Table of Contents はじめに Splunk Enterprise がインデックス 処 理 できる 項 データの 取 り 込 みの 開 始 データの 場 所 :ローカルか またはリモートか? フォワーダーを 使 ったデータの 取 り 込 み App を 使 ったデータの 取 り 込 み
|
|
|
- あかり ちとく
- 9 years ago
- Views:
Transcription
1 Splunk Enterprise データの 取 り 込 み 作 成 :2014 年 午 後 4 時 11 分 Copyright (c) 2015 Splunk Inc. All Rights Reserved
2 Table of Contents はじめに Splunk Enterprise がインデックス 処 理 できる 項 データの 取 り 込 みの 開 始 データの 場 所 :ローカルか またはリモートか? フォワーダーを 使 ったデータの 取 り 込 み App を 使 ったデータの 取 り 込 み の 設 定 Splunk Enterprise によるデータの 取 り 扱 い (および 活 法 ) Splunk Enterprise へのデータの 取 り 込 み データの 追 加 法 は? データのアップロード データのモニター データ 転 送 [ソースタイプの 設 定 ] ページ データへの 適 切 なソースタイプの 割 り 当 て プレビューするデータの 準 備 イベント データのソースタイプの 表 と 設 定 イベント 処 理 の 変 更 データプレビューと 分 散 Splunk Enterprise 設 定 の 変 更 ファイルやディレクトリからデータを 収 集 ファイルとディレクトリのモニター Splunk Web の 使 CLI の 使 inputs.conf の 編 集 ワイルドカードを 使 った パスの 指 定 ホワイトリストまたはブラックリスト 固 有 の 到 着 データ Splunk Enterprise によるログファイルのローテーションの 取 り 扱 い ネットワーク イベントの 取 得 TCP および UDP ポートからのデータの 取 り 込 み Splunk Enterprise への SNMP イベントの 送 信 Windows データの 取 得 Windows データと Splunk Enterprise について Splunk Enterprise への Windows データの 取 り 込 み リモート Windows データのモニター 法 決 定 の 検 討 事 項 Active Directory のモニター Windows イベントログデータのモニター Windows のファイルシステム 変 更 のモニター WMI ベースのデータのモニター Windows レジストリデータのモニター Windows パフォーマンスのモニター Windows ホスト 情 報 のモニター Windows プリンタ 情 報 のモニター Windows ネットワーク 情 報 のモニター その 他 の 取 り 込 み 法 その 他 の 取 り 込 み 法 FIFO キューからのデータの 取 得 ファイルシステムへの 変 更 のモニター
![データのアップロード データのモニター データ 転 送 [ソースタイプの 設 定 ] ページ データへの 適 切 なソースタイプの 割 り 当 て プレビューするデータの 準 備 イベント データのソースタイプの 表 と 設 定 イベント 処 理 の 変 更 データプレビューと 分 散 Splunk Enterprise 設 定 の 変 更 ファイルやディレクトリからデータを 収 集](/docs-images/49/20187662/images/page_2.jpg "ファイルとディレクトリのモニター Splunk Web の 使 CLI の 使 inputs.")
3 スクリプト を 介 した API や 他 のリモートデータインターフェイ スからのデータの 取 得 crawl を 使 ったモニター 項 の 発 イベント 処 理 の 設 定 イベント 処 理 の 概 要 字 セットのエンコードの 設 定 イベント 改 の 設 定 イベントのタイムスタンプの 設 定 インデックス 作 成 フィールド 抽 出 の 設 定 データの 匿 名 化 タイムスタンプの 設 定 タイムスタンプ 割 り 当 ての 仕 組 み タイムスタンプ 認 識 の 設 定 複 数 のタイムスタンプを 持 つイベントのタイムスタンプ 割 り 当 て の 設 定 タイムスタンプのタイムゾーンの 指 定 インデックス 作 成 パフォーマンス 向 上 のためのタイムスタンプ 認 識 の 調 整 インデックス 作 成 フィールド 抽 出 の 設 定 インデックス 作 成 フィールドの 抽 出 について デフォルトフィールドについて (host source sourcetype など) デフォルトフィールドの 動 的 割 り 当 て インデックス 時 のカスタムフィールドの 作 成 ヘッダーのあるファイルからのデータの 抽 出 ホスト 値 の 設 定 ホストについて Splunk Enterprise サーバーのデフォルトホストの 設 定 ファイル/ディレクトリ のデフォルトホストの 設 定 イベントデータに 基 づくホスト 値 の 設 定 誤 って 割 り 当 てられたホスト 値 の 取 り 扱 い ソースタイプの 設 定 ソースタイプが 重 要 な 理 由 動 ソースタイプ 割 り 当 てに 優 先 する 設 定 ルールベースのソースタイプ 認 識 の 設 定 事 前 定 義 ソースタイプの 覧 イベント 単 位 でのソースタイプに 優 先 する 設 定 ソースタイプの 作 成 ソースタイプ 名 の 変 更 イベントのセグメント 分 割 の 管 理 セグメント 分 割 について イベントデータのセグメント 分 割 の 設 定 Splunk Web でのサーチ 時 セグメント 分 割 の 設 定 データ 取 り 込 みプロセスの 改 善 テスト インデックスを 使 って をテストする データ 損 失 を 防 するための persistent queue の 使 プロセスのトラブルシューティング レシピ フォワーダー ファイルとディレクトリ - ローカル
4 ファイルとディレクトリ - リモート Syslog - TCP/UDP Windows イベントログ - ローカル Windows イベントログ - リモート Windows レジストリ - ローカル Windows パフォーマンスモニタリング - ローカル Windows パフォーマンスモニタリング - リモート Windows Active Directory スクリプト
5 はじめに Splunk Enterprise がインデックス 処 理 できる 項 Splunk Enterprise を 使 するための 最 初 の 作 業 が データを 取 り 込 むことでSplunk Enterprise にデータを 取 り 込 むと 即 座 にインデックスが 作 成 され サーチが 可 能 になりまSplunk Enterprise はインデックス 作 成 機 能 により サーチ 可 能 なフィールドから 構 成 されるイベントにデータを 変 換 しまSplunk がデータのイン デックスを 作 成 する 前 / 後 にさまざまな 処 理 を えまただし 般 的 にはそのような 作 業 は 必 要 ありません 基 本 的 に Splunk Enterprise にデータを 指 すると その 後 データのサーチを 開 始 したり それを 使 ってグラ フ レポート アラート および 他 の 出 を 成 したりすることができま データの 種 類 任 意 のデータを 利 できま 特 に 各 種 IT ストリーミングデータ マシンデータ および 履 歴 データを 得 意 に していまWindows イベントログ Web サーバーログ ライブアプリケーションログ ネットワークフィー ド システム 測 定 基 準 変 更 のモニター メッセージキュー アーカイブファイル その 他 さまざまなデータを 利 できまどのようなデータでも 利 できま 嘘 ではありません Splunk Enterprise にデータのソースを 知 らせてください また ソースに 関 するいくつかの 情 報 も 指 定 しま そのソースが データ となりまSplunk Enterprise は 取 り 込 んだデータのインデックスを 作 成 し それ を 個 別 の 連 のイベントに 変 換 しまそれらのイベントは 即 座 に 表 サーチすることができま 望 み 通 りの 結 果 が 得 られなかった 場 合 は 的 の 結 果 が 得 られるまでインデックス 作 成 処 理 を 調 整 することができま データは Splunk Enterprise インデクサーと 同 じマシン 上 にあっても (ローカルデータ) 他 のマシン 上 にあっ ても (リモートデータ) 構 いません リモートデータは ネットワークフィードを 利 して またはデータのソー スとなるマシン 上 に Splunk Enterprise フォワーダーをインストールして 簡 単 に 取 得 することができま フォワーダーは 軽 量 版 の Splunk で 収 集 したデータをメインとなる Splunk Enterprise インスタンスに 転 送 し まこの Splunk Enterprise インスタンスは 開 け 取 ったデータのインデックス 作 成 やサーチを いまロー カルデータとリモートデータについては データの 場 所 を 参 照 してください 作 業 を 簡 単 に うために Splunk はさまざまな 無 料 の App やアドオン および Windows または Linux 固 有 の データ Cisco セキュリティデータ Blue Coat データなどに 対 応 する 事 前 設 定 されたデータ (データの 取 り 込 み 段 ) を 提 供 していまSplunk Apps からご 分 のニーズに 適 した App やアドオンをお 探 しください Splunk には Web サーバーログ J2EE ログ Windows パフォーマンス 測 定 基 準 など さまざまなデータソー ス のレシピが 意 されていまこれらのデータソースを 利 するには 後 述 するように Splunk Web の [データの 追 加 ] セクションを 使 しま 意 されているデータソースや App がニーズを 満 たしていない 場 合 は Splunk Enterprise の 汎 設 定 機 能 を 使 って 的 のデータソースを 指 定 しまこれらの 汎 データ ソースについては ここを 参 照 してください データ の 指 定 法 新 しい 種 類 のデータを Splunk Enterprise に 取 り 込 むには それに 対 応 する 設 定 を いまデータの 取 り 込 み を 指 定 するには さまざまな 法 がありま App:Splunk には 各 種 データソースを 取 り 込 むための 事 前 設 定 が われている さまざまな App やア ドオンが 意 されていまSplunk の App を 活 して データ 取 り 込 みの 設 定 の 間 を 省 きましょう 詳 細 は App の 使 を 参 照 してください Splunk Web: 部 分 のデータ は Splunk Web のデータ ページから 設 定 できまこの 法 で は GUI を 使 って 取 り 込 むデータを 設 定 できまSplunk ホームまたは [システム] メニューから [デー タの 追 加 ] ページにアクセスすることができま Splunk Web の 使 を 参 照 してください Splunk CLI:CLI (コマンドラインインターフェイス) を 使 って さまざまな 種 類 のデータ 取 り 込 みを 設 定 できま CLI の 使 を 参 照 してください inputs.conf 設 定 ファイル:Splunk Web または CLI を 使 ってデータの 取 り 込 みを 指 定 すると 設 定 内 容 は 設 定 ファイル inputs.conf に 保 存 されま 必 要 に 応 じてこのファイルを 直 接 編 集 することができま 度 なデータ 取 り 込 みを う 場 合 は このファイルを 編 集 しなければならないこともありま inputs.conf の 編 集 を 参 照 してください また フォワーダーを 使 って 他 のマシンのデータをインデクサーに 送 信 する 場 合 フォワーダーのインストール 時 にデータの 取 り 込 みを 指 定 することができま フォワーダーの 使 を 参 照 してください データ 取 り 込 みの 設 定 の 詳 細 は データ の 設 定 を 参 照 してください データソースの 種 類 前 述 のように Splunk は 特 定 のアプリケーションニーズに 固 有 のものを 含 めて あらゆる 種 類 のデータの 取 り 込 みを 設 定 するためのツールを 提 供 していまSplunk は 任 意 のデータ タイプを 設 定 するためのツールも 提 供 していま 般 的 に Splunk のデータ は 以 下 のように 分 類 できま ファイルとディレクトリ ネットワークイベント Windows ソース その 他 のソース ファイルとディレクトリ 多 くの 有 益 なデータが ファイルやディレクトリに 存 在 している 可 能 性 がありま 多 くの 場 合 Splunk 5
6 多 くの 有 益 なデータが ファイルやディレクトリに 存 在 している 可 能 性 がありま 多 くの 場 合 Splunk Enterprise のファイル/ディレクトリのモニター ファイル/ディレクトリのモニター プロセッサを 使 って ファイルやディレクトリからのデー タを 取 得 することができま ファイルとディレクトリのモニターについては ファイルとディレクトリのデータの 取 得 を 参 照 してくださ い ネットワークイベント Splunk Enterprise は 任 意 のネットワークポートからのデータのインデックスを 作 成 することができまたと えば syslog-ng や 他 の TCP 経 由 でデータを 伝 送 するアプリケーションからの リモートデータのインデックスを 作 成 することができまUDP データのインデックスも 作 成 できますが 信 頼 性 の 観 点 から 可 能 な 場 合 は TCP を 使 することをお 勧 めしま SNMP イベント リモートデバイスが 成 したアラートを 受 信 してインデックスを 作 成 することもできま ネットワークポートからデータを 取 得 するには TCP および UDP ポートからのデータの 取 得 を 参 照 してく ださい SNMP データの 取 得 については Splunk への SNMP イベントの 送 信 を 参 照 してください Windows ソース Windows 版 の Splunk Enterprise には さまざまな Windows 固 有 の が 意 されていままた 以 下 のよ うな Windows 固 有 の タイプを 定 義 することもできま Windows イベントログデータ Windows レジストリデータ WMI データ Active Directory データ パフォーマンスモニターデータ 重 要 :Windows 版 以 外 の Splunk Enterprise インスタンス 上 で Windows データのインデックス 作 成 とサーチ を う 場 合 は まず Windows 版 のインスタンスを 使 ってデータを 収 集 する 必 要 がありま 詳 細 は リモート Windows データのモニター 法 決 定 の 検 討 事 項 を 参 照 してください Splunk Enterprise での Windows データの 使 法 の 詳 細 は Windows データと Splunk Enterprise につい て を 参 照 してください その 他 のソース Splunk Enterprise は 他 の 種 類 のデータソースもサポートしていま 例 : 先 れ 先 出 し (FIFO) キュー スクリプト API および 他 のリモートデータインターフェイスやメッセージキューからデータを 取 り 込 みま モジュール Splunk Enterprise フレームワークを 拡 張 する カスタム 機 能 を 定 義 しま 次 の 参 照 先 ここでは Splunk データの 指 定 時 に 検 討 する 必 要 がある 問 題 について 説 明 していきま データの 場 所 リモートデータとローカルデータの 較 およびそれが 影 響 する 事 項 について 説 明 して いま フォワーダーの 使 フォワーダーを 使 ったリモートデータ 収 集 の 簡 素 化 について 説 明 していま App の 使 Splunk App を 使 った Splunk Enterprise へのデータの 取 り 込 みについて 説 明 していま データの 取 り 込 み 法 データソースの 取 得 と 設 定 の 概 要 およびベストプラクティスについて 説 明 し ていま の 設 定 Splunk Enterprise でのデータ の 設 定 法 について 説 明 していま Windows データと Splunk Enterprise について Windows データを Splunk Enterprise に 取 り 込 む 法 の 概 要 を 説 明 していま Splunk Enterprise によるデータの 取 り 扱 い (および 活 法 ) Splunk Enterprise に 取 り 込 んだデー タがどのように 処 理 されるのか そしてデータを 活 するための Splunk の 設 定 について 説 明 していま データの 取 り 込 みの 開 始 Splunk Enterprise へのデータの 取 り 込 みを 開 始 するには [データの 追 加 ] ページで データの 取 り 込 みを 設 定 しま データの 追 加 法 は? を 参 照 してください または お 使 いの OS App (Splunk App for Windows Infrastructure や Splunk App for Unix and Linux) な どの App をダウンロードして 有 効 にすることもできま Splunk Enterprise をインストールして データの 取 り 込 みの 設 定 または App の 有 効 化 を ったら 指 定 され たデータの 保 管 と 処 理 が 即 座 に 開 始 されまその 後 サーチ App (Splunk Web の 開 始 ページである Splunk ホームからアクセス 可 能 ) またはメイン App ページに 移 動 して 収 集 したデータの 詳 細 な 調 査 を 開 始 することが できま 新 しいデータ 取 り 込 みの 追 加 6
7 ここでは 推 奨 する 順 について 説 明 していきま 1. 分 のニーズを 把 握 しまたとえば 以 下 のような 事 項 を 検 討 しま Splunk Enterprise でインデックスを 作 成 するデータは? Splunk がインデックス 処 理 できる 項 を 参 照 してください そのデータ の App があるか? App を 使 ったデータの 取 り 込 み を 参 照 してください データはどこに 存 在 しているか?ローカルか またはリモートか? データの 場 所 を 参 照 してください リモートデータへのアクセスにフォワーダーを 使 するか? フォワーダーを 使 ったデータの 取 り 込 み を 参 照 してください インデックス 作 成 したデータで 何 をするのか? ナレッジ 管 理 マニュアルの Splunk ナレッジとは? を 参 照 してください 2.テスト インデックスを 作 成 し いくつかのデータ 取 り 込 み ( ) を 追 加 しま テスト インデックスの 使 を 参 照 してください テスト データの 量 は 最 低 限 に 抑 えてください テスト インデックスに 追 加 された データは ライセンスの 次 インデックス 作 成 量 の 加 算 対 象 となりま 3.データをテスト インデックスに 送 る 前 にプレビューを い 必 要 に 応 じてデータのインデックス 作 成 法 を 修 正 してください Splunk Enterprise では モニターまたはアップロードにより ファイルから 取 り 込 んだデータ をプレビューすることができま 詳 細 は [ソースタイプの 設 定 ] ページ を 参 照 してください 4.テスト データに 対 して いくつかのサーチを 実 しま 意 図 通 りのデータが 表 されましたか? デフォルト 設 定 でイベントが 正 常 に 処 理 されましたか? データが つからなかったり おかしくなっていたりしませんか? 最 適 な 結 果 が 表 されましたか? 5. 必 要 に 応 じて 意 図 通 りのイベントが 収 集 表 されるように データの 取 り 込 みやイベント 処 理 の 設 定 を 調 整 しまイベント 処 理 の 設 定 法 については このマニュアルの Splunk Enterprise によるデータの 取 り 扱 い を 参 照 してください 6.テスト インデックスからデータを 削 除 して 必 要 に 応 じて 実 際 の 利 を 開 始 しま 法 については イン デックス データの 削 除 とやり 直 し を 参 照 してください 7. 実 際 の 利 準 備 が 完 了 したら デフォルトの main インデックスへのデータの 取 り 込 みを 設 定 します (ここを 参 照 ) 他 にも 追 加 する がある 場 合 は この 作 業 を 繰 り 返 しま 独 のデータを 取 り 込 みますか? Splunk Enterprise は 任 意 の 時 系 列 データのインデックスを 作 成 できるため 般 的 には 追 加 の 設 定 作 業 を う 必 要 はありません 独 のアプリケーションやデバイスからログを 取 得 する 場 合 まずデフォルトの 設 定 での 処 理 を お 試 しください 的 の 結 果 が 得 られない 場 合 は イベントのインデックスが 正 しく 作 成 されるように いくつか の 設 定 を 調 整 することができま 続 する 前 に イベント 処 理 の 概 要 および Splunk Enterprise によるデータのインデックス 作 成 の 仕 組 み を 参 照 し Splunk Enterprise に 正 しくデータの 処 理 を わせるための 知 識 を 確 認 してください いくつかの 検 討 し ておく 必 要 がある 問 題 を 以 下 に しま イベントは 複 数 イベントか? データに 特 殊 な 字 セットが 使 われているか? Splunk Enterprise がタイムスタンプを 正 しく 判 断 できない? データの 場 所 :ローカルか またはリモートか? Splunk Enterprise にデータを 初 めて 取 り 込 む 場 合 ローカル データと リモート データの 違 いは 何 なの か 多 少 混 乱 するかもしれません 新 しいデータ を 設 定 する 場 合 ローカルとリモートの 違 いが 重 要 になりま この 問 題 への 回 答 は 以 下 のようにさまざまな 基 準 に 応 じて 異 なります (ただし これに 限 定 されるものではあり ません) Splunk Enterprise インスタンスが 動 作 しているオペレーティングシステム Splunk Enterprise インスタンスに 直 接 接 続 されているデータストアの 種 類 インデックスを 作 成 するデータを 保 管 するデータストアにアクセスするために 認 証 や 他 の 中 間 ステップを 介 する 必 要 があるかどうか ローカル ローカルリソースは Splunk Enterprise サーバー ( 分 ) が 直 接 アクセスできる 固 定 リソースでまた それ に 保 管 されているデータの 種 類 に 関 わらず 取 り 付 け 接 続 または 他 の 中 間 操 作 ( 認 証 やネットワークドライブ へのマッピングなど) を うことなく システムからリソースを 参 照 利 することができまそのようなリ ソース 上 にデータが 存 在 している 場 合 それは ローカル データとみなされま ローカルデータの 例 を 以 下 に しま デスクトップやラップトップに 取 り 付 けられているハードディスクや SSD システム 起 動 時 にロードされる RAM ディスク リモート 7
8 リモートリソースは 前 述 の 定 義 に 該 当 しない 任 意 のリソースでWindows システムからマップされたネット ワークドライブ Active Directory スキーマ NFS または *nix システム 上 の 他 のネットワークベースのマウント などが これに 該 当 しまこのようなリソースから 収 集 されたデータも リモート とみなされま 例 外 般 的 にリモートとみなされるけれども 実 際 には 違 うリソースも 存 在 していま 以 下 にいくつかの 例 を しま USB や FireWire などの 帯 域 幅 物 理 接 続 経 由 で 常 時 マウントされているボリュームを 持 つマシン コン ピュータはブート 時 にリソースをマウントできるため 理 論 的 には 後 ほどリソースを 切 り 離 せる 場 合 でも このようなリソースはローカルリソースとして 取 り 扱 われま iscsi などの 帯 域 幅 ネットワーク 標 準 規 格 または SAN への 光 接 続 を 介 して 永 久 的 にマウントされるリ ソースを 持 つマシン ローカルのブロックデバイスと 同 程 度 のデータ 量 を 処 理 できる 標 準 規 格 であるため このようなリソースはローカルとみなされま フォワーダーを 使 ったデータの 取 り 込 み フォワーダーは 軽 量 版 の Splunk インスタンスで 収 集 したデータを 処 理 するために Splunk Enterprise インデ クサーに 転 送 することを 的 にしていま 最 低 限 のリソースしか 必 要 とせず パフォーマンス 上 の 影 響 も 少 な いため 般 的 にはデータ 成 元 のマシン 上 に 配 置 されま たとえば 集 中 的 にサーチを 実 したいデータを 成 している 複 数 台 の Apache サーバーがある 場 合 Splunk Enterprise インデクサーをインストールした 後 次 に 各 Apache マシンにフォワーダーを 設 定 することができま 各 フォワーダーは Apache データを 収 集 して それをインデクサーに 送 信 しまインデクサーは 受 け 取 っ たデータを 統 合 して 保 管 し サーチが 可 能 な 状 態 にしま 消 費 リソースが 少 ないため フォワーダーが Apache サーバーのパフォーマンスに 与 える 影 響 を 最 低 限 に 抑 えられま 同 様 に 従 業 員 の Windows デスクトップにフォワーダーをインストールすることもできまこれらのフォワー ダーはログや 他 のデータを 集 中 管 理 Splunk Enterprise インスタンスに 送 信 しまそのデータを 利 して マルウェアがないかどうか または 他 の 問 題 が 発 していないかどうかを 追 跡 することができま フォワーダーが う 作 業 フォワーダーを 使 って リモートマシンからデータを 取 得 することができまフォワーダーは 以 下 のような 機 能 により ネットワークから raw データを 供 給 するよりも 幅 に 堅 牢 なソリューションを 実 現 していま メタデータのタグ 設 定 (ソース ソースタイプ ホスト) 設 定 可 能 なバッファ データ 圧 縮 SSL セキュリティ 利 可 能 な 任 意 のネットワークポートの 使 ローカルにスクリプト の 実 フォワーダーは 他 の Splunk Enterprise インスタンスと 同 じ 法 でデータを 収 集 しまインデクサーと 完 全 に 同 じタイプのデータを 処 理 できま 違 いは 般 的 にフォワーダー 体 がインデックスを 作 成 することはないこ とで 単 純 にデータを 取 得 して それをインデクサーに 送 信 しまインデクサーがインデックスの 作 成 とサー チを 担 当 しま 単 のインデクサーで 複 数 のフォワーダーから 転 送 されるデータを 処 理 することができま フォワーダーの 詳 細 は データの 転 送 マニュアルを 参 照 してください 半 の Splunk Enterprise デプロイ 環 境 では フォワーダーは 主 なデータ 収 集 役 を 果 たしていまインデク サーは 単 マシンのデプロイ 環 境 でのみ 主 なデータ 収 集 役 にもなりま 規 模 な Splunk Enterprise デプロ イ 環 境 では 数 百 台 または 数 千 台 ものフォワーダーがデータを 収 集 して それを 連 のインデクサーグループに 転 送 することもありま フォワーダー の 設 定 法 Splunk Enterprise の 軽 量 版 インスタンスであるフォワーダーは 設 計 上 機 能 が 限 定 されていまたとえば 半 のフォワーダーには Splunk Web が 含 まれていません そのため 直 接 UI にアクセスしてフォワーダーの データ 取 り 込 みを 設 定 することはできません ここでは フォワーダーのデータ 取 り 込 みを 設 定 する 主 な 法 につ いて 説 明 していきま 初 期 デプロイ 時 にデータの 取 り 込 み ( ) を 指 定 する Windows フォワーダーの 場 合 インストール 時 に 般 的 なデータ 取 り 込 みを 指 定 することができま*nix フォワーダーの 場 合 インストール 後 にデータの 取 り 込 みを 指 定 できま CLI を 使 する inputs.conf を 編 集 する 的 のデータ 取 り 込 み 機 能 がある App をデプロイする テスト の 完 全 版 Splunk Enterprise インスタンスで Splunk Web を 使 ってデータの 取 り 込 みを 設 定 し その 結 果 成 された inputs.conf ファイルをフォワーダーに 配 布 する その 他 の 参 考 情 報 使 事 例 般 的 なトポロジー および 設 定 も 含 めたフォワーダーの 詳 細 は データの 転 送 マニュアルの 転 送 と 受 信 について を 参 照 してください デプロイサーバーを 使 った 設 定 ファイルや App の 複 数 フォワーダーへの 配 布 法 を 含 めた フォワーダーデプ ロイの 詳 細 は データの 転 送 マニュアルの ユニバーサルフォワーダーのデプロイの 概 要 を 参 照 してくださ い リモート Windows データをモニターするためのフォワーダーの 使 法 については リモート Windows デー タのモニター 法 を 決 定 するための 検 討 事 項 を 参 照 してください 8
9 App を 使 ったデータの 取 り 込 み Splunk には Splunk Enterprise の 機 能 を 拡 張 強 化 するためのさまざまな App やアドオンが 提 供 されていま App により Splunk Enterprise へのデータの 取 り 込 みプロセスが 簡 単 になりま 特 定 の 環 境 やアプリ ケーション 向 けのデータ 取 り 込 みを 分 で 設 定 する 代 わりに データの 取 り 込 みがすでに 設 定 されている App を 探 して 使 することもできまSplunk Apps からApp をダウンロードしま 般 的 に App は 特 定 のデータタイプを 対 象 にしており デート 取 り 込 みの 設 定 から 有 益 なデータビューの 成 ま でさまざまな 機 能 が 意 されていまたとえば Splunk App for Windows Infrastructure は Windows サー バーおよびデスクトップの 管 理 に データの 取 り 込 み サーチ レポート アラート およびダッシュボード 機 能 を 提 供 していまSplunk App for Unix and Linux は UNIX/Linux 環 境 向 けに 同 様 の 機 能 を 提 供 していま 特 定 のタイプのアプリケーション データを 処 理 する 幅 広 い App が 存 在 していま 以 下 に 例 を しま Splunk App for Blue Coat ProxySG Splunk App for F5 Splunk App for Cisco Security Splunk App for Websphere Application Server Splunk Apps に 直 接 移 動 して 各 種 App をダウンロードすることもできまSplunk Apps には 頻 繁 に 新 しい App が 追 加 されるため 定 期 的 に 確 認 してください 重 要 :Splunk Web がプロキシサーバーの 背 後 にある 場 合 は Splunk Enterprise 内 からの Splunk Apps へのア クセス 時 に 問 題 が 発 する 可 能 性 がありまこの 問 題 を 解 決 するには 管 理 マニュアル の プロキシ サー バーの 指 定 を 参 照 してください 般 的 な App についての 情 報 は 管 理 マニュアル の App とアドオンとは を 参 照 してください 特 に そ の 他 の App やアドオンの 場 所 には App のダウンロードとインストール 法 が 記 載 されていま 独 の App の 作 成 法 については Developing Views and Apps for Splunk Web マニュアルを 参 照 してく ださい の 設 定 Splunk Enterprise に 新 しいタイプのデータを 追 加 するには データに 関 するいくつかの 事 項 を 設 定 しまその ためには データ ( 取 り 込 み 法 ) を 設 定 しまデータ を 設 定 するために さまざまな 法 が 意 され ていま App:Splunk には 各 種 データを 取 り 込 むために が 事 前 設 定 されているさまざまな App が 意 さ れていまSplunk の App を 活 して データ 取 り 込 みの 設 定 の 間 を 省 きましょう 詳 細 は App を 使 ったデータの 取 り 込 み を 参 照 してください Splunk Web: 部 分 のデータ は Splunk Web のデータ ページから 設 定 できまこの 法 で は GUI を 使 って 取 り 込 むデータを 設 定 できまSplunk ホームから [データの 追 加 ] ページにアクセス することができままた [システム] を 使 って 新 たな を 追 加 したり 既 存 の を 管 理 したりするこ ともできままた ファイルをアップロードまたはモニターする 場 合 データをインデックスに 書 き 込 む 前 に ファイルをプレビューしてインデックスの 作 成 法 を 調 整 することができま Splunk コマンド ライン インターフェイス (CLI) の 使 :CLI を 使 って 部 分 のデータ 取 り 込 み を 設 定 できま inputs.conf 設 定 ファイル:Splunk Web または CLI を 使 ってデータの 取 り 込 みを 指 定 すると 設 定 内 容 は 設 定 ファイル inputs.conf に 保 存 されま 必 要 に 応 じてこのファイルを 直 接 編 集 することができま 度 なデータ 取 り 込 みを う 場 合 は このファイルを 編 集 しなければならないこともありま また フォワーダー フォワーダーを 使 って 他 のマシンのデータをインデクサー インデクサーに 送 信 するように 設 定 する 場 合 フォワーダー のインストール 時 にデータの 取 り 込 みを 指 定 することができま フォワーダーを 使 ったデータの 取 り 込 み を 参 照 してください このトピックでは Splunk Web CLI または inputs.conf を 使 って 分 でデータ を 設 定 する 法 について 説 明 していきま Splunk Web の 使 データ は Splunk ホーム または [システム] から 追 加 することができま Splunk ホームから [データの 追 加 ] を 選 択 しま[データの 追 加 ] ページが 表 されまこのページ には さまざまな タイプ 向 けのリンクが 記 載 されていまこれを 使 ってデータ を 追 加 するのが もっとも 簡 単 な 法 で データの 追 加 法 は? を 参 照 してください Splunk Web の 任 意 の 場 所 から [システム] を 選 択 しま 次 に [システム] ポップアップの [データ] か ら [データ ] を 選 択 しまこの 操 作 で 表 されるページから 既 存 のデータ の 表 管 理 およ び 新 しいデータ の 追 加 を えま [データの 追 加 ] ページには データを 取 り 込 むための 3 種 類 のオプション [アップロード] [モニター] および [ 転 送 ] がありまそれぞれのアイコンをクリックすると アップロード モニター または 転 送 するデータを 定 義 することができま Splunk Web を 使 ったデータ の 詳 細 は このマニュアルの 後 半 にある 特 定 の に 関 する 説 明 を 参 照 して ください たとえば Splunk Web を 使 ったネットワーク の 設 定 法 を 学 習 するには TCP/UDP ポート からのデータの 取 り 込 み を 参 照 してください 半 の は Splunk Web を 使 って 設 定 できま タイプが 少 ない 場 合 は inputs.conf を 直 接 編 集 する 必 要 9
10 がありままた 他 の タイプに 対 して 度 な 設 定 を う 場 合 も inputs.conf を 編 集 する 必 要 がありま Splunk Web を 使 って を 追 加 した 場 合 その は 現 在 使 している App に 所 属 する inputs.conf のコピー に 追 加 されまこの 点 についても 考 慮 が 必 要 でたとえば [サーチ] ページから [システム] に 直 接 移 動 して を 追 加 した 場 合 その は $SPLUNK_HOME/etc/apps/search/local/inputs.conf に 追 加 されまデータ を 追 加 する 際 には 分 が 的 の App 内 にいることを 確 認 してください 設 定 ファイルの 仕 組 みの 詳 細 につい ては 設 定 ファイルについて を 参 照 してください CLI の 使 Splunk CLI を 使 って 部 分 の を 設 定 することができまUNIX/Windows コマンドプロンプトから $SPLUNK_HOME/bin/ ディレクトリに 移 動 して./splunk コマンドを 使 しまたとえば 以 下 のコマンドを 実 す ると データ として /var/log/ が 追 加 されま./splunk add monitor /var/log/ 何 か 分 からないことがある 場 合 Splunk CLI にはヘルプが 意 されていまCLI コマンドの 覧 を 表 するに は 以 下 のコマンドを しま./splunk help commands 各 コマンドには それぞれ 独 のヘルプページが 意 されていま 参 照 するには 次 のように します:./splunk help <command> CLI を 使 った 特 定 の の 設 定 については このマニュアルの 適 切 な に 関 する 説 明 を 参 照 してください たと えば CLI を 使 ったネットワーク の 設 定 法 を 学 習 するには CLI を 使 ったネットワーク の 追 加 を 参 照 してください CLI に 関 する 全 般 的 な 情 報 については 管 理 マニュアル の CLI について および 他 の 関 連 するトピックを 参 照 してください inputs.conf の 編 集 inputs.conf を 編 集 して 直 接 を 追 加 するには その のスタンザを 設 定 しまスタンザ は $SPLUNK_HOME/etc/system/local/ 内 または ($SPLUNK_HOME/etc/apps/<app name>/local 内 の) 独 のカスタム App ディレクトリ 内 の inputs.conf ファイルに 追 加 しまSplunk の 設 定 ファイルで 初 めて 作 業 を う 場 合 は 事 前 に 設 定 ファイルについて を 参 照 してください データ を 設 定 するには スタンザに 属 性 / 値 のペアを 追 加 しま スタンザには 複 数 の 属 性 を 設 定 できま 属 性 の 値 を 指 定 しない 場 合 は $SPLUNK_HOME/etc/system/default/inputs.conf に 定 義 されているデフォルト 値 が 使 されま ネットワーク を 追 加 する 簡 単 な 例 を 以 下 に しまこの 設 定 は 任 意 のリモートサーバーからの raw デー タを TCP ポート 9995 で 待 ち 受 けるように Splunk Enterprise に 指 していまSplunk Enterprise は リ モート サーバーの DNS 名 を 使 ってデータのホストを 設 定 しまソースタイプ log4j およびソース tcp:9995 をデータに 割 り 当 てま [tcp://:9995] connection_host = dns sourcetype = log4j source = tcp:9995 特 定 の の 設 定 法 については このマニュアルのその に 関 する 説 明 を 参 照 してください たとえば ファ イル の 設 定 法 については ここを 参 照 してください 各 データ のトピックには その で 利 できる 主 な 属 性 が 説 明 されていま 利 可 能 な 属 性 の 完 全 な 覧 については inputs.conf spec ファイルを 参 照 する 必 要 がありまspec ファイルには 属 性 の 詳 細 な 説 明 が 記 載 されていま 複 数 の 例 を 含 むファイルも 存 在 していま ソース タイプについて データ 取 り 込 み 処 理 の 環 として Splunk Enterprise はデータにソースタイプを 割 り 当 てまソースタイプ はデータのフォーマットを していまインデックス 作 成 時 に Splunk Enterprise はソースタイプを 使 し て イベントを 正 しくフォーマットしま 通 常 Splunk は どのソースタイプを 割 り 当 てるのかを 理 解 していま たとえば syslog データにはソースタイプ syslog が 割 り 当 てられま 特 定 の に Splunk Enterprise が 割 り 当 てるソースタイプに 不 満 がある 場 合 は 別 のソースタイプを 指 定 することができます ( 事 前 定 義 されているソースタイプまたは 分 で 作 成 したソースタイプ) ソースタイプは の 設 定 時 に 設 定 しま 設 定 法 は このトピックで 説 明 していま ソースタイプの 詳 細 は ソースタイプが 重 要 な 理 由 を 参 照 してください 動 ソースタイプ 割 り 当 てに 優 先 する 設 定 には ソースタイプ 割 り 当 てオプションが 詳 細 に 説 明 されていま イベント 単 位 でのソースタイプの 設 定 法 については 度 なソースタイプの 上 書 き を 参 照 してください Splunk Enterprise によるデータの 取 り 扱 い (および 活 法 ) 10
