルなソースタイプエディタと呼ぶこと ができます。詳細は、「データへの適切なソースタイプの割り当て」を参照してください。 また、props.conf を直接編集して、ソースタイプのスタンザを追加することで、新しいソースタイプを作成する こともできます。新しいソースタイプの作成⽅法を学習するには、「ソースタイプの作成」を参照してください。 データプレビュー機能を使ったソースタイプのテストと変更 Splunk Web のデータプレビュー機能は、⼊⼒に適⽤したソースタイプの効果を⼿軽に参照することができま す。この機能では、実際にインデックスにイベントを書き込まずに、結果となるイベントをプレビューすることが できます。また、データのプレビュー機能を使って、タイムスタンプとイベント分割設定を対話形式で編集し、変 更内容を新たなソースタイプとして保存することもできます。データ・プレビュー機能をソースタイプ・エディタ として活⽤する⽅法については、「データへの適切なソースタイプの割り当て」を参照してください。 ソースタイプのサーチ は、ソースタイプサーチフィールド名です。sourcetype フィールドを使って、任意のソースタイプから の類似のデータタイプを探すことができます。たとえば、sourcetype=weblogic_stdout をサーチして、WebLogic が 複数のドメイン (Splunk の⽤語では「ホスト」) からログを記録している場合でも、すべての WebLogic サー バーイベントを探すことができます。 sourcetype Splunk Enterprise によるソースタイプの割り当て⽅法 Splunk Enterprise には、インデックス時にイベントデータにソースタイプを割り当てるためのさまざまな⽅法が ⽤意されています。イベントデータの処理時には、定義されている優先順位に従ってこれらの⽅法が適⽤されま す。まず、inputs.conf および props.conf 内のハードコード化されたソースタイプ設定から始めて、ルールベース のソースタイプ関連付けに移⾏し、次に⾃動ソースタイプ認識や⾃動ソースタイプ学習などの⽅法を利⽤します。 複数の⽅法を順次利⽤することで、Splunk Enterprise が特定の種類のイベントにソースタイプ値を適⽤する⽅法 を設定する⼀⽅で、他のイベントにはソースタイプ値を⾃動的に設定することができます。 Splunk Enterprise が、データ⼊⼒のソースタイプを決定するための処理⽅法を以下のリストに⽰します。 Splunk Enterprise は最初の⽅法から開始して、ソースタイプを判断できるまで、必要に応じてその他の⽅法を試 していきます。このリストでは、各レベルでのソースタイプ割り当ての設定⽅法の概要も説明されています。 1. データ⼊⼒に基づく明⽰的なソースタイプ指定 データ⼊⼒に対する明⽰的なソースタイプが⾒つかった場合は、ここで処理が中⽌されます。 これは、inputs.conf または Splunk Web で設定します。ファイル⼊⼒にソースタイプを割り当てるための inputs.conf 構⽂を以下に⽰します。 [monitor://<path>] sourcetype=<sourcetype> Splunk Web で⼊⼒の定義時に、ソースタイプを割り当てることもできます。このファイル⼊⼒に対する作業に ついては、このマニュアルの「Splunk Web の使⽤」を参照してください。このプロセスは、ネットワークや他 の⼊⼒のプロセスと似ています。 詳細は、「⼊⼒のソースタイプの指定」を参照してください。 2. データソースに基づく明⽰的なソースタイプ指定 特定のソースに対する明⽰的なソースタイプが⾒つかった場合は、ここで処理が中⽌されます。 135 これは、以下の構⽂を使って props.conf に設定できます。 [source::<source>] sourcetype=<sourcetype> 詳細は、「ソースのソースタイプの指定」を参照してください。 3. ルールベースのソースタイプ認識 ソースタイプに対して作成された、任意のルールが適⽤されます。 props.conf でソースタイプ分類ルールを作成することができます。 [rule::<rule_name>] sourcetype=<sourcetype> MORE_THAN_[0-100] = <regex> LESS_THAN_[0-100] = <regex> ソースタイプ認識ルールの設定の詳細は、「ルールベースのソースタイプ認識の設定」を参照してください。 4. ソースタイプの⾃動照合 次に、類似のファイルと照合して、ソースタイプの⾃動認識を⾏い、ソースタイプを割り当てます。 Splunk Enterprise はファイルまたはネットワーク⼊⼒ストリームの最初の数千⾏から、パターン⽤の署名を算出 します。これらの署名は、繰り返される単語パターン、句読点パターン、⾏の⻑さなどを識別します。Splunk Enterprise が署名を算出する際に、既知の事前定義されている⼀連のソースタイプと⽐較が⾏われます。⼀致す る項⽬があった場合は、そのソースタイプがデータに割り当てられます。 Splunk Enterprise が最初から認識できるソースタイプの⼀覧については、このマニュアルの「事前定義ソースタ イプの⼀覧」を参照してください。 5. 遅延型ルールベースのソースタイプ関連付け ここまでにソースタイプが特定できなかった場合、遅延型ルールが参照されます。 これは、ルールベースの関連付け (前述のステップ 3) と同じように機能します。props.conf に delayedrule:: スタ ンザを作成します。これは、Splunk が前述の照合で何も分からなかった場合に役⽴つ、汎⽤型のルールになりま す。 遅延型ルール関連付けは、前述のステップ 3 で rule:: を使って定義したソースタイプの汎⽤版として使⽤しま す。たとえば、rule:: を使って、「sendmail syslog」や「cisco syslog」などの特定の syslog ソースタイプから イベントデータを取得して、次に delayedrule:: で汎⽤型の「syslog」ソースタイプを残りの syslog イベントデー タに適⽤します。 構⽂を以下に⽰します。 [delayedrule::$RULE_NAME] sourcetype=$SOURCETYPE MORE_THAN_[0-100] = $REGEX LESS_THAN_[0-100] = $REGEX ソースタイプ認識の遅延型ルールの設定と削除の詳細は、「ルールベースのソースタイプ認識の設定」を参照して ください。 6. ソースタイプの⾃動学習 ここまでの⽅法でイベントにソースタイプを割り当てることができなかった場合、イベント署名⽤の新しいソース タイプが作成されます (前述のステップ 4 を参照)。Splunk Enterprise は、学習パターン情報を sourcetypes.conf に保存します。 ⾃動ソースタイプ割り当てに優先する設定 Splunk Enterprise はデータへのソースタイプの⾃動割り当てを試みます。割り当てるソースタイプを明⽰的に指 定することができます。データ⼊⼒またはデータソースに基づいて、ソースタイプを割り当てるように設定するこ とができます。 データへのソースタイプ割り当てルールの優先順位については、「Splunk によるソースタイプの割り当て⽅法」 を参照してください。 重要: 優先する設定は、ファイル/ディレクトリ⼊⼒にのみ機能します。ネットワーク⼊⼒のソースタイプに優先 する設定は⾏えません。また、優先設定はそれが設定された後に取り込まれたデータにのみ適⽤されます。すでに インデックスが作成されたイベントのソースタイプを修正するには、代わりにソースタイプのタグを設定してくだ さい。 ここでは、データに関する以下の事項に基づいた、ソースタイプの指定⽅法を説明していきます。 ⼊⼒ 136 ソース ⼊⼒のソースタイプの指定 などの、特定の⼊⼒から取り込まれたデータのソースタイプを明⽰的に割り当てることができます。こ の作業は、Splunk Web または inputs.conf 設定ファイルを使って⾏います。 /var/log/ 注意: ⼊⼒によるソースタイプの割り当ては⼿軽な⽅法に⾒えますが、きめ細かく調整することはできません。 この⽅法では、ある⼊⼒からのすべて のデータに同じソースタイプが割り当てられてしまいます (⼀部のデータが 別のソースやホストから取り込まれる場合でも)。より対象を絞り込み、ソースタイプの⾃動割り当てをバイパス するには、このトピックの後半で説明しているように、データのソースに基づいてソースタイプを割り当てます。 Splunk Web の使⽤ [システム] でデータ⼊⼒を定義する場合、その⼊⼒から取り込まれるすべてのデータに適⽤する、ソースタイプ値 を設定することができます。[システム] では、リストからソースタイプを選択したり、独⾃のソースタイプ値を⼊ ⼒したりすることができます。 ⼊⼒のソースタイプを選択するには、[システム] から⽬的のデータ⼊⼒の設定を探します。ファイル⼊⼒の場合の 例を以下に⽰します。 1. Splunk Web の左上にある [システム] をクリックします。 2. [システム] ポップアップの [データ] セクションで、[データ⼊⼒] をクリックします。 3. [ファイルとディレクトリ] をクリックします。 4. [新規] ボタンをクリックして、⼊⼒を追加します。 5. [その他の設定] ボックスを選択します。 6. [ソースタイプ] には、ソースタイプを設定するための 3 種類の選択肢があります。 ⾃動: このデフォルト設定では、データのソースタイプが⾃動的に選択されます。 リストから: ⼀般的な事前定義ソースタイプのリストが表⽰されます。このオプションの詳細は、次のセク ションを参照してください。 マニュアル: ドロップダウンリストに⽬的のソースタイプがないけれども、事前定義ソースタイプには含ま れている場合は、その値を⼿動で⼊⼒することができます。また、独⾃のソースタイプを⼿動で⼊⼒するこ ともできます。このオプションの詳細は後述しています。 ドロップダウンリストからのソースタイプの選択 ⼀般的な事前定義ソースタイプかのリストから、ソースタイプを選択することができます。 1. [ソースタイプを設定] ドロップダウンリストから、[リストから] を選択します。 2. 表⽰された [リストからソースタイプを選択] ドロップダウン リストから、ソースタイプを選択します。 3. ⼊⼒の設定を保存します。 その⼊⼒から取り込まれ、インデックスが作成されるすべてのイベントに対して、選択したソースタイプが割り当 てられるようになります。 注意: ドロップダウンリストには、⼀般的なソースタイプのみが表⽰されます。利⽤可能なすべての事前定義さ れたソースタイプについては、「事前定義ソースタイプの⼀覧」を参照してください。 ソースタイプの⼿動⼊⼒ 特定の⼊⼒から取り込まれるデータに対するソースタイプを、⼿動で⼊⼒することができます。 1. [ソースタイプを設定] ドロップダウンリストから、[マニュアル] を選択します。 2. 表⽰された [ソースタイプ] フィールドに、ソースタイプを⼊⼒します。Splunk の事前定義ソースタイプまた は独⾃のソースタイプを指定できます。 3. ⼊⼒の設定を保存します。 その⼊⼒から取り込まれ、インデックスが作成されるすべてのイベントに対して、指定したソースタイプが割り当 てられるようになります。 inputs.conf 設定ファイルを使⽤ inputs.conf に⼊⼒を設定する場合、その⼊⼒のソースタイプを指定することができま す。$SPLUNK_HOME/etc/system/local/ 内、または $SPLUNK_HOME/etc/apps/ の独⾃のカスタムアプリケーションディレク トリ内にある inputs.conf を編集してください。設定ファイルの⼀般情報については、『管理マニュアル』の「設 定ファイルについて」を参照してください。 ソースタイプを指定するには、⼊⼒のスタンザ内に sourcetype 137 属性を設定します。例: [tcp://:9995] connection_host=dns sourcetype=log4j source=tcp:9995 この例では、ポート 9995 の TCP ⼊⼒から取り込まれる、任意のイベントに対してソースタイプ「log4j」が設 定されます。 警告: 属性値は引⽤符で囲まないでください。sourcetype=log4jで、sourcetype="log4j" ではありません。 ソースのソースタイプの指定 ソースタイプの⾃動割り当てに優先して、特定のソースから取り込まれるすべてのデータに対して、単⼀のソース タイプを明⽰的に割り当てるには、props.conf を使⽤します。 内、または $SPLUNK_HOME/etc/apps/ の独⾃のカスタムアプリケーションディレクトリ 内にある props.conf を編集してください。設定ファイルの⼀般情報については、「設定ファイルについて」を参照 してください。 $SPLUNK_HOME/etc/system/local/ 重要: データを転送している場合に、ソースのソースタイプを割り当てるには、この作業をフォワーダー上の props.conf で⾏う必要があります。レシーバー上の props.conf で作業を⾏うと、その優先設定は機能しません。 ソースタイプ割り当ての優先設定を⾏うには、props.conf にソース⽤のスタンザを追加します。スタンザにはソー スパスを指定します。必要に応じて正規表現を使⽤してください。次に、sourcetype 属性でソースタイプを指定し ます。例: [source::.../var/log/anaconda.log(.\d+)?] sourcetype=anaconda この例は、/var/log/anaconda.log の後に任意の数の数字が続く⽂字列を含む、任意のソースから取り込まれるイベ ントに対して、ソースタイプ「anaconda」を設定します。 重要: スタンザのソースパス正規表現 ([source::.../web/....log] など) は、できる限り対象を限定するように設定 する必要があります。「...」で終了する正規表現は使⽤しないでください。たとえば、以下のようには指定しない でください。 [source::/home/fflanda/...] sourcetype=mytype このような設定は危険です。この場合、Splunk は /home/fflanda 内のすべての gzip ファイルを、gzip ファイルで はなく「mytype」ファイルとして処理してしまいます。 以下のように指定することをお勧めします。 [source::/home/fflanda/....log(.\d+)?] sourcetype=mytype 注意: 正規表現の構⽂と使⽤⽅法の概要については、Regular-Expressions.info を参照してください。正規表現 をテストするには、サーチ内で rex サーチコマンドを使ってそれらを指定します。正規表現式を作成、テストする ために役⽴つサードパーティ製ツールのリストも⽤意されています。 ルールベースのソースタイプ認識の設定 ルールベースのソースタイプ認識を使って、Splunk Enterprise が認識するソースタイプの種類を増やすことがで きます。props.conf に、特定のソースタイプと⼀連の基準を関連付ける rule:: スタンザを作成します。データの取 り込み時に、ルールの基準を満たすファイル⼊⼒に、指定したソースタイプが割り当てられます。 には、ルールと遅延型ルールの 2 種類のルールを作成することができます。これらのルールの違いは、 ソースタイプ処理プロセス中に、Splunk Enterprise がそれを確認する時期のみです。取り込まれたデータセット の処理時に、Splunk Enterprise はさまざまな⽅法でソースタイプを決定します。 props.conf データ⼊⼒またはソースに基づいて明⽰的なソースタイプ定義を確認後、props.conf に定義されている任意 の rule:: スタンザを参照し、それらのスタンザに定義されている分類ルールに基づいて、データのソースタ イプの特定が試みられます。 rule:: スタンザを参照しても⼀致するソースタイプがない場合、過去に学習したソースタイプと類似のパ ターンを識別する、ソースタイプの⾃動認識が試みられます。 それでも特定できない場合は、props.conf 内の delayedrule:: スタンザを参照して、それらのスタンザ内に定 義されているルールを使って、データのソースタイプの判断を試みます。 データへのソースタイプ割り当てルールの優先順位については、「Splunk Enterprise によるソースタイプの割り 当て⽅法」を参照してください。 スタンザに特別なソースタイプ⽤の分類ルールを指定し、また delayedrule:: スタンザには汎⽤ソースタイ プ向けの分類ルールを指定することができます。このように、専⽤のソースタイプに当てはまらない各種イベント rule:: 138 には、汎⽤のソースタイプが適⽤されます。たとえば、rule:: スタンザを使って、sendmail_syslog や cisco_syslogなどの特定の syslog ソースタイプを処理し、次に delayedrule:: スタンザを設定して、残りの syslog データに汎⽤型の syslog ソースタイプを適⽤できます。 