11 Splunk Enterprise は 任 意 の 種 類 のデータを 取 り 込 んで それのインデックスを 作 成 し イベントに 変 換 しま イベントは 有 益 でサーチ 可 能 な 情 報 で 以 下 のデータパイプラインは インデックス 作 成 時 のデータ 処 理 の 主 な 流 れを 表 していまこれらのプロセスが イベント 処 理 を 構 成 していまデータが 処 理 されてイベン トに 変 換 されたら イベントをナレッジオブジェクトと 関 連 付 けて 有 性 をさらに 向 上 することができま データパイプライン Splunk Enterprise に 取 り 込 まれた 連 のデータは それをサーチ 可 能 なイベントに 変 換 する データパイプライ ンを 通 過 しまデータパイプラインの 主 要 なステップを 以 下 の 図 に しま データパイプラインの 概 要 については 分 散 デプロイ マニュアルの Splunk Enterprise 内 でのデータの 移 動 を 参 照 してください Splunk Enterprise はイベント 処 理 時 に ほぼすべてのタイプのデータを 適 切 に 認 識 し 有 益 でサーチ 可 能 なイベ ントに 変 換 するための 処 理 を いまただし データの 種 類 やデータから 抽 出 したい 情 報 によっては イベント 処 理 の 部 のステップを 調 整 しなければならないこともありま イベント 処 理 イベント 処 理 は パーシングとインデックス 作 成 の 2 つのステージに 分 かれて われまSplunk Enterprise に 取 り 込 まれるデータはすべて きなデータの 塊 (チャンク) としてパーシングパイプラインを 通 過 しま パーシング 中 に これらのチャンクはイベントに 分 割 されま 分 割 されたイベントは インデックス インデックス 作 成 パイ プラインに 渡 されて 最 終 処 理 が われま パーシングおよびインデックス 作 成 の 両 の 段 階 で Splunk Enterprise はデータを 処 理 し さまざまな 法 で 変 換 を いまこれらのプロセスの 半 は 設 定 を 変 更 することができ ニーズに 合 わせて 処 理 を 調 整 することがで きま 以 降 の 説 明 でリンクをクリックすると これらのいずれかのプロセスの 説 明 と 設 定 法 に 関 する 情 報 を 記 載 したトピックに 移 動 しま パーシング 中 Splunk Enterprise はさまざまなアクションを 実 しま 以 下 に 例 を しま 各 イベントに 対 して host source および sourcetype などの 連 のデフォルトフィールドを 抽 出 する 11
![字 セットのエンコードを 設 定 する 分 割 ルールを 使 って の 終 端 を 識 別 する 半 のイベントは 短 く 1 2 程 度 ですが 中 には いイベン トも 存 在 していまSplunk Web の [ソースタイプの 設 定 ] ページを 使 って 対 話 的 に の 終 端 設 定 を 変 更 することもできま タイムスタンプを 識 別 する また 存 在 しない 場 合 は](/docs-images/39/20187662/images/12-0.png "作 成 する タイムスタンプ 処 理 と 同 時 に イベント 境 界 の 識 別 が われまタイムスタンプの 設 定 は [ソースタイプの 設 定 ] ページを 使 って 対 話 形 式 で うこ ともできま このステージで 重 要 なイベントデータ (クレジットカード 情 報 や 社 会 保 障 番 号 など) をマスクするように Splunk Enterprise を 設 定")
12 字 セットのエンコードを 設 定 する 分 割 ルールを 使 って の 終 端 を 識 別 する 半 のイベントは 短 く 1 2 程 度 ですが 中 には いイベン トも 存 在 していまSplunk Web の [ソースタイプの 設 定 ] ページを 使 って 対 話 的 に の 終 端 設 定 を 変 更 することもできま タイムスタンプを 識 別 する また 存 在 しない 場 合 は 作 成 する タイムスタンプ 処 理 と 同 時 に イベント 境 界 の 識 別 が われまタイムスタンプの 設 定 は [ソースタイプの 設 定 ] ページを 使 って 対 話 形 式 で うこ ともできま このステージで 重 要 なイベントデータ (クレジットカード 情 報 や 社 会 保 障 番 号 など) をマスクするように Splunk Enterprise を 設 定 することができままた 受 信 したイベントにカスタムメタデータを 適 する ように 設 定 することもできま インデックス 作 成 パイプラインでは 以 下 のような 追 加 処 理 が われま すべてのイベントを サーチ 可 能 なセグメントに 分 割 する セグメント 分 割 のレベルを 指 定 することができ まセグメント 分 割 レベルは インデックス 作 成 およびサーチ 速 度 サーチ 能 およびディスクの 圧 縮 効 率 に 影 響 しま インデックスデータ 構 造 を 作 成 する raw データとインデックスファイルをディスクに 書 き 込 む ディスクでは インデックス 作 成 後 の 圧 縮 処 理 が われま パーシングおよびインデックス 作 成 パイプラインの 違 いは 主 にフォワーダーに 影 響 してきまヘビーフォワー ダーは ローカルにデータの 完 全 パーシングを い パーシングされたデータをインデクサーに 転 送 できまイ ンデクサーは 最 終 的 なインデックス 作 成 作 業 を いま ユニバーサルフォワーダーでは 最 低 限 のパーシン グ 処 理 を った 後 にデータを 転 送 しま 部 分 のパーシング 処 理 は 受 信 側 のインデクサーで われま イベントおよび 処 理 の 詳 細 は このマニュアルの イベント 処 理 の 概 要 を 参 照 してください インデックス 作 成 パイプラインの 詳 細 を 表 した 図 とインデックス 作 成 の 仕 組 みについては Community Wiki の How Indexing Works を 参 照 してください イベントの 強 化 と 調 整 データがイベントに 変 換 されたら それをイベントタイプ フィールド 抽 出 および 保 存 済 みサーチなどのナレッ ジオブジェクトに 関 連 付 けて 有 性 を 強 化 することができまSplunk ナレッジの 管 理 の 詳 細 は ナレッジ 管 理 マニュアルの Splunk のナレッジとは? を 参 照 してください Splunk Enterprise へのデータの 取 り 込 み データの 追 加 法 は? 最 新 版 の Splunk Enterprise では データをとても 簡 単 に 追 加 できるようになりました 適 切 な 権 限 を 持 つユー ザーとしてログインしたら 新 しい 順 に 1 クリックでアクセスできまこのトピックは 更 新 された 順 と 前 の 順 からの 変 更 について 説 明 していま データを Splunk に 取 り 込 むためのチュートリアルについては サーチ チュートリアル を 参 照 してくださ い 新 しい [データの 追 加 ] ページ Splunk Enterprise にログインすると 更 新 されたホーム ページが 表 されま データを 追 加 するには ページの 中 央 左 (App リストの 右 ) にある 緑 の [データの 追 加 ] ボタンをクリックしま [データの 追 加 ] ページが 表 されま システム バーの [ 設 定 ] メニューをクリックして [データの 追 加 ] ページを 表 することもできまメニュー が 表 された 時 [データの 追 加 ] ボタンは 左 側 にありま 12
![このページには Splunk Enterprise インスタンスにデータを 取 り 込 むための 3 つのオプション [アップロー ド] [モニター] [モニター] および [ 転 送 ] が 表 されま アップロード [アップロード] オプションでは インデックスを 作 成 するために Splunk Enterprise にファイルまたはファイル](/docs-images/39/20187662/images/13-0.png "のアーカイブをアップロードすることができま[アップロード] ボタンをクリックすると アップロード プロ セスを 開 始 するページが 表 されま データのアップロード を 参 照 してください モニター [モニター] オプションでは 1 つまたは 複 数 のファイル ディレクトリ ネットワーク ストリーム スクリプ ト イベント ログ (Windows システムのみ) または Splunk")
13 このページには Splunk Enterprise インスタンスにデータを 取 り 込 むための 3 つのオプション [アップロー ド] [モニター] [モニター] および [ 転 送 ] が 表 されま アップロード [アップロード] オプションでは インデックスを 作 成 するために Splunk Enterprise にファイルまたはファイル のアーカイブをアップロードすることができま[アップロード] ボタンをクリックすると アップロード プロ セスを 開 始 するページが 表 されま データのアップロード を 参 照 してください モニター [モニター] オプションでは 1 つまたは 複 数 のファイル ディレクトリ ネットワーク ストリーム スクリプ ト イベント ログ (Windows システムのみ) または Splunk Enterprise インスタンスがアクセスできる 他 のタ イプのマシン データをモニターすることができま[モニター] ボタンをクリックすると モニター プロセス を 開 始 するページが 表 されま データのモニター を 参 照 してください 転 送 [ 転 送 ] オプションでは フォワーダー フォワーダーからこの Splunk Enterprise インスタンスにデータを 取 り 込 むことができ ま[ 転 送 ] ボタンをクリックすると フォワーダーからのデータ 収 集 プロセスを 開 始 するページが 表 されま データの 転 送 を 参 照 してください 重 要 :このオプションを 使 する 前 に 追 加 の 設 定 を う 必 要 がありまこれは 単 インスタンス 環 境 での み 使 してください データのインデックスを 作 成 する 複 数 の Splunk Enterprise インスタンスがある 場 合 は データの 転 送 マニュアルの データの 転 送 と 受 信 について を 参 照 してください データのアップロード このトピックは [データの 追 加 ] ページで [アップロード] ボタンを 選 択 した 場 合 に 表 されるページについて 説 明 していま [アップロード] ページ [アップロード] ページには 以 下 の 項 が 表 されま このページでは 以 下 のいずれかの 法 を 使 って データを Splunk Enterprise にアップロードできま 13
![Enterprise インスタンスがアクセスできる 他 のタ イプのマシン データをモニターすることができま[モニター] ボタンをクリックすると モニター プロセス を 開 始 するページが 表 されま データのモニター を 参 照 してください 転 送 [ 転 送 ] オプションでは フォワーダー フォワーダーからこの Splunk Enterprise インスタンスにデータを 取 り 込](/docs-images/49/20187662/images/page_13.jpg "むことができ ま[ 転 送 ] ボタンをクリックすると フォワーダーからのデータ 収 集 プロセスを 開 始 するページが 表 されま データの 転 送 を 参 照 してください 重 要 :このオプションを 使 する 前 に 追 加 の 設 定 を う 必 要 がありまこれは 単 インスタンス 環 境 での み 使 してください データのインデックスを 作 成 する 複 数 の Splunk")
![または Splunk Enterprise にインデックスを 作 成 させるファイルをデスクトップからドラッグして このページの [ここにデータ ファイルをドラッグ アンド ドロップしてください] 領 域 にドロップしま 画 左 上 の [ファイルの 選 択 ] ボタンをクリックして ダイアログ ボックスを 表 し インデックスを 作 成 するファイルを 選 択 しま ファイルがロードされ](/docs-images/39/20187662/images/14-0.png "ファイルのタイプに 応 じて 処 理 が われまロードが 完 了 したら 右 上 の [ 次 へ] ボタ ンをクリックして 次 のステップ [データの 追 加 ] に 進 みま データのモニター このトピックは [データの 追 加 ] ページで [モニター] ボタンを 選 択 した 場 合 に 表 されるページについて 説 明 し ていま [モニター] ページ [モニター] ページには 以 下")
14 または Splunk Enterprise にインデックスを 作 成 させるファイルをデスクトップからドラッグして このページの [ここにデータ ファイルをドラッグ アンド ドロップしてください] 領 域 にドロップしま 画 左 上 の [ファイルの 選 択 ] ボタンをクリックして ダイアログ ボックスを 表 し インデックスを 作 成 するファイルを 選 択 しま ファイルがロードされ ファイルのタイプに 応 じて 処 理 が われまロードが 完 了 したら 右 上 の [ 次 へ] ボタ ンをクリックして 次 のステップ [データの 追 加 ] に 進 みま データのモニター このトピックは [データの 追 加 ] ページで [モニター] ボタンを 選 択 した 場 合 に 表 されるページについて 説 明 し ていま [モニター] ページ [モニター] ページには 以 下 の 項 が 表 されま このページでは Splunk Enterprise にモニターさせるデータのタイプを 選 択 できまデフォルトの が 最 初 に 表 されまデフォルトの の 下 には 転 送 されている が 表 されまその 下 には インスタンスに インストールされているモジュール が 表 されま データをモニターするには 以 下 の 順 に 従 ってください 1. 画 の 左 側 でソースを 1 回 クリックして 選 択 しま 選 択 したソースに 応 じて 残 りのページにはそれに 合 わせた 内 容 や 項 が 表 されまたとえば [ファイ ルとディレクトリ] を 選 択 した 場 合 ページにはファイル/ディレクトリ 名 を するためのフィールド お よびファイル/ディレクトリのモニター 法 を 指 定 する 項 などが 表 されま 注 意 :Splunk Enterprise には モニターできるソースのみが 表 されま 詳 細 は データ ソースの 覧 を 参 照 してください モニターする 的 のデータ ソースが 表 されない 場 合 は 以 下 のような 理 由 が 考 えら れま 部 のデータ ソースは 特 定 のオペレーティング システムでのみ 利 できまたとえば Windows データ ソースを *nix 上 で 動 作 している Splunk Enterprise インスタンスで 利 することはできません ( 逆 も 同 様 ) Splunk Enterprise にログインしているユーザーが データの 追 加 またはそのデータ ソースを 参 照 する 権 限 を 持 っていない 可 能 性 がありま 2. 画 に 表 される 指 に 従 って モニターするソース オブジェクトの 選 択 を 完 了 しま 3. 右 上 の [ 次 へ] ボタンをクリックして 次 のステップ [データの 追 加 ] に 進 みま データ 転 送 このトピックは [データの 追 加 ] ページで [ 転 送 ] ボタンを 選 択 した 場 合 に 表 される [フォワーダーの 選 択 ] ペー ジについて 説 明 していま 重 要 :インデクサーおよびデプロイ サーバーとして 動 作 している 単 の Splunk Enterprise インスタンスがあ る 場 合 にのみ このページを 使 してください インデックスの 作 成 を 担 当 する 複 数 のサーバーがある 場 合 は Splunk Enterprise インスタンスの 更 新 マニュアルの デプロイ サーバーとフォワーダー 管 理 について を 参 照 してください [フォワーダーの 選 択 ] ページ [ 転 送 ] ページには 以 下 の 項 が 表 されま 14
15 このページでは データを 受 信 するためにサーバー クラスを 定 義 して それらのクラスにフォワーダーを 追 加 しま このページには すでにデータの 転 送 を 設 定 し このインスタンスのデプロイ クライアントとして 動 作 するよう に 設 定 されたフォワーダーのみが 表 されまフォワーダーの 設 定 が われていない 場 合 は 設 定 するように 要 求 するメッセージが 表 されま リストにフォワーダーが 表 されるようにするには 以 下 の 作 業 が 必 要 で フォワーダーをデプロイ クライアントとして 設 定 する 必 要 がありまこうすると デプロイ サー バーがフォワーダーの 設 定 を 管 理 できるようになりま 詳 細 は Splunk Enterprise インスタンスの 更 新 マニュアルの デプロイ クライアントの 設 定 を 参 照 してください フォワーダーは デプロイ サーバーと 正 常 に 接 続 できる 必 要 がありま リストにフォワーダーが 表 されたら データを 追 加 するためにそれの 設 定 を いま 1.[サーバー クラスの 選 択 ] で 表 されているいずれかのオプションを 選 択 しま [ 新 規 ]:サーバー クラスを] 定 義 していない 何 らかの 理 由 で 新 しいサーバー クラスを 作 成 したい また は 既 存 のサーバー クラスが として 設 定 するフォワーダーのグループに 適 していない 場 合 [ 既 存 ]:] 既 存 のサーバー クラスを 使 する 場 合 2.[ [ 利 可 能 ホスト] パネルで このインスタンスにデータを 受 信 させるフォワーダーを 選 択 しまフォワー ダーが [ 利 可 能 ホスト] パネルから [ 選 択 済 みホスト] パネルに 移 動 しま[すべて 追 加 ] リンクをクリックし て すべてのホストを 追 加 することができままた [すべて 削 除 ] リンクで すべてのホストを 削 除 すること もできま 重 要 :サーバー クラスに 追 加 するホストは 特 定 のプラットフォームのホストでなければなりません たとえ ば Windows ホストと *nix ホストを 同 じサーバー クラスに 追 加 することはできません 3a.[サーバー クラスの 選 択 ] で [ 新 規 ] を 選 択 した 場 合 意 のサーバー クラス 名 を しま 3b.[ [ 既 存 ] を 選 択 した 場 合 ドロップダウン リストからサーバー クラスを 選 択 しま 4. 右 上 の [ 次 へ] ボタンをクリックして 次 のステップ [データの 追 加 ] に 進 みま [ソースの 選 択 ] ページに 選 択 したフォワーダーに 対 して 有 効 なソースタイプが 表 されま 5.フォワーダーがこのインスタンスにデータを 送 信 する データ ソースを 選 択 しま データのモニター を 参 照 してください 6. 緑 の [ 次 へ] ボタンをクリックして 次 のステップ [データの 追 加 ] に 進 みま [ソースタイプの 設 定 ] ページ [ソースタイプの 設 定 ] ページでは データのインデックスがどのように 作 成 されるのかをプレビューして イベ ントの 処 理 を 改 善 することができまこのページを 使 って データのインデックスが 意 図 通 りに 作 成 されるこ とを 確 認 することができま データのインデックスをどのように 作 成 するのかを 簡 単 に 調 整 することができま 対 話 形 式 でインデックス 作 成 プロセスを 調 整 改 善 することができまそのため 後 ほど 実 際 にインデックス 作 成 を った 時 には 的 通 りの 形 式 でイベント データのインデックスが 作 成 されま 15
![[ソースタイプの 設 定 ] ページは ローカル インスタンスの 単 のファイルをアップロード/モニターする 場 合 に のみ 表 されまデータを 転 送 するインスタンスに 対 しては 表 されません ネットワーク やディレクトリ にも 対 応 していません ただし 正 しくプランニングを えば それらの タイプに 対 してもこのページを 利 できま 詳 細 は データの 準 備 を 参 照](/docs-images/39/20187662/images/16-0.png "してください このページの 表 時 には 指 定 したデータに 基 づいてソースタイプが 選 択 されま 推 奨 するソースタイプをその まま 使 することも それを 変 更 することも 可 能 で [ソースタイプの 設 定 ] ページの 例 を 以 下 に しま 推 奨 するソースタイプの 表 変 更 ファイル 内 のデータを Splunk Enterprise がどのようにイベントとして 分")
16 [ソースタイプの 設 定 ] ページは ローカル インスタンスの 単 のファイルをアップロード/モニターする 場 合 に のみ 表 されまデータを 転 送 するインスタンスに 対 しては 表 されません ネットワーク やディレクトリ にも 対 応 していません ただし 正 しくプランニングを えば それらの タイプに 対 してもこのページを 利 できま 詳 細 は データの 準 備 を 参 照 してください このページの 表 時 には 指 定 したデータに 基 づいてソースタイプが 選 択 されま 推 奨 するソースタイプをその まま 使 することも それを 変 更 することも 可 能 で [ソースタイプの 設 定 ] ページの 例 を 以 下 に しま 推 奨 するソースタイプの 表 変 更 ファイル 内 のデータを Splunk Enterprise がどのようにイベントとして 分 割 する 予 定 なのかを 確 認 することがで きまこのインデックス 作 成 がご 分 のニーズを 満 たしていない 場 合 は 別 のソースタイプを 選 択 した り [ソースタイプ: 新 しいソースタイプ] ボタンをクリックして 新 しいソースタイプを 作 成 したりすることが できま イベント データのソースタイプの 表 と 設 定 を 参 照 してください イベント サマリーの 表 ページの 右 側 にある [イベント サマリーの 表 ] リンクをクリックして Splunk Enterprise が 収 集 したデー タ サンプル 内 のイベントのサマリーを 参 照 することができまこのサマリーには 以 下 の 情 報 が 表 されま Splunk Enterprise が 収 集 したサンプル データのサイズ (バイト) サンプル 内 に 存 在 しているイベント 数 時 間 の 経 過 に 伴 うイベント 分 布 を 表 すグラフ Splunk Enterprise は ファイル 内 の 付 スタンプを 使 っ て このグラフの 表 法 を 決 定 しま サンプル 内 の 各 イベントの 数 の 内 訳 タイムスタンプとイベント 分 割 の 調 整 Splunk Enterprise によるタイムスタンプ 抽 出 とイベントの 分 割 法 を 調 整 することができま 満 のいく 結 果 が 得 られたら 変 更 内 容 を 新 しいソースタイプとして 保 存 しま 次 に それを 実 際 のデータに 適 してくださ い 詳 細 は データへの 適 切 なソースタイプの 割 り 当 て を 参 照 してください 区 切 り 設 定 16
![割 する 予 定 なのかを 確 認 することがで きまこのインデックス 作 成 がご 分 のニーズを 満 たしていない 場 合 は 別 のソースタイプを 選 択 した り [ソースタイプ: 新 しいソースタイプ] ボタンをクリックして 新 しいソースタイプを 作 成 したりすることが できま イベント データのソースタイプの 表 と 設 定 を 参 照 してください イベント サマリーの 表](/docs-images/49/20187662/images/page_16.jpg "ページの 右 側 にある [イベント サマリーの 表 ] リンクをクリックして Splunk Enterprise が 収 集 したデー タ サンプル 内 のイベントのサマリーを 参 照 することができまこのサマリーには 以 下 の 情 報 が 表 されま Splunk Enterprise が 収 集 したサンプル データのサイズ (バイト) サンプル 内 に 存 在 しているイベント 数 時")
17 カンマ 区 切 り 値 (CSV) タブ 区 切 り 値 (TSV) またはその 他 の 類 似 のファイルなどの 構 造 化 データ ファイルを 選 択 した 場 合 [ 区 切 り 設 定 ] バーが 表 されまこのウィンドウでは これらの 構 造 化 データ ファイルのパー シング 法 に 関 する 設 定 を 調 整 することができま 以 下 の 項 を 調 整 できま フィールド 区 切 り 字 - Splunk Enterprise がデータをフィールドに 分 割 するために 利 する 字 引 字 - 何 かが 引 されている 場 合 に Splunk Enterprise がそれを 判 断 するために 利 する 字 ファイルの 不 要 ヘッダー - 構 造 化 データ ファイル 内 の 不 要 な を 無 視 するように 指 する 正 規 表 現 式 フィールド 名 - Splunk Enterprise によるフィールド 名 の 決 定 法 動 番 号 カスタム または 正 規 表 現 を 利 できま データへの 適 切 なソースタイプの 割 り 当 て ここでは [ソースタイプの 設 定 ] ページを 使 った インデックスを 作 成 するデータへの 適 切 なソースタイプの 相 関 法 について 説 明 していま [ソースタイプの 設 定 ] ページの 的 は 取 り 込 んだデータへの 正 しいソースタイプの 適 をお 伝 いすることに ありまソースタイプは Splunk Enterprise が 取 り 込 んだすべてのデータに 割 り 当 てるデフォルトフィール ドの 1 つでソースタイプは インデックス 作 成 時 のデータのフォーマット 法 を 決 定 しまデータに 正 し いソースタイプを 割 り 当 てることで インデックスが 作 成 されたデータ (イベントデータ) には 適 切 なタイムス タンプの 設 定 とイベント 分 割 が われ 期 待 通 りのデータが 作 成 されま Splunk Enterprise には 多 数 の 事 前 定 義 されたソースタイプが 意 されていまたいていの 場 合 は データの 取 り 込 み 時 にデータに 正 しいソースタイプが 動 的 に 割 り 当 てられ 適 切 にデータが 処 理 されま 特 殊 なデータ の 場 合 データに 対 して 別 の 事 前 定 義 ソースタイプを 動 で 選 択 しなければならないこともありままた 独 のイベント 処 理 を 設 定 した 新 たなソースタイプを 作 成 しなければならないこともありま [ソースタイプの 設 定 ] ページは データに 事 前 定 義 されているソースタイプを 適 した 結 果 を 表 していまこれ を 参 考 に データに 適 切 なソースタイプを 割 り 当 てられままた ソースタイプの 設 定 を 対 話 形 式 で 変 更 して 的 の 結 果 が 得 られるまで 設 定 を 調 整 することもできま 作 業 が 完 了 したら 変 更 内 容 を 新 たなソースタイプと して 保 存 することができま [ソースタイプの 設 定 ] ページでは 以 下 の 作 業 を えま Splunk Enterprise が 動 的 に 適 するデフォルトのイベント 処 理 を 使 って データがどのようになるのか を データを 変 更 することなく 確 認 する 別 のソースタイプを 適 して さらに 良 好 な 結 果 が 得 られるかどうかを 確 認 する タイムスタンプ 成 またはイベント 分 割 の 設 定 を 変 更 して インデックスデータの 品 質 を 向 上 し 変 更 内 容 を 新 しいソースタイプとして 保 存 する 新 たなソースタイプを 最 初 から 作 成 する このページは 新 しいソースタイプを props.conf ファイルに 保 存 しま 後 ほどこのファイルをデプロイ 環 境 内 の 各 インデクサーに 配 布 することで 全 体 的 にそのソースタイプを 利 することができま 詳 細 は データプレ ビューと 分 散 Splunk Enterprise を 参 照 してください ソースタイプの 詳 細 は このマニュアルの ソースタイプが 重 要 な 理 由 を 参 照 してください また イベント 処 理 の 設 定 タイムスタンプの 設 定 および ソースタイプの 設 定 内 の 各 トピックにも ソースタイプの 処 理 に 関 する 詳 細 な 情 報 が 記 述 されていま プレビューするデータの 準 備 このトピックでは [ソースタイプの 設 定 ] ページで 表 するデータの 準 備 法 を 説 明 しま [ソースタイプの 設 定 ] ページでは 1 つのファイルに 対 してのみ 作 業 を えままた Splunk Enterprise イン スタンス 上 にあるファイル またはそこにアップロードされたファイルのみを 利 できま 直 接 ネットワーク データやディレクトリを 処 理 することはできませんが この 問 題 には 簡 単 に 対 処 することができま ネットワークデータのプレビュー サンプル ネットワーク データをファイルに 書 き 込 んで そのファイルをアップロードする またはファイルの モニター として 追 加 することができまこの 的 で 利 できるさまざまな 外 部 ツールがありまたとえ 17
![Splunk Enterprise によるフィールド 名 の 決 定 法 動 番 号 カスタム または 正 規 表 現 を 利 できま データへの 適 切 なソースタイプの 割 り 当 て ここでは [ソースタイプの 設 定 ] ページを 使 った インデックスを 作 成 するデータへの 適 切 なソースタイプの 相 関 法 について 説 明 していま [ソースタイプの 設 定 ] ページの 的](/docs-images/49/20187662/images/page_17.jpg "は 取 り 込 んだデータへの 正 しいソースタイプの 適 をお 伝 いすることに ありまソースタイプは Splunk Enterprise が 取 り 込 んだすべてのデータに 割 り 当 てるデフォルトフィール ドの 1 つでソースタイプは インデックス 作 成 時 のデータのフォーマット 法 を 決 定 しまデータに 正 し いソースタイプを 割 り 当 てることで インデックスが 作 成")
18 ば *nix 系 では netcat を 利 することができまたとえば ポート 514 で UDP データを 待 機 している 場 合 netcat を 使 ってネットワークデータの 部 をファイルに 書 き 込 むことができま nc -lu 514 > sample_network_data ベスト プラクティスは ファイル サイズが 2MB に 達 したら netcat を kill するシェル スクリプト 内 で こ のコマンドを 実 することでデフォルトで データプレビュー 機 能 は ファイル 内 の 最 初 の 2MB のデータの みを 読 み 込 みま sample_network_data ファイルを 作 成 したら それを 標 準 の と 同 様 に 追 加 することができます (アップ ロードする またはファイル として 追 加 する) 定 義 プロセスの 環 として [ソースタイプの 設 定 ] ペー ジが 表 されまファイル 内 のデータのプレビューを って 必 要 な 変 更 をイベント 処 理 に 反 映 させたら その ソースタイプを 直 接 ファイルに 適 することができま ディレクトリ 内 の 複 数 ファイルのプレビュー ディレクトリ 内 のすべてのファイルが 同 じような 内 容 のデータを 保 有 している 場 合 どれか 1 つのファイルで データのプレビューを えば そのディレクトリ 内 のすべてのファイルに 対 してほぼ 満 がいく 結 果 を 得 ることが できまただし ディレクトリにさまざまな 形 式 や 環 境 のデータファイルが 混 在 している 場 合 は データが 異 な る 連 のファイルを 個 別 にプレビューする 必 要 がありまこの 場 合 各 タイプのファイルを 個 別 にプレビューす る 必 要 があります (ワイルドカードを 指 定 すると [ソースタイプの 設 定 ] ページが 無 効 になるため) ファイルサイズの 制 限 Splunk Enterprise は [ソースタイプの 設 定 ] ページのファイルから 最 初 の 2MB のデータを 読 み 込 んで 表 し またいていの 場 合 は これで 分 なデータ 標 本 を 得 ることができま 量 のデータで 試 したい 場 合 は limits.conf で max_preview_bytes 属 性 を 変 更 しま 代 わりにファイルのデータ 量 を 削 減 し 2MB のデータがオリ ジナルのファイルの 各 種 データタイプを 反 映 するように 編 集 することもできま イベント データのソースタイプの 表 と 設 定 このトピックは 受 信 データのプレビュー 法 およびそのデータのソースタイプの 設 定 / 作 成 法 について 説 明 していま Splunk Web でファイル を 作 成 する 場 合 この 機 能 が 動 的 に 利 されまSplunk Web の [ファイルと ディレクトリ] ページで 単 ファイルを 新 しい として 追 加 またはアップロードを 開 始 すると (ここを 参 照 ) [ソースタイプの 設 定 ] ページが 表 されま この 時 点 で データのインデックスがどのように 作 成 されるのかを 確 認 することができま 次 に 変 更 または 新 しいソースタイプの 作 成 既 存 のソースタイプの 選 択 または 推 奨 されているソースタイプをそのまま 使 して 直 接 [ の 設 定 ] ページに 進 むことができま ソースタイプの 確 認 と 設 定 [データの 追 加 ] パネルの [ファイルとディレクトリ] でモニターするファイルを 選 択 または [アップロード] ページからファイルをアップロードすると [ソースタイプの 設 定 ] ページが 表 されま このページには 3 つのセクションがありま 上 部 のセクションには ページの 使 法 が 表 されま 下 部 左 側 のセクションには イベント 分 割 タイムスタンプの 設 定 などの 新 しいソースタイプを 選 択 定 義 するため のオプションや その 他 のオプションが 記 載 されていま 下 部 右 側 の [データのプレビュー] パネルには Splunk Enterprise が 現 在 データをどのように 認 識 しているのかが 表 されま 下 部 左 側 のセクションで 操 作 を うと それが 即 座 に 下 部 右 側 のセクションに 反 映 されま 任 意 の 時 点 で 上 部 の い [<] ボタンをクリックすることで 前 のページに 戻 ってプレビューする 新 しいファイルを 選 択 することができま 1a.まず Splunk Enterprise がデータをどのように 表 しているのかを 参 照 しまここに 表 されている 内 容 で データのインデックスが 作 成 されまイベントの 分 割 やタイムスタンプを 確 認 してください 1b.[イベント サマリー] ダイアログを 使 って ファイルのパーシング 時 に Splunk Enterprise がカウントした 数 を 参 照 することができまファイル 内 のカウントされた 数 が 少 ない 場 合 イベントの 分 割 を 調 整 しなければ ならない 可 能 性 がありま 2a. 的 通 りにデータが 表 されている 場 合 は ステップ 3a に 進 みま 2b.データが 的 通 りに 表 されていない 場 合 このトピックの 既 存 のソースタイプの 選 択 に 進 んで 的 通 りにデータが 表 されるまでソースタイプ パラメータの 変 更 を いま 3a.Splunk Enterprise が 選 択 した 既 存 のソースタイプをそのまま 使 する 場 合 は 上 部 にある 緑 の [ 次 へ] ボタ ンをクリックして [ 設 定 ] ページに 進 みまこれでデータのプレビュー プロセスは 完 了 で 3b.Splunk Enterprise が 選 択 した 既 存 のソースタイプを 使 しない Splunk Enterprise がソースタイプを 選 択 しない または 新 しいソースタイプを 定 義 したい 場 合 は 以 下 のいずれかの 作 業 を えま 既 存 のソースタイプを 選 択 する:データは このソースタイプでインデックスが 作 成 されま 警 告 : 別 のソースタイプを 選 択 すると 表 されるデータおよびデータのインデックス 作 成 法 が 変 化 する 可 能 性 が ありま 新 しいソースタイプを 保 存 する: 希 にデータは 正 しくパーシングされたけれども 使 する 既 存 のソース タイプが 選 択 されないことがありまこのような 場 合 ソースタイプを 保 存 して それを 以 降 の 類 似 の ファイルに 適 することができま 18
![として [ソースタイプの 設 定 ] ペー ジが 表 されまファイル 内 のデータのプレビューを って 必 要 な 変 更 をイベント 処 理 に 反 映 させたら その ソースタイプを 直 接 ファイルに 適 することができま ディレクトリ 内 の 複 数 ファイルのプレビュー ディレクトリ 内 のすべてのファイルが 同 じような 内 容 のデータを 保 有 している 場 合 どれか 1](/docs-images/49/20187662/images/page_18.jpg "つのファイルで データのプレビューを えば そのディレクトリ 内 のすべてのファイルに 対 してほぼ 満 がいく 結 果 を 得 ることが できまただし ディレクトリにさまざまな 形 式 や 環 境 のデータファイルが 混 在 している 場 合 は データが 異 な る 連 のファイルを 個 別 にプレビューする 必 要 がありまこの 場 合 各 タイプのファイルを 個 別 にプレビューす る")
![4.ソースタイプを 選 択 または 保 存 したら 上 部 にある 緑 の [ 次 へ] ボタンをクリックして [ 設 定 ] ページに 進 みまこれでデータのプレビュー プロセスは 完 了 で 既 存 のソースタイプの 選 択 データが 意 図 通 りに 表 されない 場 合 まず 既 存 の 他 のソースタイプを 利 できるかどうかを 確 認 してください 既 存 のソースタイプを 選 択](/docs-images/39/20187662/images/19-0.png "しても 的 の 結 果 が 得 られない 場 合 は このトピックの 後 半 の 新 しいソースタイプの 定 義 を 参 考 に 的 通 りの 結 果 が 得 られるように 調 整 してください 1.[ソースタイプ:システムのデフォルト] ボタンをクリックしま ソースタイプのカテゴリ 覧 が 表 されま 各 カテゴリ 下 には その ゴリ 内 のソースタイプのリストが 表 さ れま 2.")
19 4.ソースタイプを 選 択 または 保 存 したら 上 部 にある 緑 の [ 次 へ] ボタンをクリックして [ 設 定 ] ページに 進 みまこれでデータのプレビュー プロセスは 完 了 で 既 存 のソースタイプの 選 択 データが 意 図 通 りに 表 されない 場 合 まず 既 存 の 他 のソースタイプを 利 できるかどうかを 確 認 してください 既 存 のソースタイプを 選 択 しても 的 の 結 果 が 得 られない 場 合 は このトピックの 後 半 の 新 しいソースタイプの 定 義 を 参 考 に 的 通 りの 結 果 が 得 られるように 調 整 してください 1.[ソースタイプ:システムのデフォルト] ボタンをクリックしま ソースタイプのカテゴリ 覧 が 表 されま 各 カテゴリ 下 には その ゴリ 内 のソースタイプのリストが 表 さ れま 2.データに 最 適 なカテゴリ 上 にマウス カーソルを 移 動 しまそのカテゴリ 下 のソースタイプが ポップアッ プ メニューに 表 されま 3.データに 適 したソースタイプを 選 択 しま 新 しいソースタイプでデータがどのようになるかを すために データのプレビュー パネルが 更 新 されま 注 意 :スクロールしないとカテゴリ 内 のすべてのソースタイプを 参 照 できないこともありま 4. 前 述 の ソースタイプの 確 認 と 設 定 に 従 って データを 再 確 認 しま 新 しいソースタイプの 定 義 既 存 のソースタイプを 選 択 しても データが 正 しく 認 識 されない 場 合 は 新 しいソースタイプを 定 義 して イベン ト 分 割 タイムスタンプ 認 識 およびその 他 のパラメータを 設 定 して Splunk Enterprise が 正 しくデータを 認 識 できるまで 調 整 を いま これらのパラメータの 変 更 およびソースタイプの 定 義 については このマニュアルの イベント 処 理 の 変 更 を 参 照 してください イベント 処 理 の 変 更 Splunk Enterprise によるデータの 処 理 結 果 ( イベント データのソースタイプの 表 と 設 定 を 参 照 ) に 満 できない 場 合 は データ プレビュー 機 能 を 使 ってイベント 処 理 設 定 を 変 更 し その 設 定 を 新 しいソースタイプと して 保 存 することができま 主 な 順 を 以 下 に しま 1.イベント データを 表 しま 詳 細 は ソースタイプのイベント データの 表 と 設 定 を 参 照 してくださ い 19
20 2.イベント 処 理 設 定 を 変 更 しま 3. 変 更 による 影 響 を 確 認 し 満 のいく 結 果 が 得 られるまで 調 整 を 繰 り 返 しま 4. 設 定 を 新 しいソースタイプとして 保 存 しま 新 しいソースタイプは 任 意 の に 適 することができま イベント 処 理 設 定 の 変 更 Splunk Enterprise ではデフォルトで 新 しいソースタイプを 定 義 することができまそのためには [ソース タイプの 設 定 ] ページの [ソースタイプ:システムのデフォルト] ドロップダウンを 利 しま 新 しいソースタイ プを 作 成 するには 後 述 の 説 明 に 従 ってイベント 分 割 およびタイムスタンプ パラメータを 設 定 し それを 保 存 し ま [ソースタイプの 設 定 ] ページの 左 側 には 3 種 類 の 調 整 作 業 を うためのタブとリンクがありま イベント 改 :Splunk Enterprise がデータをイベントに 分 割 する 法 を 調 整 しま タイムスタンプ:Splunk Enterprise がイベントのタイムスタンプを 決 定 する 法 を 調 整 しま 詳 細 : props.conf を 直 接 編 集 しま イベント 改 イベント 分 割 パラメータを 変 更 するには [イベント 改 ] バーをクリックして 展 開 しまバーに 以 下 のボタン が 表 されま 動 - データ 内 で つかったタイムスタンプに 基 づいてイベント 分 割 を いま 各 - 各 が 単 のイベントとみなされま 正 規 表 現...- データのイベントへの 分 割 に 使 する 正 規 表 現 を 指 定 する 場 合 は このボタンをクリックしま イベント 分 割 ( 改 ) の 詳 細 は イベントの 分 割 の 設 定 を 参 照 してください 正 規 表 現 の 構 と 使 法 の 概 要 については Regular-Expressions.info を 参 照 してください 正 規 表 現 をテス トするには rex サーチ コマンドを 使 しま 正 規 表 現 式 を 作 成 テストするために 役 つサードパーティ 製 ツールのリストも 意 されていま タイムスタンプ 20
![プを 作 成 するには 後 述 の 説 明 に 従 ってイベント 分 割 およびタイムスタンプ パラメータを 設 定 し それを 保 存 し ま [ソースタイプの 設 定 ] ページの 左 側 には 3 種 類 の 調 整 作 業 を うためのタブとリンクがありま イベント 改 :Splunk Enterprise がデータをイベントに 分 割 する 法 を 調 整 しま](/docs-images/49/20187662/images/page_20.jpg "タイムスタンプ:Splunk Enterprise がイベントのタイムスタンプを 決 定 する 法 を 調 整 しま 詳 細 : props.")
21 タイムスタンプ 認 識 パラメータを 変 更 するには [タイムスタンプ] をクリックして それを 展 開 しまバーに 以 下 のオプションが 表 されま [ 抽 出 ] では 以 下 のいずれかのオプションを 選 択 することができま 動 - Splunk Enterprise がタイムスタンプを 動 検 出 しま 現 在 の 時 刻 - ローカル インスタンス 上 の 現 在 の 時 刻 が 使 されま 詳 細 - 調 整 するための 度 なパラメータが 表 されま [ 詳 細 ] パラメータを 以 下 に しま タイムゾーン - イベントに 使 するタイムゾーンを 選 択 しま タイムスタンプ 形 式 - データ 内 のタイムスタンプの 検 索 時 に 使 する タイムスタンプ 形 式 を 表 す 字 列 を しま タイムスタンプ プリフィックス - タイムスタンプの 前 に 登 場 する 字 を 表 す 正 規 表 現 を しま 先 読 み - タイムスタンプのためにイベント (または [タイムスタンプ プリフィックス] に 指 定 した 正 規 表 現 ) を 調 査 する 字 数 を しま 重 要 :[タイムスタンプ 形 式 ] フィールドにタイムスタンプのフォーマットを 指 定 し タイムスタンプが 各 イベン トの 開 始 点 付 近 に 存 在 していない 場 合 は [タイムスタンプ プリフィックス] フィールドにプリフィックスを 指 定 する 必 要 がありまそうしないと フォーマット 処 理 を えず 各 イベントには strptime を 使 できない 旨 の 警 告 が 含 まれま(それでも Splunk が 問 題 にどのように 対 処 するのかによっては 有 効 なタイムスタンプが 得 られる 可 能 性 がありま) タイムスタンプ 設 定 の 詳 細 は タイムスタンプの 設 定 を 参 照 してください 詳 細 詳 細 パラメータを 変 更 するには [ [ 詳 細 ] バーをクリックして それを 展 開 しまバーに props.conf ファイルを 直 接 編 集 してソースタイプのプロパティを 指 定 できるオプションが 表 されま ここでは 属 性 と 値 のペアを 指 定 することで ソースタイプのプロパティを 追 加 または 変 更 することができま これらのプロパティの 設 定 法 の 詳 細 は props.conf を 参 照 してください このボックスは 編 集 しているソースタイプの 現 在 の 完 全 なプロパティセットが 表 されていまこれには 以 下 の 情 報 が 含 まれていま [イベント 改 ] または [タイムスタンプ] タブで われた 変 更 により 成 された 設 定 ([[ 適 ] ボタンをク リックした 後 ) 最 初 にデータプレビュー 機 能 にファイルを 取 り 込 んだ 時 に 動 検 出 された または 動 で 選 択 したソースタ イプの 既 存 の 設 定 [その 他 の 設 定 ] テキストボックスから 適 した 任 意 の 設 定 ([[ 設 定 の 適 ] ボタンをクリックした 後 ) 21
22 ソースタイプのプロパティの 設 定 法 の 詳 細 は Configuration file reference の props.conf に 関 するトピッ クを 参 照 してください また タイムスタンプ 設 定 およびイベントの 分 割 に 関 するトピックも 参 照 してくださ い Splunk Enterprise が 複 数 の 設 定 を 組 み 合 わせる 法 [ 詳 細 ] で った 設 定 が 常 に 優 先 されまたとえば [タイムスタンプ] タブでタイムスタンプ 設 定 を 変 更 し ま た [ 詳 細 ] でも 競 合 するタイムスタンプの 変 更 を った 場 合 どちらの 変 更 を 先 に った 場 合 でも [ [ 詳 細 ] での 変 更 が 優 先 されま この 最 優 先 度 の 設 定 から 始 まって 残 りの 設 定 が 順 番 に 組 み 合 わせられま [ 詳 細 ] モードでの 変 更 [イベント 改 ]/[タイムスタンプ] の 変 更 基 盤 となるソースタイプの 設 定 すべてのソースタイプのデフォルトのシステム 設 定 また [ [ 詳 細 ] で 変 更 を った 後 に [イベント 改 ] タブまたは [タイムスタンプ] タブに 戻 った 場 合 それらのタ ブでその 変 更 は 表 されません 変 更 内 容 の 確 認 変 更 の 効 果 を 確 認 する 準 備 ができたら [ [ 設 定 の 適 ] を 選 択 しま 画 が 更 新 され 変 更 した 設 定 がデータに 与 える 影 響 を 確 認 することができま さらに 変 更 を いたい 場 合 は これまでに 説 明 した 3 種 類 の 調 整 法 を 使 って さらに 調 整 を 繰 り 返 しまそ の 後 もう 度 [ 変 更 の 適 ] を 選 択 して 変 更 がデータに 与 える 影 響 を 確 認 しま 変 更 内 容 を 新 しいソースタイプとして 保 存 変 更 内 容 を 新 たなソースタイプとして 保 存 するには [ソースタイプ] ボタンの 隣 りにある 緑 の [ 名 前 を 付 けて 保 存 ] ボタンをクリックしまダイアログ ボックスが 表 されまここでは ソースタイプ 名 の 指 定 [ソース タイプ] ボタンを 押 した 時 に 表 される 所 属 先 カテゴリの 選 択 および 使 するアプリケーション コンテキスト の 指 定 を えま 1. 新 しいソースタイプの [ 名 前 ] を しま 2.ソースタイプの [ 説 明 ] を しま 3.[ソースタイプ] ボタンの 選 択 時 に ソースタイプを 表 させる [カテゴリ] を 選 択 しま 4. 新 しいソースタイプを 使 する [App] を 選 択 しま 5. 緑 の [ 保 存 ] ボタンをクリックしてソースタイプを 保 存 し [ソースタイプの 設 定 ] ページに 戻 りま この 時 点 で 以 下 の 作 業 を えま 緑 の [ 次 へ] ボタンをクリックしてデータにソースタイプを 適 し [ 設 定 ] ページに 進 みま い [<] ボタンをクリックすると 元 のページに 戻 って アップロード/モニターする 新 しいファイルを 選 択 す ることができま [データの 追 加 ] をクリックすると [データの 追 加 ] ウィザードの 先 頭 に 戻 りま データプレビューと 分 散 Splunk Enterprise データプレビュー 機 能 を 使 って 新 しいソースタイプを 作 成 し それを 特 定 のファイル/ディレクトリまたは TCP/UDP からの に 割 り 当 てることができまデータプレビュー 機 能 は 新 しいソースタイプを 実 してい る Splunk Enterprise インスタンスの props.conf 設 定 ファイルに 保 存 しま 他 の Splunk Enterprise インスタ ンス 上 でこのソースタイプを 使 したい 場 合 は 必 要 に 応 じてこのファイルを 配 布 することができま フォワーダーがデータを 収 集 して それをインデクサーに 転 送 する 分 散 環 境 で 新 しいソースタイプを 使 する には 2 つのステップに 分 けて 作 業 を いま 1.ソースタイプ 定 義 を 含 む props.conf ファイルを そのソースタイプを 使 ってデータのインデックスを 作 成 する 任 22
23 ソースタイプ 定 義 を 含 む props.conf ファイルを そのソースタイプを 使 ってデータのインデックスを 作 成 する 任 意 のインデクサーに 配 布 しま 2. 次 に それらのインデクサーにデータを 転 送 するフォワーダー 上 で を 定 義 する 際 に その 新 しいソースタイ プを 使 しま フォワーダーがインデクサーに 新 しいソースタイプのタグが 付 いたデータを 送 信 すると インデクサーはそれを 正 しく 処 理 してイベントを 作 成 することができま ここでは まずデータプレビュー 機 能 が 作 成 する 設 定 ファイルについて 説 明 しま 次 に デプロイ 環 境 内 のイン デクサーにファイルを 配 布 する 法 を 説 明 していきま 最 後 に フォワーダー 上 で を 定 義 する 際 の 新 しい ソースタイプの 指 定 法 について 説 明 しま 分 散 Splunk Enterprise の 詳 細 は 分 散 デプロイ マニュアルを 参 照 してください props.conf ファイル [ソースタイプの 設 定 ] ページで 新 しいソースタイプを 作 成 すると ソースタイプの 保 存 時 に 選 択 した App 内 の props.confファイルに ソースタイプ 定 義 がスタンザとして 保 管 されます:たとえば [サーチとレポート] App を 選 択 すると ファイルは $SPLUNK_HOME/etc/apps/search/local/props.conf に 保 管 されま 唯 の 例 外 は [システ ム] App でソースタイプの 保 存 時 にこの App を 選 択 すると ファイルは $SPLUNK_HOME/etc/system/local. に 保 管 されま 初 めてデータ プレビューを 使 ってソースタイプを 作 成 する 場 合 ソースタイプの 保 存 時 に 選 択 した App の ディレクトリ 内 に 新 たな props.conf ファイルが 成 されま 後 ほど 他 のソースタイプを 作 成 した 場 合 そのソー スタイプも 同 じ props.conf に 保 管 されま 注 意 :Splunk Enterprise インスタンスに 同 じ 設 定 ファイルの 異 なるバージョンが それぞれ 違 うディレクトリ に 保 管 されている 場 合 もありまSplunk Enterprise は 実 時 に 定 の 規 則 に 基 づいて これらの 設 定 ファイル の 内 容 を 組 み 合 わせま 設 定 ファイルの 仕 組 みの 詳 細 については 設 定 ファイルについて および 設 定 ファ イルの 優 先 度 を 参 照 してください 他 のインデクサーへの props.conf の 配 布 新 しいソースタイプを 作 成 したら データプレビューの props.conf ファイルを 他 の Splunk Enterprise インスタ ンスに 配 布 することができまファイルが 配 布 されたインスタンスは その 新 しいソースタイプのタグが 設 定 さ れている 任 意 の 受 信 データのインデックスを 作 成 することができま 般 的 には ターゲット Splunk Enterprise インスタンス 上 の 独 の App ディレクトリ ( 例 :$SPLUNK_HOME/etc/apps/splunk_datapreview/local/) に 設 定 ファイルを 保 管 しま 他 の Splunk インスタンスに 設 定 ファイルを 配 布 するために Splunk のデプロイサーバー デプロイサーバーや 他 の 配 布 ツールを 使 することができまデプロイサーバーの 使 法 については Splunk インスタンスの 更 新 マニュアル を 参 照 してください 注 意 :Splunk Enterprise は props.conf 内 のソースタイプ 定 義 を 使 して 受 信 データをイベントにパーシング しまそのため パーシングを 実 する Splunk Enterprise インスタンス つまりインデクサーまたはヘビー フォワーダーにのみファイルを 配 布 することができま フォワーダーの への 新 しいソースタイプの 指 定 フォワーダー (ヘビーフォワーダーを 除 く) には Splunk Web が 含 まれていないため 般 的 に の 設 定 には inputs.conf 設 定 ファイルを 使 しまこのファイルに を 指 定 する 場 合 のソースタイプも 指 定 するこ とができまinputs.conf の 詳 細 は 設 定 ファイルリファレンス の inputs.conf に 関 するセクションを 参 照 し てください フォワーダーの に 新 しいソースタイプのタグを 設 定 するには inputs.conf 内 の スタンザにソースタイプ を 追 加 しま 例 : [tcp://:9995] sourcetype = new_network_type フォワーダーからデータを 受 信 するすべてのインデクサーに 新 しいソースタイプ 定 義 ( 例 :new_network_type) が 含 まれている props.conf ファイルのコピーがあることを 確 認 する 必 要 がありまフォワーダーがインデクサー にデータを 送 信 すると インデクサーは 新 たなソースタイプを 識 別 し 正 しくデータをフォーマットすることがで きまprops.conf の 配 布 順 については 他 のインデクサーへの props.conf の 配 布 を 参 照 してください データプレビューとサーチヘッドプーリング 分 散 サーチ 環 境 でサーチヘッドプーリング 機 能 を 使 っている 場 合 Splunk Web にデータのプレビューが 適 切 に 表 されるように いくつかのガイドラインに 従 う 必 要 がありまこれは データプレビュー 機 能 が 内 蔵 の App として 実 装 されているためで 詳 細 は 分 散 サーチ マニュアルの アップグレード 後 に Splunk Web に 不 然 または 不 正 確 な 項 が 表 される を 参 照 してください 設 定 の 変 更 ここでは [ソースタイプの 設 定 ] ページでデータ ソースを 設 定 した 後 に 表 される [ の 設 定 ] ページについ て 説 明 していきま 23
24 ソースの 選 択 (または 単 ファイルのアップロード/モニター 時 のソースタイプの 設 定 ) 後 には 以 下 のページが 表 されま このページでは ソースタイプ アプリケーション コンテキスト ホスト 値 からのデータを 保 管 するイン デックスなどの データ に 対 する 追 加 のパラメータを 設 定 できま 利 できる 設 定 を 以 下 に しま ソースタイプ [ソースタイプ] では データに 適 するソースタイプを 指 定 できまこれは 以 下 のようなソースを 選 択 した 場 合 に 表 されま 単 のファイルではない または アップロードしたファイルではない データ ソースがどちらの 基 準 も 満 たさない 場 合 [ソースタイプ] 設 定 は 表 されません ソースタイプを 指 定 するには 3 種 類 のいずれかのボタンを 選 択 しま 動 :データにデフォルトのソースタイプを 適 しま 選 択 :データに 指 定 したソースタイプを 適 しま[ 選 択 ] をクリックすると ドロップダウンにそのマシ ンで 利 できるすべてのソースタイプが カテゴリ 別 に 表 されままず 的 のソースタイプに 合 ったカ テゴリを 選 択 し 次 にリストからソースタイプを 選 択 してください マニュアル: 以 下 のフィールドに したソースタイプを 使 しま App コンテキスト [App コンテキスト] 設 定 には がデータを 収 集 するコンテキストを 指 定 しまApp コンテキストによ り およびソースタイプ 定 義 の 管 理 性 が 向 上 しますべての App コンテキストは 優 先 順 位 に 基 づいて 読 み 込 まれま 管 理 マニュアル の 設 定 ファイルの 優 先 度 を 参 照 してください ドロップダウンをクリックして この に 対 する 的 のアプリケーション コンテキストを 選 択 しま ホスト 値 Splunk Enterprise は インデックスを 作 成 した 各 イベントにホスト 値 でタグを 設 定 しまイベントへのタグの 設 定 法 を 指 定 することができま 定 数 値 :[ホスト フィールドの 値 ] フィールドに 指 定 した 値 を 使 しまhost フィールドのこの 値 で 各 イベントにタグが 設 定 されま 後 ほど 同 じ 値 を 持 つこの host フィールドをサーチすることができま パスの 正 規 表 現 :データを 含 むファイルのパスから ホスト 値 を 抽 出 する 場 合 に 使 しま 下 の [ 正 規 表 現 ] フィールドに 有 効 な 正 規 表 現 を しまこの 正 規 表 現 を 使 って パスからホスト 名 が 抽 出 されま ホストについて を 参 照 してください パスのセグメント:ソース パス 名 内 のセグメントを 使 ってホスト 値 を 決 定 する 場 合 に この 設 定 を 使 しま 下 の [セグメント 番 号 ] フィールドには セグメント 番 号 を しま たとえば ソース のパス 名 が /var/server/<hostname> で hostname に 基 づいてホスト フィールドを 設 定 したい 場 合 は [パスのセグメント] を 選 択 してセグメント 番 号 として 3 を します (<hostname> はパス /var/log/hostname 内 の 3 番 のセグメントであるため) インデックス [インデックス] には この のイベントを 保 管 するインデックスを 指 定 しまデフォルトのインデックスを 使 するには [デフォルト] を 設 定 しま 他 のインデックスを 選 択 する 場 合 は ドロップダウン ボタンをクリッ クしてデータを 保 管 するインデックスを 選 択 しまデータを 保 管 するインデックスがリストに 記 載 されていない 場 合 適 切 な 権 限 があれば [ [ 新 しいインデックスの 作 成 ] ボタンをクリックして 新 しいインデックスを 作 成 す ることができま 選 択 が 完 了 したら 緑 の [ 次 へ] ボタンをクリックして 最 終 ステップの [データの 追 加 ] に 進 むことができま 24
25 ファイルやディレクトリからデータを 収 集 ファイルとディレクトリのモニター Splunk Enterprise には monitor MonitorNoHandle および upload の 3 つのファイル プロセッサが ありま monitor を 使 ってファイルやディレクトリからの ほぼすべてのデータ ソースを 追 加 することができまた だし 履 歴 データのアーカイブなど 1 回 限 り 取 り 込 むようなデータには upload を 使 することもできま Windows システムでは MonitorNoHandle を 使 って システムがローテーションを 動 的 に うファイルを モニターすることができまMonitorNoHandle は Windows システム 上 でのみ 機 能 しま モニターまたはアップロードする を 以 下 の 任 意 の 法 を 使 って 追 加 することができま Splunk Web CLI inputs.conf CLI または inputs.conf を 使 って MonitorNoHandle に を 追 加 することができま [ソースタイプの 設 定 ] ページを 使 って Splunk Enterprise がファイルのデータに 対 してどのようなインデックス を 作 成 するかを 確 認 することができま 詳 細 は [ソースタイプの 設 定 ] ページ を 参 照 してください Splunk Enterprise のモニターの 仕 組 み ファイルやディレクトリへのパスを 指 定 すると Splunk Enterprise のモニター monitor プロセッサはその ファイルまたはディレクトリに 書 き 込 まれる 新 しいデータを 取 り 込 みまこれによって J2EE または.NET ア プリケーションなどからのライブアプリケーションログや Web アクセスログなどのログ 情 報 をモニターすること ができまSplunk Enterprise は 継 続 的 にファイルやディレクトリをモニターし 新 たなデータが 到 着 するとイ ンデックスを 作 成 しまSplunk Enterprise がディレクトリからデータを 読 み 込 めるならば NFS を 含 めたマ ウントされたディレクトリや 共 有 ディレクトリを 指 定 することもできま 指 定 されたディレクトリ 内 にサブディ レクトリがある 場 合 Splunk Enterprise はそれらのディレクトリも 再 帰 的 に 調 査 して 新 たなファイルのデータを 取 り 込 みま モニター 設 定 に 指 定 されたファイルまたはディレクトリは Splunk Enterprise の 起 動 および 再 起 動 時 にチェック されま 起 動 時 にファイルやディレクトリが 存 在 していなかった 場 合 Splunk Enterprise は 最 後 の 再 起 動 時 刻 から 24 時 間 ごとに 再 チェックを いままた Splunk Enterprise は モニター 対 象 ディレクトリのサブディ レクトリも 継 続 的 にスキャンしまSplunk Enterprise を 再 起 動 せずに 新 しい を 追 加 したい 場 合 は Splunk Web または CLI を 使 しまSplunk Enterprise に 動 的 に 新 たな 候 補 を 探 させる 場 合 は CLI コマンドの crawl を 使 しま モニターを 使 する 場 合 以 下 の 事 項 に 注 意 してください 半 のファイルシステムでは 書 き 込 み 中 でもファイルを 読 み 取 ることができまただし Windows ファイルシステムには 書 き 込 み 中 のファイルの 読 み 取 りを 防 する 機 能 があり 部 の Windows プログ ラムはこの 機 能 を 使 していま 書 き 込 み 中 のファイルを 読 み 取 りたい 場 合 は MonitorNoHandle を 使 することができま 対 象 とする または 除 外 するファイルやディレクトリを ホワイトリストとブラックリストを 使 って 指 定 することができま 再 起 動 すると Splunk Enterprise は 処 理 を 中 断 した 時 点 からファイルの 処 理 を 再 開 しま アーカイブファイルは そのインデックスを 作 成 する 前 に 解 凍 されま 次 のような 般 的 なアーカイブ ファイルタイプを 処 理 することができます:tar, gz, bz2, tar.gz, tgz, tbz, tbz2, zip および z 既 存 のアーカイブファイルに 新 しくデータを 追 加 した 場 合 その 新 たなデータだけではなく ファイル 内 の すべてのデータのインデックスが 再 作 成 されまそのため イベントの 重 複 が 発 する 可 能 性 がありま Splunk Enterprise はログファイルのローテーションを 検 出 して すでにインデックスを 作 成 している 名 前 が 変 更 されたファイルの 処 理 は いません (tar と.gz は 例 外 です 詳 細 は このマニュアルの ログファ イルのローテーション を 参 照 してください) dir/filename パスの 全 は 1024 字 以 下 でなければなりません コマンドラインまたは [システム] を 使 ってファイルベースの を 無 効 化 または 削 除 しても その で 処 理 中 のファイルのインデックス 作 成 は 中 断 されません ファイルの 再 チェックは 中 されますが 中 時 点 でのすべてのデータのインデックスが 作 成 されますべてのデータ 処 理 を 中 するには Splunk Enterprise サーバーを 再 起 動 する 必 要 がありま Splunk Enterprise は ファイル 拡 張.splunk を 持 つファイルのインデックスを 作 成 しません これは Splunk Enterprise がこの 拡 張 を 持 つファイルを メタデータ 情 報 を 持 つファイルと 想 定 しているためで.splunk 拡 張 を 持 つファイルのインデックス 作 成 が 必 要 な 場 合 は add oneshot CLI コマンドを 使 し てください モニター がオーバーラップしている 場 合 もありまスタンザ 名 が 異 なっている 限 り Splunk Enterprise は それらを 別 個 のスタンザとして 取 り 扱 い スタンザにもっとも 致 するファイルが そのスタンザの 設 定 に 従 って 処 理 されま アップロードまたはバッチを 使 する 理 由 静 的 ファイルのインデックスを 1 回 作 成 するには Splunk 上 で [アップロード] を 選 択 しまSplunk Enterprise はファイルを 1 回 のみモニターしま 同 じ 的 で CLI コマンドの add oneshot または spool を 使 することもできま 詳 細 は CLI の 使 を 参 照 してください 25
26 ファイルを 1 回 のみ 読 み 込 んで その 後 破 棄 するには inputs.conf の batch タイプを 使 しまデフォル トで Splunk の batch プロセッサは $SPLUNK_HOME/var/spool/splunk にありまこのディレクトリにファイルを 移 動 すると それのインデックスが 作 成 され その 後 ファイルが 削 除 されま 注 意 :ファイルアーカイブの 読 み 込 みのベストプラクティスについては コミュニティ Wiki の How to index different sized archives を 参 照 してください MonitorNoHandle の 使 理 由 この Windows 専 を 利 すれば Windows システム 上 の 書 き 込 み 中 のファイルを 読 み 取 ることができま そのために カーネルモードのフィルタドライバを 使 って ファイルに 書 き 込 み 中 の raw データを 捕 捉 して いま 書 き 込 みのためにロック 付 きで 開 かれているファイルを 読 み 込 む 場 合 に この スタンザを 使 しま Windows DNS サーバーのログファイルなど システムが 書 き 込 み にロック 付 きで 開 いているファイルに 対 して この スタンザを 使 できま 注 意 : MonitorNoHandle では 単 のファイルのみをモニターできまディレクトリをモニターすることはできま せん モニター 対 象 として 選 択 したファイルがすでに 存 在 している 場 合 Splunk は 現 在 の 内 容 のインデックスは 作 成 せずに 新 たにファイルに 書 き 込 まれるデータのみインデックスを 作 成 しま Splunk Web の 使 Splunk Web を 使 って ファイルやディレクトリからの または Splunk Enterprise インスタンスがモニ ターできる 他 の を 追 加 することができま A. [ 新 規 追 加 ] ページに 移 動 (データの 取 り 込 み) は Splunk Web の [ 新 規 追 加 ] ページから 追 加 しま データの 追 加 法 は? を 参 照 してください 2 種 類 の 法 でこのページを 表 できま Splunk ホーム Splunk 設 定 Splunk 設 定 を 使 する 場 合 : 1.Splunk Web の 右 上 にある [ 設 定 ] をクリックしま 2.[ 設 定 ] ポップアップの [データ] セクションで [データ ] をクリックしま 3.[ファイルとディレクトリ] をクリックしま 4.[ [ 新 規 ] ボタンをクリックして を 追 加 しま Splunk ホームを 使 する 場 合 : 1.Splunk ホームの [データの 追 加 ] リンクをクリックしま 2. ファイルをアップロードするには [アップロード] を ファイルをモニターするには [モニター] を ファイル を 転 送 するには [ 転 送 ] をクリックしま 注 意 :ファイルの 転 送 には 追 加 設 定 が 必 要 で データの 転 送 マニュアルの 転 送 と 受 信 の 設 定 を 参 照 してください B. ソースの 選 択 1.ファイルまたはディレクトリ を 追 加 するには [ファイルとディレクトリ] をクリックしま 2.[ファイルまたはディレクトリ] フィールドで ファイルまたはディレクトリへのフルパスを 指 定 しま 共 有 ネットワークドライブをモニターするには 次 のように します:<myhost>/<mypath>(Windows の 場 合 は \\<myhost>\<mypath>) Splunk Enterprise に マウントされたドライブ およびモニター 対 象 ファイルに 対 する 読 み 取 り 権 限 があることを 確 認 してください 3.Splunk Enterprise によるファイルのモニター 法 を 選 択 しま 継 続 モニター: 継 続 的 なデータ 取 り 込 み ( ) を 設 定 しまSplunk Enterprise はファイルの 新 しい データを 継 続 的 にモニターしまこのオプションの 詳 細 設 定 については 次 のセクションを 参 照 してくだ さい 1 回 インデックスを 作 成 :サーバーから Splunk Enterprise に ファイルをコピーしま 4. 緑 の [ 次 へ] ボタンをクリックしま [ファイルまたはディレクトリ] フィールドでディレクトリを 指 定 した 場 合 画 が 更 新 され [ホワイトリス ト] および [ブラックリスト] フィールドが 表 されまこれらのフィールドには Splunk Enterprise が 含 める (ホワイトリスト) または 除 外 する (ブラックリスト) ファイルを 照 合 するために 使 する 正 規 表 現 を 指 定 できま ホワイトリストまたはブラックリスト 固 有 の 到 着 データ を 参 照 してください それ 以 外 の 場 合 は データのプレビューを えま C. データのプレビューとそのソースタイプの 設 定 26
27 新 しいファイル を 追 加 する 場 合 データのソースタイプを 設 定 して それがインデックス 作 成 後 にどのよう に 表 されるかを 設 定 しまそうすることにより データが 適 切 にフォーマットされ 必 要 な 調 整 が われるこ とが 保 証 されま 詳 細 は [ソースタイプの 設 定 ] ページ を 参 照 してください ページの 使 法 については イベント データのソースタイプの 表 と 設 定 を 参 照 してください データ プレビューをスキップすることを 選 択 すると [ 設 定 ] ページが 表 されま 注 意 :Splunk Enterprise では ディレクトリやアーカイブされたファイルのプレビューを 表 できません D. 設 定 の 指 定 [ 設 定 ] ページでは アプリケーション コンテキスト デフォルトのホスト 値 およびインデックスを 指 定 できまこれらのパラメータは 省 略 することができま 1.この の 適 切 なアプリケーション コンテキストを 選 択 しま 2.ホスト 名 の 値 を 設 定 しまさまざまな 選 択 肢 がありまホスト 値 の 設 定 の 詳 細 は ホストについて を 参 照 してください 注 意 :[ホスト] は イベントの host フィールドの 設 定 のみを いまSplunk Enterprise にネットワー ク 上 の 特 定 のホストを 探 すように 指 するものではありません 3.この のデータを 保 管 するインデックスを 設 定 しま 複 数 のインデックスを 定 義 しており それらの 中 の 1 つを 使 する 場 合 を 除 き この 値 は default のままにしてください ユーザーデータ のインデックスに 加 えて Splunk Enterprise にはさまざまなユーティリティインデックスが 存 在 していまこれらのインデックス も このドロップダウンボックスに 表 されま 4. 緑 の [ 確 認 ] ボタンをクリックしま E. 選 択 項 の 確 認 設 定 をすべて 指 定 したら 選 択 内 容 をレビューすることができまSplunk Enterprise には モニターのタ イプ ソース ソースタイプ アプリケーション コンテキスト インデックスなど (これ 以 外 が 表 されること もあります) の 選 択 したオプションが 表 されま 設 定 を 確 認 しま 意 図 通 りの 内 容 でない 場 合 は 灰 の [<] ボタンをクリックして ウィザードの 前 のステップ に 戻 りまそうでない 場 合 は 緑 の [ 送 信 ] ボタンをクリックしま [ 成 功 ] ページが 表 され 指 定 されたファイルまたはディレクトリのインデックス 作 成 が 開 始 されま CLI の 使 ファイルやディレクトリを Splunk Enterprise のコマンドラインインターフェイス (CLI) を 使 ってモニターしま CLI を 使 するには コマンドプロンプトまたはシェルから $SPLUNK_HOME/bin/ ディレクトリに 移 動 して そ こで splunk コマンドを 使 しま 何 か 分 からないことがある 場 合 CLI にはヘルプが 意 されていまCLI メインヘルプにアクセスするに は splunk help と しま 各 コマンドには それぞれ 独 のヘルプページが 意 されていまsplunk help <command> と してください 設 定 の CLI コマンド CLI を 使 った 設 定 には 以 下 のコマンドを 利 できま コマン ド add monitor edit monitor remove monitor list monitor add oneshot コマンドの 構 add monitor <source> [- parameter value]... edit monitor <source> [- parameter value]... remove monitor <source> list monitor add oneshot <source> [- parameter value]... <source> からの をモニターしま 対 処 前 に 追 加 した <source> の を 編 集 しま 前 に 追 加 した <source> の を 削 除 しま 現 在 設 定 しているモニター を 覧 表 しま <source> ディレクトリを Splunk に 直 接 コピーしまこれによりファイルが 1 回 アップロードされますが 継 続 的 なモニターは われません 重 要 : 重 要 : oneshot コマンドでは 再 帰 的 フォルダやワイルドカードをソースとして 使 することはできません このコマンドを 使 する 場 合 は 対 象 ファイルの 正 確 な 27
28 value]... ソースパスを 指 定 してください spool spool <source> <source> を Splunk に sinkhole ディレクトリ 経 由 でコピーしまこのコマン ドは add oneshot コマンドと 似 ていますが 即 座 に 追 加 されるのではなく sinkhole ディレクトリからスプールされるという 違 いがありま 追 加 のパラメータを 設 定 して 各 データ の 設 定 を 変 更 しまパラメータは 次 の 構 で 設 定 します:- parameter value 注 意 :コマンドあたり 1 つの -hostname -hostregex または -hostsegmentnum を 設 定 することができま パラメータ 必 須? 説 明 新 しい をモニター/アップロードするための ファイルまたはディレクトリへのパ ス <source> はい 注 意 : 他 のパラメータと 違 い このパラメータの 構 は 単 純 に 値 で パラメータフラグ が 先 頭 に 付 けられることはありません <source> であり -source <source> ではあ りません sourcetype index hostname または host いい え いい え いい え ソースからのイベントの sourcetype フィールド 値 を 指 定 しま ソースからのイベントの 宛 先 インデックスを 指 定 しま ソースからのイベントの host フィールド 値 として 設 定 するホスト 名 を 指 定 しま 注 意 :これらは 機 能 的 に 同 等 で hostregex また は host_regex いい え ソースキーから host フィールド 値 を 抽 出 するために 使 する 正 規 表 現 を 指 定 しま 注 意 :これらは 機 能 的 に 同 等 で hostsegmentnum または host_segment いい え 整 数 で パスのどの / で 区 切 られたセグメントを host フィールドの 値 として 設 定 するのかを 決 定 しまたとえば 3 を 設 定 すると パス 内 の 3 番 のセグメントが 使 されま 注 意 :これらは 機 能 的 に 同 等 で rename-source follow-only いい え いい え このファイルからのデータに 適 する source フィールドの 値 を 指 定 しま true または false を 設 定 しまデフォルトは 偽 (False) で 真 (True) を 設 定 した 場 合 Splunk Enterprise はソースの 末 尾 から 読 み 込 みます (UNIX コマンドの tail -f と 同 様 ) 注 意 : add oneshot に 対 してこのパラメータを 使 することはできません 例 1:ディレクトリ 内 のファイルのモニター /var/log/ ディレクトリ 内 のファイルのモニター 法 を 以 下 の 例 に しま データ として /var/log/ を 追 加 しま./splunk add monitor /var/log/ 例 2:windowsupdate.log のモニター Windows Update ログファイル (Windows ログは 動 的 に 更 新 される) をモニターして データをインデックス newindex に 保 管 する 法 の 例 を 以 下 に しま データ として C:\Windows\windowsupdate.log を 追 加 しま./splunk add monitor C:\Windows\windowsupdate.log -index newindex 例 3:IIS ロギングのモニター Windows IIS ログのデフォルトの 場 所 をモニターする 法 を 以 下 の 例 に しま 28
29 データ として C:\windows\system32\LogFiles\W3SVC を 追 加 しま./splunk add monitor c:\windows\system32\logfiles\w3svc 例 4:ファイルのアップロード Splunk にファイルをアップロードする 法 を 以 下 に しま 前 の 例 と 違 い Splunk Enterprise は 1 回 だけ データを 取 り 込 みま 継 続 的 にモニターすることはありません add oneshot コマンドで /var/log/applog を 直 接 Splunk にアップロードしま./splunk add oneshot /var/log/applog spool コマンドを 使 って sinkhole ディレクトリ 経 由 でファイルをアップロードすることもできま./splunk spool /var/log/applog どちらのコマンドを 使 っても 結 果 は 同 じで inputs.conf の 編 集 を 追 加 するには $SPLUNK_HOME/etc/system/local/ にある inputs.conf または $SPLUNK_HOME/etc/apps/ 内 の 独 のカスタム App ディレクトリにある inputs.conf に スタンザを 追 加 しまSplunk の 設 定 ファイルで 初 めて 作 業 を う 場 合 は 事 前 に 設 定 ファイルについて を 参 照 してください スタンザには 複 数 の 属 性 を 設 定 できま 属 性 の 値 を 指 定 しない 場 合 は $SPLUNK_HOME/etc/system/default/inputs.conf に 定 義 されているデフォルト 値 が 使 されま 注 意 : 既 存 のファイルに 新 しいコンテンツをコピーして 上 書 きした 場 合 新 たなイベントのインデックスが 作 成 されるように ソースの props.conf に CHECK_METHOD = modtime を 設 定 してください これにより ファイルの 変 更 時 刻 がチェックされ 変 更 があった 場 合 にインデックスが 再 作 成 されまファイル 全 体 のインデックスが 再 作 成 されるため 重 複 するイベントが 発 する 可 能 性 があることに 注 意 してください 設 定 の 指 定 モニター (monitor) とバッチ (batch) には 個 別 のスタンザタイプが 存 在 していまモニターとバッチの 詳 細 は ファイルとディレクトリのモニター を 参 照 してください monitor および batch の 両 の スタンザで 使 できる 属 性 を 以 下 に しま 各 タイプ 固 有 の 属 性 につい ては 後 述 するセクションを 参 照 してください 属 性 説 明 デフォルト host = <string> ホスト/キーフィールドに このスタン ザの 静 的 な 値 を 設 定 しま ホストキーの 初 期 値 を 設 定 しまこの キーは パーシング/インデックス 作 成 時 に 使 されます ( 特 に host フィール ドの 設 定 時 ) サーチ 時 に 使 される host フィールドでもありま <string> の 前 には host:: が 付 けられ ま the IP address or fully-qualified domain name of the host where the data originated. index = <string> この からのイベントを 保 管 するイン デックスを 設 定 しま <string> の 前 には index:: が 付 けられ ま インデックスフィールドの 詳 細 は イ ンデクサーとクラスタの 管 理 マニュア ルの インデックス 作 成 の 仕 組 み を 参 照 してください main またはデフォル トインデックスに 設 定 した 任 意 の 値 sourcetype = <string> この からのイベントの sourcetype キー/フィールドを 設 定 しま このデータのソースタイプを 動 的 に 判 断 する 代 わりに 明 的 に 宣 しま このことは パーシングおよびインデッ クス 作 成 中 の このタイプのデータに 対 するサーチ 可 能 性 と 関 連 するフォーマッ トの 適 の 両 で 重 要 になりま ソースタイプキーの 初 期 値 を 設 定 しま このキーは パーシング/インデッ クス 作 成 時 に 使 されます ( 特 に host 29 データのさまざまな 側 に 基 づいてソー スタイプが 選 択 され まハードコード 化 されたデフォルト 値 はありません
30 フィールドの 設 定 時 ) サーチ 時 に 使 される source type フィールドでもあり ま <string> の 前 には sourcetype:: が 付 けられま ソースタイプの 詳 細 は このマニュアル の ソースタイプが 重 要 な 理 由 を 参 照 してください queue = parsingqueue indexqueue プロセッサが 読 み 込 んだイベント をデポジットするかどうかを 指 定 しま データに props.conf および 他 のパーシン グルールを 適 する 場 合 は parsingqueue を 設 定 しま データを 直 接 インデックスに 送 信 する 場 合 は indexqueue を 設 定 しま parsingqueue _TCP_ROUTING = <tcpout_group_name>,<tcpout_group_name>,... tcpout グループ 名 のカンマ 区 切 りリス トを 指 定 しま この 属 性 を 使 して フォワーダーが データの 転 送 時 に 使 する tcpout グ ループを 指 定 することで データを 特 定 のインデクサーに 選 択 的 に 転 送 すること ができま tcpout グループ 名 は outputs.conf の [tcpout:<tcpout_group_name>] スタンザに 設 定 しま この 設 定 のデフォルトは outputs.conf の [tcpout] スタンザにある defaultgroup に 存 在 するグループ になりま outputs.conf の [tcpout] スタンザに ある defaultgroup に 存 在 するグルー プ host_regex = <regular expression> 指 定 した 場 合 正 規 表 現 は 各 のファ イル 名 からホストを 抽 出 しま 特 に 最 初 の 正 規 表 現 グループがホスト として 使 されま 正 規 表 現 に 致 しな い 場 合 は デフォル トの host = 属 性 が 使 されま host_segment = <integer> 指 定 した 場 合 パスのセグメントがホス トとして 設 定 されまセグメント は <integer> で 判 断 されまたとえ ば host_segment = 2 の 場 合 パスの 2 番 のセグメントがホストとして 設 定 さ れまパスのセグメントは / 字 により 分 割 されま 値 が 整 数 でない ま たは 1 未 満 の 場 合 は デフォルトの host = 属 性 が 使 されま モニターの 構 と 例 のモニタースタンザは <path> 内 のすべてのファイル (または 単 のファイルを 表 している 場 合 は <path> の み) を 監 視 するように Splunk Enterprise に 指 していま タイプを 指 定 し 次 にパスを 指 定 しまroot ディレクトリから 開 始 する 場 合 はパスに 3 つのスラッシュを 配 置 しま パスにはワイルドカードを 使 できま 詳 細 は このマニュアルの ワイルドカードを 使 った パスの 指 定 を 参 照 してください [monitor://<path>] <attrbute1> = <val1> <attrbute2> = <val2>... のモニタースタンザの 定 義 時 に 使 できる その 他 の 属 性 を 以 下 に しま 属 性 source = <string> 説 明 この からのイベントの source キー/フィールドを 設 定 しま 注 意 : source キーに 優 先 する 設 定 を うことは 般 的 にお 勧 めできません 通 常 レイヤーは データの 取 得 場 所 を 正 確 に 記 録 し 問 題 の 分 析 と 調 査 を 援 するために より 正 確 な 字 列 を 提 供 していまこの 値 に 優 先 する 設 定 を う 前 に ソースタイプ タグ 設 定 およびワイルドカードを 使 ったサーチの 使 を 検 討 してください 30 デ フォ ルト ファ イル パス
31 <string> の 前 には source:: が 付 けられま crcsalt = <string> CRC ( 周 期 的 冗 検 査 ) が 致 するファイルを 取 り 込 むように 強 制 する 場 合 この 設 定 を 使 しま(Splunk は CRC チェックを ファイルの 最 初 の 数 に 対 し てのみ 実 しまこの 動 作 により 同 じファイルのインデックスを 2 回 作 成 す ることを 防 します (ログファイルのローテーションなどで ファイル 名 を 変 更 した 場 合 でも) ただし CRC はファイルの 最 初 の 数 のみを 使 しているた め 同 じ CRC を 持 つ 異 なるファイルが 存 在 する 可 能 性 もあります ( 特 に 同 じ ヘッダーを 保 有 している 場 合 ) ) 設 定 した 場 合 string が CRC に 追 加 されま <SOURCE> を 設 定 した 場 合 CRC にはソースのフルパスが 追 加 されまこれによ り モニター 対 象 の 各 ファイルに 対 して 意 の CRC が 保 証 されま ローテーションされるログでこの 属 性 を 使 する 場 合 注 意 が 必 要 でロー テーションされた 後 に ログファイルが 再 度 インデックスされる 可 能 性 がありま 注 意 :この 設 定 では 字 と 字 が 区 別 されま N/A ignoreolderthan = <time window> 変 更 時 刻 (modtime) が <time window> 閾 値 を 超 えた 場 合 に モニターしている の ファイル 更 新 チェックを 中 しまモニター 対 象 ディレクトリ 階 層 に 量 の 履 歴 ファイルがある 場 合 これによりファイル 追 跡 操 作 の 速 度 が 改 善 します (たとえば アクティブなログファイルが もはや 書 き 込 まれない 古 いファイルと 共 存 している 場 合 ) 注 意 : 初 回 モニター 時 に modtime が <time window> の 範 囲 外 のファイルのイン デックスは 作 成 されません 次 の 値 でなければなりません:<number><unit> たとえば 7d は 週 間 を 表 し ていま 有 効 な 単 位 は d ( 数 ) h ( 時 間 数 ) m ( 分 数 ) および s ( 秒 ) で 0 ( 無 効 ) followtail = を 設 定 した 場 合 ファイルの 末 尾 からモニタリングが 開 始 されます (*nix の tail -f と 同 様 ) これは ファイルを 最 初 に 取 得 する 際 にのみ 適 されま その 後 Splunk Enterprise は 内 部 ファイル 位 置 レコードを 使 って ファイルを 追 跡 しま 0 whitelist = <regular expression> blacklist = <regular expression> 設 定 した 場 合 指 定 した 正 規 表 現 に 致 する 名 前 のファイルのみがモニターされ ま 設 定 した 場 合 指 定 した 正 規 表 現 に 致 する 名 前 のファイルはモニターされませ ん N/A N/A alwaysopenfile = を 設 定 すると Splunk Enterprise はファイルを 開 いてインデックスがすでに 作 成 されているかどうかを 確 認 しま modtime を 更 新 しないファイルでのみ 役 ちま Windows 上 のファイルのモニターにのみ 使 する 必 要 があります (たいていは IIS ログ) 重 要 : 負 荷 が 増 加 しインデックス 作 成 のパフォーマンスが 低 下 するため このフ ラグは 最 後 の 段 としてのみ 使 してください N/A recursive = true false false を 設 定 すると モニター 対 象 ディレクトリ 内 に つかったサブディレクトリ は 調 査 しません true time_before_close = <integer> Splunk Enterprise が EOF でファイルを 閉 じるためには Modtime の 差 分 が 必 要 で 過 去 <integer> 秒 内 に 更 新 されたファイルを 閉 じないようにシステムに 指 しま 3 followsymlink = true false false の 場 合 モニター 対 象 ディレクトリ 内 に つかったシンボリックリンクは 無 視 されま true 例 1: /apache/foo/logs または /apache/bar/logs 内 のすべてをロードしま [monitor:///apache/.../logs] 例 2: /apache/ 内 の.log で 終 了 するものをすべてロードしま 31