設定 ソースタイプルールを設定するには、$SPLUNK_HOME/etc/system/local/ 内、または $SPLUNK_HOME/etc/apps/ の独⾃のカ スタムアプリケーションディレクトリ内にある props.conf を編集してください。設定ファイルの⼀般情報について は、『管理マニュアル』の「設定ファイルについて」を参照してください。 ルールを作成するには、props.conf に rule:: または delayedrule:: スタンザを追加します。スタンザのヘッダーに はルール名を指定して、スタンザ本⽂にソースタイプを定義します。ソースタイプを定義したら、ソースタイプ割 り当てルールを設定します。これらのルールは 1 つまたは複数の MORE_THAN および LESS_THAN ステートメントを使 ⽤して、データ内の正規表現に⼀定割合以上適合するパターンを探します。 ルールを作成するには、以下の構⽂を使⽤します。 [rule::<rule_name>] OR [delayedrule::<rule_name>] sourcetype=<source_type> MORE_THAN_[0-99] = <regex> LESS_THAN_[1-100] = <regex> および LESS_THAN 属性には数値を設定します。これは、正規表現に指定された⽂字列を含む⼊⼒⾏の割合 (パーセント) を表しています。たとえば、MORE_THAN_80 の場合、⾏数の 80% 以上に、関連する式が含まれていな ければなりません。LESS_THAN_20は、⾏数の 20% 以下が関連する式を含んでいることを表しています。 MORE_THAN 注意: 属性名は MORE_THAN_ となっていますが、実際にはこの属性は「〜を超える」ではなく、「以上」の意味を 持っています。同様に、LESS_THAN_ 属性は「以下」の意味で使⽤します。 ルールには、任意の数の MORE_THAN および LESS_THAN 条件を指定することができます。データファイルがルール内 のすべてのステートメントに合致する場合にのみ、そのルールのソースタイプが割り当てられます。たとえば、⾏ の 60% 以上がある正規表現に⼀致し、別の正規表現に⼀致する⾏が 20% 以下の場合にのみ、ファイル⼊⼒にそ のソースタイプを割り当てるルールを定義することができます。 注意: 正規表現の構⽂と使⽤⽅法の概要については、Regular-Expressions.info を参照してください。正規表現 をテストするには、サーチ内で rex サーチコマンドを使ってそれらを指定します。正規表現式を作成、テストする ために役⽴つサードパーティ製ツールのリストも⽤意されています。 例 Postfix syslog ファイル # postfix_syslog sourcetype rule [rule::postfix_syslog] sourcetype = postfix_syslog # If 80% of lines match this regex, then it must be this type MORE_THAN_80=^\w{3} +\d+ \d\d:\d\d:\d\d .* postfix(/\w+)?\[\d+\]: 分割可能テキスト⽤遅延型ルール # breaks text on ascii art and blank lines if more than 10% of lines have # ascii art or blank lines, and less than 10% have timestamps [delayedrule::breakable_text] sourcetype = breakable_text MORE_THAN_10 = (^(?:---|===|\*\*\*|___|=+=))|^\s*$ LESS_THAN_10 = [: ][012]?[0-9]:[0-5][0-9] 事前定義ソースタイプの⼀覧 Splunk Enterprise には、多数のソースタイプ定義が最初から⽤意されています。これらのソースタイプは、事前 定義ソースタイプと呼ばれています。 Splunk Enterprise は取り込んだデータの⼤半に、これらの事前定義ソースタイプを⾃動的に認識して割り当てる ことができます。また、⾃動的には認識できないけれども、Splunk Web または inputs.conf を使って⼿動で割り 当てられる事前定義ソースタイプも⽤意されています (「⾃動ソースタイプ割り当てに優先する設定」など、この 章の各トピックを参照)。 事前定義ソースタイプが⽬的のデータに適合する場合は、それを使⽤することをお勧めします。Splunk Enterprise は、事前定義ソースタイプのデータに対して、インデックスを適切に作成する⽅法を理解していま す。ただし、データが事前定義ソースタイプに適していない場合は、独⾃のソースタイプを作成することができま す (「ソースタイプの作成」を参照)。Splunk Enterprise は、独⾃のプロパティがない場合でも、実質的に任意の 形式のデータのインデックスを作成することができます。 139 ソースタイプの概要については、「ソースタイプが重要な理由」を参照してください。 ⾃動認識されるソースタイプ ソースタイプ名 access_combined 起源 例 NCSA 連結フォーマッ ト http Web サーバーログ (Apache や他の Web サーバー が⽣成可能) 10.1.1.43 - webdev [08/Aug/2005:13:18:16 0700] "GET / HTTP/1.0" 200 0442 "-" "check_http/1.10 (nagios-plugins 1.4)" "66.249.66.102.1124471045570513" 59.92.110.121 NCSA 連結フォーマット http Web サーバーログ (Apache や access_combined_wcookie 他の Web サーバーが⽣成可 能)、最後に cookie フィールド を追加 - - [19/Aug/2005:10:04:07 -0700] "GET /themes/splunk_com/images/logo_splunk.png HTTP/1.1" 200 994 "http://www.splunk.org/index.php/docs" "Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.7.8) Gecko/20050524 Fedora/1.0.4-4 Firefox/1.0.4" "61.3.110.148.1124404439914689" access_common apache_error NCSA 共通フォーマット httpWeb サーバーログ (Apache や他の Web サーバー が⽣成可能) 標準 Apache Web サーバーロ グ 10.1.1.140 - - [16/May/2005:15:01:52 -0700] "GET /themes/ComBeta/images/bullet.png HTTP/1.1" 404 304 [Sun Aug 7 12:17:35 2005] [error] [client 10.1.1.015] File does not exist: /home/reba/public_html/images/bullet_image.gif "","5106435249","1234","default","""James asterisk_cdr 標準 Asterisk IP PBX コール詳 細レコード Jesse""<5106435249>","SIP/52491ce3","","VoiceMail","u1234","2005-05-26 15:19:25","2005-05-26 15:19:25","2005-05-26 15:19:42",17,17,"ANSWERED","DOCUMENTATION" asterisk_event 標準 Asterisk イベントログ (管 理イベント) asterisk_messages 標準 Asterisk メッセージログ (エラーと警告) Aug 24 14:08:05 asterisk[14287]: Manager 'randy' logged on from 127.0.0.1 Aug 24 14:48:27 WARNING[14287]: Channel 'Zap/1-1' sent into invalid extension 's' in context 'default', but no invalid handler asterisk_queue 標準 Asterisk キューログ 1124909007|NONE|NONE|NONE|CONFIGRELOAD| Sep 14 10:51:11 stage-test.splunk.com Aug 24 cisco_syslog PIX ファイアウォール、ルー ター、ACS などを含めて、す べての Cisco ネットワークデ バイスが⽣成する標準 Cisco syslog、通常はリモート syslog 経由で集中ログホスト に送信される 2005 00:08:49: %PIX-2-106001: Inbound TCP connection denied from IP_addr/port to IP_addr/port flags TCP_flags on interface int_name Inbound TCP connection denied from 144.1.10.222/9876 to 10.0.253.252/6161 flags SYN on interface outside 2005-07-01-14.08.15.304000-420 I27231H328 LEVEL: Event PID db2_diag 標準 IBM DB2 データベース管 理およびエラーログ : 2120 TID : 4760 PROC : db2fmp.exe INSTANCE: DB2 NODE : 000 FUNCTION: DB2 UDB, Automatic Table Maintenance, db2HmonEvalStats, probe:900 STOP : Automatic Runstats: evaluation has finished on database TRADEDB 2005-08-19 09:02:43 1E69KN-0001u6-8E => exim_main Exim MTA メインログ support-notifications@splunk.com R=send_to_relay T=remote_smtp H=mail.int.splunk.com [10.2.1.10] 2005-08-08 12:24:57 SMTP protocol violation: exim_reject synchronization error (input sent without Exim 拒否ログ waiting for greeting): rejected connection from H=gate.int.splunk.com [10.2.1.254] linux_messages_syslog 標準 Linux syslog (⼤半のプ ラットフォームで /var/log/messages) linux_secure Linux securelog Aug 19 10:04:28 db1 sshd(pam_unix)[15979]: session opened for user root by (uid=0) Aug 18 16:19:27 db1 sshd[29330]: Accepted publickey for root from ::ffff:10.2.1.5 port 40892 ssh2 log4j log4j を使⽤する任意の J2EE サーバーが⽣成する log4j 標準 140 2005-03-07 16:44:03,110 53223013 [PoolThread- log4j サーバーが⽣成する log4j 標準 出⼒ 0] INFO [STDOUT] got some property... 050818 16:19:29 InnoDB: Started; log sequence number 0 43644 /usr/libexec/mysqld: ready for mysqld_error 標準 mysql エラーログ connections. Version: '4.1.10a-log' socket: '/var/lib/mysql/mysql.sock' port: 3306 Source distribution mysqld postfix_syslog 標準 mysql クエリーログ、テ キスト変換した mysql のバイ ナリログにも対応 53 Query SELECT xar_dd_itemid, xar_dd_propid, UNIX/Linux syslog 経由で報 告される標準 Postfix MTA ロ グ Mar 1 00:01:43 avas postfix/smtpd[1822]: xar_dd_value FROM xar_dynamic_data WHERE xar_dd_propid IN (27) AND xar_dd_itemid = 2 0141A61A83: client=host76117.pool80180.interbusiness.it[80.180.117.76] Aug 6 04:03:32 nmrjl00 sendmail[5200]: sendmail_syslog UNIX/Linux syslog 経由で報 告される標準 Sendmail MTA ログ q64F01Vr001110: to=root, ctladdr=root (0/0), delay=00:00:01, xdelay=00:00:00, mailer=relay, min=00026, relay=[101.0.0.1] [101.0.0.1], dsn=2.0.0, stat=Sent (v00F3HmX004301 Message accepted for delivery) sugarcrm_log4php log4php ユーティリティを使っ て報告される、標準 Sugarcrm アクティビティログ Fri Aug 5 12:39:55 2005,244 [28666] FATAL layout_utils - Unable to load the application list language file for the selected language(en_us) or the default language(en_us) ####<Sep 26, 2005 7:27:24 PM MDT> <Warning> weblogic_stdout 標準のネイティブ BEA 形式の Weblogic サーバーログ <WebLogicServer> <bea03> <asiAdminServer> <ListenThread.Default> <<WLS Kernel>> <> <BEA000372> <HostName: 0.0.0.0, maps to multiple IP addresses:169.254.25.129,169.254.193.219> -------------------------------------ComponentId: Application Server ProcessId: 2580 ThreadId: 0000001c ThreadName: Nondeferrable Alarm : 3 SourceId: com.ibm.ws.channel.framework.impl. WSChannelFrameworkImpl ClassName: MethodName: websphere_activity Websphere アクティビティロ グ、サービスログと呼ばれるこ ともあります Manufacturer: IBM Product: WebSphere Version: Platform 6.0 [BASE 6.0.1.0 o0510.18] ServerName: nd6Cell01\was1Node01\TradeServer1 TimeStamp: 2005-07-01 13:04:55.187000000 UnitOfWork: Severity: 3 Category: AUDIT PrimaryMessage: CHFW0020I: The Transport Channel Service has stopped the Chain labeled SOAPAcceptorChain2 ExtendedMessage: -----------------------------------------NULL---------------------------------------------- 0SECTION TITLE subcomponent dump routine NULL=============================== 1TISIGINFO signal 0 received 1TIDATETIME Date: 2005/08/02 at 10:19:24 1TIFILENAME Javacore filename: websphere_core Websphere からの Corefile エ クスポート /kmbcc/javacore95014.1122945564.txt NULL ---------------------------------------------0SECTION XHPI subcomponent dump routine NULL ============================== 1XHTIME Tue Aug 2 10:19:24 20051XHSIGRECV SIGNONE received at 0x0 in <unknown>. Processing terminated. 