32 [monitor:///apache/*.log] MonitorNoHandle の 構 と 例 Windows システムでのみ MonitorNoHandle スタンザを 使 って Windows ファイルハンドルを 利 せずに ファイルをモニターすることができまこれにより Windows の DNS サーバーログファイルなどの 特 殊 な ログファイルを 読 み 込 むことができま MonitorNoHandle を 使 する 場 合 は ファイルへの 有 効 なパスを 指 定 する 必 要 がありまディレクトリを 指 定 することはできません すでに 存 在 しているファイルを 指 定 した 場 合 ファイル 内 の 既 存 のデータのインデックス は 作 成 されません システムが 新 たにファイルに 書 き 込 むデータのインデックスのみが 作 成 されま monitornohandle は inputs.conf または CLI を 使 ってのみ 設 定 できまSplunk Web で 設 定 することはできませ ん [MonitorNoHandle://<path>] <attrbute1> = <val1> <attrbute2> = <val2>... バッチ (Batch) の 構 と 例 バッチ (batch) を 使 って ソースからの 1 回 限 りのデータ 取 り 込 みを 設 定 することができま 継 続 的 なデータ の 取 り 込 みには monitor を 使 しまバッチ のインデックスが 作 成 されたら ファイルは 削 除 されるこ とに 注 意 してください [batch://<path>] move_policy = sinkhole <attrbute1> = <val1> <attrbute2> = <val2>... 重 要 :バッチ の 定 義 時 には 属 性 move_policy = sinkhole を 含 める 必 要 がありまこれにより ファイルは ロードされた 後 破 棄 されまインデックス 作 成 後 に 削 除 したくない 場 合 は バッチ を 使 しないでくださ い 例 :この 例 では /system/flight815/ ディレクトリからすべてのファイルを 読 み 込 みますが それ 以 下 のサブディ レクトリは 対 象 にしません [batch://system/flight815/*] move_policy = sinkhole ワイルドカードを 使 った パスの 指 定 このトピックは inputs.conf 内 のパスへのワイルドカードの 指 定 法 について 説 明 していまinputs.conf を 使 って を 指 定 する 場 合 にのみ 適 されます (このマニュアルの inputs.conf の 編 集 を 参 照 ) 重 要 :inputs.conf 内 の パスの 指 定 には 正 規 表 現 を 使 せずに Splunk が 定 義 したワイルドカードを 使 し ま ワイルドカードの 概 要 ワイルドカードは テキストのサーチ 時 または 複 数 のファイルやディレクトリの 選 択 時 に 1 つまたは 複 数 の 字 列 を 表 す 字 でSplunk Enterprise では ワイルドカードを 使 って をモニターする パスを 指 定 するこ とができま ワイ ルド カー ド... 説 明 省 略 記 号 ワイルドカードは ディレクトリおよび 任 意 のレベルのサブディレクトリを 対 象 に 致 項 を 探 しま 注 意 :ワイルドカードの 後 にフォルダ 区 切 り 字 が 指 定 されている 場 合 (//var/log/.../file) 最 初 のフォルダ レベルとは 照 合 されず サブフォル ダとのみ 照 合 されま 32 同 等 の 正 規 表 現.* 例 /foo/.../bar.log はファイル /foo/1/bar.log /foo/2/bar.log /foo/1/2/bar.log などに 致 しま 次 の 項 とは 致 しません:/foo/bar.log また は /foo/3/notbar.log 注 意 : 単 の 省 略 記 号 ですべてのディレクトリ とサブディレクトリを 調 査 するた め /foo/.../bar.log の 致 項 と /foo/.../.../bar.log の 致 項 は 同 じになりま
33 /foo/*/bar は /foo/bar /foo/1/bar /foo/2/bar などに 致 しまただし /foo/1/2/bar には 致 しません * アスタリスクは そのディレクトリパスセグメン トのすべての 項 に 致 しま... と 違 い * はサブディレクトリを 対 象 にしません [^/]* /foo/m*r/bar は /foo/mr/bar /foo/mir/bar /foo/moor/bar な どに 致 しま /foo/*.log は 拡 張 が.log のすべてのファイ ルに 致 します (/foo/bar.log な ど) /foo/bar.txt または /foo/bar/test.log には 致 しません 注 意 : 単 のドット (.) はワイルドカードではありません 正 規 表 現 の \. と 同 じ 意 味 を 持 ちま より 細 かく 致 項 を 指 定 するには... と * を 組 み 合 わせて 使 しまたとえば /foo/.../bar/* は 指 定 パス 内 の /bar ディレクトリ 内 の 任 意 のファイルに 致 しま ワイルドカードと 正 規 表 現 メタ 字 モニター 対 象 の 連 のファイルやディレクトリを 判 断 する 際 に Splunk Enterprise はモニター スタンザのエレ メントをセグメント (スタンザ 定 義 内 のディレクトリ 区 切 り 字 (/ または \) 間 の 字 列 ) に 分 割 しまワイル ドカードと 正 規 表 現 メタ 字 ((, ), [, ] や など) の 両 のセグメントを 含 むモニター スタンザを 指 定 した 場 合 それらの 字 に 対 する 処 理 はスタンザ 内 のワイルドカードの 位 置 によって 異 なりま モニター スタンザで 正 規 表 現 メタ 字 を 持 つセグメントがワイルドカードを 持 つセグメントの 前 にある 場 合 Splunk Enterprise はメタ 字 を 字 通 りに 解 釈 します (ファイル 名 やディレクトリ 名 にそれらの 字 が 使 わ れているものをモニターする) 例 : [monitor://var/log/log(a b).log] この 場 合 /var/log/log(a b).log ファイルがモニターされまワイルドカードが 存 在 しないため Splunk Enterprise は (a b) を 正 規 表 現 とみなしません [monitor://var/log()/log*.log] この 場 合 /var/log()/ ディレクトリ 内 の log で 始 まり 拡 張.log を 持 つすべてのファイルがモニターされま 正 規 表 現 がワイルドカードよりも 前 のセグメントにあるため Splunk Enterprise は () を 正 規 表 現 としては 取 り 扱 いません 正 規 表 現 がワイルドカードを 持 つセグメント 内 またはそれよりも 後 にある 場 合 Splunk Enterprise はメタ 字 を 正 規 表 現 として 取 り 扱 い それに 致 するファイルがモニターされま 例 : [monitor://var/log()/log(a b)*.log] この 場 合 /var/log()/ ディレクトリ 内 の loga または logb で 始 まり 拡 張.log を 持 つすべてのファイルがモニ ターされま 最 初 の () は その 後 のセグメントにワイルドカードがあるため 正 規 表 現 としては 取 り 扱 われませ ん 2 番 の () は 同 じセグメント 内 にワイルドカード * があるため 正 規 表 現 として 取 り 扱 われま [monitor://var/.../log(a b).log] /var/ ディレクトリの 任 意 のサブディレクトリ 内 にある 名 前 が loga.log および logb.log のすべてのファイルをモ ニターしま 前 のスタンザセグメントにワイルドカード... があるため (a b) は 正 規 表 現 として 取 り 扱 われ ま [monitor://var/.../log[a-z0-9]*.log] /var/ ディレクトリの 任 意 のサブディレクトリ 内 にある 以 下 の 条 件 を 満 たすすべてのファイルをモニターしま log で 始 まり 次 に 単 の 字 (A Z) または 数 字 (0 9) を 含 み 次 に 他 の 任 意 の 字 を 含 み 次 に.log で 終 了 する 前 のスタンザセグメントにワイルドカード... があるため [A-Z0-9]* は 正 規 表 現 として 取 り 扱 われま 例 /apache/foo/logs /apache/bar/logs /apache/bar/1/logs などをモニターするには: 33
34 [monitor:///apache/.../logs/*] /apache/foo/logs /apache/bar/logs などをモニターするけれども /apache/bar/1/logs または /apache/bar/2/logs をモ ニターしない 場 合 : [monitor:///apache/*/logs] /apache/ ディレクトリ 下 の.log で 終 了 するファイルをモニターするには: [monitor:///apache/*.log] /apache/ 下 の.log で 終 了 する 任 意 のファイルをモニターするには ( 任 意 のレベルのサブディレクトリを 含 む): [monitor:///apache/.../*.log]... の 後 にフォルダ 区 切 り 字 を 指 定 すると ワイルドカード レベルのフォルダは 除 外 されま [monitor:///var/log/.../*.log] テーリング ロジックは 次 のようになります: '^\/var\/log/.*/[^/]*\.log$' そのため /var/log/subfolder/test.log は 致 しますが /var/log/test.log は 致 せず 除 外 されますべての フォルダのすべてのファイルをモニターするには 次 のように 指 定 します: [monitor:///var/log/] whitelist=\.log$ recurse=true #true by default ワイルドカードとホワイトリスト 重 要 :Splunk Enterprise でホワイトリストとブラックリストは 標 準 の Perl 互 換 正 規 表 現 (PCRE) を 使 って 定 義 しま 前 のセクションで 説 明 したファイル パスの 構 とは 異 なりま ファイル パスにワイルドカードを 指 定 する 場 合 Splunk Enterprise はそのスタンザに 対 する 暗 黙 の whitelist を 作 成 しまもっとも いワイルドカードがないパスがモニター スタンザになり 前 述 の 表 のよう にワイルドカードが 正 規 表 現 に 変 換 されま また 変 換 された 正 規 表 現 は パス 全 体 が 照 合 されるように ファイルパスの 右 終 端 にアンカーされま たとえば 以 下 のように 指 定 すると [monitor:///foo/bar*.log] Splunk Enterprise はこれを 以 下 のように 変 換 しま [monitor:///foo/] whitelist = bar[^/]*\.log$ Windows で 以 下 のように 指 定 すると [monitor://c:\windows\foo\bar*.log] Splunk Enterprise はこれを 以 下 のように 変 換 しま [monitor://c:\windows\foo\] whitelist = bar[^/]*\.log$ 注 意 :Windows で whitelist と blacklist ルールは 円 記 号 (バックスラッシュ) を 含 む 正 規 表 現 をサポートして いません 2 つの 円 記 号 \\ を 使 って ワイルドカードをエスケープ 処 理 する 必 要 がありま ファイル でのホワイトリストの 使 については ホワイトリストまたはブラックリスト 固 有 の 到 着 データ を 参 照 してください ホワイトリストまたはブラックリスト 固 有 の 到 着 データ ディレクトリをモニター モニターする 場 合 ホワイトリストおよびブラックリストルールを 使 って データを 取 り 込 む ファイルを 明 的 に 指 することができままた batch にこれらの 設 定 を 適 することもできまホワ 34
35 イトリストを 定 義 する 場 合 Splunk Enterprise はそのリストに 指 定 されているファイルのみインデックスを 作 成 しまブラックリストを 定 義 する 場 合 Splunk Enterprise はリストに 指 定 されているファイルを 無 視 し て 残 りすべてのインデックスを 作 成 しまホワイトリストとブラックリストは inputs.conf 内 の 特 定 の スタンザに 定 義 しま ホワイトリストとブラックリストの 両 を 定 義 する 必 要 はありません それぞれを 個 別 に 設 定 することができま 両 のリストを 定 義 して あるファイルがその 両 に 致 する 場 合 そのファイルのインデックスは 作 成 され ません blacklist が whitelist よりも 優 先 されま ホワイトリストとブラックリストのルールは 正 規 表 現 構 を 使 って 照 合 するファイル 名 /パスを 定 義 しまこ のルールは [monitor://<path>] などの 設 定 スタンザ 内 に 指 定 する 必 要 がありまスタンザ 外 にホワイトリスト/ ブラックリストを 指 定 しても それは 無 視 されま 正 規 表 現 の 作 成 法 の 詳 細 は 正 規 表 現 情 報 ( Web サイトを 参 照 してくださ い 重 要 :ホワイトリスト/ブラックリストの 項 は 正 しい 正 規 表 現 の 構 で 定 義 してください パスへのワ イルドカード... の 使 (ここ( ここで 説 明 ) はサポートされていません ホワイトリスト/ブラックリストを 使 する 代 わりにデータをルーティング/フィルタリン グする データ にホワイトリスト/ブラックリストを 指 定 する 代 わりに 特 定 のイベントをフィルタリングして 別 の キューやインデックスに 送 信 することができまデータのルーティングやフィルタリングに 関 する 記 事 を 参 照 し てください クロール (crawl) 機 能 を 使 って ファイルシステムに 追 加 されたファイルのインデックスを 作 成 す る または 作 成 しないファイルを 事 前 定 義 することもできま ホワイトリスト ( 許 可 ) ファイル Splunk Enterprise にインデックスを 作 成 させるファイルを 定 義 するには その が 定 義 されている App の /local/inputs.conf ファイルの monitor スタンザに 以 下 の を 追 加 しま whitelist = <your_custom regex> たとえば 拡 張.log を 持 つファイルのみをモニターする 場 合 : [monitor:///mnt/logs] whitelist = \.log$ ホワイトリストで (OR) 演 算 を 使 って 複 数 のファイルを 1 に 指 定 することができまたとえ ば query.log OR my.log を 含 むファイル 名 をホワイトリストに 定 義 するには: whitelist = query\.log$ my\.log$ または ホワイトリストに 完 全 致 を 指 定 するには: whitelist = /query\.log$ /my\.log$ 注 意 : $ は 正 規 表 現 を の 終 端 にアンカーしま 演 算 の 前 後 にスペースはありません ホワイトリストでの パス 内 のワイルドカードの 取 り 扱 いについては ワイルドカードとホワイトリスト を 参 照 してください ブラックリスト ( 無 視 ) ファイル インデックス 作 成 から 除 外 するファイルを 定 義 するには その が 定 義 されている App の /local/inputs.conf ファイルの monitor スタンザに 以 下 の を 追 加 しま blacklist = <your_custom regex> 重 要 : 無 視 する 各 ファイルに 対 して blacklist を 作 成 すると Splunk は 最 後 のフィルタのみを 適 しま 拡 張.txt を 持 つファイルのみを 無 視 してモニターの 対 象 外 にするには: [monitor:///mnt/logs] blacklist = \.(txt)$ 拡 張.txt または (OR).gz を 持 つすべてのファイルを 無 視 してモニターの 対 象 外 にするには (この 場 合 を 使 します): [monitor:///mnt/logs] blacklist = \.(txt gz)$ 35
36 モニター 下 のディレクトリ 全 体 を 無 視 するには: [monitor:///mnt/logs] blacklist = (archive historical \.bak$) 上 記 の 例 は アーカイブまたは 履 歴 ディレクトリ 内 の /mnt/logs/ 下 のすべてのファイル および *.bak で 終 わる すべてのファイルを 無 視 するように Splunk に 指 していま 名 前 に 特 定 の 字 列 を 含 むファイルを 無 視 する 場 合 : [monitor:///mnt/logs] blacklist = [8 9]file\.txt$ 上 記 の 例 は /mnt/logs/ 下 の webserver file.txt と webserver file.txt を 無 視 しま Splunk Enterprise によるログファイルのローテーションの 取 り 扱 い Splunk Enterprise はモニターしているファイル (/var/log/messages など) がオペレーティングシステムによりロー テーション (/var/log/messages1) されると そのことを 認 識 し そのローテーションにより 名 前 が 変 更 されたファ イルは 読 み 込 みません 圧 縮 ファイルへのログローテーションへの 対 処 法 Splunk Enterprise は logrotate コマンドにより 成 された 圧 縮 ファイル (bz2 や gz など) が 圧 縮 前 のオリジナル ファイルと 同 じであることを 認 識 できません そのため それらのファイルがモニター 対 象 になる 場 合 データの 重 複 が 発 する 可 能 性 がありま この 問 題 を 回 避 するには 2 種 類 の 法 がありま そのようなファイルを Splunk Enterprise がモニターしていないディレクトリに 移 動 するように ログの ローテーションを 設 定 する アーカイブのファイルタイプに 対 してブラックリストルールを 設 定 して それらのファイルが 新 たなログ ファイルとして 読 み 込 まれないようにする 例 : [monitor:///var/log] blacklist = \.(gz bz2 z zip)$ Splunk Enterprise は 次 のアーカイブファイルタイプを 認 識 します:tar, gz, bz2, tar.gz, tgz, tbz, tbz2, zip および z ブラックリストルールの 設 定 の 詳 細 は このマニュアルの ホワイトリストまたはブラックリスト 固 有 の 到 着 デー タ を 参 照 してください これに 関 連 して.gz ファイルなどの 既 存 の 圧 縮 形 式 アーカイブファイルに 新 しくデータを 追 加 した 場 合 その 新 たなデータだけではなく ファイル 内 のすべてのデータのインデックスが 再 作 成 されるという 問 題 がありまそ のため イベントの 重 複 が 発 する 可 能 性 がありま Splunk Enterprise がログのローテーションを 認 識 する 仕 組 み モニタリングプロセッサは 新 しいファイルを 選 んで ファイルの 先 頭 256 バイトを 読 み 取 りま 次 にこのデー タが 開 始 / 終 了 周 期 的 冗 検 査 (CRC) にハッシュ 化 されまこれが ファイルの 内 容 を 表 す 指 紋 としての 役 割 を 果 たしまSplunk Enterprise はこの CRC を 使 って 以 前 に 確 認 したファイルの 開 始 CRC を 保 管 している データベース 内 のエントリをルックアップしまルックアップが 成 功 すると いくつかの 値 が 返 されまこの 中 で 重 要 なのが Splunk Enterprise が 既 知 のファイルですでに 読 み 込 んでいるバイト 数 を す seekaddress でまた その 場 所 のデータの 指 紋 を す seekcrc も 重 要 で このルックアップの 結 果 を 使 って Splunk Enterprise はファイルを 判 断 分 類 しま CRC チェックの 結 果 は 3 種 類 考 えられま 1.データベース 内 にファイルの 先 頭 の CRC と 致 するレコードがない このことは 新 しいファイルであること を 意 味 していまSplunk Enterprise はそのファイルの 先 頭 からデータを 取 り 込 みまSplunk Enterprise は ファイルを 取 り 込 むにつれて 新 しい CRC と SeekAddresseでデータベースを 更 新 しま 2.データベース 内 にファイルの 先 頭 からの CRC が 致 するレコードがあり ファイルの SeekAddress の 場 所 が 保 管 されている CRC の 場 所 と 致 し ファイルのサイズが 保 管 されている SeekAddress よりも きい これ は 以 前 に Splunk Enterprise がファイルを 処 理 したことがあるけれども 最 後 の 読 み 込 み 以 降 にデータが 追 加 されたことを 意 味 していまSplunk Enterprise はファイルを 開 いて 最 後 にファイルを 読 み 込 んだ 終 端 となる SeekAddress に 移 動 して そこからデータの 読 み 込 みを 開 始 しまこのようにして 新 しいデータのみを 読 み 込 んで 以 前 に 読 み 込 んだデータの 再 読 み 込 みを 防 することができま 3.データベース 内 にファイルの 開 始 CRC に 致 するレコードがあるけれども SeekAddress の 場 所 が ファイ ルの CRC の 場 所 と 致 しない これは Splunk Enterprise が 以 前 に 同 じ 開 始 データを 持 つファイルを 読 み 込 ん だことがあるけれども それまでに 読 み 込 んだ 内 容 の 部 が 変 更 されたか または 同 じ 内 容 から 始 まるまったく 別 なファイルであることを 表 していまコンテンツ 追 跡 の Splunk データベースは 開 始 CRC を 使 しているた 36
37 め これらの 2 種 類 の 異 なるデータストリームの 状 況 を 個 別 に 追 跡 する 段 はありません さらなる 詳 細 な 設 定 が 必 要 で 重 要 :CRC 開 始 チェックはデフォルトで ファイルの 最 初 の 256 バイトに 対 してのみ われるため 異 なる ファイルが 同 じ 開 始 CRC になる 可 能 性 があります ( 特 にそれらのファイルのヘッダーが 同 じである 場 合 など) こ のような 問 題 に 対 処 するには: inputs.conf の initcrclength 属 性 を 使 って CRC の 算 出 に 使 する 字 数 を 増 やす ( 上 記 の 例 では 同 じヘッ ダーの さより きな 値 に 増 やす) inputs.conf にファイルを 設 定 する 際 に crcsalt 属 性 を 使 する (このマニュアルの inputs.conf の 編 集 を 参 照 ) crcsalt 属 性 に <SOURCE> を 設 定 すると 各 ファイルが 意 の CRC を 持 つことが 保 証 されまこ の 設 定 を 使 すると 各 パス 名 が 意 のコンテンツを 保 有 すると 仮 定 されま 重 要 :ローリング ログ ファイル またはログ ファイルが 他 の 名 前 に 変 更 される 状 況 や ファイルが 他 のモ ニター 対 象 ディレクトリに 移 動 されるような 状 況 では crcsalt = <SOURCE> を 使 しないことをお 勧 めしま 使 すると Splunk Enterprise が 名 前 が 変 更 されたまたは 更 新 されたログを 認 識 できず 同 じデータのインデック スが 再 度 作 成 されてしまいま ネットワーク イベントの 取 得 TCP および UDP ポートからのデータの 取 り 込 み 任 意 の TCP または UDP ポートからのデータを 取 り 込 むように Splunk Enterprise を 設 定 することができま Splunk Enterprise はこれらのポートに 送 信 されるデータを 取 り 込 むことができまsyslog (デフォルトの ポートは UDP 514) などのネットワークサービスからのデータを 取 り 込 む 場 合 に この 法 を 使 しま netcat サービスを 設 定 して それをポートにバインドすることもできま TCP は Splunk Enterprise のデータ 配 布 に 使 されるネットワークプロトコルで リモートマシンから Splunk Enterprise サーバーにデータを 送 信 する 場 合 の 推 奨 段 でもありまSplunk Enterprise は syslog-ng や 他 の TCP 経 由 でデータを 伝 送 するアプリケーションからの リモートデータのインデックスを 作 成 することができま Splunk Enterprise は UDP のモニタリングもサポートしていますが 可 能 な 場 合 は TCP を 使 することをお 勧 めしま 般 的 に UDP は 他 にもさまざまな 理 由 がありますが 特 に 配 信 が 保 証 されないという 点 で 伝 送 段 としては 望 ましくありません UDP を 使 する 必 要 がある 場 合 は Splunk コミュニティ Wiki の Working with UDP connections を 参 照 し てください Splunk Web を 使 ったネットワーク の 追 加 Splunk Web を 使 ってネットワーク ポートからの を 追 加 する 法 については このマニュアルの Syslog - TCP/UDP を 参 照 してください CLI を 使 ったネットワーク の 追 加 Splunk Enterprise の CLI を 使 するには $SPLUNK_HOME/bin/ ディレクトリに 移 動 して./splunk コマンドを 使 しま 何 か 分 からないことがある 場 合 CLI にはヘルプが 意 されていまCLI メインヘルプにアクセスするに は splunk help と しま 各 コマンドには それぞれ 独 のヘルプページが 意 されていまsplunk help <command> と してください ネットワーク の 設 定 には 以 下 の CLI コマンドを 使 できま コマンド コマンドの 構 アクション add add tcp udp <port> [-parameter value]... <port> からの を 追 加 しま edit edit tcp udp <port> [-parameter value]... 前 に 追 加 した <port> の を 編 集 しま remove remove tcp udp <port> 前 に 追 加 したデータ を 削 除 しま list list tcp udp [<port>] 現 在 設 定 しているモニター を 覧 表 しま <port> は データを 待 ち 受 けるポート 番 号 でSplunk を 実 するユーザーには このポートへのアクセス 権 が 必 要 で 以 下 のような 追 加 パラメータを 指 定 して 各 の 設 定 を 変 更 することができま パラメータ sourcetype index 必 須? いい え いい え いい 説 明 ソースからのイベントの sourcetype フィールド 値 を 指 定 しま ソースからのイベントの 宛 先 インデックスを 指 定 しま 37
38 hostname remotehost resolvehost restricttohost いい え いい え いい え いい え ソースからのイベントの host フィールド 値 として 設 定 するホスト 名 を 指 定 しま 排 他 的 にデータを 受 け 付 ける IP アドレスを 指 定 しま True または False (T F) を 設 定 しまデフォルトは False で ソースからのイ ベントに 対 して DNS を 使 ってホストフィールドの 値 を 設 定 する 場 合 True を 設 定 しま この が 唯 接 続 を 受 け 付 ける ホスト 名 または IP アドレスを 指 定 しま 例 UDP がポート 514 で 待 機 して ソースタイプに syslog を 設 定 するように 指 定 しま./splunk add udp 514 -sourcetype syslog DNS を 介 して UDP のホスト 値 を 設 定 しまauth にユーザー 名 とパスワードを 指 定 しま./splunk edit udp 514 -resolvehost true -auth admin:changeme syslog 設 定 時 の UDP 使 のベストプラクティスについては Best Practices Wiki を 参 照 してください TCP ネットワーク の 制 限 されているホストの 変 更 TCP の 作 成 時 に 特 定 のホストからの 接 続 のみを 受 け 付 けるように 設 定 してその を 保 存 すると 後 ほど Splunk Web または CLI を 使 ってそのホストを 変 更 削 除 することはできません ポートの 制 限 されているホストを 変 更 または 削 除 するには まずその 制 限 されているホストを 指 定 している を 削 除 する 必 要 がありま 次 に 新 しい 制 限 ホストを 指 定 または 制 限 なしで 新 しい を 作 成 する 必 要 があり ま inputs.conf を 使 ったネットワーク の 追 加 を 追 加 するには $SPLUNK_HOME/etc/system/local/ にある inputs.conf または $SPLUNK_HOME/etc/apps/ 内 の 独 のカスタム App ディレクトリにある inputs.conf に スタンザを 追 加 しまSplunk の 設 定 ファイルで 初 めて 作 業 を う 場 合 は 事 前 に 管 理 マニュアル の 設 定 ファイルについて を 参 照 してください タイプに 続 いて 任 意 の 数 の 属 性 と 値 を 指 定 することができま 属 性 に 値 を 指 定 しない 場 合 $SPLUNK_HOME/etc/system/default/ ( 後 述 ) に 事 前 定 義 されているデフォルト 値 が 使 されま TCP [tcp://<remote server>:<port>] <attrbute1> = <val1> <attrbute2> = <val2>... このタイプの スタンザは <port> (ポート) で <remote server> (リモートサーバー) を 待 機 するように Splunk Enterprise に 指 しま<remote server> に 何 も 指 定 しない 場 合 Splunk は 指 定 ポート 上 ですべての 接 続 を 待 機 しま 注 意 :Splunk Enterprise を 実 するユーザーには 待 機 ポートへのアクセス 権 が 必 要 で*nix システムで は 1024 未 満 のポートで 待 ち 受 ける 場 合 root として 実 する 必 要 がありま 属 性 host = <string> 説 明 ホスト/キーフィールドに このスタンザの 静 的 な 値 を 設 定 しま ホストキーの 初 期 値 を 設 定 しまこのキーは パーシング/イ ンデックス 作 成 時 に 使 されます ( 特 に host フィールドの 設 定 時 ) サーチ 時 に 使 される host フィールドでもありま <string> の 前 には host:: が 付 けられま デフォルト the IP address or fully-qualified domain name of the host where the data originated. index = <string> この からのイベントを 保 管 するインデックスを 設 定 しま <string> の 前 には index:: が 付 けられま インデックスフィールドの 詳 細 は インデクサーとクラスタの 管 理 マニュアルの インデックス 作 成 の 仕 組 み を 参 照 してく ださい main またはデフォルト インデックスに 設 定 し た 任 意 の 値 sourcetype = <string> この からのイベントの sourcetype キー/フィールドを 設 定 38 データのさまざまな 側 に 基 づいてソースタ
39 <string> しま このデータのソースタイプを 動 的 に 判 断 する 代 わりに 明 的 に 宣 しまこのことは パーシングおよびインデックス 作 成 中 の このタイプのデータに 対 するサーチ 可 能 性 と 関 連 する フォーマットの 適 の 両 で 重 要 になりま ソースタイプキーの 初 期 値 を 設 定 しまこのキーは パーシン グ/インデックス 作 成 時 に 使 されます ( 特 に host フィールドの 設 定 時 ) サーチ 時 に 使 される source type フィールドでもあ りま <string> の 前 には sourcetype:: が 付 けられま ソースタイプの 詳 細 は このマニュアルの ソースタイプが 重 要 な 理 由 を 参 照 してください イプが 選 択 されま ハードコード 化 された デフォルト 値 はありま せん source = <string> この からのイベントの source キー/フィールドを 設 定 しま 注 意 :source キーに 優 先 する 設 定 を うことは 般 的 にお 勧 めできません 通 常 レイヤーは データの 取 得 場 所 を 正 確 に 記 録 し 問 題 の 分 析 と 調 査 を 援 するために より 正 確 な 字 列 を 提 供 していまこの 値 に 優 先 する 設 定 を う 前 に ソースタ イプ タグ 設 定 およびワイルドカードを 使 ったサーチの 使 を 検 討 してください <string> の 前 には source:: が 付 けられま ファイルパス queue = parsingqueue indexqueue プロセッサが 読 み 込 んだイベントをデポジットするかどう かを 指 定 しま データに props.conf および 他 のパーシングルールを 適 する 場 合 は parsingqueue を 設 定 しま データを 直 接 インデックスに 送 信 する 場 合 は indexqueue を 設 定 しま parsingqueue connection_host = ip dns none ip は ホストにリモートサーバーの IP アドレスを 設 定 しま dns は ホストにリモートサーバーの DNS エントリを 設 定 しま none は ホストを 指 定 通 りのまま 放 置 しま ip TCP over SSL [tcp-ssl:<port>] 暗 号 化 された 未 パーシングデータを フォワーダーまたはサードパーティ 製 のシステムから 受 信 する 場 合 にこのス タンザを 使 しま<port> には 暗 号 化 された 未 パーシングデータを 送 信 する フォワーダーまたはサードパー ティ 製 システムのポートを 設 定 しま UDP [udp://<remote server>:<port>] <attrbute1> = <val1> <attrbute2> = <val2>... このタイプの スタンザは TCP の 場 合 と 似 ていますが UDP ポートで 待 機 するという 違 いがありま 注 意 : <remote server> を 指 定 した 場 合 指 定 したポートはそのサーバーからのデータのみを 受 け 付 けま <remote server> が 空 の 場 合 ポート [udp://<port>] は 任 意 のサーバーから 送 信 されたデータを 受 け 付 けま 属 性 host = <string> 説 明 ホスト/キーフィールドに このスタンザの 静 的 な 値 を 設 定 しま ホストキーの 初 期 値 を 設 定 しまこのキーは パー シング/インデックス 作 成 時 に 使 されます ( 特 に host フィールドの 設 定 時 ) サーチ 時 に 使 される host フィールドでもありま <string> の 前 には host:: が 付 けられま デフォルト the IP address or fullyqualified domain name of the host where the data originated. index = <string> この からのイベントを 保 管 するインデックスを 設 39 main またはデフォルトイン デックスに 設 定 した 任 意 の
40 定 しま <string> の 前 には index:: が 付 けられま インデックスフィールドの 詳 細 は インデクサーと クラスタの 管 理 マニュアルの インデックス 作 成 の 仕 組 み を 参 照 してください デックスに 設 定 した 任 意 の 値 sourcetype = <string> この からのイベントの sourcetype キー/フィー ルドを 設 定 しま このデータのソースタイプを 動 的 に 判 断 する 代 わり に 明 的 に 宣 しまこのことは パーシングお よびインデックス 作 成 中 の このタイプのデータに 対 するサーチ 可 能 性 と 関 連 するフォーマットの 適 の 両 で 重 要 になりま ソースタイプキーの 初 期 値 を 設 定 しまこのキー は パーシング/インデックス 作 成 時 に 使 されます ( 特 に host フィールドの 設 定 時 ) サーチ 時 に 使 さ れる source type フィールドでもありま <string> の 前 には sourcetype:: が 付 けられま ソースタイプの 詳 細 は このマニュアルの ソースタ イプが 重 要 な 理 由 を 参 照 してください データのさまざまな 側 に 基 づいてソースタイプが 選 択 されまハードコード 化 されたデフォルト 値 はあ りません source = <string> この からのイベントの source キー/フィールドを 設 定 しま 注 意 :source キーに 優 先 する 設 定 を うことは 般 的 にお 勧 めできません 通 常 レイヤーは デー タの 取 得 場 所 を 正 確 に 記 録 し 問 題 の 分 析 と 調 査 を 援 するために より 正 確 な 字 列 を 提 供 していま この 値 に 優 先 する 設 定 を う 前 に ソースタイプ タ グ 設 定 およびワイルドカードを 使 ったサーチの 使 を 検 討 してください <string> の 前 には source:: が 付 けられま ファイルパス queue = parsingqueue indexqueue プロセッサが 読 み 込 んだイベントをデポジット するかどうかを 指 定 しま データに props.conf および 他 のパーシングルールを 適 する 場 合 は parsingqueue を 設 定 しま データを 直 接 インデックスに 送 信 する 場 合 は indexqueue を 設 定 しま parsingqueue _rcvbuf = <integer> UDP ポートの 受 信 バッファ (バイト) を 指 定 しま 値 が 0 または 負 の 場 合 それは 無 視 されま no_priority_stripping = true false syslog データ 受 信 設 定 この 属 性 に 真 (True) を 設 定 すると 受 信 したイベン トから <priority> syslog フィールドは 除 去 されませ ん この 属 性 に 応 じて イベントのタイムスタンプには 異 なる 設 定 が われま 真 (True) を 設 定 した 場 合 ソースから 取 得 され たタイムスタンプがそのまま 使 されま 偽 (False) を 設 定 した 場 合 イベントにはロー カル 時 刻 が 割 り 当 てられま 1,572,864 - ただしOS に 対 してデフォルト 値 が き すぎる 場 合 バッファサイ ズが 許 容 できるレベルにな るまで このデフォルト 値 が 順 次 半 減 されていきま 偽 (False) (Splunk Enterprise は <priority> を 削 除 しま) no_appending_timestamp = true false この 属 性 に 真 (True) を 設 定 した 場 合 受 信 イベント にタイムスタンプとホストは 追 加 されません 注 意 : 受 信 したイベントにタイムスタンプとホストを 追 加 したい 場 合 は この 属 性 を 指 定 しないでくださ い false UDP パケットと の 結 合 各 UDP パケットが 個 別 のイベントとして インデックスが 作 成 されるとお 考 えかもしれません しかし そのよ うにはなりません 明 確 なタイムスタンプがない 場 合 Splunk Enterprise はデータストリームのイベントの 結 合 を 実 し 各 イベントが 結 合 されま 1 のイベントの 場 合 props.conf でそのソースタイプを 編 集 して SHOULD_LINEMERGE 属 性 に false に 設 定 すること で この 問 題 を 防 することができまそれにより パケットの 結 合 を 防 することができま Answers 40
41 何 か 質 問 がありますか?Splunk Answers をご 覧 ください ここには Splunk コミュニティに 寄 せられた UDP TCP および 他 の に 関 する 質 問 と 回 答 が 記 載 されていま Splunk Enterprise への SNMP イベントの 送 信 重 要 このトピックに 記 載 されている 順 は (*nix と Windows の 両 ) 単 なる 例 でSplunk Enterprise に SNMP を 送 信 する 法 は 順 は 他 にも 存 在 していまたとえば Net-SNMP の 代 わりに Snare や SNMPGate などのツールを 使 って Splunk Enterprise でモニターする SNMP トラップをファイルストレージ に 書 き 込 むことができま SNMP トラップは リモートデバイスが 成 するアラートでこのトピックは Splunk インデクサーでの SNMP トラップの 受 信 とインデクサーの 作 成 法 について 説 明 していま 注 意 :Network Management System コンソールなどの 他 のシステムに SNMP アラートを 送 信 するためのモ ニタリングツールとして Splunk Enterprise を 使 する 法 については 管 理 マニュアル の 他 のシステム への SNMP トラップの 送 信 を 参 照 してください SNMP トラップのインデックス 作 成 法 SNMP トラップのインデックスを 作 成 するもっとも 効 率 的 な 法 は まず SNMP トラップを Splunk Enterprise サーバー 上 のファイルに 書 き 込 むことで 次 に Splunk Enterprise がそのファイルをモニターするように 設 定 しま この 作 業 は 3 つのステップから 成 り っていま 1.リモートデバイスがトラップを Splunk サーバーの IP アドレスに 直 接 送 信 するように 設 定 しまSNMP ト ラップのデフォルトポートは udp:162 で 2.このトピックで 後 述 するように SNMP トラップを Splunk サーバー 上 のファイルに 書 き 込 みま 3. ファイルとディレクトリのモニター の 説 明 に 従 って ファイルをモニターするように Splunk を 設 定 しま 注 意 :このトピックでは リモートデバイスにポーリングを う SNMP ポーリングについては 説 明 していませ ん SNMP トラップの Splunk サーバー 上 のファイルへの 書 き 込 み 重 要 : 以 下 の 順 は (*nix と Windows の 両 ) 単 なる 例 でSplunk Enterprise に SNMP を 送 信 する 法 は 順 は 他 にも 存 在 していまたとえば Net-SNMP の 代 わりに Snare や SNMPGate などのツールを 使 って Splunk Enterprise でモニターする SNMP トラップをファイルストレージに 書 き 込 むことができま SNMP ソフトウェアの 詳 細 は SNMP ポータル ( Web サイトを 参 照 してください *nix の 場 合 *nix 上 では Net-SNMP プロジェクトの snmptrapd を 使 って ファイルに SNMP トラップを 書 き 込 めま システムに snmptrapd をインストールする 前 に 以 下 のドキュメントを 参 照 してください ご 利 のディストリビューションのツールパッケージ ( 使 している *nix ディストリビューションによって 異 なりまたとえば Red Hat または CentOS Linux の 場 合 net-snmp RPM パッケージを 利 できま 利 できるインストーラパッケージがない 場 合 ソースファイルからパッケージをビルドしなければな らないことがあります) のローカルドキュメント snmptrapd の man ページ もっとも 単 純 な 設 定 : # snmptrapd -Lf /var/log/snmp-traps 注 意 : 従 来 snmptrapd はすべての 着 信 通 知 を 受 け 付 け それを 動 的 にログに 記 録 していました ( 明 的 に 設 定 されていない 場 合 でも) snmptrapd リリース 5.3 (snmptrapd --version で 確 認 ) から すべての 着 信 通 知 にアクセス 制 御 チェックが 適 されるようになりました 適 切 なアクセス 制 御 設 定 を わずに snmptrapd を 実 すると その ようなトラップが 処 理 されることはありません これを 回 避 するには 以 下 のように 指 定 しま # snmptrapd -Lf /var/log/snmp-traps --disableauthorization=yes トラブルシューティング: デフォルトのポート 162 で 待 機 する 場 合 このポートは 権 限 が 必 要 なポートなので snmptrapd を root とし て 実 する 必 要 がありま テスト 中 に snmptrapd をフォアグラウンドで 実 させるためには -f フラグを 指 定 しま 標 準 出 に 記 録 する 場 合 は -Lf の 代 わりに -Lo を 使 しま snmptrapd コマンドを 使 って 以 下 のようにサンプルトラップを 成 することができま 41
42 # snmptrap -v2c -c public localhost 1 1 Windows の 場 合 SNMP トラップを Windows 上 のファイルに 記 録 するには: 1.Net-SNMP Web サイトから Windows 版 の NET-SNMP をダウンロード インストールしま 重 要 :ご 利 のシステムで 利 できる 最 新 版 のファイルをダウンロード インストールしてください また システム 上 に OpenSSL バージョン 1.0 以 降 がインストールされていないことを 確 認 してください 2. NET-SNMP に 含 まれているスクリプトを 使 って snmptrapd をサービスとして 登 録 しま 3. C:\usr\etc\snmp\snmptrapd.conf を 編 集 しま snmptrapdaddr [System IP]:162 authcommunity log [community string] 4.ログの 場 所 のデフォルトは 次 の 場 所 になります: C:\usr\log\snmptrapd.log 管 理 情 報 ベース (MIB) の 使 管 理 情 報 ベース (MIB) は SNMP トラップが 報 告 した 数 値 オブジェクト ID (OID) とユーザーが 理 解 できる 形 式 のテキスト 間 のマップを 提 供 していまsnmptrapd は MIB ファイルがなくても 動 作 できますが 各 結 果 を 完 全 に 同 じ 法 では 表 できません SNMP トラップを 送 信 するデバイスのメーカーが 特 定 の MIB を 提 供 している 場 合 がありまたとえば すべ ての Cisco デバイスの MIB を オンラインの Cisco SNMP Object Navigator を 使 って 検 索 することができま 新 しい MIB ファイルを 追 加 するには 2 ステップの 作 業 を う 必 要 がありま 1.MIB ファイルをダウンロードして MIB 検 索 ディレクトリにコピーしま*nix 版 の Net-SNMP の 場 合 デ フォルトの 場 所 は /usr/local/share/snmp/mibs ですが snmptrapd に 引 数 -m を 指 定 して 別 のディレクトリを 設 定 す ることもできま 2. -m 引 数 にコロンで 区 切 ったリストを 指 定 することで snmptrapd に MIB のロードを 指 しまここで 2 つの 重 要 な 情 報 がありま 先 頭 に + を 追 加 すると デフォルトのリストを 上 書 きする 代 わりに デフォルトリストに 加 えて MIB を ロードしま 特 殊 キーワード ALL は snmptrapd に MIB ディレクトリ 内 のすべての MIB モジュールをロードすることを 指 しま もっとも 安 全 な 引 数 は 次 のようになります:-m +ALL: snmptrapd -m +ALL Windows データの 取 得 Windows データと Splunk Enterprise について さまざまな 種 類 の Windows データのインデックスを 作 成 できまログ ファイル ディレクトリ 内 のファイ ル イベント ログ レジストリ または Active Directory など 任 意 のデータを 利 することができま Splunk は Windows データをモニターするために 特 別 な も 意 されていま 以 下 に 例 を しま Windows イベントログ:マシン 上 で 利 できる 任 意 のイベント ログ チャネルで Windows イベン ト ログサービスが 成 したイベントをモニターすることができまローカル マシン 上 のイベントを 収 集 することも ユニバーサルフォワーダーや WMI を 使 ってリモート イベントを 収 集 することも 可 能 で パフォーマンスモニタリング:Windows マシン 上 のパフォーマンス データを 収 集 して そのデータに 基 づいてアラートやレポートを 作 成 することができまパフォーマンス モニターで 利 できる 任 意 のパ フォーマンス カウンタも Splunk Enterprise で 利 することができまパフォーマンスをローカルに 監 視 することも または WMI またはユニバーサルフォワーダーを 使 ってリモートに 監 視 することも 可 能 で WMI 経 由 のリモートモニタリング:WMI を 使 って リモート マシン 上 のイベント ログやパフォーマ ンス データにアクセスすることができま レジストリ 監 視 :レジストリ モニタリング 機 能 を 使 って ローカルWindows レジストリへの 変 更 をモニ ターすることができまユニバーサルフォワーダーを 使 って リモートマシン 上 のレジストリデータを 収 集 することもできま Active Directory モニタリング:ユーザー グループ マシン およびグループポリシーオブジェクト 42