1XHFULLVERSION J2RE 1.3.1 IBM AIX build ca13120031105 NULL [7/1/05 13:41:00:516 PDT] 000003ae SystemErr R websphere_trlog_syserr IBM のネイティブ tr 形式の標 準 Websphere システムエラー ログ at com.ibm.ws.http.channel. inbound.impl.HttpICLReadCallback.complete (HttpICLReadCallback.java(Compiled Code)) (truncated) [7/1/05 13:44:28:172 PDT] 0000082d SystemOut O websphere_trlog_sysout IBM のネイティブ trlog 形式の 標準 Websphere system out ログ、Resin および Jboss の log4j サーバーログと似ていま すが (システムエラーログのサ 141 Fri Jul 01 13:44:28 PDT 2005 TradeStreamerMDB: 100 Trade stock prices updated: Current Statistics Total update Quote Price message count = 4400 Time to receive stock update すが (システムエラーログのサ ンプル形式)、重⼤度が低いイ ベントおよび情報通知イベント が含まれています alerts messages (in seconds): min: -0.013 max: 527.347 avg: 1.0365270454545454 The current price update is: Update Stock price for s:393 old price = 15.47 new price = 21.50 0050818050818 Sep 14 10:49:46 stagetest.splunk.com Windows_Host MSWinEventLog 0 Security 3030 Day Aug 24 00:16:29 2005 560 Security admin4 User Success Audit Test_Host windows_snare_syslog サードパーティ製 Intersect Alliance Snare エージェント 経由で UNIX/Linux サーバー 上の syslog に報告される、標 準 Windows イベントログ Object Open: Object Server: Security Object Type: File Object Name: C:\Directory\secrets1.doc New Handle ID: 1220 Operation ID: {0,117792} Process ID: 924 Primary User Name: admin4 Primary Domain: FLAME Primary Logon ID: (0x0,0x8F9F) Client User Name: - Client Domain: - Client Logon ID: - Accesses SYNCHRONIZE ReadData (or ListDirectory) Privileges -Sep 特殊ソースタイプ ソースタイプ名 known_binary 起源 例 ファイル名が⼀般的にログファイルではな くバイナリファイルとして知られているパ ターンと⼀致 mp3 ファイル、画像ファイル、.rdf、.dat など。これは明らかに⾮テキスト形式であ るファイルを取得することを⽬的にしてい ます。 事前定義ソースタイプ ⾃動的に認識されるもの、および⾃動的には認識されないものも含めた、すべての事前定義ソースタイプを以下に ⽰します。 カテゴ リ ソースタイプ アプリ ケー ション サー バー log4j、log4php、weblogic_stdout、websphere_activity、websphere_core、websphere_trlog データ ベース mysqld、mysqld_error、mysqld_bin メール exim_main、exim_reject、postfix_syslog、sendmail_syslog、procmail オペ レー ティン グシス テム linux_messages_syslog、linux_secure、linux_audit、linux_bootlog、anaconda、 anaconda_syslog、osx_asl、osx_crashreporter、osx_crash_log、osx_install、osx_secure、 osx_daily、osx_weekly、osx_monthly、osx_window_server、windows_snare_syslog、dmesg、 ftp、ssl_error、syslog, sar、rpmpkgs ネット ワーク novell_groupwise、tcp プリン タ cups_access、cups_error、spooler ルー ターと ファイ ア ウォー ル cisco_cdr、cisco_syslog、clavister VoIP asterisk_cdr、asterisk_event、asterisk_messages、asterisk_queue Web サー バー access_combined、access_combined_wcookie、access_common、apache_error、iis その他 snort 事前定義ソースタイプの設定の表⽰ Splunk Enterprise がどのような設定情報を使って特定のソースタイプのインデックスを作成するのかを理解する ために、btool ユーティリティを実⾏してプロパティの⼀覧を参照することができます。btool の使⽤⽅法の詳細 は、『Troubleshooting manual』の「Use btool to troubleshoot configurations」を参照してください。 tcp ソースタイプの設定の表⽰例を以下に⽰します。 142 $ ./splunk btool props list tcp [tcp] BREAK_ONLY_BEFORE = (=\+)+ BREAK_ONLY_BEFORE_DATE = True CHARSET = UTF-8 DATETIME_CONFIG = /etc/datetime.xml KV_MODE = none LEARN_SOURCETYPE = true MAX_DAYS_AGO = 2000 MAX_DAYS_HENCE = 2 MAX_DIFF_SECS_AGO = 3600 MAX_DIFF_SECS_HENCE = 604800 MAX_EVENTS = 256 MAX_TIMESTAMP_LOOKAHEAD = 128 MUST_BREAK_AFTER = MUST_NOT_BREAK_AFTER = MUST_NOT_BREAK_BEFORE = REPORT-tcp = tcpdump-endpoints, colon-kv SEGMENTATION = inner SEGMENTATION-all = full SEGMENTATION-inner = inner SEGMENTATION-outer = foo SEGMENTATION-raw = none SEGMENTATION-standard = standard SHOULD_LINEMERGE = True TRANSFORMS = TRANSFORMS-baindex = banner-index TRANSFORMS-dlindex = download-index TRUNCATE = 10000 maxDist = 100 pulldown_type = true イベント単位でのソースタイプに優先する設定 ここでは、イベント単位にソースタイプに優先する設定を⾏う⽅法を説明していきます。この処理は、「Splunk Enterprise によるソースタイプの割り当て⽅法」で説明しているように、Splunk Enterprise が初期割り当てを 完了した後のパーシング時に⾏います。 イベント単位の優先設定を⾏うには、transforms.conf と props.conf を使⽤します。 注意: この種類の優先設定処理はパーシング時に⾏われるため、インデクサーまたはヘビーフォワーダー上での み機能します。ユニバーサルフォワーダーでは利⽤できません。⼊⼒/パーシング/インデックス作成プロセスの過 程で利⽤できる設定については、『管理マニュアル』の「設定パラメータとデータパイプライン」を参照してくだ さい。 特定の⼊⼒またはソースから取り込まれたイベントデータの、基本的な (イベントタイプではない ) ソースタイプ 優先設定については、このマニュアルの「⾃動ソースタイプ割り当てに優先する設定」を参照してください。 設定 イベント単位の優先設定を⾏うには、transforms.conf に 1 つ、そして props.conf にもう 1 つ、合計 2 つのスタン ザを作成する必要があります。$SPLUNK_HOME/etc/system/local/ 内、または $SPLUNK_HOME/etc/apps/ の独⾃のカスタム アプリケーションディレクトリ内にある、これらのファイルを編集します。設定ファイルの⼀般情報については、 『管理マニュアル』の「設定ファイルについて」を参照してください。 transforms.conf 以下の構⽂に従って、transforms.conf にスタンザを作成します。 [<unique_stanza_name>] REGEX = <your_regex> FORMAT = sourcetype::<your_custom_sourcetype_value> DEST_KEY = MetaData:Sourcetype 以下の事項に注意してください。 は、関連するソースタイプを反映する必要があります。この名前は、後ほど props.conf スタンザで使⽤します。 <your_regex> は、独⾃のソースタイプを適⽤するイベントを表す正規表現です (特定のホスト名や他のフィー ルド値を持つイベントなど)。 <your_custom_sourcetype_value> は、正規表現に⼀致したイベントに適⽤するソースタイプです。 <unique_stanza_name> 143 注意: 正規表現の構⽂と使⽤⽅法の概要については、Regular-Expressions.info を参照してください。正規表現 をテストするには、サーチ内で rex サーチコマンドを使ってそれらを指定します。正規表現式を作成、テストする ために役⽴つサードパーティ製ツールのリストも⽤意されています。 props.conf 次に props.conf に、transforms.conf のスタンザを参照するスタンザを作成します。 [<spec>] TRANSFORMS-<class> = <unique_stanza_name> 以下の事項に注意してください。 <spec> には、以下の値を使⽤できます。 <sourcetype>、イベントのソースタイプ。 host::<host>、ここで <host> はイベントのホストを表します。 はイベントのソース値を表します。 <class> は、変換に割り当てる任意で⼀意の識別⼦です。 <unique_stanza_name> は、transforms.conf で作成したスタンザ名です。 source::<source>、<source> 例:単⼀の⼊⼒から取り込まれた異なるホストを持つイベントへのソースタイプの割り当 て 共有 UDP ⼊⼒ UDP514 がある場合を考えてみましょう。Splunk Enterprise インスタンスはこの⼊⼒を使っ て、さまざまなホストからのデータのインデックスを作成します。UDP514 経由で Splunk に取り込まれるデー タの中で、3 台のホスト (host1、host2、および host3) からのデータに、特定のソースタイプ「my_log」を割り 当てる必要があります。 まず始めに、Splunk が⼀般的に使⽤する、syslog イベントの host フィールドを抽出する正規表現を利⽤するこ とができます。これは、system/default/transforms.conf 内にあります。 [syslog-host] REGEX = :\d\d\s+(?:\d+\s+|(?:user|daemon|local.?)\.\w+\s+)*\[?(\w[\w\.\-]{2,})\]?\s FORMAT = host::$1 DEST_KEY = MetaData:Host この正規表現を、⽬的のホスト名 (この例では host1、host2、host3) からのイベントにのみ⼀致するように修正 します。 REGEX = :\d\d\s+(?:\d+\s+|(?:user|daemon|local.?)\.\w+\s+)*\[?(host1|host2|host3)[\w\.\-]*\]?\s これらの 3 台のホストからのイベントに します。 my_log ソースタイプを適⽤する変換内で、この修正した正規表現を使⽤ [set_sourcetype_my_log_for_some_hosts] REGEX = :\d\d\s+(?:\d+\s+|(?:user|daemon|local.?)\.\w+\s+)*\[?(host1|host2|host3)[\w\.\-]*\]?\s FORMAT = sourcetype::my_log DEST_KEY = MetaData:Sourcetype 次にその変換を、特定の⼊⼒を識別する props.conf のスタンザ内に指定します。 [source::udp:514] TRANSFORMS-changesourcetype = set_sourcetype_my_log_for_some_hosts ソースタイプの作成 新しいソースタイプは、2 種類の⽅法で作成することができます。 Splunk Web の [ソースタイプの設定] を使⽤する。 props.conf 設定ファイルを編集する Splunk Web でのソースタイプの設定 Splunk Web の [ソースタイプの設定] ページでは、データにソースタイプを適⽤した効果を⼿軽に参照し、必要 に応じてソースタイプの設定を調整することができます。変更内容を新たなソースタイプとして保存して、それを データ⼊⼒に割り当てることができます。 このページでは、タイムスタンプ やイベント の分割を調整するための、⼀般的な種類の調整オプションが⽤意さ れています。その他の変更を⾏う場合は、props.conf ファイルを直接編集します。設定を変更すると、即座にイベ ントデータの変化を確認することができます。 詳細は、このマニュアルの「[ソースタイプの設定] ページ」を参照してください。 144 props.conf の編集 を編集して新しいスタンザを追加することで、新しいソースタイプを作成できます。props.conf の詳細 は、『管理マニュアル』の props.conf に関する記事を参照してください。 props.conf 内、または $SPLUNK_HOME/etc/apps/ の独⾃のカスタムアプリケーションディレクトリ 内にある、props.conf ファイルを編集します。設定ファイルの⼀般情報については、『管理マニュアル』の「設定 ファイルについて」を参照してください。 $SPLUNK_HOME/etc/system/local/ データプレビュー機能の [詳細モード] タブから、新しいソースタイプの props.conf スタンザを直接作成すること もできます。詳細は、「イベント処理の変更」の詳細モードに関するセクションを参照してください。 ソースタイプを作成する場合、サーチ可能イベントを作成するためのデータの処理⽅法を設定します。特に、2 つ の重要な設定を指定する必要があります。 イベント改⾏: props.conf を使ったイベント分割の指定⽅法については、「イベントの⾏分割の設定」を参 照してください。 タイムスタンプ: props.conf を使ったタイムスタンプの指定⽅法については、「タイムスタンプ認識の設 定」、およびこのマニュアルの「タイムスタンプの設定」内の、他のトピックを参照してください。 その他のさまざまな設定を⾏うこともできます。詳細は、props.conf の仕様を参照してください。 ソースタイプ名の変更 状況によっては、ソースタイプ名の変更が必要なこともあります。たとえば、⼊⼒に誤ったソースタイプ名を割り 当ててしまった場合に、ソースタイプ名の変更が必要になります。また、2 つの異なる名前のソースタイプを、 サーチ時に同時に処理しなければならないこともあります。 内で rename 属性を使って、サーチ時に新しいソースタイプをイベントに割り当てることができます。そ の後もそれを使ってサーチする必要がある場合、オリジナルのソースタイプは別のフィールド _sourcetype に移動 されます。 