43 などの Active Directory に 対 する 変 更 を 監 視 することができまActive Directory データを 他 の Splunk Enterprise サーバーに 転 送 することができま これらの 特 殊 な は Windows 版 の Splunk Enterprise でのみ 利 できまファイルとディレクトリ ネッ トワークモニタリング およびスクリプト などの 標 準 の Splunk Enterprise セットを 利 するこ ともできま Splunk App for Windows インフラ Splunk App for Windows インフラは Windows サーバーおよびデスクトップの 管 理 に データの 取 り 込 み サーチ レポート アラート およびダッシュボードを 提 供 していまWindows オペレーティングシステムの モニター 管 理 トラブルシューティングを 1 カ 所 から えまこの App には CPU ディスク I/O メモ リー イベント ログ 設 定 およびユーザー データ の そして Windows イベント ログのインデック スを 作 成 するための Web ベースのセットアップ UI が 含 まれていま Windows への Splunk Enterprise デプロイの 初 期 検 討 事 項 Windows に Splunk Enterprise をインストール デプロイする 場 合 以 下 の 事 項 を 検 討 する 必 要 がありま 認 証 :ネットワーク 内 のリモート Windows マシンで 操 作 を 実 施 するには それらのマシンにアクセスする ための 資 格 情 報 を 持 つユーザーとして Splunk Enterprise を 動 作 させる 必 要 がありまデプロイ 前 にこれ らの 資 格 情 報 を 意 しておくことをお 勧 めしま リモート Windows データのモニター 法 決 定 の 検 討 事 項 を 参 照 してください ディスクの 帯 域 幅 :Splunk Enterprise インデクサーは 量 のディスク I/O 帯 域 幅 を 必 要 としています ( 特 に 量 のデータのインデックスを 作 成 する 場 合 ) ウィルス 対 策 ソフトウェアがインストールされている 場 合 ウィルススキャンなどでパフォーマンスが 幅 に 低 下 するため Splunk Enterprise ディレクトリま たはプロセスを 監 視 対 象 にしないようにウィルス 対 策 ソフトウェアを 設 定 する 必 要 がありま 共 有 サーバー: 他 のサービスが 動 作 しているサーバー 上 に Splunk Enterprise をインストールする 前 に キャパシティ プランニング マニュアルの Splunk Enterprise のキャパシティ プランニングの 概 要 を 参 照 してください このことは ドメインコントローラに Splunk Enterprise をインストールする 場 合 または Exchange SQL Server または 仮 想 ホストサーバーなどのメモリーを 消 費 するサービスが 動 作 するコンピュータ 上 に Splunk Enterprise をインストールする 場 合 に 重 要 になりま Windows サーバーから 効 率 的 にデータを 収 集 するには データの 収 集 対 象 マシン 上 にユニバーサルフォワーダー をインストールしまユニバーサルフォワーダーは 型 軽 量 で わずかなリソースしか 消 費 しません レジスト リのモニタリングなど 部 の 状 況 下 では レジストリの 変 更 をリモート 収 集 できないためフォワーダーを 使 す る 必 要 がありま Splunk Enterprise への Windows データの 取 り 込 み Splunk Enterprise では さまざまな 種 類 の Windows データを 収 集 することができま Splunk Enterprise をダウンロードして Windows マシン 上 にインストールする 場 合 以 下 のような Windows 統 計 情 報 を 収 集 できま Windows イベントログ ファイルシステムの 変 更 Active Directory WMI インフラでやり 取 りされるデータ レジストリデータ パフォーマンス 測 定 基 準 ホスト 情 報 印 刷 情 報 ネットワーク 情 報 これらのすべてのタイプのデータは Windows マシン 上 でのみ 収 集 できまその 他 のオペレーティング シス テムには ローカルに Windows データを 収 集 する 段 はありません ただし Windows のデータを Windows 以 外 のシステムが 動 作 している Splunk Enterprise インスタンスに 転 送 することは 可 能 で Splunk Web を 使 った Windows データの 収 集 Splunk Web では ほぼすべての Windows を 利 して Windows データを 収 集 することができま 例 外 の 1 つが MonitorNoHandle で これを 利 するには 設 定 ファイルに 設 定 する 必 要 がありま Splunk Web を 使 って 的 のタイプのデータを 収 集 するには: 1. Splunk Enterprise インスタンスにログインしま 2. 右 上 の [ 設 定 ] をクリックして 表 されるポップアップウィンドウから [データ ] をクリックしま [データ ] ページが 表 されま 3. 利 可 能 な のリストから 追 加 する を 探 しま 次 にその の [アクション] 列 にある [ 新 規 追 加 ] を クリックしま 注 意 :Windows 以 外 のシステムで 動 作 している Splunk Enterprise にログインした 場 合 Windows は 表 されません 4. 以 降 に 表 されるページの 指 に 従 って 作 業 を いま 法 については 上 記 のページを 参 照 してください 5.[ [ 保 存 ] をクリックして を 保 存 しまたいていの 場 合 は 即 座 にデータの 収 集 が 開 始 されま 43
44 設 定 ファイルを 使 った Windows データの 収 集 Splunk Web を 使 ってデータ を 作 成 有 効 化 できない 場 合 (ユニバーサルフォワーダーを 使 ってデータを 収 集 する 場 合 など) は 設 定 ファイルを 使 する 必 要 がありま 多 くの 場 合 設 定 ファイルを 利 すれば Splunk Web よりもきめ 細 かく 設 定 を 制 御 調 整 することができま 部 の は 設 定 ファイルを 使 ってのみ 指 定 す ることができま 注 意 :ユニバーサルフォワーダーの Windows 版 インストーラは インストール 時 にいくつかの Windows を 設 定 できますが すべての を 設 定 することはできません 設 定 ファイルを 使 って を 設 定 するには: 1.コマンドプロンプトまたは PowerShell ウィンドウから %SPLUNK_HOME%\etc\system\default ディレクトリに 移 動 しま 2.このディレクトリに inputs.conf のコピーを 作 成 し それを %SPLUNK_HOME%\etc\system\local ディレクトリに 移 動 しま 注 意 :このステップは 1 回 のみ 実 施 する 必 要 があります (または local ディレクトリの inputs.conf を 上 書 きした い 場 合 ) 3.メモ 帳 や 他 のエディタを 使 って local ディレクトリの inputs.conf ファイルを 開 きま 4. inputs.conf ファイルにスタンザを 定 義 して を 追 加 しままた 必 要 に 応 じて 既 存 のスタンザを 変 更 し てください 法 については 各 のページ 上 部 を 参 照 してください 5.ファイルを 保 存 して 終 了 しま 6.Splunk Enterprise を 再 起 動 しま 設 定 ファイルが 再 読 み 込 みされ 新 しい 設 定 に 基 づいてデータの 収 集 が 開 始 されま 注 意 :これは 設 定 ファイルを 使 った の 設 定 の 基 本 的 な 説 明 で 詳 細 は 管 理 マニュアル の 設 定 ファイルについて を 参 照 してください リモート Windows データのモニター 法 決 定 の 検 討 事 項 このトピックは Splunk Enterprise を 使 ってリモート Windows データを 収 集 する 際 の 検 討 事 項 を 説 明 してい ま リモート Windows データの 概 要 Splunk Enterprise はインデックス 作 成 のリモート Windows データを 2 種 類 のいずれかの 法 で 収 集 しま Splunk フォワーダーから WMI 経 由 フォワーダーの 使 フォワーダーを 使 ってリモート Windows データを 収 集 することができまライトフォワーダー ヘビーフォ ワーダー およびユニバーサルフォワーダーの 3 種 類 のフォワーダーが 存 在 していま データの 転 送 マ ニュアルの データの 転 送 と 受 信 について を 参 照 してください 可 能 な 場 合 はいつでも リモート Windows データの 収 集 にユニバーサルフォワーダーを 使 することをお 勧 めし まユニバーサルフォワーダーを 使 する 利 点 を 以 下 に しま ユニバーサル フォワーダーは インストールされているマシン 上 で 最 低 限 のネットワーク/ディスク リ ソースを 消 費 しま ユニバーサル フォワーダーは 権 限 のないユーザーとしてインストールできますが WMI を 使 ったアクセ スには 管 理 者 権 限 が 必 要 で ユニバーサル フォワーダーを Local System ユーザーとしてインストールした 場 合 このユーザーはマシ ンへの 管 理 者 権 限 アクセスを 保 有 しているため そのデータを 取 得 するために 特 に 認 証 は 必 要 ありません ただし WMI では 必 要 になりま また 規 模 環 境 にも 柔 軟 に 対 応 でき デプロイも 簡 単 でSystem Center Configuration Manager (SCCM) や Systems Management Server (SMS) などの Microsoft のデプロイツール または BigFix/Tivoli のようなサードパーティ 製 の 分 散 ソリューションを 使 して 動 でデプロイすることができ ま ユニバーサルフォワーダーをインストールすると フォワーダーは 情 報 をローカルに 収 集 して それを Splunk Enterprise インデクサーに 送 信 しま 収 集 するデータはインストール 時 に 指 定 するか または 後 ほど 動 また はデプロイ サーバー 経 由 で 設 定 の 更 新 情 報 を 配 布 して フォワーダーに 指 しまユニバーサルフォワーダー にアドオンをインストールすることもできま ネットワーク 構 成 やレイアウトによっては ユニバーサルフォワーダーの 使 にいくつかの 点 が 出 ることもあり ま 後 述 する フォワーダーと WMI を 使 ったリモート 収 集 を 参 照 してください WMI の 使 WMI フレームワークを 利 して リモート Windows マシンから 実 質 的 に 任 意 の 種 類 のデータ を 収 集 することが できまこの 構 成 では Splunk Enterprise をインストール 時 に 指 定 した (または 後 で [サービス] コントロー ル パネルで 指 定 した) ユーザーとして 実 しま 44
45 この 構 成 では: 指 定 したアカウントがリモートアクセス に 保 有 している 最 限 のネットワークアクセス 権 が Splunk Enterprise に 与 えられま 全 社 規 模 でリモート Windows マシンからデータが 収 集 され そのデータが 集 中 リポジトリに 保 管 されま 各 ネットワークセグメントに 最 低 1 台 のインデクサーが 存 在 する 中 規 模 ネットワークに 適 していま ただし この 法 では 収 集 に 関 するいくつかの 注 意 事 項 がありま 後 述 する フォワーダーと WMI を 参 照 し てください 注 意 :Active Directory (AD) モニタリングは WMI を 使 しませんが 使 するデータ には 同 じような 認 証 上 の 検 討 事 項 が 存 在 していまSplunk Enterprise が Active Directory をモニターする 仕 組 みについては こ のマニュアルの Active Directory のモニター を 参 照 してください WMI を 使 ってデータを 取 得 する 場 合 の 検 討 事 項 WMI 経 由 でリモート Windows データを 収 集 する 場 合 以 下 の 事 項 を 検 討 する 必 要 がありま リモート Windows データの 認 証 Windows でのリモート 操 作 には 認 証 が 必 要 でネットワーク 経 由 で Splunk Enterprise が Windows とどのよ うなやり 取 りを うのかを 正 しく 理 解 しないと 最 適 なサーチ 結 果 を 得 られない または 何 も 結 果 が 得 られない 可 能 性 がありまここでは リモート Windows データを 収 集 するための セキュリティ 上 のガイドラインを 説 明 していきま Splunk Enterprise をインストールする 際 に Local System ユーザーまたは 他 のユーザーとして 実 することを 指 定 できまこの 選 択 は インストールとデータ 収 集 の 両 に 影 響 してきま 指 定 した Splunk Enterprise を 実 するユーザーに 応 じて リモート マシンから 取 得 できるデータのタイプや 量 が 変 わりま 的 のデータを 取 得 するには このユーザーに 適 切 なレベルの 権 限 (アクセス 許 可 ) を 与 える 必 要 がありま もっとも 簡 単 な 法 は Splunk Enterprise を 実 するユーザーを Administrators (または Domain Admins) グループのメンバーにすることでこれはセキュリティ リスクを 伴 い 組 織 によっては 使 できないこともあ りまこの 法 はお 勧 めできません たいていの 場 合 Splunk Enterprise ユーザー アカウントには 的 のデータ ソースにアクセスするために 最 低 限 必 要 な 権 限 を 与 える 必 要 がありまこれには 以 下 の 事 項 が 含 まれま ユーザーをさまざまなドメインセキュリティグループに 追 加 する アクセスする 必 要 があるデータソースに 応 じて 各 種 Active Directory オブジェクトのアクセス 制 御 リスト を 変 更 する Active Directory ドメインセキュリティポリシーが 定 期 的 なパスワードの 変 更 を 強 制 している 場 合 は 以 下 の 作 業 も 必 要 になりま Splunk Enterprise ユーザーのパスワードが 失 効 しないようにするか またはパスワード ポリシーに 定 義 されているパスワードの 失 効 前 に パスワードを 動 で 変 更 する パスワードを 変 更 したら ネットワーク 上 のすべてのサーバーで そのアカウントとして 動 作 している Splunk サービスを 再 起 動 する 注 意 : 最 新 版 の Windows サーバーでは 管 理 されたサービスアカウント (MSA) を 使 って パスワード 失 効 に 関 する 問 題 に 対 処 することができま 詳 細 は インストール マニュアル の Windows Server 2008 および Windows 7 での 管 理 されたサービス アカウント を 参 照 してください また ユーザーがワークステーションに 対 話 形 式 でログインすることを 防 するために ローカル セキュリ ティ ポリシーで Splunk Enterprise アカウントに ユーザー 権 利 の 割 り 当 て [ローカルでログオンを 拒 否 する] を 設 定 する 必 要 もありまWindows データを 収 集 する 場 合 は そうする 必 要 はありません この 法 は 作 業 に 時 間 がかかりますが よりきめ 細 かく 管 理 でき またドメイン 管 理 者 としてのアクセス 権 を 与 え るよりも 安 全 で このマニュアルの Windows マシンへのリモートアクセスについて 説 明 している 各 データの 取 り 込 み 法 には Splunk Enterprise を 実 するユーザーに 最 低 限 のアクセス 許 可 / 権 限 を 設 定 するための 追 加 情 報 や 推 奨 事 項 が 記 載 されていまこれらのページの セキュリティとリモート アクセスの 検 討 事 項 セクションを 参 照 して ください ネットワークと I/O 使 に 関 する 検 討 事 項 ネットワーク 帯 域 幅 の 使 状 況 は 念 にモニターする 必 要 があります ( 特 に 低 速 の WAN リンクを 利 している ネットワークの 場 合 ) この 理 由 からだけでも 量 のリモート 収 集 操 作 を う 場 合 は ユニバーサル フォワー ダーが 最 善 の 選 択 肢 になりま ディスク 帯 域 幅 も 重 要 な 考 慮 事 項 でウィルス 対 策 ソフトウェアのドライバ および Splunk Enterprise とオ ペレーティングシステム 間 を 中 継 するドライバは インストールタイプに 関 係 なく 常 に Splunk Enterprise ディレクトリとプロセスを 無 視 するように 設 定 する 必 要 がありま Splunk フォワーダーと WMI リモート Windows ホストからデータを 取 り 込 むには ユニバーサル フォワーダーを 使 しまユニバーサ ル フォワーダーは 半 の 種 類 のデータ ソースに 対 応 しており より 詳 細 なデータ ( 例 :パフォーマンス 測 定 基 45
46 準 ) を 提 供 しままた ネットワークのオーバーヘッドを 最 限 に 抑 え 運 上 のリスクと 複 雑 さを 低 減 できま また 多 くの 場 合 環 境 の 拡 張 にも WMI よりも 柔 軟 に 対 応 できま リモートからデータを 収 集 したい または 収 集 する 必 要 がある 場 合 ( 企 業 規 則 やセキュリティ ポリシーによりプ ログラムのインストールが 制 限 されている またはパフォーマンスや 相 互 運 性 に 関 する 問 題 がある 場 合 など) ネイティブの WMI インターフェイスを 使 ってイベント ログやパフォーマンス データを 収 集 することができま WMI とフォワーダーの 主 なトレードオフを 以 下 に しま パフォーマンス デプロイ 管 理 パフォーマンス パフォーマンスの 点 では 以 下 の 場 合 にフォワーダーの が 適 していま ローカルイベントログまたはフラットファイルを 収 集 する フォワーダーの が CPU の 消 費 が 少 なく ま たネットワークのオーバーヘッドを 減 らすために データの 基 本 的 な 事 前 圧 縮 が われま 認 証 の 問 題 に 悩 まされることなく マシンからデータを 収 集 したい 場 合 フォワーダーを Local System ユーザーとしてインストールする 場 合 マシンに 対 する 管 理 者 アクセスがあるため そこから 任 意 のデータ を 収 集 することができま Exchange SQL Server/Oracle VMWare Hyper-V または SharePoint サーバー および Active Directory ドメイン コントローラまたは 継 続 的 に 使 率 が いマシンなどの 処 理 負 荷 が いホストから データを 収 集 する 場 合 WMI では これらのサービスが 成 するデータ 量 に 追 随 できない 可 能 性 がありま 設 計 上 WMI のポーリングはベストエフォート 型 で また Splunk Enterprise も 意 図 しないサービス 拒 否 攻 撃 を 防 するために WMI を 抑 制 しま CPU およびネットワーク 使 率 を 考 慮 する 必 要 がある 場 合 フォワーダーはこれらのリソースの 使 をでき る 限 り 控 えるようにしていま WMI はデータの 転 送 により 多 くの CPU およびネットワーク リ ソースを 使 しま スケーラビリティが 関 事 項 の 場 合 ユニバーサルフォワーダーは 環 境 の 拡 張 にも 柔 軟 に 対 応 できまヘ ビー フォワーダーはユニバーサル フォワーダーほど 柔 軟 には 対 応 できませんが どちらのフォワーダー も WMI よりは 幅 に 柔 軟 に 対 応 することができま WMI の が 適 している 場 合 を 以 下 に しま デプロイ メモリー 使 量 が いシステム 上 で メモリー 消 費 量 が 関 事 項 の 場 合 フォワーダーはデータの 収 集 時 に ローカルマシンに 常 駐 し より 多 くのポーリングオプションが 意 されているため WMI よりも 多 くのメ モリーを 消 費 しま デプロイにフォワーダーが 適 している 場 合 を 以 下 に しま システムイメージの 作 成 時 など OS のベースビルドを 管 理 している 場 合 収 集 するデータソース 数 が 多 い 場 合 ( 特 に データの 収 集 時 に 何 らかの 変 換 が 必 要 な 場 合 ) 注 意 :いくつかの 事 例 を 除 いて インデクサーに 送 信 せずにユニバーサル フォワーダーでデータを 処 理 するこ とはできません インデックス 作 成 前 にデータを 変 更 する 必 要 がある 場 合 は ヘビーフォワーダーを 使 する 必 要 がありま WMI の が 適 している 場 合 を 以 下 に しま ベース OS ビルドを 管 理 していない またはドメイン 管 理 者 アクセス 権 がない またはデータを 収 集 するマ シンのローカル Administrotor 権 限 がない 多 数 のホストから わずかなセットのデータしか 必 要 ない 場 合 ( 例 : 使 状 況 により 課 するための CPU データの 収 集 ) 般 的 なデプロイのシナリオでは まずリモートポーリングを 使 ってテストを った 後 正 常 なまたは 有 益 なデー タ をフォワーダー 設 定 に 追 加 する (または 括 デプロイ 時 ) 管 理 どちらの 法 でも ログとアラート 機 能 を 使 って ホストが 起 動 または 停 した 時 または 接 続 できなくなったこ とを 知 らせることができまただし Splunk Enterprise では 想 定 外 のサービス 拒 否 攻 撃 を 防 するために WMI ポーリングサービスは 定 期 間 ホストと 通 信 できなかった 場 合 ポーリングの 頻 度 を 徐 々に 減 らしていき 最 終 的 には 通 信 できなくなったホストへのポーリングを 中 しまそのため ラップトップや 動 的 にプロビジョ ニングされる 仮 想 マシンなどの 頻 繁 にオフラインになるマシンに 対 して WMI によるリモートポーリングを 使 しないことをお 勧 めしま データソースの 覧 と 各 データソースに 適 したデータ 収 集 タイプを 以 下 の 表 に しま データソース データソースと 収 集 法 ローカルフォワーダー WMI イベントログ はい はい* パフォーマンス はい はい レジストリ はい いいえ Active Directory はい いいえ 46
47 ログファイル はい はい** クロール はい いいえ * リモート イベント ログの 収 集 の 場 合 収 集 するイベント ログの 名 前 を 知 っている 必 要 がありまローカ ルフォワーダー 上 では 名 前 に 関 係 なくすべてのログを 収 集 するオプションがありま ** Splunk Enterprise は \\SERVERNAME\SHARE の 構 でのリモートログファイルの 収 集 をサポートして いまただし アプリケーション 層 ファイルアクセスプロトコルとして CIFS (Common Internet File System またはサーバーメッセージブロック) を 使 する 必 要 がありままた Splunk Enterprise には 共 有 とそのファ イルシステムの 両 に 対 して 最 低 でも 読 み 取 りアクセス 権 が 必 要 で Windows 版 以 外 の Splunk Enterprise インスタンス 上 での Windows データのサーチ Windows 版 以 外 の Splunk Enterprise インスタンス 上 で Windows データのインデックス 作 成 とサーチを え まただしその 場 合 まず Windows 版 の Splunk インスタンスを 使 って Windows データを 収 集 する 必 要 があ りまそのためには Windows コンピュータに Splunk フォワーダーをインストールして その Windows データを Windows 版 Splunk Enterprise インスタンスに 転 送 するように 設 定 しま 作 業 を うには 2 種 類 の 法 がありま データを 収 集 する 各 Windows マシン 上 に ローカルにフォワーダーを 設 定 する これらのフォワーダー は Windows データを Windows Splunk インスタンスに 送 信 することができま フォワーダーを 1 台 の Windows マシン 上 に 設 定 する フォワーダーは WMI を 使 って 環 境 内 のすべての Windows マシンからデータを 収 集 することができま 次 に 収 集 したデータを Windows 版 Splunk イ ンスタンスにまとめて 転 送 しま Windows 版 Splunk Enterprise インスタンスが Windows データを 処 理 するように 明 的 に 設 定 する 必 要 が ありま 詳 細 は データの 転 送 マニュアルの 異 なるオペレーティング システムが 動 作 するフォワーダー から 受 信 したデータのサーチ を 参 照 してください フォワーダーの 設 定 については データの 転 送 マニュアルの 転 送 と 受 信 の 設 定 を 参 照 してください Active Directory のモニター Active Directory (AD) は Windows ネットワークの 中 核 を 為 していまActive Directory データベース (NT ディレクトリサービス (NTDS) データベース) は Active Directory ドメイン/フォレスト 内 のユーザー コン ピュータ ネットワーク デバイス およびセキュリティオブジェクトの 集 中 リポジトリでユーザー メン バーサーバー またはドメインコントローラの 追 加 や 削 除 など Active Directory を 変 更 する 場 合 それらの 変 更 を 記 録 することができまSplunk Enterprise では これらの 変 更 をモニターし リアルタイムにアラートを 成 することができま Active Directory モニタリングを 設 定 して Active Directory フォレストに 対 する 変 更 を 監 視 し ユーザーとマ シンのメタデータを 収 集 することができまこの 機 能 と 動 的 リストルックアップを 組 み 合 わせて Active Directory で 利 できる 情 報 をイベントに 追 加 変 更 することができま Active Directory をモニターするように Splunk を 設 定 したら Active Directory スキーマのベースラインス ナップショットが 取 得 されまこのスナップショットを 使 して モニターの 開 始 点 が 確 されまこの 処 理 が 完 了 するまで 少 し 時 間 がかかる 場 合 がありま Active Directory モニタリング は splunk-admon.exe と 呼 ばれる 別 個 のプロセスとして 実 されまSplunk に 定 義 されている 各 Active Directory モニタリング に 対 して 1 回 実 されま Active Directory の 監 視 理 由 Active Directory の 整 合 性 セキュリティ およびヘルスの 維 持 管 理 を 担 当 している 場 合 々どのような 作 業 が われているのかを 把 握 することが 重 要 になりまSplunk Enterprise では 誰 がまたは 何 が 変 更 をいつ っ たのかなど Active Directory の 変 更 内 容 を 確 認 することができま このデータをレポートに 変 換 して 企 業 のセキュリティコンプライアンスや 法 的 証 拠 として 利 することができま また 取 得 したデータから 侵 検 知 アラートを 利 して 不 正 為 に 即 座 に 対 処 することができまさら に インデックス 作 成 したデータからヘルスレポートを 作 成 し 操 作 マスターロール Active Directory レプリ カ およびグローバルカタログの 割 り 当 てなどの 将 来 の Active Directory インフラのプランニングに 活 する ことができま Active Directory のモニターに 何 が 必 要 か? Active Directory スキーマのモニターに 必 要 な 明 的 なアクセス 許 可 の 覧 を 以 下 の 表 に しま アクティビティ: 必 要 なアクセス 許 可 : Active Directory ス キーマをモニター Active Directory モニターの 検 討 事 項 * Splunk は Windows 上 で 実 する 必 要 がありま * Splunk はドメインユーザーとして 実 する 必 要 がありま * Splunk を 実 するユーザーには モニター 対 象 のすべての Active Directory オブ ジェクトに 対 する 読 み 取 りアクセスが 必 要 で Splunk Enterprise を 使 った Active Directory のモニターで 最 良 の 結 果 を 引 き 出 すために 以 下 の 事 項 に 注 意 し てください 47
48 この 機 能 は Windows 版 の Splunk Enterprise でのみ 利 できま*nix 版 の Splunk で Active Directory の 変 更 をモニターすることはできません (ただし Windows 版 の Splunk で 収 集 したデータを *nix インデ クサーに 転 送 することは 可 能 です) Active Directory モニタリングプロセスは 完 全 版 Splunk インスタンスまたは 任 意 の 種 類 のフォワーダー で 実 することができま Active Directory への 変 更 をモニターするマシンは モニター 対 象 のドメインまたはフォレストに 所 属 して いる 必 要 がありま Splunk を 実 するユーザーも ドメインの 部 である 必 要 がありまこのことは ユーザーが 保 有 して いるアクセス 許 可 により Splunk がモニターできる Active Directory の 部 分 が 決 まるためで Windows データをリモートにモニターする 法 を 決 定 する 際 に 役 つその 他 の 情 報 については このマニュアル の リモート Windows データのモニター 法 決 定 の 検 討 事 項 を 参 照 してください インストール 時 に 指 定 する Splunk を 実 するユーザーの 決 定 に 関 する 情 報 については インストールマニュアル の Splunk を 実 す るためのユーザーの 選 択 を 参 照 してください Active Directory モニタリングの 設 定 Splunk Web を 使 って または 設 定 ファイルを 編 集 して Active Directory モニタリングを 設 定 することができ ま 設 定 ファイルを 使 する 場 合 は 複 数 のドメインコントローラのモニター 設 定 などのオプションを 利 する ことができま Splunk Web を 使 った Active Directory モニタリングの 設 定 Active Directory のモニターを 設 定 する 場 合 は このマニュアルの Windows Active Directory を 参 照 してく ださい 設 定 ファイルを 使 った Active Directory モニタリングの 設 定 Active Directory モニター 設 定 は inputs.conf 設 定 ファイルで いま%SPLUNK_HOME%\etc\system\local ディレ クトリ 内 の inputs.conf のコピーを 編 修 しまデフォルトディレクトリにあるファイルを 編 集 すると Splunk のアップグレード 時 に 変 更 内 容 が 上 書 きされてしまいま 設 定 ファイルの 優 先 度 については このマニュアルの 設 定 ファイルの 優 先 度 を 参 照 してください 1. %SPLUNK_HOME%\etc\system\default\inputs.conf のコピーを 作 成 し %SPLUNK_HOME%\etc\system\local\inputs.conf に 保 管 しま 2.inputs.conf を 編 集 し 適 切 な Active Directory モニタリングスタンザと 設 定 を 追 加 しま 注 意 :デフォルトでは Active Directory モニタリング を 有 効 にすると Splunk は 接 続 できる 最 初 のドメイ ンコントローラから Active Directory 変 更 データを 収 集 しまそれを 許 容 できる 場 合 は それ 以 上 の 設 定 は 不 要 で inputs.conf の 設 定 inputs.conf には 各 Active Directory モニタリング に 対 して 1 つのスタンザが 含 まれており ヘッダーは 以 下 のようになっていま [admon://<name of stanza>] 各 スタンザで 以 下 の 項 を 指 定 することができま 属 性 必 須? 説 明 targetdc はい Active Directory モニタリングに 使 するドメインコ ントローラの 意 の 名 前 N/A デフォルト 以 下 の 場 合 に この 属 性 に 意 の 名 前 を 指 定 しま 常 に きな Active Directory が 存 在 してお り 特 定 の 組 織 単 位 (OU) やサブドメインなどの 情 報 のみをモニターしたい 場 合 セキュリティが 常 に 度 な 環 境 で モニタリン グ 的 で 使 できる 特 定 の ( 読 み 取 り 専 ) ドメ インコントローラがある 場 合 推 移 性 の 信 頼 がある 複 数 のドメインまたはフォレ ストが 存 在 しており Splunk が 常 駐 している サーバー 以 外 のツリーを 対 象 にしたい 場 合 複 数 のドメインコントローラを 対 象 にするよう に 複 数 の Active Directory モニタリング を 設 定 する 場 合 たとえば 分 散 環 境 で Active Directory レプリケーションをモニターする 場 合 が 挙 げられま 注 意 : 複 数 のドメインコントローラを 対 象 にする 場 合 ツリーに 他 のターゲットの [admon://<uniquename>targetdc] スタンザを 追 加 してくだ さい startingnode いいえ 完 全 修 飾 LDAP 名 ( 例 :"LDAP://OU=Computers,DC=ad,DC=splunk,DC=com") こ れは インデックスの 作 成 を 開 始 する Active 48 Splunk がアクセス できる ツリー 内 の 最 上 位 のルートドメ イン
49 Directory ツリー 内 の 場 所 を 表 していまSplunk は そこから 開 始 して monitorsubtree 属 性 の 設 定 に 応 じて サブコンテナを 列 挙 しま イン 注 意 :Splunk が 正 常 に Active Directory データを 収 集 するために startingnode の 値 は 対 象 としているド メインコントローラのスコープ 内 でなければなりませ ん monitorsubtree いいえ インデックスを 作 成 するターゲット Active Directory コンテナの 量 0 の 場 合 ターゲットコンテナのみの インデックスが 作 成 され そのコンテナのサブコンテ ナは 対 象 にはなりません 1 の 場 合 Splunk がアクセ ス 可 能 なすべてのサブコンテナとドメインが 列 挙 され ま baseline いいえ 初 回 実 時 に が 既 存 の 利 可 能 なすべての Active Directory オブジェクトを 列 挙 するかどうか 0 の 場 合 ベースラインは 設 定 されません 1 の 場 合 は ベースラインが 設 定 されま index いいえ Active Directory モニタリングデータを 送 信 するイン デックス disabled いいえ Splunk が を 実 するかどうか 0 の 場 合 が 有 効 なことを 1 の 場 合 が 無 効 なことを Splunk に 指 しま Active Directory モニタリング 設 定 の 例 1 (Splunk がアクセ スできるすべてのド メインをモニターす る) 1 (ベースラインを 設 定 ) デフォルト (default) のインデックス 0 ( 有 効 ) inputs.conf を 使 った Active Directory ネットワークの 的 の 部 分 のモニター 法 の 例 を 以 下 に しま Active Directory の 上 部 からデータのインデックスを 作 成 するには: #Gather all AD data that this server can see [admon://nearestdc] targetdc = startingnode = モニター 対 象 にする OU よりも 上 位 の root レベルにあるドメインコントローラを 使 するには: # Use the pri01.eng.ad.splunk.com domain controller to get all AD metadata for # the Computers OU in this forest. We want schema data for the entire AD tree, not # just this node. [admon://defaulttargetdc] targetdc = pri01.eng.ad.splunk.com startingnode = OU=Computers,DC=eng,DC=ad,DC=splunk,DC=com 複 数 のドメインコントローラをモニターするには: # Get change data from two domain controllers (pri01 and pri02) in the same AD tree. # Index both and compare/contrast to ensure AD replication is occurring properly. [admon://defaulttargetdc] targetdc = pri01.eng.ad.splunk.com startingnode = OU=Computers,DC=eng,DC=ad,DC=splunk,DC=com [admon://secondtargetdc] targetdc = pri02.eng.ad.splunk.com startingnode = OU=Computers,DC=eng,DC=ad,DC=splunk,DC=com Active Directory モニタリングの 出 例 Splunk の Active Directory モニタリングユーティリティを 実 すると Active Directory の 変 更 イベントが 収 集 されま 各 変 更 イベントが Splunk のイベントとしてインデックスが 作 成 されまこれらのイベントは Splunk のサーチ App で 参 照 することができま Splunk がインデックスを 作 成 できる さまざまな 種 類 の Active Directory 変 更 イベントが 存 在 していまこ れらのイベントの 例 は 後 述 していまこれらのイベントのコンテンツの 部 は 公 開 のために 曖 昧 化 または 変 更 されていま 更 新 イベント 49
50 Active Directory オブジェクトが 何 らかの 法 で 変 更 されると Splunk はこのタイプのイベントを 成 しま Splunk はこの 変 更 を タイプ admoneventtype=update として 記 録 しま 2/1/10 3:17: PM 02/01/ :17: dcname=stuff.splunk.com admoneventtype=update Names: objectcategory=cn=computer,cn=schema,cn=configuration name=stuff2 displayname=stuff2 distinguishedname=cn=stuff2,cn=computers Object Details: samaccounttype= samaccountname=stuff2 logoncount=4216 accountexpires= objectsid=s primarygroupid=515 pwdlastset=06:30:13 pm, Sat 11/27/2010 lastlogon=06:19:43 am, Sun 11/28/2010 lastlogoff=0 badpasswordtime=0 countrycode=0 codepage=0 badpwdcount=0 useraccountcontrol=4096 objectguid=blah whenchanged=01:02.11 am, Thu 01/28/2010 whencreated=05:29.50 pm, Tue 11/25/2008 objectclass=top person organizationalperson user computer Event Details: usnchanged= usncreated= instancetype=4 Additional Details: iscriticalsystemobject=false serviceprincipalname=termsrv/stuff2 TERMSRV blah dnshostname=stuff2.splunk.com operatingsystemservicepack=service Pack 2 operatingsystemversion=6.0 (6002) operatingsystem=windows Vista? Ultimate localpolicyflags=0 削 除 イベント Active Directory オブジェクトに 削 除 のマークが 付 けられた 時 に このイベントタイプが 成 されまイベン トタイプは admoneventtype=update と 似 ていますが イベントの 最 後 に isdeleted=true キー/ 値 のペアが 含 まれていま 2/1/10 3:11: PM 02/01/ :11: dcname=stuff.splunk.com admoneventtype=update Names: name=splunktest DEL:blah distinguishedname=ou=splunktest\0adel:blah,cn=deleted Objects DEL:blah Object Details: objectguid=blah whenchanged=11:31.13 pm, Thu 01/28/2010 whencreated=11:27.12 pm, Thu 01/28/2010 objectclass=top organizationalunit Event Details: usnchanged=
51 usncreated= instancetype=4 Additional Details: dscorepropagationdata= z Z Z Z lastknownparent=stuff '''isdeleted=true''' 同 期 イベント Active Directory モニタリング が 設 定 されると Splunk 開 始 時 に Active Directory メタデータのベースラ インの 捕 捉 が 試 みられまSplunk は 1 つの Active Directory オブジェクトのインスタンスとそのすべての フィールド 値 を 表 すイベントタイプ admoneventtype=sync を 成 しまSplunk は 最 後 に 記 録 された 更 新 シーケ ンス 番 号 (USN) から すべてのオブジェクトの 捕 捉 を 試 みま 注 意 :Splunk または splunk-admon.exe プロセスを 再 起 動 した 場 合 Splunk は 余 分 な sync イベントを 記 録 し まこの 動 作 は 正 常 で 2/1/10 3:11: PM 02/01/ :11: dcname=ftw.ad.splunk.com admoneventtype=sync Names: name=ntds Settings distinguishedname=cn=ntds Settings,CN=stuff,CN=Servers,CN=Default-First-Site- Name,CN=Sites,CN=Configuration cn=ntds Settings objectcategory=cn=ntds-dsa,cn=schema,cn=configuration,dc=ad,dc=splunk,dc=com fullpath=ldap://stuff.splunk.com/<guid=bla bla bla> CN=NTDS Settings Object Details: whencreated=10:15.04 pm, Tue 02/12/2008 whenchanged=10:23.00 pm, Tue 02/12/2008 objectguid=bla bla bla objectclass=top applicationsettings ntdsdsa classpath=ntdsdsa Event Details: instancetype=4 Additional Details: systemflags= showinadvancedviewonly=true serverreferencebl=cn=stuff,cn=domain System Volume (SYSVOL share),cn=file Replication Service,CN=System options=1 msds-hasmasterncs=dc=forestdnszones DC=DomainDnsZones CN=Schema,CN=Configuration CN=Configuration msds-hasinstantiatedncs= msds-hasdomainncs=blah msds-behavior-version=2 invocationid=bla bla bla hasmasterncs=cn=schema,cn=configuration CN=Configuration dscorepropagationdata= dmdlocation=cn=schema,cn=configuration ntsecuritydescriptor=nt AUTHORITY\Authenticated Users SchemaName=LDAP://stuff.splunk.com/schema/nTDSDSA スキーマイベント Active Directory モニタリングを 設 定 した 後 Splunk を 起 動 すると スキーマタイプイベント admoneventtype=schema が 成 されま 02/01/ :11: dcname=ldap://stuff.splunk.com/ admoneventtype=schema classname=msexchprotocolcfgsmtpipaddress classcn=ms-exch-protocol-cfg-smtp-ip-address instancetype=mandatoryproperties ntsecuritydescriptor=mandatoryproperties objectcategory=mandatoryproperties objectclass=mandatoryproperties 51
52 admindescription=optionalproperties admindisplayname=optionalproperties allowedattributes=optionalproperties allowedattributeseffective=optionalproperties allowedchildclasses=optionalproperties allowedchildclasseseffective=optionalproperties bridgeheadserverlistbl=optionalproperties canonicalname=optionalproperties cn=optionalproperties createtimestamp=optionalproperties description=optionalproperties directreports=optionalproperties displayname=optionalproperties displaynameprintable=optionalproperties distinguishedname=optionalproperties dsasignature=optionalproperties dscorepropagationdata=optionalproperties extensionname=optionalproperties flags=optionalproperties fromentry=optionalproperties frscomputerreferencebl=optionalproperties frsmemberreferencebl=optionalproperties fsmoroleowner=optionalproperties heuristics=optionalproperties iscriticalsystemobject=optionalproperties isdeleted=optionalproperties isprivilegeholder=optionalproperties lastknownparent=optionalproperties legacyexchangedn=optionalproperties managedobjects=optionalproperties masteredby=optionalproperties memberof=optionalproperties modifytimestamp=optionalproperties ms-ds-consistencychildcount=optionalproperties ms-ds-consistencyguid=optionalproperties mscom-partitionsetlink=optionalproperties mscom-userlink=optionalproperties msdfsr-computerreferencebl=optionalproperties msdfsr-memberreferencebl=optionalproperties msds-approx-immed-subordinates=optionalproperties msds-masteredby=optionalproperties msds-membersforazrolebl=optionalproperties msds-ncreplcursors=optionalproperties msds-ncreplinboundneighbors=optionalproperties msds-ncreploutboundneighbors=optionalproperties msds-nonmembersbl=optionalproperties msds-objectreferencebl=optionalproperties msds-operationsforazrolebl=optionalproperties msds-operationsforaztaskbl=optionalproperties msds-replattributemetadata=optionalproperties msds-replvaluemetadata=optionalproperties msds-tasksforazrolebl=optionalproperties msds-tasksforaztaskbl=optionalproperties msexchadcglobalnames=optionalproperties msexchalobjectversion=optionalproperties msexchhidefromaddresslists=optionalproperties msexchinconsistentstate=optionalproperties msexchipaddress=optionalproperties msexchturflist=optionalproperties msexchunmergedattspt=optionalproperties msexchversion=optionalproperties mssfu30posixmemberof=optionalproperties name=optionalproperties netbootscpbl=optionalproperties nonsecuritymemberbl=optionalproperties objectguid=optionalproperties objectversion=optionalproperties otherwellknownobjects=optionalproperties ownerbl=optionalproperties partialattributedeletionlist=optionalproperties partialattributeset=optionalproperties possibleinferiors=optionalproperties 52