props.conf 注意: インデックス作成されたイベントには、引き続きオリジナルのソースタイプが含まれます。名前の変更は サーチ時にのみ⾏われます。また、ソースタイプ名を変更しても、最初に誤ったソースタイプを割り当てたことに より⽣成された、イベントデータのインデックスフォーマットが修正される訳ではありません。 ソースタイプ名を変更するには、ソースタイプスタンザに rename 属性を追加します。 rename = <string> 注意: ソースタイプ名には⽂字 a〜z、数字 0〜9、および _ (アンダースコア) ⽂字のみ使⽤できます。 たとえば、アプリケーションサーバーに対して、ソースタイプ「cheese_shop」を使⽤している場合を考えてみ ましょう。その後誤って、⼀連のデータをソースタイプ「whoops」としてインデックスを作成してしまいまし た。ソースタイプ名「whoops」を「cheese_shop」に変更するには、props.conf に以下のスタンザを指定しま す。 [whoops] rename=cheese_shop これで、「cheese_shop」でサーチを⾏うと、最初に使⽤していた「cheese_shop」ソースタイプのイベントだ けではなく、「whoops」ソースタイプのイベントも表⽰されるようになります。 sourcetype=cheese_shop 「whoops」イベントを選出する必要がない場合は、サーチに _sourcetype を使⽤することができます。 _sourcetype=whoops 重要: 名前を変更したソースタイプからのデータは、ターゲットソースタイプ (この例では「cheese_shop」) の サーチ時設定のみを使⽤します。オリジナルのソースタイプ (この例では「whoops」) で抽出されたフィールドは 無視されます。 イベントのセグメント分割の管理 セグメント分割について セグメント分割 は、インデックス 時にサーチ可能セグメント にイベントを分割し、もう⼀度サーチ 時に分割す るために⽤いられます。セグメント分割は、メジャー またはマイナー に分類できます。マイナーセグメントは、 メジャーセグメント内の分割セグメントです。たとえば、IP アドレス 192.0.2.223 は、メジャーセグメントです。 しかし、このメジャーセグメントは、192 のようなマイナーセグメント、または 192.0.2 のようなマイナーセグメ ントのグループに分割することができます。 145 イベントのセグメント分割の度合いを定義することができます。インデックス時セグメント分割 はインデックス 作成とサーチ速度、ストレージサイズ、および先⾏⼊⼒機能 (Splunk Web が提供する、サーチバーに⼊⼒したテ キストに⼀致する項⽬を表⽰する機能) の使⽤可否に影響するため、このことが重要になります。⼀⽅サーチ時セ グメント分割 はサーチ速度、および Splunk Web に表⽰された結果から項⽬を選択してサーチを作成できるかど うかに影響します。 「インデックス時」と「サーチ時」の違いについては、『インデクサーとクラスタの管理』マニュアルの「イン デックス時とサーチ時」を参照してください。 props.conf で、特定のカテゴリのイベントに、セグメント分割を割り当てることができます。詳細は、「イベン トデータのセグメント分割の設定」を参照してください。 イベントのセグメント分割のタイプ インデックス時またはサーチ時に設定できる、主に 3 種類のセグメント分割タイプ (レベル) があります。 インナーセグメント分割 は、細分可能なもっとも⼩さなマイナーセグメントにまでイベントを分割しま す。たとえば、192.0.2.223 のような IP アドレスにインナーセグメント分割を⾏うと、192、0、2、および 223 に分割されます。インデックス時にインナーセグメント分割を設定すると、インデックス作成および サーチ処理が⾼速化され、ディスクの使⽤量が減少します。ただし、先⾏⼊⼒機能は制限され、ユーザーは マイナーセグメントレベルでのみ先⾏⼊⼒を⾏えます。 アウターセグメント分割 は、インナーセグメント分割の反対です。アウターセグメント分割では、メ ジャーセグメントのインデックスのみが作成されます。たとえば、IP アドレス 192.0.2.223 は、192.0.2.223 としてインデックスが作成されます。この場合、フレーズ内の個別の部分はサーチできません。ただし、ワ イルドカードを使ってフレーズ内の⼀部をサーチすることは可能です。たとえば、192.0* でサーチする と、192.0 から始まる IP アドレスを持つ、任意のイベントを取得することができます。また、アウターセグ メント分割では、IP アドレスの 192.0 の部分 (セグメント) などの、サーチ結果内の個別のセグメントをク リックしてサーチを実⾏することはできません。アウターセグメント分割は、フルセグメント分割に⽐べて 少し効率性が⾼い傾向がありますが、インナーセグメント分割の⽅が⼤幅に効率が⾼くなります。 フルセグメント分割 は、インナーセグメント分割とアウターセグメント分割の組み合わせです。フルセグ メント分割の場合、IP アドレスはメジャーセグメントと、192.0 や 192.0.2 などの各種マイナーセグメントの 両⽅に対して、インデックスが作成されます。このオプションは効率的がもっとも低くなりますが、多彩な サーチ機能を利⽤することができます。 にある segmenters.conf ファイルは、利⽤可能なセグメント分割タイプを定義しま す。デフォルトで、インデックス時セグメント分割は indexing タイプ (インナーセグメント分割とアウターセグメ ント分割の組み合わせ) に設定されています。サーチ時セグメント分割には、フルセグメント分割が設定されてい ます。 $SPLUNK_HOME/etc/system/default セグメント分割なし スペース効率がもっとも⾼いセグメント分割設定が、セグメント分割を完全に無効にすることです。ただし、これ がサーチに与える影響は⼤きくなります。セグメント分割なしでインデックスを作成するように設定すると、 time、source、host、および source type などの、インデックス作成フィールドに対するサーチが制限されま す。キーワードに対するサーチでは、結果が返されません。サーチにパイプを使⽤して、結果を制限する必要があ ります。この設定は、⾼度なサーチ機能が不要な場合にのみ使⽤してください。 セグメント分割タイプの設定 segmenters.conf はセグメント分割タイプを定義しています。必要に応じて独⾃のセグメント分割タイプを定義す ることもできます。 デフォルトで利⽤できるセグメント分割タイプについては、$SPLUNK_HOME/etc/system/default 内の ファイルを参照してください。 segmenters.conf 重要: デフォルトのファイルは変更しないでください。既存のセグメント分割スタンザを変更、または新しいス タンザを作成する場合は、デフォルトファイルを $SPLUNK_HOME/etc/system/local/ または $SPLUNK_HOME/etc/apps/ 内の カスタム App ディレクトリにコピーしてください。設定ファイルとディレクトリの場所については、「設定ファ イルについて」を参照してください。 特定のホスト、ソース、またはソースタイプへのセグメント分割の設定 特定のホスト、ソース、またはソースタイプに、適⽤するインデックス時およびサーチ時セグメント分割を設定す ることができます。特定のソースタイプが関与するサーチを定期的に実⾏する場合、この機能を使ってそれらサー チのパフォーマンスを向上することができます。同様に、⽇常的に⼤量の syslog イベントのインデックスを作成 する場合に、この機能を使ってそれらのイベントが占有するディスクスペースを減らすことができます。 特定のイベントカテゴリへのセグメント分割タイプの適⽤⽅法については、「イベントデータのセグメント分割の 設定」を参照してください。 イベントデータのセグメント分割の設定 デフォルトでは、柔軟なサーチを可能にするために、インデックス作成中にイベントのセグメント分割が⾏われま す。さまざまなタイプのセグメント分割を利⽤できます。また、必要に応じてタイプを作成することもできます。 使⽤するセグメント分割のタイプは、インデックス作成速度、サーチ速度、およびインデックスが占有するディス ク量に影響を与えます。セグメント分割の詳細および各セグメント分割タイプのトレードオフについては、「セグ メント分割について」を参照してください。 Splunk Enterprise では、サーチ時にイベントをセグメント分割することもできます。サーチ時セグメント分割 は、Splunk Web で設定できます。「Splunk Web でのサーチ時セグメント分割の設定」を参照してください。 146 特定のホスト、ソース、またはソースタイプからのイベントの、サーチまたは処理⽅法が分かっている場合、その タイプのイベントにインデックス時セグメント分割を設定することができます。特定のタイプのイベントに、サー チ時セグメント分割を設定することもできます。 props.conf へのセグメント分割の指定 特定のホスト、ソース、またはソースタイプを持つイベントに対してセグメント分割を指定するには、props.conf 内の適切なスタンザにセグメント分割タイプを割り当てます。スタンザには、segmenters.conf に定義されたセグ メント分割タイプまたは「ルール」を割り当てます。事前定義されたタイプ (inner、outer、または full)、または 独⾃に定義したカスタムタイプを使⽤できます。独⾃のタイプの定義については、「セグメント分割タイプの設 定」を参照してください。 これらのタイプに対して props.conf に設定する属性は、インデックス時セグメント分割を設定するのか、または サーチ時セグメント分割を設定するのかによって異なります。 インデックス時セグメント分割の場合は、SEGMENTATION 属性を使⽤します。 サーチ時セグメント分割の場合は、SEGMENTATION-<segment selection> 属性を使⽤します。 スタンザ内にはいずれかの属性、または両⽅の属性を指定することができます。 スタンザは、$SPLUNK_HOME/etc/system/local/props.conf に追加します。 インデックス時セグメント分割 SEGMENTATION 属性は、インデックス時に使⽤されるセグメント分割タイプを決定します。構⽂を以下に⽰します。 [<spec>] SEGMENTATION = <seg_rule> [<spec>] には、以下の値を使⽤できます。 <sourcetype>:イベントデータ内のソースタイプ。 host::<host>:イベントデータ内のホスト値。 source::<source>:イベントデータ内のソース。 SEGMENTATION = <seg_rule> これは、[<spec>] イベントに対してインデックス時に使⽤する、セグメント分割タイプを⽰します。 <seg_rule> 次の所に定義されているセグメント分割タイプ、または「ルール」: segmenters.conf ⼀般的な設定は、inner、outer、none、および full ですが、デフォルトファイルには他の事前定義ルー ルも存在しています。 独⾃のルールを作成するには、$SPLUNK_HOME/etc/system/local/segmenters.conf を編集します。詳細は、 「セグメント分割タイプの設定」を参照してください。 サーチ時セグメント分割 SEGMENTATION-<segment_selection> 属性は、サーチ時に使⽤されるセグメント分割タイプを決定します。構⽂を以下 に⽰します。 [<spec>] SEGMENTATION-<segment_selection> = <seg_rule> [<spec>] には、以下の値を使⽤できます。 <sourcetype>:イベントデータ内のソースタイプ。 host::<host>:イベントデータ内のホスト値。 source::<source>:イベントデータ内のソース。 SEGMENTATION-<segment_selection> = <seg_rule> これは、[<spec>] イベントに対して、Splunk Web でサーチ時に使⽤する、セグメント分割タイプを⽰しま す。 は、以下のいずれかになる可能性があります。full、inner、outer、または raw。 これらの 4 つの値は、Splunk Web のサーチ結果の上にある [オプション] から表⽰する、[結果表⽰ オプション] パネルの [イベントのセグメント化] ドロップダウンに表⽰するオプションです。 これらの値は、単純に Splunk Web のドロップダウンで利⽤できるオプションです。この属性を使っ て、オプションが実⾏する実際のセグメント分割タイプを指定することができます (ドロップダウンに 表⽰されるオプションとは違う名前のタイプにすることもできます)。たとえば、通常そうすることは ありませんが、「inner」ドロップダウンオプションを定義して、「outer」セグメント分割タイプを実 ⾏することもできます。 ドロップダウンオプションを <seg_rule> にマップすることで、後ほどサーチ結果を参照する際に、そ のオプションを使ってサーチ時セグメント分割を設定することができます。詳細は、「Splunk Web でのサーチ時セグメント分割の設定」を参照してください。 <segment_selection> 147 <seg_rule> 次の所に定義されているセグメント分割タイプ、または「ルール」: segmenters.conf ⼀般的な設定は、inner、outer、none、および full ですが、デフォルトファイルには他の事前定義ルー ルも存在しています。 独⾃のルールを作成するには、$SPLUNK_HOME/etc/system/local/segmenters.conf を編集します。詳細は、 「セグメント分割タイプの設定」を参照してください。 例 この例では、syslog イベントに対して、インデックス時およびサーチ時の両⽅のセグメント分割ルールを設定しま す。 props.conf の [syslog] ソースタイプスタンザに、以下の項⽬を追加します。 [syslog] SEGMENTATION = inner SEGMENTATION-full= inner このスタンザは、syslog ソースタイプを持つすべてのイベントに対して、インデックス時のセグメント分割をイン ナーセグメント分割に変更します。また、Splunk Web 内で、[full] ラジオボタンを使って、それらのイベントの インナーセグメント分割を実⾏できるようになります。 注意: サーチ時セグメント分割の変更を反映するには、Splunk Enterprise を再起動する必要があります。既存 のデータにインデックス時セグメント分割の変更を適⽤するには、データのインデックスを再作成する必要があり ます。 Splunk Web でのサーチ時セグメント分割の設定 Splunk Web では、サーチ結果のセグメント分割を設定することができます。これは、インデックス時のセグメ ント分割には何も影響しません。ただし、Splunk Web でのサーチ時セグメント分割では、ブラウザの操作性に 影響し、サーチ結果の取得を⾼速化できる可能性があります。 サーチ結果のセグメント分割を設定するには: 1. サーチを実⾏します。結果を参照します。 2. 返されたイベントセットの上にある、[オプション...] をクリックします。 3. [イベントのセグメント化] ドロップダウンで、利⽤可能ないずれかのオプション (full、inner、outer、または raw) を選択します。デフォルトは「full」です。 これらのドロップダウンの意味を設定することができます。詳細は、「イベントデータのセグメント分割の設定」 を参照してください。 データ取り込みプロセスの改善 テスト⽤インデックスを使って⼊⼒をテストする 新しい⼊⼒を実働環境のインデックスに追加する前に、まずテストを実施することをお勧めします。⼊⼒をテスト ⽤インデックスに追加してください。⼊⼒から正しいデータが取り込まれ、⽣成されるイベントの形式も良好な場 合は、その⼊⼒にデフォルトの「main」インデックスを設定します。その後も新しい⼊⼒は、この⽅法でテスト してください。 ⼊⼒から⽬的のデータが取り込まれない場合、またはインデックスが作成されたイベントの形式が誤っている場合 は、適切な結果が出るまでテストと修正を⾏います。良好な結果が得られた場合は、⼊⼒を編集して main イン デックスを設定します。 Splunk Enterprise がテスト⽤インデックスに、どのようにデータのインデックスを作成するかをプレビューする ことができます。プレビュー中、いくつかのイベント処理設定を対話的に調整することができます。詳細は 「[ソースタイプの設定] ページ」を参照してください。 テスト⽤インデックスの使⽤ カスタムインデックスの作成と使⽤の詳細は、『インデクサーとクラスタの管理マニュアル』の「複数のインデッ クスの設定」を参照してください。基本的ないくつかのステップが存在しています。それぞれのステップは、対応 するトピックで詳細に説明しています。 1. Splunk Web または CLI を使⽤して、または直接 indexes.conf を編集して、テスト⽤インデックスを作成しま す。詳細は、「複数インデックスの設定」を参照してください。 2. データ⼊⼒の設定時に、イベントをテスト⽤インデックスにルーティングします。