53 proxiedobjectname=optionalproperties proxyaddresses=optionalproperties querypolicybl=optionalproperties replicatedobjectversion=optionalproperties replicationsignature=optionalproperties replpropertymetadata=optionalproperties repluptodatevector=optionalproperties repsfrom=optionalproperties repsto=optionalproperties revision=optionalproperties sdrightseffective=optionalproperties serverreferencebl=optionalproperties showinaddressbook=optionalproperties showinadvancedviewonly=optionalproperties siteobjectbl=optionalproperties structuralobjectclass=optionalproperties subrefs=optionalproperties subschemasubentry=optionalproperties systemflags=optionalproperties unmergedatts=optionalproperties url=optionalproperties usnchanged=optionalproperties usncreated=optionalproperties usndsalastobjremoved=optionalproperties USNIntersite=OptionalProperties usnlastobjrem=optionalproperties usnsource=optionalproperties wbempath=optionalproperties wellknownobjects=optionalproperties whenchanged=optionalproperties whencreated=optionalproperties wwwhomepage=optionalproperties Answers 何 か 質 問 がありますか? Splunk Answers では Splunk コミュニティに 寄 せられた Splunk を 使 った Active Directory のモニターに 関 する 質 問 と 回 答 をご 覧 いただけま Windows イベントログデータのモニター Windows はその 運 の 環 としてログデータを 成 しまWindows イベントログサービスは これに 関 する ほぼすべての 事 項 を 処 理 しまインストールされているアプリケーション サービス およびシステムプロセス が 発 したログデータを 収 集 し それをイベントログチャネルに 保 管 しまこのチャネルは 中 間 保 管 場 所 で そ の 後 イベントログファイルに 書 き 込 まれまMicrosoft のイベントビューアなどのプログラムは これらのログ チャネルを 参 照 して システムに 発 したイベントを 表 しま Splunk Enterprise は Windows イベントログのモニタリングもサポートしていまイベントログチャネルや ローカルマシンに 保 管 されているログファイルをモニターしたり リモートマシンからログを 収 集 したりすること ができま イベントログモニターは splunkd サービス 内 の プロセッサとして 実 されまSplunk Enterprise に 定 義 されている 各 イベントログ に 対 して 1 回 実 されま イベントログをモニターする 理 由 Windows イベントログは Windows サーバーの 運 に 関 する 中 的 な 測 定 基 準 でWindows システムに 何 か 問 題 がある 場 合 は おそらくイベントログにそれに 関 する 情 報 が 記 載 されていまSplunk Enterprise のイン デックス 作 成 サーチ およびレポート 機 能 により ログ 情 報 にアクセスできるようになりま イベント ログのモニターに 何 が 必 要 か? アクティビティ: 必 要 なアクセス 許 可 : ローカルイベント ログのモニター リモートイベント ログのモニター * Splunk Enterprise はWindows 上 で 実 する 必 要 がありま * すべてのローカルイベントログを 読 み 取 るには Splunk Enterprise を Local System ユーザーとして 実 する 必 要 がありま * Splunk Enterprise は Windows 上 で 実 する 必 要 がありま および * Splunk Enterprise は イベントログを 収 集 するサーバー 上 にインストールされている ユニバーサルフォワーダー 上 で 動 作 する 必 要 がありま または * ターゲットサーバー 上 の WMI への 読 み 取 りアクセスを 持 つドメインまたはリモートユー ザーとして Splunk Enterprise を 実 する 必 要 がありま * Splunk Enterprise を 実 するユーザーには 的 のイベントログへの 読 み 取 りアクセス が 必 要 で 53
54 セキュリティとリモートアクセスの 検 討 事 項 Splunk Enterprise は WMI またはフォワーダーを 使 って リモートマシンからイベントログデータを 収 集 しま リモートマシンからインデクサーへのイベントログデータの 送 信 には ユニバーサルフォワーダーを 使 する ことをお 勧 めしまイベントログデータを 収 集 するための フォワーダーのインストール 設 定 使 法 につ いては データの 転 送 マニュアルの ユニバーサルフォワーダーの 紹 介 を 参 照 してください イベントログデータを 収 集 するために リモートマシン 上 にフォワーダーをインストールする 場 合 それらのマシ ンにはフォワーダーを Local System ユーザーとしてインストールすることができまLocal System ユーザー は ローカルマシン 上 のすべてのデータにアクセスできますが リモートマシンにアクセスすることはできませ ん WMI を 使 ってリモートマシンからイベントログデータを 収 集 する 場 合 ネットワークと Splunk Enterprise イン スタンスが 適 切 に 設 定 されていることを 確 認 する 必 要 がありまSplunk を Local System ユーザーとしてイン ストールすることはできません また インストールするユーザーによって Splunk が 参 照 できるイベントログ が 決 まりまSplunk が WMI を 使 ってリモートデータを 適 切 に 収 集 するために 満 たす 必 要 がある 要 件 につい ては このマニュアルの WMI ベースのデータのモニター の セキュリティとリモートアクセスの 検 討 事 項 を 参 照 してください デフォルトでは Windows のバージョンに 応 じて 部 のイベントログへのアクセスが 制 限 されま 特 に デ フォルトでセキュリティイベントログは ローカル Administrators またはグローバル Domain Admins グループ のメンバーのみが 参 照 することができま リモート Windows マシンからのイベントログの 収 集 Splunk Enterprise を 使 ってリモートマシンからイベントログを 収 集 する 場 合 2 種 類 の 選 択 肢 がありま WMI を 使 ってリモートにログを 収 集 する このオプションは Splunk Web で [リモートイベントログの 収 集 ] を 選 択 した 場 合 に 使 しま 収 集 するログがあるマシン 上 に ユニバーサル フォワーダー ユニバーサル フォワーダーをインストールする WMI を 使 ってイベントログを 収 集 する 場 合 Splunk Enterprise を Active Directory ドメインユーザーとしてイ ンストールする 必 要 がありまリモート Windows マシンからのデータの 収 集 については リモート Windows データのモニター 法 決 定 の 検 討 事 項 を 参 照 してください 選 択 したドメインユーザーが Administrators または Domain Admins グループのメンバーでない 場 合 ドメインユーザーをイベントログにア クセスさせるための イベントログセキュリティを 設 定 する 必 要 がありま リモートマシンからイベントログにアクセスするために イベントログセキュリティを 変 更 するには 以 下 の 条 件 を 満 たす 必 要 がありま 収 集 するイベントログがあるサーバーへの 管 理 者 アクセスを 保 有 している SDDL (Security Description Definition Language) ( 外 部 リンク) の 仕 組 み およびそれを 使 った アクセス 許 可 の 割 り 当 て 法 を 理 解 している Windows XP および Windows Server 2003/2003 R2 でのイベントログセキュリティアクセス 許 可 の 設 定 法 に ついては Microsoft サポート 技 術 情 報 の 記 事 を 参 照 してください Windows Vista Windows 7 または Windows Server 2008/2008 R2 を 利 している 場 合 は wevtutil ユーティリティを 使 ってイベントログセキュ リティを 設 定 しま 部 のシステムではイベントログに 変 則 的 なホスト 名 が 表 される Windows Vista および Server 2008 システムで 部 のイベントログにランダムに 成 されたホスト 名 が 表 さ れることがありまこれは OS のインストールプロセス 中 に ユーザーがシステム 名 を 指 定 する 前 にシステム がイベントを 記 録 したためで このような 変 則 的 な 名 称 は 上 記 のバージョンの Windows から WMI 経 由 でリモートにログを 収 集 した 場 合 にの み 発 しま Splunk Web を 使 ったイベントログのモニタリング ローカル マシンから Windows イベント ログ データを 収 集 するには このマニュアルの Windows イベン ト ログ - ローカル を 参 照 してください リモートイベントログのモニタリングの 設 定 リモート イベント ログのモニタリング 順 は ローカル イベント ログのモニター 順 とほぼ 同 じで リモート Windows マシンから Windows イベント ログ データを 収 集 するには このマニュアルの Windows イベント ログ - リモート を 参 照 してください inputs.conf を 使 ったイベントログモニタリングの 設 定 inputs.conf を 使 ってイベントログのモニタリングを 設 定 することができまinputs.conf を 使 ったデータ の 設 定 の 詳 細 は このマニュアルの の 設 定 を 参 照 してください 注 意 : 設 定 ファイルのデフォルトは %SPLUNK_HOME%\etc\system\default 内 のファイルまたは 管 理 マニュアル で 確 認 することができま 設 定 ファイルの 編 集 法 については 管 理 マニュアル の 設 定 ファイルについて を 参 照 してくださ い 54
55 inputs.conf を 編 集 してイベントログ を 有 効 にするには: 1. inputs.conf を %SPLUNK_HOME%\etc\system\default から etc\system\local にコピーしま 2.エクスプローラまたは ATTRIB コマンドを 使 って ファイルの 読 み 取 り 専 フラグを 削 除 しま 3.ファイルを 開 いて 編 集 し Windows イベントログ を 有 効 にしま 4.Splunk を 再 起 動 しま 次 のセクションでは イベントログのモニタリングのための 利 可 能 な 設 定 値 について 説 明 していきま イベントログモニターの 設 定 値 Windows イベントログ (*.evt) ファイルはバイナリ 形 式 で 標 準 のテキストファイルのようにモニターすること はできません splunkd サービスは 適 切 な API を 使 ってこれらのバイナリファイルを 読 み 取 り ファイル 内 の データのインデックスを 作 成 していま Splunk は inputs.conf 内 の 以 下 のスタンザを 使 って デフォルトの Windows イベントログをモニターしま # Windows platform specific input processor. [WinEventLog://Application] disabled = 0 [WinEventLog://Security] disabled = 0 [WinEventLog://System] disabled = 0 また デフォルト 以 外 の Windows イベントログをモニターするように Splunk Enterprise を 設 定 することもで きま 作 業 を う 前 に ログを Windows イベントビューアにインポートする 必 要 がありまログをインポー トしたら 以 下 のようにそれを inputs.conf のローカルコピーに 追 加 することができま [WinEventLog://DNS Server] disabled = 0 [WinEventLog://Directory Service] disabled = 0 [WinEventLog://File Replication Service] disabled = 0 注 意 :インデックス 作 成 には ログプロパティの Full Name: を 使 しま[Microsoft] > [Windows] > [タ スクスケジューラ] > [ 稼 働 中 ] 内 のタスクスケジューラをモニターするには [ 稼 働 中 ] を 右 クリックしてプロパ ティを 選 択 しまWinEventLog: スタンザに 追 加 するには Full Name を 使 しま [WinEventLog://Microsoft-Windows-TaskScheduler/Operational] disabled = 0 イベントログのインデックス 作 成 を 無 効 にするには %SPLUNK_HOME%\etc\system\local\inputs.conf のスタンザのリス ト 下 に disabled = 1 を 追 加 しま Splunk Enterprise は inputs.conf 内 の 以 下 の 属 性 を 使 って イベントログファイルをモニターしま 属 性 start_from 説 明 時 系 列 的 なイベントの 読 み 込 み 法 を しま oldest ( 古 いものから 新 しいものへとログを 読 み 込 む) および newest ( 新 しいも のから 古 いものへとログを 読 み 込 む) を 指 定 できま 属 性 に newest を 設 定 すると 最 新 のものから 古 いものへとログを 読 み 込 んだ 後 処 理 を 終 了 しま 注 意 : current_only 属 性 に 1 を 設 定 した 場 合 この 属 性 に newest を 設 定 することは できません ( 盾 しているため) この 組 み 合 わせは 無 視 されま デフォ ルト oldest current_only Splunk Enterprise 開 始 後 の イベントのインデックス 作 成 法 を しま 1 (*nix システムの tail -f のように の 取 り 込 み 開 始 後 に 到 着 したイ ベントのみを 取 得 する) または 0 (ログ 内 の 既 存 のすべてのイベントを 取 得 し て それ 以 降 に 到 着 するイベントを 継 続 的 かつリアルタイムにモニターする) を 指 定 できま 注 意 : start_from 属 性 に newest を 設 定 した 場 合 この 属 性 に 1 を 設 定 することはで きません ( 盾 しているため) この 組 み 合 わせは 無 視 されま 0 55
56 checkpointinterval Windows イベントログ が チェックポイントを 保 存 する 頻 度 ( 秒 ) を 指 定 しま チェックポイントは 取 得 したイベントの eventid を 保 管 していま これにより シャットダウンや 機 能 停 後 にも 正 しくイベントのモニター を 継 続 することができま 5 evt_resolve_ad_obj Windows イベントログイベントのインデックス 作 成 中 の Active Directory とのやり 取 り 法 を しま 1 ( 特 定 の Windows イベントログチャネルに 対 して GUID オブジェクトや SID オブジェクトなどの Active Directory オブジェクトを 正 規 名 に 解 決 す る) および 0 ( 解 決 は わない) を 指 定 できま 1 を 設 定 した 場 合 必 要 に 応 じてドメインコントローラ 名 やバインド 先 ドメ インの DNS 名 を 指 定 することができまSplunk はこれを 使 って Active Directory オブジェクトを 解 決 しま この 値 を 設 定 しない 場 合 は Splunk が Active Directory オブジェクトの 解 決 を 試 みま 1 evt_dc_name Active Directory オブジェクトを 解 決 するためにバインドする Active Directory ドメインコントローラを 指 定 しま これには ドメインコントローラの NetBIOS 名 または 完 全 修 飾 DNS 名 を 使 できま どちらの 種 類 の 名 前 でも 必 要 に 応 じて 前 に 2 字 の 円 記 号 (バックスラッ シュ) を 付 けることができま N/A evt_dns_name Active Directory オブジェクトを 解 決 するためにバインドする ドメインの 完 全 修 飾 DNS 名 を 指 定 しま N/A suppress_text セキュリティイベントに 付 属 のメッセージテキストを 含 めるかどうかを 指 定 しま 1 はメッセージテキストを 抑 制 しま0 はテキストを 保 持 しま 0 whitelist 指 定 したテキスト 字 列 に 致 するイベントのインデックスを 作 成 しま この 属 性 は 省 略 することができま 2 種 類 のいずれかのフォーマットで 指 定 することができま 1 つまたは 複 数 のイベントログイベントコードまたはイベント ID 1 つまたは 複 数 のキーと 正 規 表 現 のセット 詳 細 は このトピックの 後 半 にある whitelist と blacklist による 度 なフィルタの 作 成 を 参 照 してください 単 の 項 に 複 数 のフォーマットを 混 在 して 指 定 することはできません また 同 じスタンザ 内 に 複 数 のフォーマットを 混 在 指 定 することもできませ ん Splunk Enterprise は まずホワイトリストを 処 理 した 後 に ブラックリス トを 処 理 しま ホワイトリストがない 場 合 は すべてのイベントのインデックスが 作 成 され ま イベントコード/ID フォーマットを 使 する 場 合 : 複 数 のコード/ID を 使 する 場 合 は カンマで 区 切 りま 範 囲 を 指 定 する 場 合 は ハイフンを 使 します ( 例 :0-1000, ) 度 なフィルタリングフォーマットを 使 する 場 合 : 度 なフィルタリングの 場 合 フィルタを 表 すキーと 正 規 表 現 の 間 には = を 使 します ( 例 :whitelist = EventCode=%^1([8-9])$%) 単 の 度 なフィルタリング 項 内 に 複 数 のキー/ 正 規 表 現 のセットを 指 定 することができまSplunk Enterprise は 論 理 的 に 各 セットを 結 合 しま つまり エントリ 内 のすべてのセットが 真 (True) の 場 合 にのみ その エントリは 有 効 になりま whitelist 属 性 の 最 後 に 数 字 を 付 けることで スタンザあたり 最 10 件 のホ ワイトリストを 指 定 することができます ( 例 :whitelist1...whitelist9) N/A blacklist 指 定 されたテキスト 字 列 に 致 するイベントのインデックスを 作 成 しな いことを 指 定 しま この 属 性 は 省 略 することができま 2 種 類 のいずれかのフォーマットで 指 定 することができま 1 つまたは 複 数 のイベントログイベントコードまたはイベント ID 1 つまたは 複 数 のキーと 正 規 表 現 のセット 詳 細 は このトピックの 後 半 にある whitelist と blacklist による 度 なフィルタの 作 成 を 参 照 してください 単 の 項 に 複 数 のフォーマットを 混 在 して 指 定 することはできません また 同 じスタンザ 内 に 複 数 のフォーマットを 混 在 指 定 することもできませ ん 56
57 Splunk Enterprise は まずホワイトリストを 処 理 した 後 に ブラックリス トを 処 理 しま ブラックリストがない 場 合 は すべてのイベントのインデックスが 作 成 され ま イベントログコード/ID フォーマットを 使 する 場 合 : 複 数 のコード/ID を 使 する 場 合 は カンマで 区 切 りま 範 囲 を 指 定 する 場 合 は ハイフンを 使 します ( 例 :0-1000, ) 度 なフィルタリングフォーマットを 使 する 場 合 : 度 なフィルタリングの 場 合 フィルタを 表 すキーと 正 規 表 現 の 間 には = を 使 します ( 例 :blacklist = EventCode=%^1([8-9])$%) 単 の 度 なフィルタリング 項 内 に 複 数 のキー/ 正 規 表 現 のセットを 指 定 することができまSplunk Enterprise は 論 理 的 に 各 セットを 結 合 しま つまり エントリ 内 のすべてのセットが 真 (True) の 場 合 にのみ その エントリは 有 効 になりま blacklist 属 性 の 最 後 に 数 字 を 付 けることで スタンザあたり 最 10 件 のブ ラックリストを 指 定 することができます ( 例 :blacklist1...blacklist9) renderxml イベント データを Windows イベント ログ サブシステムが 提 供 する XML として 表 することを 指 しま この 属 性 は 省 略 することができま 1 または true を 指 定 すると イベントが XML として 表 されま 0 または false を 指 定 すると イベントが 普 通 のテキストとして 表 されま 0 (false) index disabled この がデータを 送 るインデックスを 指 定 しま を 実 するかどうかを 指 定 しま 0 ( を 実 する) および 1 ( を 実 しない) を 指 定 できま デフォ ルトの イン デック ス 0 セキュリティイベントログを 使 ったファイル 変 更 のモニター システム 上 のファイル 変 更 をモニターするには 連 のファイル/ディレクトリのセキュリティ 監 査 を 有 効 にし て 次 にセキュリティイベントログチャネルの 変 更 イベントをモニターしまイベントログモニタリング に は inputs.conf で 使 できる 3 種 類 の 属 性 が 含 まれていま 以 下 に 例 を しま [WinEventLog://Security] disabled = 0 start_from = oldest current_only = 0 evt_resolve_ad_obj = 1 checkpointinterval = 5 # only index events with these event IDs. whitelist = , # exclude these event IDs from being indexed. blacklist = 連 のファイル/ディレクトリのセキュリティ 監 査 を 有 効 にするには MS Technet の セキュリティ イベントの 監 査 の 操 作 法 ( を 参 照 して ください また suppress_text 属 性 を 使 って セキュリティイベントに 付 いているメッセージテキストを 含 めるまたは 除 外 す ることもできま [WinEventLog://Security] disabled = 0 start_from = oldest current_only = 0 evt_resolve_ad_obj = 1 checkpointinterval = 5 # suppress message text, we only want the event number. suppress_text = 1 # only index events with these event IDs. whitelist = , # exclude these event IDs from being indexed. blacklist =
58 デフォルトで suppress_text は 0 ( 偽 (False)) で ホワイトリスト と ブラックリスト による 度 なフィルタの 作 成 イベントコードに 基 づいたフィルタリングに 加 えて whitelist および blacklist 属 性 を 使 って 到 着 したイベント をさらにフィルタリングすることができまそのためには 属 性 にキー/ 正 規 表 現 を 指 定 しま whitelist = key=<regular expression> [key=<regular expression]... このフォーマットで key は 以 下 のリストからの 有 効 なエントリで キー 説 明 $TimeGenerated $Timestamp イベントを 成 したコンピュータの 時 刻 イベントの 時 刻 字 列 のみが 成 されま イベント ログ サービスがイベントを 受 信 記 録 した 時 刻 イベントの 時 刻 字 列 のみが 成 されま Category 特 定 のイベント ソースのカテゴリ 番 号 CategoryString カテゴリの 字 列 変 換 変 換 はイベント ソースによって 異 なりま ComputerName イベントを 成 したコンピュータ 名 EventCode EventType Keywords LogName Message OpCode RecordNumber Sid SidType SourceName TaskCategory Type User イベントのイベント ID 番 号 イベント ビューアでのイベント ID に 対 応 していま ログに 記 録 できる 5 種 類 のイベント ( Error Warning Information Success Audit および Failure Audit ) のいずれかを 表 す 数 値 Windows Server 2003 以 前 が 動 作 するサーバーまたは Windows XP 以 前 が 動 作 するクライアント マシン 上 でのみ 利 できまMSDN の Win32_NTLogEvent class (Windows) ( を 参 照 してくださ い イベント ログ チャネル 内 の 異 なるタイプのイベントを 分 類 するために 使 されるエレメ ント たとえば セキュリティ イベント ログ チャネルがこのエレメントを 保 有 してい ま イベントを 受 信 したイベント ログ チャネル 名 イベント ビューアのログ 名 に 対 応 して いま イベント 内 のメッセージ テキスト イベントの 重 度 レベル (イベント ビューアの オペコード ) Windows イベント ログのレコード 番 号 Windows サーバー 上 の 各 イベントがレコード 番 号 を 受 け 取 りまシステム 上 で 最 初 に 成 されたイベントの 番 号 が 0 で 始 まり 最 数 の に 達 するまで 新 たなイベントが 成 されるたびに 値 が 増 加 していきま 最 値 に 達 すると 再 び 0 に 戻 りま イベントに 関 連 する またはイベントを 成 したプリンシパル (ユーザー グループ コン ピュータ または 他 のエンティティなど) のセキュリティ ID (SID) MSDN の Win32_UserAccount class ( を 参 照 してください イベントに 関 連 付 けられている SID のタイプを 表 す 数 値 MSDN の Win32_UserAccount class ( を 参 照 してください イベントを 成 したエンティティのソース (イベント ビューアの ソース ) イベントのタスク カテゴリ イベント ソースでカテゴリを 定 義 して イベント ビュー アでの 表 時 にフィルタリングを えます ([タスク カテゴリ] フィールドを 使 ) MSDN の Event Categories (Windows) ( を 参 照 してください ログに 記 録 できる 5 種 類 のイベント ( Error Warning Information Success Audit および Failure Audit ) のいずれかを 表 す 数 値 Windows Server 2008 以 降 が 動 作 するサーバー マシン または Windows Vista 以 降 が 動 作 するクライアン トでのみ 利 できまMSDN の Win32_NTLogEvent class (Windows) ( を 参 照 してくださ い イベントに 関 連 するユーザー イベント ビューアの ユーザー に 対 応 していま <regular expression> は 含 める (whitelist 属 性 と 緒 に 使 ) または 除 外 する (blacklist 属 性 と 緒 に 使 ) フィル タを 表 す 有 効 な 正 規 表 現 で 正 規 表 現 の 詳 細 と 使 法 については Regularexpressions.info ( Web サイトを 参 照 してください 単 のエントリ に 複 数 のキー/ 正 規 表 現 セットを 指 定 することができまそうした 場 合 それらのセットは 論 理 的 に 連 結 されまつまり すべてのセットを 満 たすイベントのみが 含 める/ 除 外 の 対 象 となりま 例 : whitelist = EventCode="^1([0-5])$" Message="^Error" 58
59 この 場 合 EventCode が で 単 語 Error を 含 む Message があるイベントが 含 められま 各 スタンザには 最 で 10 件 の 個 別 のホワイトリストまたはブラックリストエントリを 指 定 することができま そのためには 個 別 の の whitelist または blacklist エントリに 数 字 を 付 けま whitelist = key=<regular expression> whitelist1 = key=<regular expression> key2=<regular expression 2> whitelist2 = key=<regular expression> 注 意 : 同 じキーを 参 照 する 複 数 のキー/ 正 規 表 現 セットを 持 つエントリを 指 定 することはできません たとえ ば 以 下 のように 指 定 すると: whitelist = EventCode="^1([0-5])$" EventCode="^2([0-5])$" 最 初 のセットは 無 視 されて 2 番 のセットに 致 するイベントのみが 含 められまこの 場 合 EventCode が のイベントのみが 致 しまEventCode が のイベントは 致 にはなりません エントリの 最 後 の セットのみが 照 合 されま この 問 題 に 対 処 するには スタンザ 内 に 2 つの 個 別 のエントリを 指 定 しま whitelist = EventCode="^1([0-5])$" whitelist1 = EventCode="^2([0-5])$" イベントログファイル 内 の Active Directory オブジェクトの 解 決 特 定 のイベントログチャネルに 対 して グローバル 意 識 別 (GUID) やセキュリティ 識 別 (SID) などの Active Directory オブジェクトを 解 決 するかどうかを 指 定 するには inputs.conf のローカルコピーの 該 当 する チャネルのスタンザに evt_resolve_ad_obj 属 性 を 指 定 します (1= 有 効 0= 無 効 ) デフォルトでは セキュリティ チャネルに 対 して evt_resolve_ad_obj 属 性 がオンになっていま 例 : [WinEventLog://Security] disabled = 0 start_from = oldest current_only = 0 evt_resolve_ad_obj = 1 checkpointinterval = 5 Active Directory オブジェクトを 解 決 するために Splunk がバインドする 必 要 があるドメインのドメインコント ローラを 指 定 するには evt_dc_name 属 性 を 使 しま evt_dc_name 属 性 に 指 定 する 字 列 は ドメインコントローラの NetBIOS 名 または 完 全 修 飾 ドメイン 名 (FQDN) でなければなりません どちらの 種 類 の 名 前 でも 必 要 に 応 じて 前 に 2 字 の 円 記 号 (バックスラッシュ) を 付 け ることができま 正 しい 形 式 のドメインコントローラ 名 を 使 した 例 を 以 下 に しま FTW-DC-01 \\FTW-DC-01 FTW-DC-01.splunk.com \\FTW-DC-01.splunk.com バインドするドメインの 完 全 修 飾 ドメイン 名 を 指 定 するには evt_dns_name 属 性 を 使 しま 例 : [WinEventLog://Security] disabled = 0 start_from = oldest current_only = 0 evt_resolve_ad_obj = 1 evt_dc_name = ftw-dc-01.splunk.com evt_dns_name = splunk.com checkpointinterval = 5 制 約 evt_dc_resolve_obj 属 性 の 使 時 には いくつかの 理 解 しておく 必 要 がある 事 項 がありま この 属 性 を 指 定 すると Splunk はまず evt_dc_name 属 性 に 指 定 されているドメインコントローラを 使 し 59
60 て SID および GUID の 解 決 を 試 みまそのドメインコントローラを 使 って SID を 解 決 できなかった 場 合 デフォルトのドメインコントローラにバインドして 解 決 を 試 みま SID を 解 決 するためのドメインコントローラと 通 信 できなかった 場 合 は 次 にローカルマシンを 使 った 解 決 が 試 みられま これらの 段 がどれも 利 できなかった 場 合 Splunk はイベントに 捕 捉 された SID を 出 しま Splunk は S-1-N-NN-NNNNNNNNNN-NNNNNNNNNN-NNNNNNNNNN-NNNN の 形 式 ではない SID を 解 決 することはできませ ん Splunk が SID を 適 切 に 解 決 / 変 換 できていない 場 合 は インデクサーの splunkd.log を 参 照 して 問 題 を 調 査 してください もっとも 早 いまたは 最 新 のイベントからインデックス 作 成 を 開 始 するかどうかの 指 定 Splunk Enterprise がもっとも 早 いイベントまたは 最 新 のイベントからインデックスの 作 成 を 開 始 するかどうかを 指 定 するには start_from 属 性 を 使 しまデフォルトで Splunk はもっとも 古 いデータからインデックスの 作 成 を 開 始 して 新 しいデータへと 進 んでいきま 変 更 するには この 属 性 に newest を 設 定 しまこの 場 合 最 新 のイベントからインデックスの 作 成 が 開 始 され 古 いデータへと 処 理 を 進 めまSplunk はこの 法 を 使 ってバックログのインデックスを 作 成 した 後 インデックス 作 成 を 中 するため この 設 定 を 変 更 することはお 勧 めできません 特 定 のログチャネルにある 既 存 のすべてのイベントのインデックスを 作 成 するかどうかを 指 定 するに は current_only 属 性 を 使 しま1 を 設 定 すると Splunk が 開 始 された 時 点 から 新 たに 登 場 したイベントの み インデックスが 作 成 されま0 を 設 定 すると すべてのイベントのインデックスが 作 成 されま 例 : [WinEventLog://Application] disabled = 0 start_from = oldest current_only = 1 イベントを XML で 表 イベントを XML で 成 するには renderxml 属 性 を 使 しま [WinEventLog://System] disabled = 0 renderxml = 1 evt_resolve_ad_obj = 1 evt_dns_name = \"SV5DC02\" この スタンザは 以 下 のようなイベントを 成 しま <Event xmlns=' <System> <Provider Name='Service Control Manager' Guid='{555908d1-a6d e1e-26931d2012f4}' EventSourceName='Service Control Manager'/> <EventID Qualifiers='16384'>7036</EventID> <Version>0</Version> <Level>4</Level> <Task>0</Task> <Opcode>0</Opcode> <Keywords>0x </Keywords> <TimeCreated SystemTime=' T18:38: Z'/> <EventRecordID>412598</EventRecordID> <Correlation/> <Execution ProcessID='192' ThreadID='210980'/> <Channel>System</Channel> <Computer>SplunkDoc.splunk-docs.local</Computer> <Security/> </System> <EventData> <Data Name='param1'>Application Experience</Data> <Data Name='param2'>stopped</Data> <Binary> C006F006F006B F </Binary> </EventData> </Event> 注 意 :イベントを XML で 表 するように 設 定 した 場 合 XML 内 のイベント キーはマシンのシステム 語 に 関 係 なく 英 語 で 成 されまフランス 語 版 の Windows サーバーで 成 された 以 下 のイベントを 較 してくださ い 標 準 イベント: 60
61 04/29/ :50:23 PM LogName=Security SourceName=Microsoft Windows security auditing. EventCode=4672 EventType=0 Type=Information ComputerName=sacreblue TaskCategory=Ouverture de session spã ciale OpCode=Informations RecordNumber=2746 Keywords=Succà s de lâ audit Message=Privilà ges spã ciaux attribuã s à la nouvelle ouverture de session. Sujet : ID de sã curitã : Nom du compte : Domaine du compte : ID dâ ouverture de session : AUTORITE NT\Systà me Systà me AUTORITE NT 0x3e7 Privilà ges : SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege XML イベント: <Event xmlns=' 3E3B0328C30D}'/> </Event> <System><Provider Name='Microsoft-Windows-Security-Auditing' Guid='{ A5BA- </System> <EventData> </EventData> <EventID>4672</EventID> <Version>0</Version> <Level>0</Level> <Task>12548</Task> <Opcode>0</Opcode> <Keywords>0x </Keywords> <TimeCreated SystemTime=' T22:15: Z'/> <EventRecordID>2756</EventRecordID> <Correlation/><Execution ProcessID='540' ThreadID='372'/> <Channel>Security</Channel> <Computer>sacreblue</Computer> <Security/> <Data Name='SubjectUserSid'>AUTORITE NT\Systà me</data> <Data Name='SubjectUserName'>Systà me</data> <Data Name='SubjectDomainName'>AUTORITE NT</Data> <Data Name='SubjectLogonId'>0x3e7</Data> <Data Name='PrivilegeList'>SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege</Data> XML イベント 内 の Data Name キーは 標 準 イベントではシステムの 使 語 で 表 される 場 合 でも 英 語 で 表 されま 61
62 CLI を 使 ったローカル イベント ログのモニタリング CLI を 使 って ローカル イベント ログのモニタリングを 設 定 できまCLI を 使 する 前 に inputs.conf に スタンザのエントリを 作 成 する 必 要 がありま inputs.conf を 使 ったイベント ログ モニタリングの 設 定 を 参 照 してください 注 意 :リモート イベント ログ コレクションに 対 しては CLI を 使 できません ローカルマシン 上 に 設 定 されているすべてのイベント ログ チャネルを 表 するには: > splunk list eventlog 名 前 を 指 定 することで 特 定 のチャネルを 表 することもできます: > splunk list eventlog <ChannelName> イベント ログ チャネルを 有 効 にするには: > splunk enable eventlog <ChannelName> チャネルを 無 効 にするには: > splunk disable eventlog <ChannelName> エクスポートされたイベントログ (.evt または.evtx) ファイルのインデックスの 作 成 エクスポートした Windows イベントログファイルのインデックスを 作 成 するには ファイルとディレクトリのモ ニターの 説 明 に 従 って エクスポートしたファイルを 保 管 しているディレクトリをモニターしま 制 約 Windows XP および Server 2003 システムでは API とログチャネルの 処 理 上 の 制 約 により それらのシス テムからインポートした.evt ファイルには Message フィールドが 含 まれていません つまり Message フィールドの 内 容 が Splunk インデックスには 含 まれません Windows XP および Windows Server 2003/2003 R2 上 で 動 作 している Splunk は Windows Vista 以 降 または Windows Server 2008/2008 R2 以 降 が 動 作 しているシステムからエクスポートされた.evtx ファ イルのインデックスを 作 成 できません Windows Vista 以 降 および Windows Server 2008/2008 R2 以 降 上 で 動 作 する Splunk は.evt および.evtx の 両 のファイルのインデックスを 作 成 することができま.evt または.evtx ファイルが 標 準 のイベントログチャネルからのファイルでない 場 合 は そのチャネルが 必 要 とする DLL ファイルが インデックスを 作 成 するコンピュータ 上 にあることを 確 認 する 必 要 がありま.evt または.evtx ファイルのインデックスは それを 収 集 したコンピュータのプライマリロケール/ 語 で 作 成 されま 警 告 : 現 在 書 き 込 み 中 の.evt または.evtx ファイルのモニターは 試 みないようにしてください Windows は そのようなファイルに 対 する 読 み 取 りアクセスを 禁 していま 代 わりにイベントログのモニタリング 機 能 を 使 してください 注 意 :あるシステム 上 で.evt または.evtx ファイルを 成 し それを 別 のシステムでモニターする 場 合 イベン トを 成 したシステムのように 各 イベントの 部 のフィールドが 展 開 されない 可 能 性 がありまこの 問 題 は DLL のバージョンの 違 い DLL の 有 無 API のバリエーションなどが 原 因 でOS のバージョン 語 Service Pack のレベル およびインストールされているサードパーティ 製 DLL などの 要 因 により この 問 題 が 発 することもありま Answers 何 か 質 問 がありますか? Splunk Answers では Splunk コミュニティに 寄 せられた Windows イベントログ に 関 する 質 問 と 回 答 をご 覧 いただけま Windows のファイルシステム 変 更 のモニター Splunk Enterprise は Windows ファイルシステムの 変 更 を セキュリティイベントログチャネルを 介 してモニ ターすることができまファイルやディレクトリに 対 する 変 更 のモニタリングを 有 効 にするには まず 変 更 をモ ニターするファイル/ディレクトリのセキュリティ 監 査 を 有 効 にしま 次 に イベントログモニター 機 能 で セ キュリティイベントログチャネルをモニターしま このファイルシステム 変 更 のモニター 順 は 廃 予 定 のファイルシステムモニター に 代 わるもので ファイル システム 変 更 のモニターに 何 が 必 要 か? アクティビ ティ: ファイルシ ステム 変 更 必 要 なアクセス 許 可 : Splunk Enterprise は Windows 上 で 実 する 必 要 があります および 62
63 の 監 視 Splunk Enterprise は Local System ユーザー またはセキュリティイベントログを 読 み 取 るための 特 定 のセキュリティポリシー 権 限 を 持 つドメインユーザーとして 実 する 必 要 が あります および 変 更 をモニターするファイル/ディレクトリのセキュリティ 監 査 を 有 効 にする 必 要 がありま セキュリティイベントログを 使 ったファイル 変 更 のモニター システム 上 のファイル 変 更 をモニターするには 連 のファイル/ディレクトリのセキュリティ 監 査 を 有 効 にし て 次 にセキュリティイベントログチャネルの 変 更 イベントをモニターしまイベントログモニタリング に は inputs.conf で 使 できる 3 種 類 の 属 性 が 含 まれていま 属 性 whitelist 説 明 指 定 したテキスト 字 列 に 致 するイベントのインデックスを 作 成 しま この 属 性 は 省 略 することができま 2 種 類 のいずれかのフォーマットで 指 定 することができま 1 つまたは 複 数 のイベントログイベントコードまたはイベント ID 1 つまたは 複 数 のキーと 正 規 表 現 のセット 詳 細 は このトピックの 後 半 にあ る whitelist と blacklist による 度 なフィルタの 作 成 を 参 照 してくださ い 単 の 項 に 複 数 のフォーマットを 混 在 して 指 定 することはできません また 同 じスタンザ 内 に 複 数 のフォーマットを 混 在 指 定 することもできません Splunk Enterprise は まずホワイトリストを 処 理 した 後 に ブラックリストを 処 理 しま ホワイトリストがない 場 合 は すべてのイベントのインデックスが 作 成 されま イベントコード/ID フォーマットを 使 する 場 合 : 複 数 のコード/ID を 使 する 場 合 は カンマで 区 切 りま 範 囲 を 指 定 する 場 合 は ハイフンを 使 します ( 例 :0-1000, ) 度 なフィルタリングフォーマットを 使 する 場 合 : 度 なフィルタリングの 場 合 フィルタを 表 すキーと 正 規 表 現 の 間 には = を 使 します ( 例 :whitelist = EventCode=%^1([8-9])$%) 単 の 度 なフィルタリング 項 内 に 複 数 のキー/ 正 規 表 現 のセットを 指 定 するこ とができまSplunk Enterprise は 論 理 的 に 各 セットを 結 合 しまつまり エン トリ 内 のすべてのセットが 真 (True) の 場 合 にのみ そのエントリは 有 効 になりま whitelist 属 性 の 最 後 に 数 字 を 付 けることで スタンザあたり 最 10 件 のホワイトリ ストを 指 定 することができます ( 例 :whitelist1...whitelist9) デ フォ ルト N/A blacklist 指 定 されたテキスト 字 列 に 致 するイベントのインデックスを 作 成 しないことを 指 定 しま この 属 性 は 省 略 することができま 2 種 類 のいずれかのフォーマットで 指 定 することができま 1 つまたは 複 数 のイベントログイベントコードまたはイベント ID 1 つまたは 複 数 のキーと 正 規 表 現 のセット 詳 細 は このトピックの 後 半 にあ る whitelist と blacklist による 度 なフィルタの 作 成 を 参 照 してくださ い 単 の 項 に 複 数 のフォーマットを 混 在 して 指 定 することはできません また 同 じスタンザ 内 に 複 数 のフォーマットを 混 在 指 定 することもできません Splunk Enterprise は まずホワイトリストを 処 理 した 後 に ブラックリストを 処 理 しま ブラックリストがない 場 合 は すべてのイベントのインデックスが 作 成 されま イベントログコード/ID フォーマットを 使 する 場 合 : 複 数 のコード/ID を 使 する 場 合 は カンマで 区 切 りま 範 囲 を 指 定 する 場 合 は ハイフンを 使 します ( 例 :0-1000, ) 度 なフィルタリングフォーマットを 使 する 場 合 : 度 なフィルタリングの 場 合 フィルタを 表 すキーと 正 規 表 現 の 間 には = を 使 します ( 例 :blacklist = EventCode=%^1([8-9])$%) 単 の 度 なフィルタリング 項 内 に 複 数 のキー/ 正 規 表 現 のセットを 指 定 するこ とができまSplunk Enterprise は 論 理 的 に 各 セットを 結 合 しまつまり エン トリ 内 のすべてのセットが 真 (True) の 場 合 にのみ そのエントリは 有 効 になりま blacklist 属 性 の 最 後 に 数 字 を 付 けることで スタンザあたり 最 10 件 のブラックリ ストを 指 定 することができます ( 例 :blacklist1...blacklist9) suppress_text セキュリティイベントに 付 属 のメッセージテキストを 含 めるかどうかを 指 定 しま1 は メッセージテキストを 抑 制 しま0 はテキストを 保 持 しま 0 63