通常この作業は、Splunk Web を使って⾏えます。各⼊⼒に対して: a. [データの追加] ページで [その他の設定] オプションを選択します。「インデックス 」も含めて、さまざまな 新しいフィールドが表⽰されます。 b. [インデックス] ドロップダウンで、テスト⽤インデックスを選択します。そのデータ⼊⼒のすべてのイベント 148 が、選択したインデックスに送られます。 c. テスト⽤インデックスを送信する各データ⼊⼒に対して、この作業を繰り返します。 inputs.conf に⼊⼒を設定する際にインデックスを指定することも可能です。 3. サーチを実⾏する際に、サーチコマンドにテスト⽤インデックスを指定します。(デフォルトで Splunk Enterprise は「main」インデックスをサーチします。)index= コマンドを使⽤します。 index=test_index 注意 :テスト⽤インデックスで新しく作成した⼊⼒から取り込んだイベントをサーチする場合、フィールドサイ ドバー で時間範囲として [リアルタイム] > [全時間 (リアルタイム)] を使⽤することをお勧めします。リアルタイ ムサーチ の結果には、抽出されたタイムスタンプに関係なく、そのインデックスに書き込まれたすべてのイベン トが表⽰されます。この⽅法は、特に [過去 1 時間] または [リアルタイム] > [30 分のウィンドウ] のサーチでは 表⽰されない、履歴データのインデックスを作成している場合に役⽴ちます。 インデックスデータの削除とやり直し テスト⽤インデックスを消去してもう⼀度やり直したい場合は、CLI コマンドの clean を使⽤します。 ⼊⼒へのデフォルトインデックスの指定 結果が良好で実際にインデックスを作成する準備ができたら、データ⼊⼒を編集してテスト⽤インデックスの代わ りにデフォルトの「main」インデックスを設定します。この作業は簡単です。最初にテスト⽤インデックスを作 成した作業の設定内容を元に戻すだけです。すでに設定した各データ⼊⼒に対して: 1. 当初⼊⼒を設定した場所に戻ります。たとえば、Splunk Web の [データの追加] ページで⼊⼒を設定した場合 は、その⼊⼒の設定画⾯に戻ります。 a. [システム] > [システム設定] > [データ⼊⼒] を選択します。 b. ⼊⼒のデータタイプを選択して、設定されているそのタイプのすべての⼊⼒を⼀覧表⽰します。 c. 編集するデータ⼊⼒を選択します。編集画⾯が表⽰されます。 d. [詳細設定を表⽰] オプションを選択します。[インデックス] フィールドに移動します。 e. [インデックス] ドロップダウンで、[main] インデックスを選択します。そのデータ⼊⼒のすべてのイベント が、選択したインデックスに送られます。 inputs.conf を使って⼊⼒を設定した場合は、そのファイルを編集してインデックスを変更することができます。 2. これで、サーチを実⾏する際に、サーチコマンドにインデックスを指定する必要がなくなります。デフォルトで Splunk Enterprise は「main」インデックスをサーチします。 データ損失を防⽌するための persistent queue の使⽤ persistent queue を使⽤することで、⼊⼒キュー内のデータをディスクに保管することができます。そうする ことで、フォワーダー やインデクサー をバックアップする場合に、データの損失の防⽌に役⽴ちます。 デフォルトで、フォワーダーとインデクサーは、メモリー内に 500KB の⼊⼒キューを確保しています。⼊⼒スト リームがフォワーダー/インデクサーの処理限度を超え、キューが⼀杯になった場合、望ましくない事態が発⽣し てしまいます。UDP の場合は、データがキューから破棄されて、失われてしまいます。他の⼊⼒タイプの場合、 データを⽣成しているアプリケーションがバックアップされます。 persistent queue を採⽤することで、このような問題の発⽣を防⽌することができます。persistent queue を使 ⽤すると、メモリー内のキューが⼀杯になった場合、⼊⼒ストリームはディスク上のファイルに書き込まれます。 次に、データストリームを直接処理できるようになるまでの間、キューからのデータ (メモリー内とディスク上の 両⽅) が処理されます。 重要: persistent queue は、Splunk Enterprise がバックアップされた場合のデータ損失を防⽌するために役⽴ ちます。ただし、完全な解決策とはなりません。Splunk Enterprise がクラッシュした場合は、データが失われる 可能性があります。たとえば、⼊⼒データの⼀部をメモリー内キュー、および persistent queue ファイルに保管 している場合を考えてみましょう。クラッシュが発⽣した場合、メモリー内のデータは失われてしまいます。同様 に、パーシングまたはインデックス作成パイプライン内にあり、まだディスクに書き込まれていないデータも、ク ラッシュ時に失われてしまう可能性があります。 注意: Splunk Enterprise 4.2 以降では、persistent queue が⼤幅に改良されて再実装されました。これはデー タ⼊⼒ (取り込み) の機能となり、inputs.conf で設定を⾏います。従来の outputs.conf で設定する、廃⽌予定の persistent queue 機能とは何の関連もなくなりました 。 persistent queue を使⽤できる場合 persistent queue は、特定のタイプの⼊⼒に対して利⽤できます。すべてのタイプで利⽤できる訳ではありませ ん。⼀般的にこのキューは、ネットワーク⼊⼒などの短期的な性質を持つ⼊⼒に対して利⽤できます。ファイルの モニタリングなどの、継続的な性質がある⼊⼒には利⽤できません。 persistent queue は、以下の⼊⼒タイプで使⽤できます。 TCP UDP 149 FIFO スクリプト⼊⼒ Windows イベントログ⼊⼒ persistent queue は、以下の⼊⼒タイプでは使⽤できません。 モニター バッチ ファイルシステム変更監視 splunktcp (Splunk フォワーダーからの⼊⼒) persistent queue の設定 persistent queue を設定するには、inputs.conf ファイルを使⽤します。 複数の⼊⼒がキューを共有することはありません。persistent queue は、特定の⼊⼒のスタンザ内に設定しま す。 構⽂ persistent queue を作成するには、特定の⼊⼒のスタンザ内に、以下の 2 つの属性を指定します。 persistentQueueSize = <integer>(KB|MB|GB|TB) * Max size of the persistent queue file on disk. * Defaults to 0 (no persistent queue). 例 TCP ⼊⼒への persistent queue の設定例を以下に⽰します。 [tcp://9994] persistentQueueSize=100MB persistent queue の場所 persistent queue はハードコード化された場所を持ち、⼊⼒タイプによって異なります。 ネットワーク⼊⼒の場合、persistent queue は以下の場所にあります。 $SPLUNK_HOME/var/run/splunk/[tcpin|udpin]/pq__<port> 注意: ファイル名には 2 つのアンダースコアが使⽤されています。pq__<port>で、pq_<port> ではありません。 例: TCP ポート 2012 の persistent queue: UDP ポート 2012 の persistent queue: FIFO ⼊⼒の場合、persistent queue は $SPLUNK_HOME/var/run/splunk/tcpin/pq__2012 $SPLUNK_HOME/var/run/splunk/udpin/pq__2012 $SPLUNK_HOME/var/run/splunk/fifoin/<encoded path> スクリプト⼊⼒の場合は、$SPLUNK_HOME/var/run/splunk/exec/<encoded FIFO/スクリプト⼊⼒スタンザは、<encoded path> を取得します。 path> 下に保管されます。 下に保管されます。inputs.conf 内の ⼊⼒プロセスのトラブルシューティング ⽬的のイベントが⾒つかりませんか? Splunk Enterprise にデータ⼊⼒を追加する場合、そのデータ⼊⼒は使⽤している App に対して追加されます。 *nix および Windows App など⼀部の App は、⼊⼒から取り込まれたデータを特定のインデックスに書き込みま す (*nix および Windows App の場合は、「os」インデックス)。Splunk Enterprise に取り込んだはずのデータ が⾒つからない場合は、適切なインデックスを使⽤しているかどうかを確認してください。使⽤しているロールに 対して、デフォルトインデックスのリストに「os」インデックスを追加することもできます。ロールの詳細は、 『Splunk Enterprise のセキュリティ』のロールに関するトピックを参照してください。 注意: inputs.conf を編集して⼊⼒を追加した場合、Splunk Enterprise がそれを即座には認識できない可能性が あります。Splunk Enterprise は前回再起動された時点から、24 時間ごとに⼊⼒を確認します。つまり、ディレ クトリやファイルをモニターするスタンザを新たに追加した場合、Splunk Enterprise がそのディレクトリまたは ファイルの内容のインデックス作成を開始するまでに、最⾼で 24 時間かかることを意味しています。⼊⼒が即座 に認識され、インデックス作成が開始されるようにするには、Splunk Web を使⽤するか、または CLI で add コ マンドを使って、⼊⼒を追加してください。 tail が実⾏されたファイルのトラブルシューティング FileStatus REST エンドポイントを使って、tail が実⾏されたファイルのステータスを取得することができます。 150 例: curl https://serverhost:8089/services/admin/inputstatus/TailingProcessor:FileStatus モニター⼊⼒のトラブルシューティング モニター⼊⼒の問題に対処するためのさまざまな情報については、コミュニティ Wiki の「Troubleshooting Monitor Inputs」を参照してください。 フォワーダーから送られてくるデータが⾒つからない場合 フォワーダーが正常に機能しており、インデクサーから⾒えることを確認してください。デプロイモニター App を使って、Splunk トポロジーのトラブルシューティングを⾏って、フォワーダーに関する問題の主原因を調査す ることができます。詳細は、『Deploy and Use Splunk Deployment Monitor App』マニュアルを参照してくだ さい。 レシピ フォワーダー フォワーダーの⼊⼒の設定は、インデクサーでの設定と同じ⽅法で⾏えます。唯⼀の違いが、フォワーダーには Splunk Web が含まれていないため、⼊⼒を CLI または inputs.conf を使って設定する必要があることです。⼊⼒ を設定する前に、このレシピで説明するように、フォワーダーをデプロイ、設定する必要があります。 Splunk のフォワーダー を使って、レシーバー と呼ばれるインデクサーにデータを送信することができます。こ れが、リモート・データをインデクサーに取り込むために推奨する⽅法です。 フォワーダー、特にユニバーサルフォワーダーを使⽤してリモートデータを取り込む場合、フォワーダーとレシー バーのトポロジーを構築して、データ⼊⼒を設定する必要があります。 1. Splunk Enterprise インスタンスをレシーバーとしてインストールします。『インストール・マニュアル』を参 照してください。 2. Splunk Web または CLI を使って、これらのインスタンスの受信を有効にします。『データの転送』マニュア ルの「レシーバーを有効にする」を参照してください。 3. 受信側 Splunk Enterprise インスタンスのいずれかを、デプロイ・サーバーとして設定します。詳細は、 『Splunk Enterprise インスタンスの更新』マニュアルの「デプロイのプランニング」を参照してください。 4. App を $SPLUNK_HOME/etc/deployment_apps ディレクトリに保管して、デプロイ・サーバーに最低 1 つの App をデ プロイします。詳細は、『Splunk Enterprise インスタンスの更新』マニュアルの「デプロイ App の作成」を参 照してください。 5. フォワーダーをインストール、設定、デプロイします。設定中: 受信側インデクサーを指定します。*nix および Windows での⽅法を参照してください。 デプロイサーバーを指定します。 注意: 転送ニーズに応じて、さまざまなデプロイのベスト・プラクティスが存在しています。詳細は、『データ の転送』マニュアルの「ユニバーサル・フォワーダーのデプロイの概要」を参照してください。これらのシナリオ の⼀部では、インストール時にフォワーダーを設定することができます。 6. 各ユニバーサル・フォワーダーへのデータ⼊⼒設定のデプロイには、フォワーダー管理機能を使⽤します。この マニュアルの「データの転送」を参照してください。 7. テストを⾏って、転送やロード・バランシング、フィルタリングなどの、他の設定した動作が、⽬的通りに動作 することを確認します。結果データをサーチするには、レシーバーに移動します。 フォワーダーの詳細は、『データの転送』マニュアルの「転送と受信について」を参照してください。また、この マニュアルの「フォワーダーを使ったデータの取り込み」も参照してください。 ファイルとディレクトリ - ローカル Splunk Enterprise は、ファイルとディレクトリのイベントをモニターすることができます。システムがイベント を⽣成したら、Splunk Enterprise がそれのインデックスを作成して、サーチ、レポート、およびアラートを作 成、実⾏することができます。 ファイルやディレクトリから Splunk Enterprise にデータを取り込むには: A. [新規追加] ページに移動 ⼊⼒ (データの取り込み) は、Splunk Web の [新規追加] ページから追加します。2 種類の⽅法でこのページを表 ⽰できます。 Splunk ホーム Splunk 設定 Splunk 設定を使⽤する場合: 151 1. Splunk Web の右上にある [設定] をクリックします。 2. [設定] ポップアップの [データ] セクションで、[データ⼊⼒] をクリックします。 3. [ファイルとディレクトリ] をクリックします。 4. [新規] ボタンをクリックして、⼊⼒を追加します。 Splunk ホームを使⽤する場合: 1. Splunk ホームの [データの追加] リンクをクリックします。 2. ファイルをアップロードするには [アップロード] を、ファイルをモニターするには [モニター] を、ファイル を転送するには [転送] をクリックします。 注意: ファイルの転送には、追加設定が必要です。このマニュアルの「データの転送」を参照してください。 B. ⼊⼒ソースの選択 1. ファイルまたはディレクトリ⼊⼒を追加するには、[ファイルとディレクトリ] をクリックします。 2. [ファイルまたはディレクトリ] フィールドで、ファイルまたはディレクトリへのフルパスを指定します。 共有ネットワークドライブをモニターするには、次のように⼊⼒します:<myhost>/<mypath>(Windows の場合は \\<myhost>\<mypath>)。Splunk Enterprise に、マウントされたドライブ、およびモニター対象ファイルに対する読 み取り権限があることを確認してください。 3. Splunk Enterprise によるファイルのモニター⽅法を選択します。 継続モニター :継続的なデータ取り込み (⼊⼒) を設定します。Splunk Enterprise はファイルの新しい データを継続的にモニターします。このオプションの詳細設定については、次のセクションを参照してくだ さい。 1 回インデックスを作成 :サーバーから Splunk Enterprise に、ファイルをコピーします。 4. 緑⾊の [次へ] ボタンをクリックします。 [ファイルまたはディレクトリ] フィールドでディレクトリを指定した場合、画⾯が更新され [ホワイトリス ト] および [ブラックリスト] フィールドが表⽰されます。これらのフィールドには、Splunk Enterprise が 含める (ホワイトリスト) または除外する (ブラックリスト) ファイルを照合するために使⽤する正規表現を 指定できます。「ホワイトリストまたはブラックリスト固有の到着データ」を参照してください。 それ以外の場合は、データのプレビューを⾏えます。 C. データのプレビューとそのソースタイプの設定 新しいファイル⼊⼒を追加する場合、データのソースタイプ を設定して、それがインデックス作成後にどのよう に表⽰されるかを設定します。そうすることにより、データが適切にフォーマットされ、必要な調整が⾏われるこ とが保証されます。 [ソースタイプの設定] ページについては、「[ソースタイプの設定] ページ」を参照してください。 ページの使⽤⽅法については、「イベント・データのソースタイプの表⽰と設定」を参照してください。 データ・プレビューをスキップすることを選択すると、[⼊⼒設定] ページが表⽰されます。 注意: Splunk Enterprise では、ディレクトリやアーカイブされたファイルのプレビューを表⽰できません。 D. ⼊⼒設定の指定 [⼊⼒設定] ページでは、アプリケーション・コンテキスト、デフォルトのホスト値、およびインデックスを指定 できます。これらのパラメータは省略することができます。 1. この⼊⼒の適切なアプリケーション・コンテキスト を選択します。 2. ホスト 名の値を設定します。さまざまな選択肢があります。ホスト値の設定の詳細は、「ホストについて」を 参照してください。 注意: [ホスト] は、イベントの host フィールドの設定のみを⾏います。Splunk Enterprise にネットワー ク上の特定のホストを探すように指⽰するものではありません。 3. この⼊⼒のデータを保管するインデックス を設定します。複数のインデックスを定義しており、それらの中の 1 つを使⽤する場合を除き、この値は「default」のままにしてください。ユーザーデータ⽤のインデックスに加 えて、Splunk Enterprise にはさまざまなユーティリティインデックスが存在しています。これらのインデックス も、このドロップダウンボックスに表⽰されます。 4. 緑⾊の [確認] ボタンをクリックします。 E. 選択項⽬の確認 ⼊⼒設定をすべて指定したら、選択内容をレビューすることができます。Splunk Enterprise には、モニターのタ イプ、ソース、ソースタイプ、アプリケーション・コンテキスト、インデックスなど (これ以外が表⽰されること もあります) の、選択したオプションが表⽰されます。 設定を確認します。意図通りの内容でない場合は、バナーの⽩い [< ] ボタンをクリックして、ウィザードの前のス 152 テップに戻ります。そうでない場合は、緑⾊の [送信] ボタンをクリックします。 [成功] ページが表⽰され、指定されたファイルまたはディレクトリのインデックス作成が開始されます。 ファイルやディレクトリからのデータの取り込みの詳細は、このマニュアルの「ファイルとディレクトリのモニ ター」を参照してください。 ファイルとディレクトリ - リモート リモート・マシンから Splunk Enterprise にログを取り込むもっとも簡単な⽅法は、ユニバーサル・フォワー ダー を使⽤することです。フォワーダーは、データを⽣成しているマシン上にインストールして、インデクサー にデータを送信するように設定します。フォワーダーはデータを取得して、イベントをインデクサーに転送しま す。インデクサーはイベントを処理、保管して、サーチで利⽤できるようにします。 これには、2 つのステップがあります。 1. リモートマシン上にフォワーダーを設定し、データの転送先となるインデクサーを設定します。「フォワー ダー」のレシピを参照してください。 2. データをモニターするように、フォワーダーの⼊⼒を設定します。この作業は、インデクサー上にデータがある 場合と同様です。ただし、フォワーダーには Splunk Web がないため、⼊⼒の設定には CLI を使⽤するか、また は inputs.conf を直接編集する必要があります。 ファイルをモニターするための⼊⼒の設定については、このマニュアルの「ファイルとディレクトリのモニ ター」を参照してください。 フォワーダーの設定に関するその他の情報は、このマニュアルの「フォワーダーを使ったデータの取り込 み」を参照してください。 Syslog - TCP/UDP Splunk Enterprise は TCP/UDP ポートで、1 つまたは複数のマシンの syslog サービスから送られてくるデータ を待ち受けることができます。これらのホストからの syslog データを収集して、⼿軽にサーチ、レポート、およ びアラートを利⽤することができます。 TCP または UDP 経由で syslog データを取得するには、syslog データが到着するネットワークポートで待機す るように、Splunk Enterprise を設定します。 A. [新規追加] ページに移動 ネットワーク⼊⼒は、Splunk Web の [データの追加] ページから追加します。このマニュアルの「データの追加 ⽅法は?」を参照してください。 2 種類の⽅法でこのページを表⽰できます。 Splunk ホーム Splunk 設定 Splunk 設定を使⽤する場合: 1. Splunk Web の右上にある [設定] をクリックします。 2. [設定] ポップアップの [データ] セクションで、[データ⼊⼒] をクリックします。 3. [TCP] または [UDP] を選択します。 4. [新規] ボタンをクリックして、⼊⼒を追加します。 Splunk ホームを使⽤する場合: 1. Splunk ホームの [データの追加] リンクをクリックします。 '2.ローカル・マシンのネットワーク・ポートをモニターするには、 [モニター] を、または 他のマシンから ネットワーク・データを受け取る場合は [転送] をクリックします。 注意: ファイルの転送には、追加設定が必要です。 3. [転送] を選択した場合、この⼊⼒を適⽤するフォワーダーのグループを選択または作成します。このマニュア ルの「データの転送」を参照してください。 '4.緑⾊ の [次へ] ボタンをクリックします。 B. ネットワーク⼊⼒の指定 1. 左パネルで、[TCP / UDP] をクリックして、⼊⼒を追加します。 2. TCP または UDP ⼊⼒を選択するには、[TCP] または [UDP] ボタンをクリックします。 2. [ポート] フィールドにポート番号を⼊⼒します。 注意: Splunk Enterprise を実⾏するユーザーには、ポートへのアクセス権が必要です。ストック UNIXシステ ムで 1024 未満のポートで待ち受ける場合、Splunk Enterprise を root として実⾏する必要があります。 153 3. 必要に応じて、[ソース名上書き] フィールドに、デフォルト値に優先する新たなソース名を⼊⼒します。 重要: この値を変更する前に、Splunk サポートにお問い合わせください。 4. TCP ⼊⼒の場合 [次からの接続のみを受け付け] フィールドで、ポートがすべてのホストからの接続を受け付 けるか、または 1 台のホストからの接続を受け付けるかを指定することができます。 1 台のホストからの接続のみを受け付ける場合は、そのホストのホスト名または IP アドレスを指定しま す。ワイルドカードを使⽤して、複数のホストを指定できます。 5. [次へ] をクリックして、[⼊⼒設定] ページで作業を続⾏します。 C. ⼊⼒の設定 [⼊⼒設定] ページでは、ソースタイプ、アプリケーション・コンテキスト、デフォルトのホスト値、およびイン デックスを指定できます。これらのパラメータは省略することができます。 1. [ソースタイプ] を設定します。これは、イベントに追加されるデフォルトのフィールドです。ソースタイプ は、タイムスタンプやイベント境界などの、処理する特徴の決定に⽤いられます。Splunk の⾃動ソースタイプ設 定に優先する設定を⾏うには、このマニュアルの「ソースタイプの⾃動割り当てに優先する設定」を参照してくだ さい。 2. ホスト 名の値を設定します。さまざまな選択肢があります。 IP: ⼊⼒プロセッサが、リモートサーバーの IP アドレスでホストを再書き込みするように設定します。 DNS: ホスト名にリモートサーバーの DNS エントリを設定します。 カスタム: ホストにユーザー定義ラベルを設定します。 ホスト値の設定の詳細は、「ホストについて」を参照してください。 注意: [ホスト] は、イベントの host フィールドの設定のみを⾏います。Splunk Enterprise にネットワー ク上の特定のホストを探すように指⽰するものではありません。 3. この⼊⼒のデータを保管するインデックス を設定します。異なる種類のイベントを取り扱うために、複数のイ ンデックスを定義している場合を除き、この値は「default」のままにしてください。ユーザーデータ⽤のイン デックスに加えて、Splunk Enterprise にはさまざまなユーティリティインデックスが存在しています。これらの インデックスも、このドロップダウンボックスに表⽰されます。 4. 緑⾊の [確認] ボタンをクリックします。 D. 選択項⽬の確認 ⼊⼒設定をすべて指定したら、選択内容をレビューすることができます。Splunk Enterprise には、モニターのタ イプ、ソース、ソースタイプ、アプリケーション・コンテキスト、インデックスなど (これ以外が表⽰されること もあります) の、選択したオプションが表⽰されます。 設定を確認します。意図通りの内容でない場合は、灰⾊の [< ] ボタンをクリックして、ウィザードの前のステップ に戻ります。そうでない場合は、緑⾊の [送信] ボタンをクリックします。 [成功] ページが表⽰され、指定されたネットワーク⼊⼒のインデックス作成が開始されます。 ネットワークからのデータの取得の詳細は、このマニュアルの「TCP および UDP ポートからのデータの取得」 を参照してください。 Windows イベントログ - ローカル Splunk Enterprise はローカル Windows のイベント・ログを収集できます。この⼊⼒を使って、セキュリティに 関するアラートを⽣成したり、Windows システムの状態を判断するために特定のイベント ID をサーチしたりす ることができます。 ローカルイベントログデータを取得するには、イベントログサービスを指定します。 A. [新規追加] ページに移動 Windows イベント・ログ⼊⼒は、Splunk Web の [新規追加] ページから追加します。このマニュアルの「データ の追加⽅法は?」を参照してください。 2 種類の⽅法でこのページを表⽰できます。 Splunk ホーム Splunk 設定 Splunk 設定を使⽤する場合: 1. Splunk Web の右上にある [設定] をクリックします。 2. [設定] ポップアップの [データ] セクションで、[データ⼊⼒] をクリックします。 3. [ローカル・イベント・ログの収集] をクリックします。 4. [新規] ボタンをクリックして、⼊⼒を追加します。 154 Splunk ホームを使⽤する場合: 1. Splunk ホームの [データの追加] リンクをクリックします。 2. ローカル Windows マシンのイベント・ログ・データをモニターするには、[モニター] をクリックします。他 の Windows マシンからイベント・ログ・データを転送するには、[転送] をクリックします。[データの追加 ソースの選択] ページが表⽰されます。 3. [転送] を選択した場合、この⼊⼒を適⽤するフォワーダーのグループを選択または作成します。このマニュア ルの「データの転送」を参照してください。 4. 緑⾊の [次へ] ボタンをクリックします。 B. ⼊⼒ソースの選択 1. 左側のパネルで、[ローカル・イベント・ログ] を探して選択します。 2. [イベント・ログの選択] リスト・ボックスで、この⼊⼒でモニターするイベント・ログ・チャネルを探しま す。 3. モニターする各イベント・ログ・チャネルを、それぞれ 1 回クリックします。Splunk Enterprise は、チャネ ルを [利⽤可能な項⽬] ウィンドウから [選択項⽬] ウィンドウに移動します。 4. チャネルの選択を解除するには、[選択項⽬] ウィンドウでその名前をクリックします。Splunk Enterprise は、 チャネルを [選択項⽬] ウィンドウから [利⽤可能な項⽬] ウィンドウに移動します。 5. すべてのイベント・ログを選択/選択解除するには、[すべて追加] または [すべて削除] リンクをクリックしま す。重要: すべてのチャネルを選択すると⼤量のデータのインデックスを作成することになり、ライセンスの上 限を超えてしまう可能性があります。 6. 緑⾊の [次へ] ボタンをクリックします。 C. ⼊⼒の設定 [⼊⼒設定] ページでは、アプリケーション・コンテキスト、デフォルトのホスト値、およびインデックスを指定 できます。これらのパラメータは省略することができます。 1. この⼊⼒の適切なアプリケーション・コンテキスト を選択します。 2. ホスト 名の値を設定します。さまざまな選択肢があります。ホスト値の設定の詳細は、「ホストについて」を 参照してください。 注意: [ホスト] は、イベントの host フィールドの設定のみを⾏います。Splunk Enterprise にネットワー ク上の特定のホストを探すように指⽰するものではありません。 3. データを保管するインデックス を設定します。異なる種類のイベントを取り扱うために、複数のインデックス を定義している場合を除き、この値は「default」のままにしてください。ユーザーデータ⽤のインデックスに加 えて、Splunk Enterprise にはさまざまなユーティリティインデックスが存在しています。これらのインデックス も、このドロップダウンボックスに表⽰されます。 4. 緑⾊の [確認] ボタンをクリックします。 D. 選択項⽬の確認 ⼊⼒設定をすべて指定したら、選択内容をレビューすることができます。Splunk Enterprise には、モニターのタ イプ、ソース、ソースタイプ、アプリケーション・コンテキスト、インデックスなど (これ以外が表⽰されること もあります) の、選択したオプションが表⽰されます。 設定を確認します。意図通りの内容でない場合は、⽩い [< ] ボタンをクリックして、ウィザードの前のステップに 戻ります。そうでない場合は、緑⾊の [送信] ボタンをクリックします。 [成功] ページが表⽰され、指定されたイベント・ログ・チャネルのインデックス作成が開始されます。 Windows イベント・ログ・データの取得の詳細は、『データの取り込み』マニュアルの「Windows イベント・ ログ・データの監視」を参照してください。 Windows イベントログ - リモート Splunk Enterprise は Windows イベント・ログをローカルに、または WMI 経由でリモートにモニターすること ができます。この⼊⼒を使って、セキュリティに関するアラートを⽣成したり、Windows システムの状態を判断 するために特定のイベント ID をサーチしたりすることができます。 重要: Windows イベント・ログをリモートに収集するには、リモート Windows マシンにアクセスするための適 切な権限があるユーザーとして、Splunk インスタンスをインストールする必要があります。このマニュアルの 「リモート Windows データのモニター⽅法決定の検討事項」を参照してください。 リモート Windows イベント・ログ・データを取得するには、リモート Windows マシンの Splunk Enterprise インスタンスを指定します。 A. [新規追加] ページに移動 155 ⼊⼒ (データの取り込み) は、Splunk Web の [新規追加] ページから追加します。このマニュアルの「 データの 追加⽅法は? 」 を参照してください。 2 種類の⽅法でこのページを表⽰できます。 Splunk ホーム Splunk 設定 Splunk 設定を使⽤する場合: 1. Splunk Web の右上にある [設定] をクリックします。 2. [設定] ポップアップの [データ] セクションで、[データ⼊⼒] をクリックします。 3. [リモートイベントログの収集] をクリックします。 4. [新規] ボタンをクリックして、⼊⼒を追加します。 Splunk ホームを使⽤する場合: 1. Splunk ホームの [データの追加] リンクをクリックします。 2. リモート Windows マシンのイベント・ログ・データをモニターするには、[モニター] をクリックします。 B. ⼊⼒ソースの選択 1. 左側のパネルで、[リモート・イベント・ログ] を探して選択します。 2. [イベント・ログ・コレクション名] フィールドに、この⼊⼒の覚えやすい⼀意の名前を⼊⼒します。 3. [このホストからログを選択] フィールドに、モニター対象イベント・ログ・チャネルを持つマシンの、ホスト 名または IP アドレスを⼊⼒します。 4. [ログの検索] ボタンをクリックして、指定したサーバー上の利⽤可能なイベント・ログ・チャネルのリストを 持つページを更新します。 5. モニターする各イベント・ログ・チャネルを、それぞれ 1 回クリックします。Splunk Enterprise は、チャネ ルを [利⽤可能な項⽬] ウィンドウから [選択項⽬] ウィンドウに移動します。 6. チャネルの選択を解除するには、[選択項⽬] ウィンドウでその名前をクリックします。Splunk Enterprise は、 チャネルを [選択項⽬] ウィンドウから [利⽤可能な項⽬] ウィンドウに移動します。 7. すべてのイベント・ログを選択/選択解除するには、[すべて追加] または [すべて削除] リンクをクリックしま す。重要: すべてのチャネルを選択すると⼤量のデータのインデックスを作成することになり、ライセンスの上 限を超えてしまう可能性があります。 