64 注 意 :これらの 属 性 は セキュリティイベントログおよびファイルシステム 変 更 のコンテキスト 外 で 使 できま また これらの 属 性 リストは inputs.conf で 利 できる 属 性 の 部 でしかありません その 他 の 属 性 について は このマニュアルの Windows イベントログデータのモニター を 参 照 してください 度 なフィルタの 作 成 : whitelist および blacklist イベントコードに 基 づいたフィルタリングに 加 えて whitelist および blacklist 属 性 を 使 って 到 着 したイベント をさらにフィルタリングすることができまそのためには 属 性 にキー/ 正 規 表 現 を 指 定 しま whitelist = key=<regular expression> [key=<regular expression]... このフォーマットで key は 以 下 のリストからの 有 効 なエントリで キー 説 明 $TimeGenerated $Timestamp イベントを 成 したコンピュータの 時 刻 イベントの 時 刻 字 列 のみが 成 されま イベント ログ サービスがイベントを 受 信 記 録 した 時 刻 イベントの 時 刻 字 列 のみが 成 されま Category 特 定 のイベント ソースのカテゴリ 番 号 CategoryString カテゴリの 字 列 変 換 変 換 はイベント ソースによって 異 なりま ComputerName イベントを 成 したコンピュータ 名 EventCode EventType Keywords LogName Message OpCode RecordNumber Sid SidType SourceName TaskCategory Type User イベントのイベント ID 番 号 イベント ビューアでのイベント ID に 対 応 していま ログに 記 録 できる 5 種 類 のイベント ( Error Warning Information Success Audit および Failure Audit ) のいずれかを 表 す 数 値 Windows Server 2003 以 前 が 動 作 するサーバーまたは Windows XP 以 前 が 動 作 するクライアント マシン 上 でのみ 利 できまMSDN の Win32_NTLogEvent class (Windows) ( を 参 照 してくださ い イベント ログ チャネル 内 の 異 なるタイプのイベントを 分 類 するために 使 されるエレメ ント たとえば セキュリティ イベント ログ チャネルがこのエレメントを 保 有 してい ま イベントを 受 信 したイベント ログ チャネル 名 イベント ビューアのログ 名 に 対 応 して いま イベント 内 のメッセージ テキスト イベントの 重 度 レベル (イベント ビューアの オペコード ) Windows イベント ログのレコード 番 号 Windows サーバー 上 の 各 イベントがレコード 番 号 を 受 け 取 りまシステム 上 で 最 初 に 成 されたイベントの 番 号 が 0 で 始 まり 最 数 の に 達 するまで 新 たなイベントが 成 されるたびに 値 が 増 加 していきま 最 値 に 達 すると 再 び 0 に 戻 りま イベントに 関 連 する またはイベントを 成 したプリンシパル (ユーザー グループ コン ピュータ または 他 のエンティティなど) のセキュリティ ID (SID) MSDN の Win32_UserAccount class ( を 参 照 してください イベントに 関 連 付 けられている SID のタイプを 表 す 数 値 MSDN の Win32_UserAccount class ( を 参 照 してください イベントを 成 したエンティティのソース (イベント ビューアの ソース ) イベントのタスク カテゴリ イベント ソースでカテゴリを 定 義 して イベント ビュー アでの 表 時 にフィルタリングを えます ([タスク カテゴリ] フィールドを 使 ) MSDN の Event Categories (Windows) ( を 参 照 してください ログに 記 録 できる 5 種 類 のイベント ( Error Warning Information Success Audit および Failure Audit ) のいずれかを 表 す 数 値 Windows Server 2008 以 降 が 動 作 するサーバー マシン または Windows Vista 以 降 が 動 作 するクライアン トでのみ 利 できまMSDN の Win32_NTLogEvent class (Windows) ( を 参 照 してくださ い イベントに 関 連 するユーザー イベント ビューアの ユーザー に 対 応 していま <regular expression> は 含 める (whitelist 属 性 と 緒 に 使 ) または 除 外 する (blacklist 属 性 と 緒 に 使 ) フィル タを 表 す 有 効 な 正 規 表 現 で 正 規 表 現 の 詳 細 と 使 法 については Regularexpressions.info ( Web サイトを 参 照 してください 単 のエントリ に 複 数 の 正 規 表 現 を 指 定 することができまそうした 場 合 それらの 式 は 論 理 的 に 連 結 され まつまり その のすべての 式 を 満 たすイベントのみが 含 める/ 除 外 の 対 象 となりま 例 : 64
65 whitelist = EventCode="^1([0-5])$" Message="^Error" この 場 合 EventCode が で 単 語 Error を 含 む Message があるイベントが 含 められま 各 スタンザには 最 で 10 件 の 個 別 のホワイトリストまたはブラックリストエントリを 指 定 することができま そのためには 個 別 の の whitelist または blacklist エントリに 数 字 を 付 けま whitelist = key=<regular expression> whitelist1 = key=<regular expression> key2=<regular expression 2> whitelist2 = key=<regular expression> 注 意 : 同 じキーを 参 照 する 複 数 の 式 を 持 つエントリを 指 定 することはできません たとえば 以 下 のように 指 定 すると: whitelist = EventCode="^1([0-5])$" EventCode="^2([0-5])$" 最 初 の 式 は 無 視 されて 2 番 の 式 に 致 するイベントのみが 含 められまこの 場 合 EventCode が の イベントのみが 致 しまEventCode が のイベントは 致 にはなりません エントリの 最 後 の 式 のみが 照 合 されま この 問 題 に 対 処 するには スタンザ 内 に 2 つの 個 別 のエントリを 指 定 しま whitelist = EventCode="^1([0-5])$" whitelist1 = EventCode="^2([0-5])$" ファイルシステム 変 更 の 監 視 連 のファイル/ディレクトリに 対 するファイルシステムの 変 更 をモニターするには: 1.MS Technet の セキュリティ イベントの 監 査 の 操 作 法 ( を 参 考 に セキュリティを 有 効 にしま 重 要 :この 作 業 を うには 管 理 者 権 限 が 必 要 で 2.セキュリティイベントログチャネルをモニターするように イベントログモニター を 設 定 しま 注 意 :イベントログモニター の 設 定 法 については このマニュアルの Windows イベントログデータの モニター を 参 照 してください 例 ファイルシステム 変 更 をモニターするための inputs.conf スタンザの 例 を 以 下 に しま このスタンザは イベント ID コードが および のセキュリティイベントを 収 集 しま [WinEventLog:Security] disabled = 0 start_from = oldest current_only = 0 evt_resolve_ad_obj = 1 checkpointinterval = 5 # only index events with these event IDs. whitelist = , # exclude these event IDs from being indexed. blacklist = このスタンザは イベント ID コードが および のセキュリティイベントを 収 集 しま また 特 定 のイベント ID のメッセージテキストを 抑 制 しま [WinEventLog:Security] disabled = 0 start_from = oldest current_only = 0 evt_resolve_ad_obj = 1 checkpointinterval = 5 # suppress message text, we only want the event number. suppress_text = 1 # only index events with these event IDs. whitelist = , # exclude these event IDs from being indexed. blacklist =
66 WMI ベースのデータのモニター Splunk Enterprise では リモートマシン 上 のパフォーマンスおよびイベントログデータにエージェントレスでア クセスするために WMI を 使 することができまこのことは 環 境 内 のすべての Windows マシンに 何 もイ ンストールすることなく それらのマシンからイベント ログを 収 集 できることを 意 味 していま 重 要 : 可 能 な 場 合 は WMI ではなく ユニバーサル フォワーダーを 使 ってリモート マシンからデータを 収 集 し てください 多 くの 場 合 WMI のリソース 負 荷 は ユニバーサルフォワーダーよりも くなりま 特 に 各 ホス トから 複 数 のイベント ログやパフォーマンス カウンタを 収 集 する 場 合 またはドメイン コントローラのよう な 処 理 負 荷 が きなホストに 対 しては フォワーダーを 使 してください このマニュアルの リモート Windows データのモニター 法 決 定 の 検 討 事 項 を 参 照 してください WMI ベースのデータ は 複 数 の WMI プロバイダに 接 続 できま は splunk-wmi.exe と 呼 ばれる 別 個 の プロセスとして 実 されまこれはスクリプト で WMI ベースのデータのモニターに 何 が 必 要 か? WMI ベースのデータをモニターするための 最 低 の 基 本 要 件 を 以 下 に しまモニターするログやパフォーマ ンスカウンタによっては 他 のアクセス 許 可 が 必 要 になることもありま WMI ベースのデータのモニターに 必 要 な 事 項 については このトピック 後 半 の セキュリティとリモート アク セスの 検 討 事 項 を 参 照 してください アクティビティ: 必 要 なアクセス 許 可 : WMI 経 由 のリモートイベントロ グのモニター WMI 経 由 のリモートパフォーマ ンスモニターカウンタのモニ ター セキュリティとリモートアクセスの 検 討 事 項 * Splunk Enterprise は Windows 上 で 実 する 必 要 がありま * Splunk Enterprise は 最 低 でも WMI への 読 み 取 りアクセスを 持 つドメイ ンユーザーとして 実 する 必 要 がありま * Splunk Enterprise は 的 のイベントログへの 適 切 なアクセス 権 を 持 つ ドメインユーザーとして 実 する 必 要 がありま * Splunk Enterprise は Windows 上 で 実 する 必 要 がありま * Splunk Enterprise は 最 低 でも WMI への 読 み 取 りアクセスを 持 つドメイ ンユーザーとして 実 する 必 要 がありま * Splunk Enterprise は パフォーマンスデータヘルパーライブラリへの 適 切 なアクセス 権 を 持 つ ドメインユーザーとして 実 する 必 要 がありま Splunk Enterprise と Windows ネットワークを WMI データにアクセスするために 正 しく 設 定 する 必 要 があり まSplunk Enterprise を 使 って WMI データの 収 集 を 試 みる 前 に 以 下 の 前 提 条 件 を 確 認 してください Splunk Enterprise が WMI ベースのデータを 取 得 する 前 に: リモートネットワーク 接 続 を 実 施 するアクセス 許 可 を 持 つユーザーとしてインストールする 必 要 がありま Splunk Enterprise を 実 するユーザーは Active Directory ドメイン/フォレストのメンバーで WMI プ ロバイダにクエリーするための 適 切 な 権 限 を 持 っている 必 要 がありま また Splunk Enterprise ユーザーは Splunk Enterprise を 実 するコンピュータのローカル Administrators グループのメンバーでなければなりません Splunk Enterprise を 実 するコンピュータは リモートマシンに 接 続 でき また 接 続 後 にはリモートマシ ンから 的 のデータを 取 得 するための アクセス 許 可 を 保 有 している 必 要 がありま Splunk Enterprise インスタンスと ターゲット マシンの 両 が 同 じ Active Directory ドメイン/フォ レストに 存 在 している 必 要 がありま Splunk ユーザーは Domain Admins グループのメンバーになる 必 要 はありません (セキュリティ 上 の 理 由 から そうしないでください) ただし Splunk ユーザーのアクセスを 設 定 するには ドメイン 管 理 者 権 限 が 必 要 になり まドメイン 管 理 者 権 限 がない 場 合 は 他 の 適 切 な 権 限 を 持 っているユーザーに Splunk ユーザー アクセス の 設 定 または 分 へのドメイン 管 理 者 権 限 の 割 り 当 てを 依 頼 してください 注 意 :Splunk Enterprise を Local System ユーザーとしてインストールした 場 合 WMI 経 由 のリモート 認 証 は 機 能 しません Local System ユーザーには ネットワーク 上 の 他 のマシンに 対 するアクセス 権 がありません マ シンの Local System アカウントに 他 のマシンにアクセスするための 権 限 を 与 えることはできません Splunk ユーザーに WMI プロバイダへのアクセス 権 を 割 り 当 てるには 以 下 のいずれかの 作 業 を いま ユーザーを ポーリングを う 各 メンバーサーバーの ローカル Administrators グループに 追 加 する (セ キュリティ 上 の 理 由 からお 勧 めできません) Domain Admins グローバルグループに 追 加 する (セキュリティ 上 の 理 由 からお 勧 めできません) 後 述 するように 必 要 最 低 限 の 権 限 のみを 割 り 当 てる ( 推 奨 ) グループメンバーシップとリソースアクセス 制 御 リスト (ACL) に 関 する 重 要 な 注 意 事 項 セキュリティ 整 合 性 を 維 持 するためには Splunk ユーザーをドメイン グローバル グループに 配 置 して ユー ザーに 直 接 アクセス 許 可 を 割 り 当 てる 代 わりに そのグループに Windows マシンのアクセス 許 可 とリソース ACL を 割 り 当 てまユーザーに 直 接 アクセス 許 可 を 割 り 当 てるとセキュリティリスクが じてしまい セキュ リティ 監 査 時 や 将 来 の 変 更 により 問 題 が 発 する 可 能 性 がありま 必 要 最 低 限 のアクセスを 与 えるための WMI の 設 定 Splunk Enterprise を 実 するユーザーがドメイン 管 理 者 でない 場 合 そのユーザーにアクセス 権 を 提 供 するよう 66
67 に WMI を 設 定 する 必 要 がありまWMI も 含 めてすべての Windows リソースに 対 する 必 要 最 低 限 のアクセ ス 権 のみを 与 えるようにしてください このようなアクセス 権 を 与 えるために 以 下 のチェックリストに 従 ってく ださい その 他 の 情 報 と 作 業 順 については インストール マニュアル の Splunk Enterprise インストー ル の Windows ネットワークの 準 備 を 参 照 してください WMI 経 由 でデータを 収 集 するためには Splunk Enterprise を 動 作 させるユーザーに 最 低 限 必 要 な 権 限 を 与 える 法 で 各 レベルのアクセス 権 を 割 り 当 てる 必 要 がありま 1.ローカルセキュリティポリシーアクセス 許 可 Splunk ユーザー 向 けに WMI ベースのデータをポーリング する 各 マシン 上 で 以 下 のローカルセキュリティポリシーの ユーザー 権 利 の 割 り 当 てを 定 義 する 必 要 がありま ネットワーク 経 由 でコンピュータへアクセス オペレーティング システムの 部 として 機 能 バッチジョブとしてログオン サービスとしてログオン システム パフォーマンスのプロファイル プロセスレベルトークンの 置 き 換 え 注 意 :これらのユーザー 権 利 の 割 り 当 てをドメイン 全 体 にデプロイするには ドメイン セキュリティ ポリ シー (dompol.msc) Microsoft 管 理 コンソール (MMC) スナップインを 使 しまデプロイが 完 了 すると それら の 権 利 割 り 当 ては 次 回 の Active Directory レプリケーション サイクル 時 に ネットワーク 上 のメンバー サー バーに 継 承 されま 変 更 内 容 を 反 映 するには それらのマシン 上 で Splunk Enterprise インスタンスを 再 起 動 する 必 要 がありま このアクセスをドメインコントローラにまで 拡 張 するには ドメインコントローラセキュリティポリシー (dcpol.msc) スナップインを 使 って 権 限 を 割 り 当 てま 2.Distributed Component Object Model (DCOM) の 設 定 とアクセス 許 可 モニターする 各 マシン 上 で DCOM を 有 効 にする 必 要 がありままた Splunk Enterprise ユーザーには DCOM にアクセスするた めのアクセス 許 可 を 割 り 当 てる 必 要 がありまそのためにはさまざまな 法 がありますが Distributed COM Users ドメイン グローバル グループを モニターする 各 マシン 上 の Distributed COM Users ロー カル グループに れ して 次 に Splunk ユーザーを Distributed COM Users ドメイン グローバル グ ループに 追 加 することをお 勧 めしまSplunk Enterprise ユーザーに DCOM へのアクセス 権 を 与 えるための 度 なオプションについては MSDN の Securing a Remote WMI Connection ( を 参 照 してください 3.パフォーマンスモニターの 設 定 とアクセス 許 可 WMI 経 由 でリモート パフォーマンス オブジェクトにア クセスするには Splunk Enterprise ユーザーが Performance Log Users ローカル グループのメンバーでな ければなりません このためには Performance Log Users ドメイン グローバル グループを 各 メン バー サーバーの Performance Log Users ローカル グループに れ して 次 にユーザーをグローバル グループに 割 り 当 てることをお 勧 めしま 4.WMI 名 前 空 間 のセキュリティ Splunk Enterprise がアクセスする WMI 名 前 空 間 ( 般 的 には Root\CIMV2) には 適 切 なアクセス 許 可 セットが 必 要 でグローバル WMI セキュリティは 存 在 しないため 企 業 内 の 各 サー バーに 以 下 のアクセス 許 可 を 設 定 する 必 要 がありまSplunk ユーザーの Root 名 前 空 間 で 各 ホストに 対 して WMI ツリー 上 で 以 下 のアクセス 許 可 を 有 効 にするには WMI セキュリティ MMC スナップイン (wmimgmt.msc) を 使 しま メソッドの 実 アカウントの 有 効 化 リモートの 有 効 化 セキュリティの 読 み 取 り これらの 権 限 は Root 名 前 空 間 とその 下 のすべてのサブ 名 前 空 間 に 割 り 当 てる 必 要 がありま 詳 細 は Microsoft サポート 技 術 情 報 の 記 事 [HOWTO] Windows Server 2003 で WMI 名 前 空 間 のセキュリティを 設 定 する 法 ( を 参 照 してください 重 要 :グループポリシーを 使 って 複 数 のリモートマシンに WMI セキュリティ 設 定 を 度 にデプロイするため の 標 準 機 能 はありません ただし MSDN ブログの Set WMI namespace security via GPO ( に は グループ ポリシー オブジェクト (GPO) 内 に 配 置 できる 起 動 スクリプトの 作 成 法 の 説 明 が 記 載 されてい まGPO が 的 のホストに 適 されると このスクリプトが 名 前 空 間 のセキュリティを 設 定 しま 次 に GPO をドメイン 全 体 または 1 つまたは 複 数 の 組 織 単 位 (OU) にデプロイすることができま 5.ファイアウォールの 設 定 ファイアウォールを 有 効 にしている 場 合 WMI へのアクセスを 許 可 するように 設 定 する 必 要 がありま 最 新 版 の Windows に 同 梱 されている Windows ファイアウォールを 使 する 場 合 は 例 外 リストに WMI が 明 的 に 含 まれまこの 例 外 は 発 信 元 とターゲットの 両 のマシンに 設 定 する 必 要 があり ま 詳 細 は MSDN の Connecting to WMI Remotely Starting with Vista ( を 参 照 してください 6.ユーザーアクセス 制 御 (UAC) の 設 定 Windows Vista Windows 7 Windows 8.1 または Windows Server 2003/2008/2012 のファミリーを 使 している 場 合 UAC が Windows によるアクセス 許 可 の 割 り 当 て 法 に 影 響 してきまMSDN の User Account Control and WMI ( を 参 照 してください WMI プロバイダへのテストアクセス WMI を 設 定 して Splunk ユーザーのドメインへのアクセスを 設 定 したら リモート マシンへのアクセスをテ ストしま 重 要 : 重 要 :この 順 には 時 的 に Splunk Enterprise のデータ 保 管 ディレクトリ (SPLUNK_DB が 指 している 場 所 ) を 変 更 する 作 業 が 含 まれていまこの 作 業 は WMI にアクセスする 前 に う 必 要 がありまそうしないと WMI イベントが 失 われる 可 能 性 がありまこれは splunk-wmi.exe プロセスが 実 時 には 毎 回 WMI チェックポ 67
68 イントファイルを 更 新 するためで WMI プロバイダにテストアクセスするには: 1. Splunk ユーザーとして Splunk Enterprise を 実 するマシンにログインしま 注 意 :ドメインコントローラにログインする 場 合 ドメインコントローラのセキュリティポリシーを 編 集 して そのユーザーに ローカル ログオンを 許 可 する ポリシーを 割 り 当 てなければならないことがありま 2.コマンドプロンプトを 開 きます ([スタート] -> [ファイル 名 を 指 定 して 実 ] をクリックして cmd と す る) 3.Splunk Enterprise インストールディレクトリ ( 例 :cd c:\program Files\Splunk\bin) 下 の bin サブディレクトリ に 移 動 しま 4.Splunk Enterprise が 現 在 データを 格 納 している 場 所 を 確 認 しま > splunk show datastore-dir 注 意 :この 作 業 を うには Splunk Enterprise インスタンスの 認 証 を 受 ける 必 要 がありま 確 認 した Splunk Enterprise のデータ 保 管 場 所 は 忘 れないように 記 録 してください 後 ほどの 作 業 で 必 要 になりま 5. 以 下 のコマンドを 実 して 時 的 に Splunk Enterprise データ 保 管 ディレクトリを 変 更 しま > splunk set datastore-dir %TEMP% 注 意 :この 例 では データ 保 管 ディレクトリを 現 在 TEMP 環 境 変 数 に 指 定 されているディレクトリに 変 更 しま 別 のディレクトリを 指 定 することもできますが そのディレクトリはすでに 存 在 している 必 要 がありま 6.Splunk Enterprise を 再 起 動 しま > splunk restart 注 意 :Splunk Enterprise の 再 起 動 には 少 し 時 間 がかかることもありまこれは ステップ 5 で 指 定 した 新 しいデータ ストアが 作 成 されるためで 7.Splunk Enterprise を 再 起 動 したら WMI プロバイダへのアクセスをテストしまここで <server> は リ モート サーバー 名 に 置 き 換 えてください > splunk cmd splunk-wmi -wql "select * from win32_service" -namespace \\<server>\root\cimv2 8.データがストリーム 配 信 され エラーメッセージが 何 も 表 されなければ Splunk Enterprise が WMI プロバ イダに 接 続 できて クエリーが 成 功 していま 9.エラーがあった 場 合 は エラーの 理 由 を すメッセージが 表 されま 出 の error="<msg>" 字 列 を 参 考 に 問 題 解 決 の がかりを 探 してください WMI アクセスをテストしたら 以 下 のコマンドを 実 してデータベースディレクトリを 元 の 場 所 に 戻 してから Splunk Enterprise を 再 起 動 しま > splunk set datastore-dir <directory shown from Step 4> WMI ベースの の 設 定 Windows 上 で Splunk Enterprise が うすべてのリモートデータ 収 集 作 業 は WMI プロバイダまたはフォワー ダーを 介 して われまこのマニュアルの リモート Windows データのモニター 法 決 定 の 検 討 事 項 を 参 照 してください Splunk Web を 使 って または 設 定 ファイルを 編 集 して WMI ベースの を 設 定 することができま 設 定 ファイルを 使 する 場 合 は より 多 くのオプションを 利 することができま Splunk Web を 使 った WMI ベースの の 設 定 WMI ベースの を 追 加 するには このマニュアルの 適 切 なトピックを 参 照 してください Splunk Web を 使 ったリモート Windows パフォーマンスモニタリングの 設 定 リモート Windows イベントログのモニタリングの 設 定 設 定 ファイルを 使 った WMI ベースの の 設 定 wmi.conf は リモートデータ 収 集 の 設 定 を 担 当 していまWMI ベースの のデフォルト 値 は このファイ ルを 参 照 してください デフォルト 値 を 変 更 する 場 合 は %SPLUNK_HOME%\etc\system\local\ 内 の wmi.conf のコピーを 編 集 してください 特 定 のタイプのデータ の 変 更 が 必 要 な 属 性 にのみ 値 を 設 定 してください 管 理 マニュ アル の 設 定 ファイルについて を 参 照 してください wmi.conf には さまざまなスタンザが 存 在 していま [settings] スタンザは グローバル WMI パラメータを 指 定 しま 1 つまたは 複 数 の 固 有 のスタンザは WMI プロバイダに 接 続 して リモートマシンからデータを 収 集 す るための 法 を 定 義 していま 68
69 グローバル 設 定 [settings] スタンザは グローバル WMI パラメータを 指 定 しまスタンザ 全 体 およびその 中 の 各 パラメータ は すべてオプションで 省 略 することができまこのスタンザがない 場 合 Splunk Enterprise はデフォルト 値 を 仮 定 しま Splunk Enterprise が 定 義 されている WMI プロバイダに 接 続 できない 場 合 splunkd.log にエラーが 記 録 されま :39: ERROR ExecProcessor - message from ""C:\Program Files\Splunk\bin\splunk-wmi.exe"" WMI - Unable to connect to WMI namespace "\\w2k3m1\root\cimv2" (attempt to connect took seconds) (error="the RPC server is unavailable." HRESULT=800706BA) 以 下 の 属 性 はエラー 発 時 に 指 定 されている WMI プロバイダに Splunk Enterprise が 再 接 続 する 法 を 定 義 しま 属 性 initial_backoff max_backoff max_retries_at_max_backoff checkpoint_sync_interval 固 有 の 設 定 説 明 初 めてのエラー 発 後 に WMI プロバイダへの 再 接 続 を 試 みるまでに 待 機 す る 時 間 を 秒 で 指 定 しま 引 き 続 き 接 続 エラーが 発 する 場 合 は max_backoff に 指 定 されている 値 に 達 するまで 待 機 時 間 を 2 倍 に 増 やしながら 再 試 し ま max_retries_at_max_backoff を 発 するまでに 各 接 続 試 間 に 待 機 する 最 秒 数 を 指 定 しま 接 続 試 間 の 待 機 時 間 が max_backoff に 達 した 場 合 に max_backoff 秒 間 隔 でさ らに 再 試 する 回 数 を 指 定 しまこれらの 接 続 試 を った 後 もエラーが 発 する 場 合 は 接 続 が 断 念 されまSplunk Enterprise を 再 起 動 しない 限 り 問 題 のあるプロバイダへの 接 続 は 試 みられません ただし 上 記 の 例 のよ うに エラーの 記 録 は 継 続 されま 状 態 データ (イベントログチェックポイント) をディスクに 書 き 込 むまでに 待 機 する 秒 数 を 指 定 しま デ フォ ルト 値 固 有 のスタンザは WMI プロバイダへの 接 続 法 を Splunk Enterprise に 指 していまこれは Splunk Enterprise が 収 集 するデータのタイプを す 2 種 類 のいずれかの 属 性 で 定 義 しま 任 意 のスタンザ 名 を 使 できますが 通 常 は WMI: から 始 まる 名 前 を 指 定 しま 例 : [WMI:AppAndSys] Splunk Web で WMI ベースの を 設 定 する 場 合 Splunk Enterprise はこの 命 名 規 則 で 固 有 のスタンザの 出 しを 定 義 しま 固 有 のスタンザには 2 種 類 の 中 のいずれかのデータ タイプを 指 定 できま イベントログ: event_log_file 属 性 は スタンザ 内 に 定 義 されているソースからイベントログデータを 収 集 することを しま Windows Query Language (WQL): wql 属 性 は WMI プロバイダからデータを 収 集 する 予 定 であるこ とを しまこの 属 性 を 使 する 場 合 は 有 効 な WQL ステートメントも 指 定 する 必 要 がありまパ フォーマンスデータを 収 集 する 場 合 は この 属 性 を 使 する 必 要 がありま 警 告 :1 つのスタンザに これらの 両 の 属 性 は 定 義 しないでください どちらか 1 つのみを 使 してくださ い そうしないと スタンザが 定 義 する は 機 能 しません 両 のタイプの に 共 通 のパラメータを 以 下 に しま 属 性 説 明 server データを 取 得 するサーバーのカンマ 区 切 りリスト このパラメータを 指 定 しない 場 合 Splunk Enterprise はローカルマシンへの 接 続 を 仮 定 しま interval disabled 新 しいデータのポーリングを う 頻 度 を 秒 で 指 定 しまこの 属 性 が 指 定 されていない 場 合 スタンザが 定 義 している は 機 能 しません が 有 効 か 無 効 かを しま を 無 効 にするには 1 を 有 効 にするには 0 を 設 定 し ま デフォル ト 値 ローカル サーバー N/A 0 ( 有 効 ) イベントログ 固 有 のパラメータを 以 下 に しま 属 性 説 明 event_log_file モニターするイベントログチャネルのカンマ 区 切 りリスト N/A current_only 稼 働 中 に 発 したイベントのみを 収 集 するかどうかを しまSplunk 0 (す 69 デ フォ ルト 値
70 current_only disable_hostname_normalization Enterprise が 停 中 にイベントが 成 された 場 合 その 後 の 再 起 動 時 に それらのイベントのインデックス 作 成 は われません 1 を 設 定 する と Splunk Enterprise は 稼 働 中 に 発 したイベントのみを 収 集 しま 0 を 設 定 すると Splunk Enterprise はすべてのイベントを 収 集 し ま WMI イベントから 取 得 したホスト 名 を 正 規 化 しないことを しま デフォルトでは Splunk Enterprise はホスト 名 を 正 規 化 しま 正 規 化 により ローカルシステムの 各 種 同 等 ホスト 名 が 判 別 され 単 のホ スト 名 が 成 されまイベント 内 のホスト 名 の 正 規 化 を 無 効 にするに は このパラメータに 1 を 設 定 しま0 を 設 定 すると イベント 内 の ホスト 名 が 正 規 化 されま べての イベン トを 収 集 ) 0 (WMI イベン トのホ スト 名 を 正 規 化 す る) WQL 固 有 のパラメータ 名 を 以 下 に しま 属 性 説 明 wql 有 効 な WQL ステートメント N/A デフォルト 値 namespace current_only (オプション) WMI プロバイダへのパスを 指 定 しまローカルマシンは 代 理 認 証 を 使 ってリモートマシンに 接 続 できなければなりません リモートマシ ンへのパスを 指 定 しない 場 合 Splunk Enterprise はデフォルトのローカル 名 前 空 間 (\Root\CIMV2) に 接 続 しまデフォルトの 名 前 空 間 は クエリーする 可 能 性 がある 半 のプロバイダが 常 駐 している 場 所 でMicrosoft は Windows XP 以 降 の 名 前 空 間 の 覧 を 提 供 しています ( イベント 通 知 クエリーを 想 定 しているかどうかを しま 詳 細 は WQL クエリ:イベント 通 知 と 標 準 を 参 照 してください イベント 通 知 クエリーを 想 定 している 場 合 は 1 を 標 準 クエリーを 想 定 している 場 合 は 0 を 設 定 しま \\<local server>\root\cimv2 0 ( 標 準 クエリー を 想 定 ) WQL クエリータイプ:イベント 通 知 と 標 準 WQL スタンザ 内 の current_only 属 性 は スタンザが WMI ベースのデータの 収 集 に 使 するクエリーのタイプを 決 定 しまこの 属 性 に 1 を 設 定 すると イベント 通 知 データを 予 期 しまイベント 通 知 データは 着 信 イベ ントを 知 らせるデータでイベント 通 知 データを 取 得 するには イベント 通 知 クエリーを 使 する 必 要 がありま たとえば リモート サーバーがプロセスを 成 する 時 期 を 知 りたい 場 合 は イベント 通 知 クエリーを 使 する 必 要 がありま 標 準 クエリーには イベント 発 時 に 通 知 する 機 能 はありません すでに 存 在 している 結 果 情 報 の みを 返 しま 逆 に システム 上 ですでに 実 されているプロセスの 中 で splunk で 始 まるものを 知 りたい 場 合 は 標 準 クエ リーを 使 する 必 要 がありまイベント 通 知 クエリーは 静 的 な 既 存 の 情 報 を 知 らせることはできません イベント 通 知 クエリーの 場 合 スタンザに 定 義 されている WQL ステートメントが 構 造 的 および 構 的 に 正 しく なければなりません 不 適 切 に WQL が 定 義 されていると そのスタンザが 定 義 している は 機 能 しません 詳 細 と 例 については wmi.conf 設 定 ファイルを 参 照 してください WQL クエリースタンザが WMI チェックポイントファイルを 更 新 しない WQL クエリー スタンザを 使 って WMI 経 由 でデータを 収 集 する 場 合 WMI チェックポイント ファイル (WMI データのインデックスがすでに 作 成 されたかどうかを 判 断 するためのファイル) は 更 新 されません これは 設 計 上 の 仕 様 でWQL クエリーは 動 的 データを 返 すため 成 されたデータの 保 存 チェックポイントを 作 成 できな いためでつまり WQL クエリースタンザ 経 由 で 収 集 された WMI データは スタンザの 処 理 時 に 毎 回 新 規 データとしてインデックスが 作 成 されまそのため 重 複 するイベントのインデックスが 作 成 され ライセンスボ リュームに 影 響 が 出 る 可 能 性 もありま イベントログなどのように 定 期 的 にデータのインデックスを 作 成 する 必 要 がある 場 合 は ユニバーサルフォワー ダー 上 で 適 切 なモニターを 使 してください WMI を 使 する 必 要 がある 場 合 WQL は 使 しないでくださ い wmi.conf の 例 wmi.conf ファイルの 例 を 以 下 に しま [settings] initial_backoff = 5 max_backoff = 20 max_retries_at_max_backoff = 2 checkpoint_sync_interval = 2 [WMI:AppAndSys] server = foo, bar interval = 10 event_log_file = Application, System, Directory Service 70
71 disabled = 0 [WMI:LocalSplunkWmiProcess] interval = 5 wql = select * from Win32_PerfFormattedData_PerfProc_Process where Name = "splunk-wmi" disabled = 0 # Listen from three event log channels, capturing log events that occur only # while Splunk Enterprise runs. Gather data from three machines. [WMI:TailApplicationLogs] interval = 10 event_log_file = Application, Security, System server = srv1, srv2, srv3 disabled = 0 current_only = 1 # Listen for process-creation events on a remote machine [WMI:ProcessCreation] interval = 1 server = remote-machine wql = select * from InstanceCreationEvent within 1 where TargetInstance isa 'Win32_Process' disabled = 0 current_only = 1 # Receive events whenever someone plugs/unplugs a USB device to/from the computer [WMI:USBChanges] interval = 1 wql = select * from InstanceOperationEvent within 1 where TargetInstance ISA 'Win32_PnPEntity' and TargetInstance.Description='USB Mass Storage Device' disabled = 0 current_only = 1 WMI データのフィールド Splunk Enterprise が WMI ベース からのデータのインデックスを 作 成 する 場 合 受 信 したイベントのソー スには wmi が 設 定 されま 着 信 イベントのソースタイプは 以 下 の 条 件 に 基 づいて 設 定 されま イベントログデータの 場 合 Splunk Enterprise はソースタイプに WinEventLog:<name of log file> を 設 定 し ま 例 :WinEventLog:Application WQL データの 場 合 Splunk Enterprise はソースタイプに を 定 義 しているスタンザ 名 を 設 定 しま たとえば スタンザ 名 が [WMI:LocalSplunkdProcess] の 場 合 ソースタイプには WMI:LocalSplunkdProcess が 設 定 されま 送 信 元 ホストは 受 信 データから 動 的 に 定 義 されま WMI およびイベント 変 換 インデックス 時 には WMI イベントの 変 換 は 利 できません つまり インデックス 作 成 時 に WMI イベント を 変 更 または 抽 出 することはできません これは WMI イベントは 単 のソース (スクリプト ) として 到 着 し 単 のソースとしてしか 照 合 できないためで ただし サーチ 時 には WMI イベントの 変 更 や 抽 出 を えままた ソースタイプ [wmi] を 指 定 することで パーシング 時 に WMI ベースの を 処 理 することもできま Splunk Enterprise に 取 り 込 まれたイベントの 変 換 法 の 詳 細 は このマニュアルの インデックス 作 成 した フィールドの 抽 出 について を 参 照 してください WMI のトラブルシューティング WMI プロバイダ 経 由 のイベント 受 信 に 問 題 が 発 した または 想 定 する 結 果 が 得 られない 場 合 は Troubleshooting Manual の Common Issues with Splunk and WMI を 参 照 してください Windows レジストリデータのモニター Windows レジストリは Windows マシンの 集 中 設 定 データベースでほぼすべての Windows プロセスと サードパーティ 製 プログラムがやり 取 りを っていま 正 常 なレジストリがないと Windows は 実 しませ ん Splunk Enterprise では Windows レジストリ 設 定 を 捕 捉 して リアルタイムにレジストリへの 変 更 をモニ ターすることができま プログラムが 設 定 を 変 更 する 場 合 それらの 変 更 をレジストリに 書 き 込 みま 後 ほどプログラムを 再 び 実 する と プログラムはレジストリからそれらの 設 定 を 探 しまWindows プログラムがシステムにレジストリエント リを 追 加 更 新 削 除 する 時 期 を 知 ることができまレジストリエントリが 変 更 されると Splunk Enterprise は 変 更 を ったプロセス 名 および 変 更 されたエントリへのパス 全 体 を 取 得 しま Windows レジストリ モニターは splunk-regmon.exe と 呼 ばれるプロセスとして 実 されま 71
72 レジストリのモニター 理 由 レジストリはおそらくもっとも 使 されているけれども ほとんど 理 解 されていない Windows 運 コンポーネン トでレジストリは 常 時 使 されており さまざまなプログラムがレジストリを 読 み 書 きしていま 何 かが 正 常 に 動 作 しない 場 合 Microsoft はしばしば 管 理 者 やユーザーに RegEdit ツールを 使 って 直 接 レジストリを 変 更 することを 指 していまこれらの 編 集 作 業 や 他 の 変 更 をリアルタイムに 捕 捉 することは レジストリの 重 要 性 を 理 解 するための 最 初 のステップになりま レジストリのヘルス 状 態 を 理 解 することも 常 に 重 要 でSplunk Enterprise はレジストリの 変 更 を 知 らせるだ けでなく それらの 変 更 が 成 功 したかどうかも 確 認 することができまプログラムやプロセスがレジストリを 読 み 書 きできない 場 合 Windows システムに 障 害 などの 不 具 合 が じる 可 能 性 がありまSplunk Enterprise は レジストリ 操 作 に 関 する 問 題 のアラートを 成 できるため バックアップから 設 定 を 復 元 してシステムの 正 常 動 作 を 維 持 できま レジストリのモニターに 何 が 必 要 か? レジストリのモニターに 必 要 な 明 的 なアクセス 許 可 の 覧 を 以 下 の 表 に しまモニターするレジストリ キーに 基 づいて 他 のアクセス 許 可 が 必 要 な 場 合 もありま アクティビ ティ: レジストリの モニター 必 要 なアクセス 許 可 : * Splunk Enterprise は Windows 上 で 実 する 必 要 がありま および * Splunk Enterprise は Local System ユーザーとして 実 するか または * Splunk Enterprise をモニターするレジストリハイブまたはキーへの 読 み 取 りアクセスを 持 つ ドメインユーザーとして 実 する 必 要 がありま パフォーマンスの 検 討 事 項 レジストリのモニターを 有 効 にする 場 合 ユーザー ハイブ (RegEdit の HKEY_USERS) または マシン ハイブ (HKEY_LOCAL_MACHINE) のどちらのレジストリ ハイブをモニターするのかを 指 定 しまユーザーハイブには Windows やプログラムが 必 要 とするユーザー 固 有 の 設 定 が 含 まれていまマシンハイブには サービス ドラ イバ オブジェクトクラス およびセキュリティ 記 述 の 場 所 などの マシン 固 有 の 設 定 情 報 が 含 まれていま レジストリは Windows マシン 運 の 中 的 な 役 割 を 果 たしているため 両 のレジストリパスを 有 効 にすると Splunk Enterprise は 量 のデータをモニターしなければならない 可 能 性 がありま 最 適 なパフォーマンスを 達 成 するために inputs.conf を 設 定 し Splunk Enterprise がインデックスを 作 成 するレジストリデータ 量 を フィ ルタリングで 制 限 してください 同 様 に 最 初 に Splunk Enterprise を 起 動 する 際 に 現 在 の Windows レジストリの 状 態 のスナップショットと なるベースラインを 取 得 し その 後 も 指 定 時 間 経 過 後 に 再 取 得 していくことができまこのスナップショットに より ある 時 点 でのレジストリの 内 容 と 較 し 時 間 の 経 過 に 伴 うレジストリ 変 更 の 追 跡 を 容 易 にしま スナップショットの 処 理 にはある 程 度 CPU を 消 費 し 処 理 の 完 了 まで 数 分 ほどかかることもありまベースラ イン スナップショットの 取 得 は Splunk Enterprise でモニターするレジストリ エントリの 範 囲 を 絞 り 込 むま で 延 期 することができま inputs.conf の 詳 細 およびそれを 使 った 着 信 レジストリイベントのフィルタリング 法 については 後 述 する 着 信 レジストリイベントのフィルタリング を 参 照 してください Splunk Web でレジストリのモニターを 有 効 にする ローカル Windows マシンでレジストリ モニタリングを 有 効 にするには このマニュアルの Windows レジス トリ - ローカル を 参 照 してください レジストリ 変 更 データの 表 Splunk Enterprise がインデックスを 作 成 したデータのレジストリ 変 更 を 表 するには サーチ App でソースが WinRegistry のイベントをサーチしまユーザーがドメインにログインした 時 に グループ ポリシーが 成 す るイベントの 例 を 以 下 に しま 3:03: PM 06/19/ :03: event_status="(0)the operation completed successfully." pid=340 process_image="c:\windows\system32\winlogon.exe" registry_type="setvalue" key_path="hklm\software\microsoft\windows\currentversion\group Policy\History\DCName" data_type="reg_sz" data="\\ftw.ad.splunk.com" 各 レジストリモニタリングイベントには 以 下 の 項 が 含 まれま 属 性 説 明 レジストリ 変 更 の 試 結 果 これは 常 に (0) The operation completed successfully. でなければ 72