8. [他のホストから同じセットのログを収集] フィールドに、前に選択したイベント・ログを持つ、その他のマ シンのホスト名または IP アドレスを⼊⼒します。複数のホストはカンマで区切ります。 9. 緑⾊の [次へ] ボタンをクリックします。 C. ⼊⼒の設定 [⼊⼒設定] ページでは、アプリケーション・コンテキスト、デフォルトのホスト値、およびインデックスを指定 できます。これらのパラメータは省略することができます。 1. この⼊⼒の適切なアプリケーション・コンテキスト を選択します。 2. ホスト 名の値を設定します。さまざまな選択肢があります。ホスト値の設定の詳細は、「ホストについて」を 参照してください。 注意: [ホスト] は、イベントの host フィールドの設定のみを⾏います。Splunk Enterprise にネットワー ク上の特定のホストを探すように指⽰するものではありません。 3. データを保管するインデックス を設定します。異なる種類のイベントを取り扱うために、複数のインデックス を定義している場合を除き、この値は「default」のままにしてください。ユーザーデータ⽤のインデックスに加 えて、Splunk Enterprise にはさまざまなユーティリティインデックスが存在しています。これらのインデックス も、このドロップダウンボックスに表⽰されます。 4. 緑⾊の [確認] ボタンをクリックします。 D. 選択項⽬の確認 ⼊⼒設定をすべて指定したら、選択内容をレビューすることができます。Splunk Enterprise には、モニターのタ イプ、ソース、ソースタイプ、アプリケーション・コンテキスト、インデックスなど (これ以外が表⽰されること もあります) の、選択したオプションが表⽰されます。 設定を確認します。意図通りの内容でない場合は、⽩い [< ] ボタンをクリックして、ウィザードの前のステップに 戻ります。そうでない場合は、緑⾊の [送信] ボタンをクリックします。 [成功] ページが表⽰され、指定されたイベント・ログ・チャネルのインデックス作成が開始されます。 Windows イベントログからのデータの取り込みの詳細は、このマニュアルの「Windows イベントログデータの モニター」を参照してください。 156 Windows レジストリ - ローカル Windows マシンのレジストリの変更をモニターすることができます。ハイブ全体をモニターする場合でも、1 つ のキーのみをモニターする場合でも、Splunk Enterprise のレジストリ・モニタリング・サービスはそれらのデー タを収集して、それに対してサーチ、レポート、アラートを実⾏することができます。 ローカル Windows のレジストリ変更データを収集するには、Splunk Enterprise をレジストリに接続します。 A. [新規追加] ページに移動 ⼊⼒ (データの取り込み) は、Splunk Web の [新規追加] ページから追加します。「データの追加⽅法は?」を参 照してください。 2 種類の⽅法でこのページを表⽰できます。 Splunk ホーム Splunk 設定 Splunk 設定を使⽤する場合: 1. Splunk Web の右上にある [設定] をクリックします。 2. [設定] ポップアップの [データ] セクションで、[データ⼊⼒] をクリックします。 3. [レジストリ監視] をクリックします。 4. [新規] ボタンをクリックして、⼊⼒を追加します。 Splunk ホームを使⽤する場合: 1. Splunk ホームの [データの追加] リンクをクリックします。 2. ローカル Windows マシンのレジストリ・データをモニターするには、[モニター] をクリックします。 B. ⼊⼒ソースの選択 1. 左側のパネルで、[レジストリ監視] を探して選択します。 2. [コレクション名] フィールドに、この⼊⼒の覚えやすい⼀意の名前を⼊⼒します。 3. [レジストリハイブ] フィールドに、モニターするレジストリキーへのパスを⼊⼒します。 4. パスが分からない場合は、[参照] ボタンをクリックして、モニターするレジストリキーのパスを選択します。 [レジストリハイブ] ウィンドウに、レジストリがツリービューで表⽰されます。ハイブ、キー、およびサブキー はフォルダで表され、値はドキュメントアイコンで表されます。 注意: HKEY_USERS, HKEY_CURRENT_USER, HKEY_LOCAL_MACHINE, および HKEY_CURRENT_CONFIG ハイブは、トップレベルのオ ブジェクトとして表⽰されます。HKEY_CLASSES_ROOT ハイブは、そのハイブの最初のサブレベルに存在しているサブ キー数のため、表⽰されません。HKEY_CLASSES_ROOT の項⽬にアクセスするには、HKEY_LOCAL_MACHINE\Software\Classes を選択します。 5. [レジストリハイブ] ウィンドウで、キー名をクリックして⽬的のレジストリキーを選択します。 キーの修飾名は、ウィンドウ下部にある [修飾名] フィールドに表⽰されます。 6. [選択] をクリックして、選択内容を確認してウィンドウを閉じます。 7. 開始ハイブ下の⼦ノードもモニターする場合は、[サブノードをモニター] を選択します。 注意: [サブノードをモニター] ノードは、Splunk Web でレジストリ・モニター⼊⼒を定義する際に作成され た、inputs.conf ファイルに追加する項⽬を⽰します。 モニターするキーまたはハイブの選択にツリー・ビューを使⽤し、[サブノードをモニター] を選択した場合、 Splunk Enterprise は正規表現 を、定義している⼊⼒のスタンザに追加します。正規表現 (\\\\?.*) は、選択した キーまたはそのサブキーを直接参照しないイベントをフィルタリングします。 [サブノードをモニター] を選択しない場合、Splunk Enterprise は選択したキーを直接参照しないイベントを フィルタリングする⼊⼒スタンザに、正規表現が追加されます (選択したキーのサブキーを参照するイベントを含 む)。 モニターするキーの指定にツリー・ビューを使⽤しない場合は、[サブノードをモニター] を選択し、[レジスト リ・ハイブ] に独⾃の正規表現を⼊⼒していない場合にのみ、正規表現が追加されます。 8. [イベントタイプ] で、選択したレジストリハイブに対してモニターするレジストリイベントタイプを選択しま す。 イベント タイプ Set 説明 Splunk Enterprise は、プログラムがレジストリサブキーに SetValue メソッドを実⾏した場合に、 157 Set Set イベントを⽣成し、既存のレジストリエントリの値の設定または上書きを⾏います。 Create Splunk Enterprise は、レジストリハイブ内でプログラムが CreateSubKey メソッドを実⾏した場 合に Create イベントを⽣成し、既存のレジストリハイブ内に新たなサブキーを作成します。 Delete Splunk Enterprise は、プログラムが DeleteValue または DeleteSubKey メソッドを実⾏した場合 に、Delete イベントを⽣成します。この⽅法は、特定の既存のキーの値を削除するか、または既存 のハイブからキーを削除します。 Rename Splunk Enterprise は RegEdit でレジストリキーまたはサブキーの名前を変更した場合、Rename イベントを⽣成します。 Open Splunk Enterprise は、プログラムがレジストリサブキー上で OpenSubKey メソッドを実⾏した場 合に、Open イベントを⽣成します (レジストリに含まれている設定情報をプログラムが必要とする 場合の処理など)。 Close Splunk Enterprise はプログラムがレジストリキーで Close メソッドを実⾏した場合に、Close イ ベントを⽣成します。これは、プログラムがキーのコンテンツの読み取りを完了した場合、または RegEdit でキーの値を変更した後に、値⼊⼒ウィンドウを終了した場合に発⽣します。 Query Splunk Enterprise はプログラムがレジストリサブキーで GetValue メソッドを実⾏した場合に、 Query イベントを⽣成します。 9. [プロセス・パス] フィールドに適切な値を⼊⼒して、Splunk Enterprise がレジストリをモニターするプロセ スを Splunk に指⽰します。または、すべてのプロセスをモニターする場合は、デフォルトの C:\.* を使⽤しま す。 10. レジストリ変更のモニタリングを開始する前に、レジストリ全体のベースラインスナップショットを取得する かどうかを指定します。ベースラインを設定するには、[ベースラインインデックス] で [はい] をクリックしま す。 注意: ベースラインスナップショットは、スナップショット取得時のレジストリ全体のインデックスです。ベー スラインインデックスを設定するためのレジストリのスキャンは、CPU を消費するためある程度時間がかること があります。 11. 緑⾊の [次へ] ボタンをクリックします。 C. ⼊⼒の設定 [⼊⼒設定] ページでは、アプリケーション・コンテキスト、デフォルトのホスト値、およびインデックスを指定 できます。これらのパラメータは省略することができます。 1. この⼊⼒の適切なアプリケーション・コンテキスト を選択します。 2. ホスト 名の値を設定します。さまざまな選択肢があります。ホスト値の設定の詳細は、「ホストについて」を 参照してください。 注意: [ホスト] は、イベントの host フィールドの設定のみを⾏います。Splunk Enterprise にネットワー ク上の特定のホストを探すように指⽰するものではありません。 3. データを保管するインデックス を設定します。異なる種類のイベントを取り扱うために、複数のインデックス を定義している場合を除き、この値は「default」のままにしてください。ユーザーデータ⽤のインデックスに加 えて、Splunk Enterprise にはさまざまなユーティリティインデックスが存在しています。これらのインデックス も、このドロップダウンボックスに表⽰されます。 4. 緑⾊の [確認] ボタンをクリックします。 D. 選択項⽬の確認 ⼊⼒設定をすべて指定したら、選択内容をレビューすることができます。Splunk Enterprise には、モニターのタ イプ、ソース、ソースタイプ、アプリケーション・コンテキスト、インデックスなど (これ以外が表⽰されること もあります) の、選択したオプションが表⽰されます。 設定を確認します。意図通りの内容でない場合は、⽩い [< ] ボタンをクリックして、ウィザードの前のステップに 戻ります。そうでない場合は、緑⾊の [送信] ボタンをクリックします。 [成功] ページが表⽰され、指定されたレジストリ・ノードのインデックス作成が開始されます。 警告: レジストリ・モニターの実⾏中は、splunk-regmon.exe プロセスを⼿動で停⽌または kill しないでください。 そうすると、システムが不安定な状態になる可能性があります。レジストリのモニターを停⽌するには、[サービ ス] コントロールパネルまたは CLI から、splunkd サーバープロセスを停⽌します。 Windows パフォーマンスモニタリング - ローカル ディスク⼊出⼒、メモリー測定基準 (空きページ数やコミット・チャージなど)、ネットワーク統計情報などを監視 する場合、Splunk Enterprise は Windows パフォーマンス・モニターの代役を⼗分に果たすことが可能です。 Splunk Enterprise でパフォーマンス測定基準を収集するには: A. [新規追加] ページに移動 ⼊⼒ (データの取り込み) は、Splunk Web の [新規追加] ページから追加します。このマニュアルの「データの追 加⽅法は?」を参照してください。 158 2 種類の⽅法でこのページを表⽰できます。 Splunk ホーム Splunk 設定 Splunk 設定を使⽤する場合: 1. Splunk Web の右上にある [設定] をクリックします。 2. [設定] ポップアップの [データ] セクションで、[データ⼊⼒] をクリックします。 3. [ローカルパフォーマンス監視] をクリックします。 4. [新規] ボタンをクリックして、⼊⼒を追加します。 Splunk ホームを使⽤する場合: 1. Splunk ホームの [データの追加] リンクをクリックします。 '2.ローカル Windows マシンのパフォーマンス・データをモニターするには、[モニター] を、または他のマシン からパフォーマンス・データを受け取る場合は [転送] をクリックします。 3. [転送] を選択した場合、この⼊⼒を適⽤するフォワーダーのグループを選択または作成します。このマニュア ルの「データの転送」を参照してください。 4. 緑⾊の [次へ] ボタンをクリックします。 B. ⼊⼒ソースの選択 1. 左側のパネルで、[ローカル・パフォーマンス監視] を探して選択します。 2. [コレクション名] フィールドに、この⼊⼒の覚えやすい⼀意の名前を⼊⼒します。 3. [オブジェクトを選択] ボタンをクリックして、この Windows マシンで利⽤できるパフォーマンス・オブジェ クトのリストを表⽰し、リストからモニターするオブジェクトを選択します。[カウンタの選択] および [インスタ ンスの選択] リスト・ボックスが表⽰されます。 注意: データ⼊⼒あたり 1 つのパフォーマンスオブジェクトのみを追加できます。これは、Microsoft によるパ フォーマンスモニターオブジェクトの取り扱い⽅法によるものです。多くのオブジェクトが、選択時に⾃⼰を動的 に記述するクラスを列挙します。このことは、⼊⼒に定義されている、どのパフォーマンスカウンタやインスタン スが、どのオブジェクトに所属しているのかを判断するための混乱や妨げになる可能性があります。複数のオブ ジェクトをモニターする必要がある場合は、各オブジェクトに対して追加のデータ⼊⼒を作成してください。 4. [カウンタの選択] リスト・ボックスで、この⼊⼒でモニターするパフォーマンス・カウンタを探します。 5. モニターする各カウンタを、1 回クリックします。カウンタが [利⽤可能なカウンタ] ウィンドウから [選択され たカウンタ] ウィンドウに移動します。 6. カウンタの選択を解除するには、[選択されたカウンタ] ウィンドウでその名前をクリックします。カウンタが [選択されたカウンタ] ウィンドウから [利⽤可能なカウンタ] ウィンドウに移動します。 7. すべてのカウンタを選択/選択解除するには、[すべて追加] または [すべて削除] リンクをクリックします。重 要: すべてのカウンタを選択すると⼤量のデータのインデックスを作成することになり、ライセンスの上限を超 えてしまう可能性があります。 8. [インスタンスの選択] リスト・ボックスで、[利⽤可能なインスタンス] ウィンドウからインスタンスを 1 回ク リックして、この⼊⼒でモニターするインスタンスを選択します。インスタンスが [選択されたインスタンス] ウィンドウに移動します。 注意: 「_Total」インスタンスは特殊なインスタンスで、多くのタイプのパフォーマンスカウンタに存在していま す。このインスタンスは、同じカウンタ下の任意の関連するインスタンスの平均です。このインスタンスで収集さ れるデータは、同じカウンタ下の個別のインスタンスとは⼤幅に異なっています。 たとえば、2 台のディスクを搭載したシステム上の、「PhysicalDisk」オブジェクト下にある「Disk Bytes/Sec」パフォーマンス・カウンタのパフォーマンス・データをモニターする場合、表⽰されるインスタンス には、それぞれの物理ディスク「0 C:」と「1 D:」、そして「_Total」インスタンスが含まれます。この場合、 「_Total」インスタンスが 2 台の物理ディスクインスタンスの平均になります。 9. [ポーリング間隔] フィールドで、⼊⼒のポーリング間隔を秒で指定します。 10. 緑⾊の [次へ] ボタンをクリックします。 C. ⼊⼒の設定 [⼊⼒設定] ページでは、アプリケーション・コンテキスト、デフォルトのホスト値、およびインデックスを指定 できます。これらのパラメータは省略することができます。 1. この⼊⼒の適切なアプリケーション・コンテキスト を選択します。 2. ホスト 名の値を設定します。さまざまな選択肢があります。ホスト値の設定の詳細は、「ホストについて」を 参照してください。 注意: [ホスト] は、イベントの host フィールドの設定のみを⾏います。Splunk Enterprise にネットワー ク上の特定のホストを探すように指⽰するものではありません。 159 3. データを保管するインデックス を設定します。異なる種類のイベントを取り扱うために、複数のインデックス を定義している場合を除き、この値は「default」のままにしてください。ユーザーデータ⽤のインデックスに加 えて、Splunk Enterprise にはさまざまなユーティリティインデックスが存在しています。これらのインデックス も、このドロップダウンボックスに表⽰されます。 4. 緑⾊の [確認] ボタンをクリックします。 D. 選択項⽬の確認 ⼊⼒設定をすべて指定したら、選択内容をレビューすることができます。Splunk Enterprise には、モニターのタ イプ、ソース、ソースタイプ、アプリケーション・コンテキスト、インデックスなど (これ以外が表⽰されること もあります) の、選択したオプションが表⽰されます。 設定を確認します。意図通りの内容でない場合は、⽩い [< ] ボタンをクリックして、ウィザードの前のステップに 戻ります。そうでない場合は、緑⾊の [送信] ボタンをクリックします。 [成功] ページが表⽰され、指定されたパフォーマンス測定基準のインデックス作成が開始されます。ファイルや ディレクトリからのデータの取り込みの詳細は、このマニュアルの「リアルタイムの Windows パフォーマンスモ ニタリング」を参照してください。 Windows パフォーマンスモニタリング - リモート ディスク⼊出⼒、メモリー測定基準 (空きページ数やコミット・チャージなど)、ネットワーク統計情報などを監視 する場合、Splunk Enterprise は Windows パフォーマンス・モニターの代役を⼗分に果たすことが可能です。 Splunk Enterprise でパフォーマンス測定基準をリモート収集するには: A. [新規追加] ページに移動 ⼊⼒ (データの取り込み) は、Splunk Web の [新規追加] ページから追加します。2 種類の⽅法でこのページを表 ⽰できます。 Splunk ホーム Splunk 設定 どちらの⽅法を使⽤しても構いません。同じ [新規追加] ページが表⽰されます。 Splunk 設定を使⽤する場合: 1. Splunk Web の右上にある [設定] をクリックします。 2. [設定] ポップアップの [データ] セクションで、[データ⼊⼒] をクリックします。 3. [リモートパフォーマンス監視] をクリックします。 4. [新規] ボタンをクリックして、⼊⼒を追加します。 Splunk ホームを使⽤する場合: 1. Splunk ホームの [データの追加] リンクをクリックします。 2. ローカル Windows マシンのパフォーマンス・データをモニターするには、[モニター] をクリックします。他 の Windows マシンからパフォーマンス・データを転送するには、[転送] をクリックします。[データの追加 ソースの選択] ページが表⽰されます。 注意: パフォーマンス・データの転送には、追加設定が必要です。 3. 左側のパネルで、[ローカル・パフォーマンス監視] を探して選択します。 B. ⼊⼒ソースの選択 1. [コレクション名] フィールドに、この⼊⼒の覚えやすい⼀意の名前を⼊⼒します。 2. [ターゲット・ホストの選択] フィールドに、パフォーマンス・データの収集対象となる Windows コンピュー タのホスト名または IP アドレスを⼊⼒します。 3. [クエリー] ボタンをクリックして、[ターゲット・ホストの選択] フィールドに指定した Windows マシン上で利 ⽤できる、パフォーマンス・オブジェクトのリストを表⽰します。 注意: Win32_PerfFormattedData_*クラスは、Splunk Web に利⽤可能なオブジェクトとしては表⽰されませ ん。Win32_PerfFormattedData_* クラスをモニターしたい場合は、直接 wmi.conf に追加する必要があります。 4. [クラスの選択] リストから、モニター対象オブジェクトを選択します。[カウンタの選択] および [インスタンス の選択] リスト・ボックスが表⽰されます。 注意: データ⼊⼒あたり 1 つのパフォーマンスオブジェクトのみを追加できます。これは、Microsoft によるパ フォーマンスモニターオブジェクトの取り扱い⽅法によるものです。多くのオブジェクトが、選択時に⾃⼰を動的 に記述するクラスを列挙します。このことは、⼊⼒に定義されている、どのパフォーマンスカウンタやインスタン スが、どのオブジェクトに所属しているのかを判断するための混乱や妨げになる可能性があります。複数のオブ ジェクトをモニターする必要がある場合は、各オブジェクトに対して追加のデータ⼊⼒を作成してください。 5. [カウンタの選択] リスト・ボックスで、この⼊⼒でモニターするパフォーマンス・カウンタを探します。 160 6. モニターする各カウンタを、1 回クリックします。カウンタが [利⽤可能なカウンタ] ウィンドウから [選択され たカウンタ] ウィンドウに移動します。 7. カウンタの選択を解除するには、[選択されたカウンタ] ウィンドウでその名前をクリックします。カウンタが [選択されたカウンタ] ウィンドウから [利⽤可能なカウンタ] ウィンドウに移動します。 8. すべてのカウンタを選択/選択解除するには、[すべて追加] または [すべて削除] リンクをクリックします。重 要: すべてのカウンタを選択すると⼤量のデータのインデックスを作成することになり、ライセンスの上限を超 えてしまう可能性があります。 9. [インスタンスの選択] リスト・ボックスで、[利⽤可能なインスタンス] ウィンドウからインスタンスを 1 回ク リックして、この⼊⼒でモニターするインスタンスを選択します。インスタンスが [選択されたインスタンス] ウィンドウに移動します。 注意: 「_Total」インスタンスは特殊なインスタンスで、多くのタイプのパフォーマンスカウンタに存在していま す。このインスタンスは、同じカウンタ下の任意の関連するインスタンスの平均です。このインスタンスで収集さ れるデータは、同じカウンタ下の個別のインスタンスとは⼤幅に異なっています。 たとえば、2 台のディスクを搭載したシステム上の、「PhysicalDisk」オブジェクト下にある「Disk Bytes/Sec」パフォーマンス・カウンタのパフォーマンス・データをモニターする場合、表⽰されるインスタンス には、それぞれの物理ディスク「0 C:」と「1 D:」、そして「_Total」インスタンスが含まれます。この場合、 「_Total」インスタンスが 2 台の物理ディスクインスタンスの平均になります。 10. [ポーリング間隔] フィールドで、⼊⼒のポーリング間隔を秒で指定します。 11. 緑⾊の [次へ] ボタンをクリックします。 C. ⼊⼒の設定 [⼊⼒設定] ページでは、アプリケーション・コンテキスト、デフォルトのホスト値、およびインデックスを指定 できます。これらのパラメータは省略することができます。 1. この⼊⼒の適切なアプリケーション・コンテキスト を選択します。 2. ホスト 名の値を設定します。さまざまな選択肢があります。ホスト値の設定の詳細は、「ホストについて」を 参照してください。 注意: [ホスト] は、イベントの host フィールドの設定のみを⾏います。Splunk Enterprise にネットワー ク上の特定のホストを探すように指⽰するものではありません。 3. データを保管するインデックス を設定します。異なる種類のイベントを取り扱うために、複数のインデックス を定義している場合を除き、この値は「default」のままにしてください。ユーザーデータ⽤のインデックスに加 えて、Splunk Enterprise にはさまざまなユーティリティインデックスが存在しています。これらのインデックス も、このドロップダウンボックスに表⽰されます。 4. 緑⾊の [確認] ボタンをクリックします。 D. 選択項⽬の確認 ⼊⼒設定をすべて指定したら、選択内容をレビューすることができます。Splunk Enterprise には、モニターのタ イプ、ソース、ソースタイプ、アプリケーション・コンテキスト、インデックスなど (これ以外が表⽰されること もあります) の、選択したオプションが表⽰されます。 設定を確認します。意図通りの内容でない場合は、⽩い [< ] ボタンをクリックして、ウィザードの前のステップに 戻ります。そうでない場合は、緑⾊の [送信] ボタンをクリックします。 [成功] ページが表⽰され、指定されたパフォーマンス測定基準のインデックス作成が開始されます。 リモートマシンからのパフォーマンスモニターデータの取り込みの詳細は、『データの取り込み』マニュアルの 「WMI データのモニター」を参照してください。 Windows Active Directory Splunk を使って、任意の Active Directory 変更データを収集することができます。 パスワードの変更、ユーザーまたはマシンアカウントの追加、またはグループポリシーオブジェクトへの権限の委 任などを⾏ったユーザーを確認したいと思いませんか?Splunk の Active Directory モニター機能を利⽤すれ ば、このような情報をすべて⼿軽に収集、確認することができます。さらに、1 台のノードから Active Directory フォレスト全体まで、変更を監視する Active Directory の部分を⾃由に選択することができます。 注意: Active Directory の任意の部分をモニターするには、Active Directory スキーマに対する読み取りアクセ ス許可を持つユーザーとして Splunk を実⾏する必要があります。 Active Directory データを収集するには、Splunk Enterprise に Active Directory を指⽰します。 A. [新規追加] ページに移動 ⼊⼒ (データの取り込み) は、Splunk Web の [新規追加] ページから追加します。このマニュアルの「データの追 加⽅法は?」を参照してください。 2 種類の⽅法でこのページを表⽰できます。 161 Splunk ホーム Splunk 設定 Splunk 設定を使⽤する場合: 1. Splunk Web の右上にある [設定] をクリックします。 2. [設定] ポップアップの [データ] セクションで、[データ⼊⼒] をクリックします。 3. [Active Directory モニタリング] をクリックします。 4. [新規] ボタンをクリックして、⼊⼒を追加します。 Splunk ホームを使⽤する場合: 1. Splunk ホームの [データの追加] リンクをクリックします。 2. ローカル Windows マシンの Active Directory をモニターするには、[モニター] をクリックします。 B. ⼊⼒ソースの選択 1. 左側のパネルで、[Active Directory 監視] を探して選択します。 2. [コレクション名] フィールドに、この⼊⼒の覚えやすい⼀意の名前を⼊⼒します。 3. 必要に応じて [ターゲット・ドメイン・コントローラ] フィールドに、Active Directory のモニターに使⽤す る、ドメイン・コントローラのホスト名または IP アドレスを⼊⼒します。 4. 必要に応じて、[開始ノード] フィールドに、モニターを開始する Active Directory ノードを⼊⼒しま す。DC=Splunk-Docs,DC=com のように、LDAP 形式で指定する必要があります。 [参照] ボタンをクリックして利⽤可能な Active Directory ノードのリストから、利⽤可能な Active Directory ド メインを参照、選択することができます。 5. [開始ノード] フィールドに⼊⼒したノードの、すべてのサブノードをモニターする場合は、[サブツリーのモニ ター] ボタンを選択します。 6. 緑⾊の [次へ] ボタンをクリックします。 C. ⼊⼒の設定 [⼊⼒設定] ページでは、アプリケーション・コンテキスト、デフォルトのホスト値、およびインデックスを指定 できます。これらのパラメータは省略することができます。 1. この⼊⼒の適切なアプリケーション・コンテキスト を選択します。 2. ホスト 名の値を設定します。さまざまな選択肢があります。ホスト値の設定の詳細は、「ホストについて」を 参照してください。 注意: [ホスト] は、イベントの host フィールドの設定のみを⾏います。Splunk Enterprise にネットワー ク上の特定のホストを探すように指⽰するものではありません。 3. データを保管するインデックス を設定します。異なる種類のイベントを取り扱うために、複数のインデックス を定義している場合を除き、この値は「default」のままにしてください。ユーザーデータ⽤のインデックスに加 えて、Splunk Enterprise にはさまざまなユーティリティインデックスが存在しています。これらのインデックス も、このドロップダウンボックスに表⽰されます。 4. 緑⾊の [確認] ボタンをクリックします。 D. 選択項⽬の確認 ⼊⼒設定をすべて指定したら、選択内容をレビューすることができます。Splunk Enterprise には、モニターのタ イプ、ソース、ソースタイプ、アプリケーション・コンテキスト、インデックスなど (これ以外が表⽰されること もあります) の、選択したオプションが表⽰されます。 設定を確認します。意図通りの内容でない場合は、⽩い [< ] ボタンをクリックして、ウィザードの前のステップに 戻ります。そうでない場合は、緑⾊の [送信] ボタンをクリックします。 [成功] ページが表⽰され、指定された Active Directory ノードのインデックス作成が開始されます。 Active Directory のモニターの詳細は、このマニュアルの「Active Directory のモニター」を参照してくださ い。 スクリプト スクリプト⼊⼒を追加するには: A. [新規追加] ページに移動 ⼊⼒ (データの取り込み) は、Splunk Web の [新規追加] ページから追加します。2 種類の⽅法でこのページを表 ⽰できます。 162 Splunk ホーム Splunk 設定 Splunk 設定を使⽤する場合: 1. Splunk Web の右上にある [設定] をクリックします。 2. [設定] ポップアップの [データ] セクションで、[データ⼊⼒] をクリックします。 3a. ローカル・マシン上のスクリプトからデータを収集するには、[スクリプト] をクリックします。または、 3b. リモート・マシン上で動作するスクリプトからデータを取得するには、[転送されたデータ] の [スクリプト] をクリックします。 4. [新規] ボタンをクリックして、⼊⼒を追加します。 Splunk ホームを使⽤する場合: 1. Splunk ホームの [データの追加] リンクをクリックします。 2. ローカル・マシン上のスクリプトからのデータをモニターするには [モニター] を、リモート・マシン上のスク リプトからデータを転送する場合は [転送] をクリックします。[データの追加 - ソースの選択] ページが表⽰され ます。 注意: スクリプト⼊⼒からデータを転送するには、追加の設定が必要です。 3. 左側のパネルで、[スクリプト] を探して選択します。 B. ⼊⼒ソースの選択 1. [スクリプト・パス] ドロップ・ダウンで、スクリプトへのパスを選択します。ページに新しい [スクリプト名] ドロップダウンが表⽰されます。 2. [スクリプト名] ドロップ・ダウンに、実⾏するスクリプトを選択します。ページの [コマンド] フィールドにス クリプト名が設定されます。 注意: ⽬的のスクリプトが⾒つからない場合、ご利⽤のオペレーティング・システムのファイル管理ツールを 使って適切な場所にそれを保存する必要があります。 3. [コマンド] フィールドに、スクリプトの実⾏に必要な引数を追加します。 4. [間隔] フィールドに、スクリプト実⾏前に Splunk Enterprise を待機させる時間 (秒) を⼊⼒します。 5. 必要に応じて、[ソース名上書き] フィールドに、デフォルト値に優先する新たなソース名を⼊⼒します。 6. 緑⾊の [次へ] ボタンをクリックします。 C. ⼊⼒の設定 [⼊⼒設定] ページでは、アプリケーション・コンテキスト、デフォルトのホスト値、およびインデックスを指定 できます。これらのパラメータは省略することができます。 1. スクリプトのソースタイプを選択します。[選択] を選択して、ローカル・マシンで利⽤できるソースタイプの リストから選択、または [⼿動] を選択してソースタイプ名を⼊⼒することができます。 2. この⼊⼒の適切なアプリケーション・コンテキスト を選択します。 3. ホスト 名の値を設定します。さまざまな選択肢があります。ホスト値の設定の詳細は、「ホストについて」を 参照してください。 注意: [ホスト] は、イベントの host フィールドの設定のみを⾏います。Splunk Enterprise にネットワー ク上の特定のホストを探すように指⽰するものではありません。 4. データを保管するインデックス を設定します。異なる種類のイベントを取り扱うために、複数のインデックス を定義している場合を除き、この値は「default」のままにしてください。ユーザーデータ⽤のインデックスに加 えて、Splunk Enterprise にはさまざまなユーティリティインデックスが存在しています。これらのインデックス も、このドロップダウンボックスに表⽰されます。 5. 緑⾊の [確認] ボタンをクリックします。 D. 選択項⽬の確認 ⼊⼒設定をすべて指定したら、選択内容をレビューすることができます。Splunk Enterprise には、モニターのタ イプ、ソース、ソースタイプ、アプリケーション・コンテキスト、インデックスなど (これ以外が表⽰されること もあります) の、選択したオプションが表⽰されます。 設定を確認します。意図通りの内容でない場合は、⽩い [< ] ボタンをクリックして、ウィザードの前のステップに 戻ります。そうでない場合は、緑⾊の [送信] ボタンをクリックします。 [成功] ページが表⽰され、指定された Active Directory ノードのインデックス作成が開始されます。 163
© Copyright 2025 Paperzz