73 event_status pid なりません そうでない 場 合 は バックアップからの 復 元 が 必 要 なレジストリに 関 する 問 題 にな る 可 能 性 がありま レジストリの 変 更 を 試 みたプロセスのプロセス ID process_image レジストリの 変 更 を 試 みたプロセス 名 registry_type key_path data_type data process_image が 実 しようとしたレジストリ 操 作 のタイプ process_image が 変 更 を 試 みたレジストリキーのパス レジストリの 変 更 を う process_image が 取 得 または 設 定 を 試 みた レジストリデータのタイプ レジストリの 変 更 を う process_image が 読 み 取 りまたは 書 き 込 みを 試 みたデータ Splunk Enterprise のサーチコマンドやレポート 機 能 を 使 って 着 信 データに 基 づくレポートを 作 成 したり ア ラート 機 能 を 使 って 何 か 問 題 が 発 した 時 にアラートを 送 信 したりすることができま 着 信 レジストリイベントのフィルタリング Windows レジストリは ほぼ 常 時 利 されるため 量 のイベントを 成 しまそのためライセンス 上 の 問 題 が 発 する 可 能 性 がありまレジストリのモニタリングでは あたり 数 百 メガバイトものデータが 成 される 可 能 性 がありま Splunk の Windows レジストリモニタリング 機 能 は 設 定 ファイル inputs.conf を 使 ってシステムの 何 を 監 視 す るのかを 決 定 しまこのファイルは レジストリモニターを 実 するサーバーの $SPLUNK_HOME\etc\system\local\ に 保 管 する 必 要 がありま inputs.conf には レジストリハイブのパスを 限 定 フィルタリングする 正 規 表 現 を 指 定 して Splunk にモニター させる 項 を 指 しま inputs.conf 内 の 各 スタンザが 特 定 のフィルタを 表 していま 定 義 には 以 下 の 項 が 含 まれま 属 性 説 明 proc モニターするプロセスへのパスを 含 む 正 規 表 現 モニターするエントリへのパスを 含 む 正 規 表 現 Splunk は Windows に 事 前 定 義 されてい る root キー 値 のマッピングをサポートしていま hive \\REGISTRY\\USER\\ は HKEY_USERS または 次 の 項 にマップします: HKU \\REGISTRY\\USER\\_Classes は HKEY_CLASSES_ROOT または 次 の 項 にマップします: HKCR \\REGISTRY\\MACHINE は 次 の 項 にマップします: HKEY_LOCAL_MACHINE or HKLM \\REGISTRY\\MACHINE\\SOFTWARE\\Classes は HKEY_CLASSES_ROOT または 次 の 項 にマップしま す: HKCR \\REGISTRY\\MACHINE\\SYSTEM\\CurrentControlSet\\Hardware Profiles\\Current は HKEY_CURRENT_CONFIG または 次 の 項 にマップします: HKCC 注 意 :Splunk のレジストリモニターはカーネルモードで 実 されるた め HKEY_CURRENT_USER または HKCU に 対 する 直 接 のマッピングはありません ただ し \\REGISTRY\\USER\\.* を 使 すると ( 最 後 のピリオドとアスタリスクに 注 意 してくだ さい) ログインユーザーのセキュリティ ID (SID) を 含 むイベントが 成 されま 代 わりに \\REGISTRY\\USER\\<SID> を 使 って モニターするレジストリキーを 持 つユー ザーを 指 定 することができまここで SID はユーザーの SID で type baseline baseline_interval disabled モニターするイベントタイプのサブセット 1 つまたは 複 数 の delete, set, create, rename, open, close または query を 使 できまここの 値 は sysmon.conf に 設 定 した event_types の 値 のサブセットでなければなりません その 特 定 のハイブパスのベースラインスナップショットを 取 得 するかどうか はいの 場 合 は 1 いいえの 場 合 は 0 を 設 定 しま Splunk Enterprise がここに 指 定 した 時 間 ( 秒 数 ) を 超 えて 停 していた 場 合 に スナップ ショットを 再 取 得 しまデフォルトは 86,400 秒 (1 ) で フィルタを 有 効 にするかどうか フィルタを 無 効 にするには 1 を 有 効 にするには 0 を 設 定 しま ベースラインスナップショットの 取 得 レジストリ モニタリングを 有 効 にした 場 合 次 回 の Splunk Enterprise 起 動 時 にレジストリ ハイブのベース ライン スナップショットを 記 録 することができまデフォルトで スナップショットは HKEY_CURRENT_USER and HKEY_LOCAL_MACHINE ハイブをカバーしていままた デフォルトでス ナップショットを 再 取 得 する 時 期 も 決 定 していま 前 回 のチェックポイントから 24 時 間 を 超 えて Splunk が 停 していた 場 合 ベースライン スナップショットが 再 取 得 されまinputs.conf 内 の 各 フィルタに 対 して こ の 値 をカスタマイズできます (baseline_interval に 値 ( 秒 ) を 設 定 ) Windows パフォーマンスのモニター Splunk Enterprise は すべての Windows パフォーマンス カウンタの リアルタイム モニタリングをサポー 73
74 トしていままた ローカル/リモートの 両 のパフォーマンス データを 収 集 することができま Splunk Enterprise のパフォーマンス モニタリング ユーティリティによる Web インターフェイスでパ フォーマンスをモニターすることができまSplunk Enterprise はパフォーマンスデータヘルパー (PDH) API を 使 って ローカルマシンのパフォーマンスカウンタのクエリーを いま Splunk Enterprise で 利 できるパフォーマンスオブジェクト カウンタ およびインスタンスのタイプは シス テムにインストールされているパフォーマンスライブラリによって 異 なりまMicrosoft とサードパーティベン ダーの 両 が パフォーマンスカウンタを 含 むライブラリを 提 供 していまパフォーマンスモニタリングの 詳 細 は MSDN の Performance Counters ( を 参 照 してください 完 全 版 Splunk Enterprise インスタンスとユニバーサルフォワーダーの 両 が パフォーマンス 測 定 基 準 のロー カル 収 集 をサポートしていまリモート パフォーマンス モニタリングは WMI (Windows Management Instrumentation) を 介 して 実 しまこの 場 合 適 切 な Active Directory 資 格 情 報 を 持 つユーザーとして Splunk Enterprise を 実 する 必 要 がありま パフォーマンスモニター は splunk-perfmon.exe と 呼 ばれるプロセスとして 実 されまこれは 定 義 されて いる 各 に 対 して に 指 定 されている 間 隔 で 1 回 実 されまパフォーマンス モニタリングの 設 定 に は Splunk Web または inputs.conf (ローカル パフォーマンス データ) または wmi.conf (リモート マシンか らのパフォーマンス データ) を 使 しま パフォーマンス 測 定 基 準 のモニター 理 由 パフォーマンスのモニタリングは Windows 管 理 者 にとって 重 要 な 役 割 を 果 たしまWindows は システム のヘルス 状 態 に 関 するさまざまなデータを 成 しまこのデータを 適 切 に 分 析 することが 正 常 で 円 滑 に 動 作 す るシステムと 頻 繁 に 停 するシステムの 違 いを み 出 しま パフォーマンス カウンタのモニターに 何 が 必 要 か? Windows でパフォーマンスカウンタのモニターに 必 要 な アクセス 許 可 の 覧 を 以 下 の 表 に しまモニター するパフォーマンスオブジェクトやカウンタによっては 他 のアクセス 許 可 が 必 要 になることもありま パフォーマンス 測 定 基 準 のモニターに 必 要 な 事 項 については このトピック 後 半 の セキュリティとリモートアク セスの 検 討 事 項 を 参 照 してください アクティビティ: 必 要 なアクセス 許 可 : ローカルパフォーマンス 測 定 基 準 のモニター WMI を 介 した 他 のコンピュー タ 上 のパフォーマンス 測 定 基 準 のリモートモニター セキュリティとリモートアクセスの 検 討 事 項 * Splunk Enterprise は Windows 上 で 実 する 必 要 がありま * Splunk Enterprise は Local System ユーザーとして 実 する 必 要 がありま * Splunk Enterprise は Windows 上 で 実 する 必 要 がありま * Splunk Enterprise は 最 低 でもターゲットコンピュータ 上 の WMI への 読 み 取 りアクセスを 持 つドメインユーザーとして 実 する 必 要 がありま * Splunk Enterprise は ターゲットコンピュータ 上 のパフォーマンスデータ ヘルパーライブラリへの 適 切 なアクセス 権 を 持 つ ドメインまたはリモート ユーザーとして 実 する 必 要 がありま Splunk Enterprise は WMI またはフォワーダーを 使 って リモートマシンからデータを 収 集 しまリモート マシンからインデクサーへのパフォーマンスデータの 送 信 には ユニバーサルフォワーダーを 使 することをお 勧 めしま データの 転 送 マニュアルの ユニバーサル フォワーダーの 紹 介 を 参 照 してください パフォーマンスデータを 収 集 するために リモートマシン 上 にフォワーダーをインストールする 場 合 それらのマ シンにはフォワーダーを Local System ユーザーとしてインストールすることができまLocal System ユー ザーは ローカルマシン 上 のすべてのデータにアクセスできますが リモートコンピュータにアクセスすることは できません WMI を 使 ってリモート マシンからパフォーマンス データを 収 集 する 場 合 Splunk Enterprise とネットワー クの 両 を 設 定 する 必 要 がありまSplunk Enterprise を Local System ユーザーとしてインストールすること はできません また 選 択 したユーザーによって Splunk Enterprise が 参 照 できる 情 報 が 決 まりまこのマ ニュアルの WMI データのモニター にある セキュリティとリモート アクセスの 検 討 事 項 を 参 照 してくだ さい 適 切 なユーザーとして Splunk Enterprise をインストールしたら ローカルパフォーマンスモニター を 有 効 にする 前 に そのユーザーを 以 下 のグループに 追 加 しま Performance Monitor Users (ドメイングループ) Performance Log Users (ドメイングループ) ローカル Windows のパフォーマンスモニタリングを 有 効 にする Splunk Web を 使 って または 設 定 ファイルを 編 集 して ローカルのパフォーマンス モニタリングを 設 定 する ことができま パフォーマンスモニタリングデータ の 追 加 には Splunk Web の 使 をお 勧 めしま 設 定 ファイルを 使 する 場 合 指 定 誤 りが 発 する 可 能 性 がありまパフォーマンス API に 定 義 されている 通 りに 正 確 にパ フォーマンスモニターオブジェクトを 指 定 することが 重 要 で 詳 細 は このトピック 後 半 にある inputs.conf にパフォーマンス モニター オブジェクトを 指 定 する 場 合 の 重 要 な 情 報 を 参 照 してください 74
75 Splunk Web を 使 ったローカル Windows パフォーマンスモニタリングの 設 定 ローカル マシンで Windows パフォーマンス モニタリングを 設 定 するには このマニュアルの Windows パ フォーマンス モニタリング - ローカル を 参 照 してください 設 定 ファイルを 使 ったローカル Windows パフォーマンスモニタリングの 設 定 inputs.conf がパフォーマンスモニタリングの 設 定 を 管 理 していま 設 定 ファイルを 使 ってパフォーマンスモニ タリングを 設 定 する 場 合 %SPLUNK_HOME%\etc\system\local に inputs.conf を 作 成 して それを 編 集 しまSplunk の 設 定 ファイルで 初 めて 作 業 を う 場 合 は 事 前 に 設 定 ファイルについて を 参 照 してください [perfmon://<name>] スタンザは inputs.conf にパフォーマンス モニタリング を 定 義 しまモニターする 各 パフォーマンスオブジェクトに 対 して それぞれ 1 つのスタンザを 定 義 しま 各 スタンザでは 以 下 の 属 性 を 指 定 することができま 属 性 必 須? 説 明 interval はい 新 しいデータのポーリングを う 頻 度 を 秒 で 指 定 しまこの 属 性 が 指 定 定 義 されていない 場 合 デフォルト 値 は 存 在 しないためその は 機 能 しませ ん object はい 収 集 するパフォーマンスオブジェクト 字 字 の 区 別 も 含 めて 正 確 に 既 存 のパフォーマンスモニターオブジェクトの 名 前 を 指 定 するか または 複 数 のオブジェクトを 指 定 するために 正 規 表 現 を 使 しまこの 属 性 が 指 定 定 義 されていない 場 合 デフォルト 値 は 存 在 しないためその は 機 能 しませ ん counters はい object に 指 定 されているオブジェクトに 関 連 する 1 つまたは 複 数 の 有 効 なパ フォーマンスカウンタ 複 数 のカウンタを 指 定 する 場 合 は セミコロンで 区 切 りまobject で 利 できるすべてのカウンタを 指 定 するには アスタリスク (*) を 使 しまこの 属 性 が 指 定 定 義 されていない 場 合 デフォルト 値 は 存 在 しないためその は 機 能 しません instances index disabled samplinginterval いい え いい え いい え いい え counters に 指 定 されているパフォーマンスカウンタに 関 連 する 1 つまたは 複 数 の 有 効 なインスタンス 複 数 のインスタンスを 指 定 する 場 合 は セミコロン で 区 切 りますべてのインスタンスを 指 定 するには アスタリスク (*) を 使 しまスタンザ 内 にこの 属 性 を 定 義 しない 場 合 デフォルトではすべての インスタンスが 対 象 になります (アスタリスク 指 定 と 同 じ) パフォーマンスカウンタデータを 送 るインデックス 指 定 しない 場 合 は default インデックスが 使 されま この に 定 義 されているパフォーマンスデータを 収 集 するかどうか このス タンザを 無 効 にするには 1 を 有 効 にするには 0 を 設 定 しま 指 定 しない 場 合 デフォルトの 0 ( 有 効 ) が 使 されま 詳 細 オプション:Splunk がパフォーマンスデータを 収 集 する 頻 度 (ミリ 秒 ) この 属 性 は 頻 度 のパフォーマンスサンプリングを 有 効 にしま 頻 度 の パフォーマンス サンプリングを 有 効 にすると Splunk Enterprise は 指 定 さ れた 間 隔 でパフォーマンス データを 収 集 し データの 平 均 値 および 他 の 統 計 情 報 をレポートしまデフォルトは 100 ミリ 秒 でまた interval 属 性 に 指 定 した 値 未 満 でなければなりません stats いい え 詳 細 オプション: 頻 度 のパフォーマンスサンプリングで Splunk Enterprise が 報 告 する 統 計 値 のセミコロン 区 切 りリスト 利 可 能 な 値 :average, min, max, dev および count デフォルトの 設 定 はありません ( 無 効 ) mode いい え 詳 細 オプション: 頻 度 のパフォーマンスサンプリングを 有 効 にする 場 合 この 属 性 で Splunk Enterprise によるイベントの 出 法 を 制 御 できま 利 可 能 な 値 :single, multikv, multims および multikvms multims または multikvms を 有 効 にした 場 合 収 集 された 各 パフォーマンス 測 定 基 準 に 対 して 2 つのイベントが 出 されま 最 初 のイベントは 平 均 値 2 番 は 統 計 イベントになりま 統 計 イベントは 使 する 出 モードに 応 じて 特 別 なソースタイプを 保 有 します (multims の 場 合 は perfmonmsstats multikvms の 場 合 は perfmonmkmsstats) 頻 度 のパフォーマンスサンプリングを 有 効 にしない 場 合 multikvms 出 モー ドと multikv 出 モードは 同 じで デフォルトは single で useenglishonly いい え 詳 細 オプション: 詳 細 オプション:ロケールが 英 語 ではないシステム 上 のパフォーマンス 測 定 基 準 の インデックスの 作 成 法 を しま 特 に 英 語 を 使 していない 75
76 サーバー 上 でパフォーマンス 測 定 基 準 のインデックスを 作 成 する 際 に 使 す る Windows パフォーマンス モニター API を していま 真 (True) を 設 定 すると システムのロケールに 関 係 なく 英 語 でパフォーマン ス 測 定 基 準 が 収 集 されまカウンタ 字 列 の 追 加 に は PdhAddEnglishCounter() API が 使 われままた object および counter 属 性 の 正 規 表 現 とワイルドカード 照 合 も 無 効 になりま 偽 (False) を 設 定 した 場 合 システムで 使 されている 語 でパフォーマンス 測 定 基 準 が 収 集 されままた その 語 の object および counter 属 性 が 設 定 されていると 仮 定 されまカウンタ 字 列 の 追 加 には PdhAddCounter() API が 使 われまワイルドカードと 正 規 表 現 を 利 できますが オペレーティン グ システムのロケールに 固 有 の 有 効 な object counters および instances 値 を 指 定 する 必 要 がありま デフォルトは 偽 (False) で システム ロケールに 関 係 なく 英 語 のパフォーマンス 測 定 基 準 を 収 集 Splunk Enterprise が 英 語 以 外 の 語 で 動 作 している 場 合 でも パフォーマンス 測 定 基 準 を 英 語 で 収 集 することが できま そのためには inputs.conf 内 のスタンザで useenglishonly 属 性 を 使 しまSplunk Web で useenglishonly を 設 定 する 法 はありません 注 意 :inputs.conf スタンザで useenglishonly を 使 する 場 合 いくつかの 注 意 事 項 がありまこのトピックの 後 半 にある 注 意 事 項 のセクションを 参 照 してください パフォーマンス モニタリング スタンザの 例 inputs.conf を 使 ったパフォーマンス モニター オブジェクトのモニター 法 を 表 した スタンザの 例 を 以 下 に しま # Query the PhysicalDisk performance object and gather disk access data for # all physical drives installed in the system. Store this data in the # "perfmon" index. # Note: If the interval attribute is set to 0, Splunk resets the interval # to 1. [perfmon://localphysicaldisk] interval = 0 object = PhysicalDisk counters = Disk Bytes/sec; % Disk Read Time; % Disk Write Time; % Disk Time instances = * disabled = 0 index = PerfMon # Gather SQL statistics for all database instances on this SQL server. # 'object' attribute uses a regular expression "\$.*" to specify SQL # statistics for all available databases. [perfmon://sqlserver_sql_statistics] object = MSSQL\$.*:SQL Statistics counters = * instances = * # Gather information on all counters under the "Process" and "Processor" # Perfmon objects. # We use '.*' as a wild card to match the 'Process' and 'Processor' objects. [perfmon://processandprocessor] object = Process.* counters = * instances = * # Collect CPU processor usage metrics in English only on a French system. [perfmon://processor] object = Processor instances = _Total counters = % Processor Time;% User Time useenglishonly = 1 interval = 30 disabled = 0 # Collect CPU processor usage metrics in the French system's native locale. 76
77 # Note that you must specify the counters in the language of that locale. [perfmon://frenchprocs] counters = * disabled = 0 useenglishonly = 0 interval = 30 object = Processeur instances = * inputs.conf にパフォーマンスモニターオブジェクトを 指 定 する 場 合 の 重 要 な 情 報 perfmon キーワードの 指 定 時 にはすべて 字 を 使 する inputs.conf にパフォーマンスモニター を 作 成 する 場 合 perfmon キーワードにはすべて 字 を 使 する 必 要 がありま 以 下 に 例 を しま 正 しい 誤 り [perfmon://cputime] [Perfmon://CPUTime] [PERFMON://CPUTime] キーワードで 字 を 使 または 字 字 を 混 在 すると Splunk Enterprise 起 動 時 にその 問 題 の 警 告 が 表 され 指 定 されているパフォーマンスモニター は 機 能 しません 複 数 のパフォーマンスモニターオブジェクトを 取 得 する 場 合 は 有 効 な 正 規 表 現 を 指 定 する 単 のパフォーマンスモニタースタンザ 内 に 複 数 のオブジェクトを 指 定 する 必 要 がある 場 合 有 効 な 正 規 表 現 を 使 ってそれらのオブジェクトを 取 得 する 必 要 がありまたとえば 定 の 字 数 を 超 える 字 列 と 致 するワイ ルドカードを 指 定 するには * ではなく.* を 使 しまオブジェクトにドル 記 号 または 類 似 の 特 殊 字 が 含 ま れている 場 合 は 円 記 号 (\) またはバックスラッシュを 使 ってエスケープ 処 理 する 必 要 がありま 上 記 の 場 合 を 除 いて 値 はパフォーマンスモニター API に 定 義 されている 通 りに 正 しく 指 定 する 必 要 があります [perfmon://] スタンザに object counters および instances 属 性 の 値 を 指 定 する 場 合 それらの 値 は 字 字 の 区 別 も 含 めてパフォーマンスモニター API に 定 義 されてい 通 りに 正 確 に 指 定 する 必 要 がありまそうしない と 誤 ったデータが 返 されるか またはまったくデータが 返 されないことがありま 指 定 したパフォーマンスオ ブジェクト カウンタ またはインスタンス 値 に 致 する 項 が つからない 場 合 その 旨 が splunkd.log に 記 録 されま 例 : :04: ERROR ExecProcessor - message from ""C:\Program Files\Splunk\bin\splunk-perfmon.exe" - noui" splunk-perfmon - PerfmonHelper::enumObjectByNameEx: PdhEnumObjectItems failed for object - 'USB' with error (0xc0000bb8): The specified object is not found on the system. 正 しくオブジェクト カウンタ およびインスタンスを 指 定 する 最 良 の 法 は Splunk Web を 使 ってパフォー マンスモニターデータ を 追 加 することで WMI を 介 したリモート Windows パフォーマンスのモニタリングを 有 効 にする Splunk Web を 使 って または 設 定 ファイルを 編 集 して リモートのパフォーマンスモニタリングを 設 定 するこ とができま WMI 経 由 でパフォーマンス 測 定 基 準 を 収 集 する 場 合 リモートのパフォーマンス 測 定 基 準 コレクションにアクセ スするための 適 切 な 権 限 を 持 つ Active Directory ユーザーとして Splunk Enterprise を 実 する 必 要 がありま それらの 測 定 基 準 の 収 集 を 試 みる 前 に この 作 業 を 実 施 する 必 要 がありまSplunk を 実 するマシンと Splunk がリモートにパフォーマンスデータを 収 集 するマシンは 同 じ Active Directory ドメイン/フォレスト 内 に 存 在 している 必 要 がありま 注 意 : WMI は 設 計 上 サービス 拒 否 攻 撃 を 防 するために 抑 制 を いまSplunk Enterprise も WMI 呼 び 出 しがエラーを 返 した 場 合 の 予 防 段 として 呼 び 出 し 数 を 減 らしまネットワークのサイズ 設 定 および セキュリティプロファイルによっては パフォーマンス 測 定 基 準 を 収 集 するシステム 上 に ローカルにフォワー ダーをインストールする が 適 していることもありま 詳 細 は このマニュアルの リモート Windows データ のモニター 法 決 定 の 検 討 事 項 を 参 照 してください WMI ベースのパフォーマンス 測 定 基 準 に 関 する 重 要 な 情 報 WMI 経 由 でリモートのパフォーマンス 測 定 基 準 を 収 集 する 場 合 部 の 測 定 基 準 が 0 を 返 す またはパフォーマ ンスモニターが 返 す 値 とは 異 なる 値 が 返 されることがありまこれは パフォーマンスモニターカウンタ の WMI の 実 装 の 制 限 によるもので Splunk Enterprise の 問 題 でも WMI ベースのデータの 取 得 法 の 問 題 でもあ りません WMI は Win32_PerfFormattedData_* クラスを 使 って パフォーマンス 測 定 基 準 を 収 集 しま 特 定 のクラスに 関 す る 情 報 は MSDN の Win32 Classes ( を 参 照 してください WMI は これらのクラス 内 のデータ 構 造 を ご 利 の Windows のバージョンに 応 じて 32 ビットまたは 64 ビットの 符 号 なし 整 数 として 定 義 しま パフォーマンスモニターオブジェクトは 浮 動 数 点 型 変 数 として 定 義 されまこれは WMI ベースの 測 定 基 準 が 丸 められることにより 変 則 的 に えることがあることを 意 味 していま 77
78 たとえば Average Disk Queue Length (ディスクキューの 平 均 の さ) パフォーマンスモニターカウンタ 上 のデータと 同 時 に WMI を 介 して Win32_PerfFormattedData_PerfDisk_PhysicalDisk\AvgDiskQueueLength 測 定 基 準 を 収 集 する 場 合 パフォーマンスモニターの 測 定 基 準 の 値 が 0 より きい (ただし 0.5 未 満 の) 場 合 でも WMI ベース の 測 定 基 準 は 値 として 0 を 返 すことがありまこれは WMI は 表 する 前 に 値 を 丸 めることが 原 因 で よりきめ 細 かなパフォーマンス 測 定 基 準 が 必 要 な 場 合 は パフォーマンスデータを 収 集 する 各 マシン 上 にユニバー サルフォワーダーをインストールして パフォーマンスモニタリング を 設 定 することをお 勧 めしま 次 に そのデータをインデクサーに 転 送 しまこの 法 を 使 って 取 得 したデータは WMI ベースの を 使 ってリ モートに 収 集 したデータよりも 信 頼 性 が くなりま Splunk Web を 使 ったリモート Windows パフォーマンスモニタリングの 設 定 リモート Windows マシンで Windows パフォーマンス モニタリングを 設 定 するには このマニュアルの Windows パフォーマンス モニタリング - リモート を 参 照 してください 設 定 ファイルを 使 ったリモート Windows パフォーマンスモニタリングの 設 定 リモートパフォーマンスモニタリングの 設 定 は wmi.conf で 管 理 しま 設 定 ファイルを 使 ってリモートパ フォーマンスモニタリングを 設 定 する 場 合 %SPLUNK_HOME%\etc\system\local に wmi.conf を 作 成 して それを 編 集 し ま 設 定 ファイルの 作 業 を 初 めて う 場 合 は 事 前 に 設 定 ファイルについて をお 読 みください 警 告 :リモートパフォーマンスモニター を 作 成 する 場 合 Splunk Web を 使 することを 強 くお 勧 めしま これは パフォーマンスモニターオブジェクト カウンタ およびインスタンスの 名 前 は 字 字 の 区 別 も 含 めて パフォーマンスモニターが 定 義 しているのと 完 全 に 同 じでなければならないためでSplunk Web は WMI を 使 って 適 切 な 形 式 の 名 前 を 取 得 するため 誤 を 防 することができま wmi.conf には モニター 対 象 各 リモートパフォーマンスモニターのスタンザが 含 まれていま 各 スタンザでは 以 下 の 項 を 指 定 することができま グローバル 設 定 属 性 initial_backoff max_backoff max_retries_at_max_backoff checkpoint_sync_interval 必 須? いい え いい え いい え いい え 説 明 エラー 発 時 に WMI プロバイダへの 接 続 を 再 試 するまでに 待 機 する 秒 数 でプロバイダへの 接 続 に 引 き 続 き 問 題 が 発 する 場 合 は 接 続 を 試 みるまでの 待 機 時 間 を 2 倍 にしながら 接 続 が 成 功 するか または 待 機 時 間 が max_backoff に 指 定 される 値 以 上 に なるまで 接 続 を 試 みていきま WMI プロバイダへの 再 接 続 を 試 みる 最 時 間 ( 秒 ) 20 WMI プロバイダとの 再 接 続 試 が max_backoff の 秒 数 に 達 した 場 合 に そのプロバイダとの 再 接 続 を 試 する 回 数 状 態 データをディスクからフラッシュするまでに 待 機 する 秒 数 2 デフォル ト 5 2 固 有 の 設 定 属 性 必 須? 説 明 interval はい 新 しいデータのポーリングを う 頻 度 を 秒 で 指 定 しまこの 属 性 がない 場 合 デフォルト 値 は 存 在 しないためその は 機 能 し ません server event_log_file いい え いい え パフォーマンスをモニターする 1 つまたは 複 数 の 有 効 なサー バー 複 数 の 項 を 指 定 する 場 合 は カンマで 区 切 りま ポーリングする 1 つまたは 複 数 の Windows イベントログチャネ ル この 属 性 は 着 信 データがイベントログ 形 式 であることを Splunk Enterprise に 指 しま デフォル ト N/A ローカル マシン N/A 注 意 :すでに wql 属 性 があるスタンザには event_log_file 属 性 を 指 定 しないでください wql いい え リモートにポーリングするパフォーマンスオブジェクト カウン タ およびインスタンスを す 有 効 な WQL ステートメント この 属 性 は WMI プロバイダからデータを 収 集 する 予 定 であるこ とを しま N/A 注 意 :すでに event_log_file 属 性 があるスタンザには wql 属 性 を 指 定 しないでください namespace いい え クエリーする WMI プロバイダが 存 在 する 名 前 空 間 この 属 性 の 値 は 相 対 値 (Root\CIMV2) または 絶 対 値 (\\SERVER\Root\CIMV2) にで Root\CIMV2 78
79 きまただし server 属 性 を 指 定 する 場 合 は 相 対 値 でなければ なりません 注 意 : wql 属 性 があるスタンザでのみ namespace 属 性 を 使 して ください index いい え パフォーマンスカウンタデータを 送 るインデックス default current_only いい え WMIベースのイベント 収 集 の 特 徴 とやり 取 り N/A wql を 定 義 した 場 合 この 属 性 は Splunk Enterprise がイベ ント 通 知 クエリーを 予 期 すべきかどうかを しまイベン ト 通 知 クエリーを 予 定 している 場 合 は 1 を 標 準 クエリー を 予 定 している 場 合 は 0 を 設 定 しまWQL およびイベン ト 通 知 クエリーの 追 加 要 件 は 以 下 を 参 照 してください event_log_file を 定 義 した 場 合 Splunk が 動 作 中 に 発 した イベントのみを 収 集 するかどうかを しまSplunk 動 作 中 に 発 したイベントのみを 収 集 する 場 合 は 1 を 最 後 の チェックポイントからのイベントを 収 集 する 場 合 は 0 を 設 定 しま0 を 指 定 して チェックポイントが 存 在 していな い 場 合 は 利 可 能 なもっとも 古 いイベントから 収 集 されま disabled いい え この に 定 義 されているパフォーマンスデータを 収 集 するかど うかを しまこのスタンザのパフォーマンスモニタリングを 無 効 にするには 1 を 有 効 にするには 0 を 設 定 しま 0 ローカルディスクおよびメモリーのパフォーマンス 測 定 基 準 を 収 集 し wmi_perfmon インデックスに 保 管 す る wmi.conf の 例 を 以 下 に しま [settings] initial_backoff = 5 max_backoff = 20 max_retries_at_max_backoff = 2 checkpoint_sync_interval = 2 # Gather disk and memory performance metrics from the local system every second. # Store event in the "wmi_perfmon" Splunk index. [WMI:LocalPhysicalDisk] interval = 1 wql = select Name, DiskBytesPerSec, PercentDiskReadTime,PercentDiskWriteTime, PercentDiskTime from \ Win32_PerfFormattedData_PerfDisk_PhysicalDisk disabled = 0 index = wmi_perfmon [WMI:LocalMainMemory] interval = 10 wql = select CommittedBytes, AvailableBytes, PercentCommittedBytesInUse, Caption from \ Win32_PerfFormattedData_PerfOS_Memory disabled = 0 index = wmi_perfmon WQL クエリーステートメントの 追 加 情 報 WQL クエリーは 構 造 的 および 構 的 たに 正 確 でなければなりません 誤 っている 場 合 は 指 定 しても 望 ましくな い 結 果 が 得 られるか またはまったく 結 果 が 得 られない 可 能 性 がありま 特 に イベント 通 知 クエリーの 作 成 時 (WQL クエリーが 存 在 するスタンザ 内 に current_only=1 を 指 定 ) WQL ステートメントにはそのようなクエリーを 指 定 する 句 (WITHIN, GROUP, や HAVING) を 含 める 必 要 がありま 詳 細 は WQL のクエリーに 関 する MSDN の 記 事 を 参 照 してください Splunk Web を 使 ってパフォーマンスモニター を 作 成 する 場 合 適 切 な WQL クエリーが 成 されるため WQL 構 に 関 する 問 題 を 防 することができま 注 意 事 項 パフォーマンス 測 定 基 準 の 収 集 時 はメモリー 使 量 が 増 加 する Thread オブジェクトやそれに 関 連 するカウンタなどの 部 のパフォーマンスオブジェクトのデータ 収 集 時 には Splunk のメモリー 使 量 が 増 加 することがありまこれは 正 常 な 動 作 で 部 のパフォーマンスオブ ジェクトは 収 集 プロセス 時 に 他 のオブジェクトよりも 多 くのメモリーを 消 費 しま 79
80 Processor Time カウンタが 100 より きい 値 を 返 さない Microsoft が Processor:% Processor Time および Process:% Processor Time カウンタを 使 って CPU 使 率 を 算 出 する 法 により これらのカウンタはシステムの CPU 数 やコア 数 に 関 係 なく 100 を 超 える 値 を 返 すことはありませ ん これは 仕 様 でこれらのカウンタは アイドルプロセスが 費 やした 時 間 量 を 100% から 減 算 していきま 英 語 版 のインストール 環 境 では useenglishonly 属 性 の 使 に 制 限 がある 英 語 版 システムで inputs.conf を 編 集 してパフォーマンス モニタリングを 有 効 にする 場 合 useenglishonly 属 性 の 機 能 にいくつかの 制 限 事 項 がありま この 属 性 に true を 設 定 すると object および counters 属 性 に 対 してワイルドカードや 正 規 表 現 を 使 できませ ん これらの 属 性 には パフォーマンス データ ヘルパー ライブラリに 定 義 されている 有 効 な 英 語 の 値 に 基 づいて 特 定 のエントリを 指 定 する 必 要 がありまinstances 属 性 にはワイルドカードを 指 定 できま 以 下 に 例 を しま [perfmon://processor] object = Processor instances = _Total counters = % Processor Time;% User Time useenglishonly = 1 interval = 30 disabled = 0 システムで 使 されている 語 が 英 語 以 外 の 場 合 でも counters 属 性 には 英 語 の 値 が 含 まれることに 注 意 してくだ さい この 属 性 に false を 設 定 した 場 合 これらの 属 性 に 対 してワイルドカードや 正 規 表 現 を 使 できますが オペレー ティング システムの 語 に 基 づいた 値 を 指 定 する 必 要 がありまフランス 語 版 のシステムのスタンザの 例 を 以 下 に しま [perfmon://frenchprocs] counters = * disabled = 0 useenglishonly = 0 interval = 30 object = Processeur instances = * この 例 で object 属 性 には Processeur が 設 定 されていることに 注 意 してください これは Processor のフランス 語 でここに 英 語 の 値 を 指 定 すると Splunk Enterprise はパフォーマンス オブジェクトやインスタンスを つ けることができません useenglishonly 属 性 を 使 する 場 合 のその 他 の 影 響 この 属 性 を 使 する 際 には 他 にも 検 討 事 項 がありま Splunk Web を 使 って 英 語 版 オペレーティング システムにパフォーマンス モニター を 作 成 する 場 合 常 に useenglishonly = false を 指 定 しま また Splunk Web でこれらのスタンザを 有 効 化 無 効 化 複 製 または 削 除 することができまただ し オペレーティング システムのロケールがスタンザに 指 定 されているロケールと 致 しない 限 り Splunk Web でそれを 編 集 することはできません useenglishonly 属 性 に 真 (True) を 設 定 すると Splunk Web でパフォーマンス モニター スタンザを 有 効 化 無 効 化 複 製 または 削 除 することができまただし システムのロケールが 英 語 でない 限 り それ を Splunk Web で 編 集 することはできません Windows ホスト 情 報 のモニター Splunk Enterprise は Windows ホスト 情 報 (ローカル Windows マシンの 詳 細 な 統 計 情 報 ) のモニターをサポー トしていまWindows ホストに 関 する 以 下 の 情 報 を 収 集 することができま 般 のコンピュータ:コンピュータのメーカーとモデル そのホスト 名 と 参 加 している Active Directory ドメイン オペレーティングシステム:コンピュータにインストールされているオペレーティングシステムのバー ジョンとビルド 番 号 およびサービスパック コンピュータ 名 前 回 起 動 時 刻 搭 載 メモリーと 空 きメモ リー 量 およびシステムドライブ プロセッサ:システムの CPU のメーカーとモデル 動 作 速 度 とバージョン プロセッサ/コア 数 および プロセッサ ID ディスク:システムが 利 できるすべてのドライブ 覧 および 利 できる 場 合 はファイルシステムタイプ と 合 計 / 利 可 能 スペース ネットワークアダプタ: 製 造 業 者 製 品 名 および MAC アドレスを 含 めた システムに 取 り 付 けられて いるネットワークアダプタに 関 する 情 報 サービス: 名 前 表 名 説 明 パス サービスタイプ 開 始 モード 状 態 およびステータスを 含 めた システムにインストールされているサービスに 関 する 情 報 プロセス: 名 前 実 時 のコマンドライン (および 引 数 ) および 実 形 式 ファイルのパスを 含 めた システ 80
81 ムで 動 作 中 のプロセスに 関 する 情 報 アプリケーション: 名 前 とシリアル 番 号 インストール 時 とインストール 場 所 ベンダー およびバー ジョン 番 号 を 含 めた システムにインストールされているアプリケーションに 関 する 情 報 完 全 版 Splunk Enterprise インスタンスとユニバーサルフォワーダーの 両 が ホスト 情 報 のローカル 収 集 をサ ポートしていま ホストモニター は splunk-winhostmon.exe と 呼 ばれるプロセスとして 実 されまこのプロセスは 定 義 され ている 各 に 対 して に 指 定 されている 間 隔 で 1 回 実 されまホストのモニタリングは Splunk Web または inputs.conf を 使 って 設 定 できま ホスト 情 報 のモニター 理 由 Windows ホストのモニタリングにより Windows システムに 関 する 詳 細 な 情 報 を 収 集 することができまソ フトウェアのインストールと 削 除 サービスの 起 動 と 停 および 稼 働 時 間 などの システムに 対 する 任 意 の 変 更 をモニターすることができまシステム 障 害 が 発 した 場 合 まず Windows ホストモニタリング 情 報 を がか りに 調 査 を 進 めていくことができまSplunk Enterprise のサーチ 語 を 利 して Windows ネットワーク 内 のすべてのマシンの 統 計 情 報 を で 把 握 できる ダッシュボードやビューを 作 成 することができま ホスト 情 報 のモニターに 何 が 必 要 か アクティビ ティ: ホスト 情 報 の モニター 必 要 なアクセス 許 可 : * Splunk Enterprise はWindows 上 で 実 する 必 要 がありま * すべてのローカルホスト 情 報 を 読 み 取 るには Splunk Enterprise を Local System ユーザー またはローカル 管 理 者 として 実 する 必 要 がありま セキュリティとリモートアクセスの 検 討 事 項 デフォルトでは Windows ホスト 情 報 を 収 集 するために Splunk Enterprise を Local System ユーザーとして 実 する 必 要 がありま リモートマシンからインデクサーへのホスト 情 報 の 送 信 には ユニバーサルフォワーダーを 使 することをお 勧 め しまWindows ホストデータを 収 集 するための フォワーダーのインストール 設 定 使 法 については データの 転 送 マニュアルの ユニバーサルフォワーダーの 紹 介 を 参 照 してください Windows ホストデータを 収 集 するために リモートマシン 上 にフォワーダーをインストールする 場 合 それらの マシンにはフォワーダーを Local System ユーザーとしてインストールすることができまLocal System ユー ザーは ローカルマシン 上 のすべてのデータにアクセスできますが リモートマシンにアクセスすることはできま せん Splunk Enterprise を Local System 以 外 のユーザーとして 実 する 場 合 そのユーザーには 収 集 するホスト データがあるマシンに 対 する ローカル Administrator 権 限 が 必 要 でまた インストールマニュアル の Splunk Enterprise を 実 する Windows ユーザーの 選 択 で 説 明 しているように ユーザーには 他 の 明 的 な アクセス 許 可 が 必 要 で Splunk Web を 使 ったホストモニタリングの 設 定 A. [ 新 規 追 加 ] ページに 移 動 (データの 取 り 込 み) は Splunk Web の [ 新 規 追 加 ] ページから 追 加 しま データの 追 加 法 は? を 参 照 してください 2 種 類 の 法 でこのページを 表 できま Splunk ホーム Splunk 設 定 Splunk 設 定 を 使 する 場 合 : 1.Splunk Web の 右 上 にある [ 設 定 ] をクリックしま 2.[ 設 定 ] ポップアップの [データ] セクションで [データ ] をクリックしま 3.[ファイルとディレクトリ] をクリックしま 4.[ [ 新 規 ] ボタンをクリックして を 追 加 しま Splunk ホームを 使 する 場 合 : 1.Splunk ホームの [データの 追 加 ] リンクをクリックしま 2.ローカル Windows マシンからホスト 情 報 をモニターするには [モニター] をクリックしま B. ソースの 選 択 '1. 左 側 のパネルで [ローカル Windows ホスト 監 視 ] を 探 して 選 択 しま 2.[コレクション 名 ] フィールドに この の 覚 えやすい 意 の 名 前 を しま 81
82 3.[イベント タイプ] リスト ボックスで この でモニターするホスト モニタリング イベント タイプ を 探 しま 4.モニターする 各 タイプを 1 回 クリックしまSplunk Enterprise は タイプを [ 利 可 能 なタイプ] ウィン ドウから [ 選 択 されたタイプ] ウィンドウに 移 動 しま 5.タイプの 選 択 を 解 除 するには [ 選 択 されたタイプ] ウィンドウでその 名 前 をクリックしまSplunk Enterprise は カウンタを [ 選 択 されたタイプ] ウィンドウから [ 利 可 能 なタイプ] ウィンドウに 移 動 しま 6.すべてのタイプを 選 択 / 選 択 解 除 するには [すべて 追 加 ] または [すべて 削 除 ] リンクをクリックしま 重 要 :すべてのタイプを 選 択 すると 量 のデータのインデックスを 作 成 することになり ライセンスの 上 限 を 超 え てしまう 可 能 性 がありま 7.[ [ 間 隔 ] フィールドで のポーリング 間 隔 を 秒 で 指 定 しま 8. 緑 の [ 次 へ] ボタンをクリックしま C. の 設 定 [ 設 定 ] ページでは アプリケーション コンテキスト デフォルトのホスト 値 およびインデックスを 指 定 できまこれらのパラメータは 省 略 することができま 1.この の 適 切 なアプリケーション コンテキストを 選 択 しま 2.ホスト 名 の 値 を 設 定 しまさまざまな 選 択 肢 がありまホスト 値 の 設 定 の 詳 細 は ホストについて を 参 照 してください 注 意 :[ホスト] は イベントの host フィールドの 設 定 のみを いまSplunk Enterprise にネットワー ク 上 の 特 定 のホストを 探 すように 指 するものではありません 3.データを 保 管 するインデックスを 設 定 しま 異 なる 種 類 のイベントを 取 り 扱 うために 複 数 のインデックス を 定 義 している 場 合 を 除 き この 値 は default のままにしてください ユーザーデータ のインデックスに 加 えて Splunk Enterprise にはさまざまなユーティリティインデックスが 存 在 していまこれらのインデックス も このドロップダウンボックスに 表 されま 4. 緑 の [ 確 認 ] ボタンをクリックしま D. 選 択 項 の 確 認 設 定 をすべて 指 定 したら 選 択 内 容 をレビューすることができまSplunk Enterprise には モニターのタ イプ ソース ソースタイプ アプリケーション コンテキスト インデックスなど (これ 以 外 が 表 されること もあります) の 選 択 したオプションが 表 されま 設 定 を 確 認 しま 意 図 通 りの 内 容 でない 場 合 は い [<] ボタンをクリックして ウィザードの 前 のステップに 戻 りまそうでない 場 合 は 緑 の [ 送 信 ] ボタンをクリックしま [ 成 功 ] ページが 表 され 指 定 されたホスト 情 報 のインデックス 作 成 が 開 始 されま inputs.conf を 使 ったホストモニタリングの 設 定 inputs.conf を 使 ってホストのモニタリングを 設 定 することができまinputs.conf を 使 ったデータ の 設 定 の 詳 細 は このマニュアルの の 設 定 を 参 照 してください 注 意 : 設 定 ファイルのデフォルトは %SPLUNK_HOME%\etc\system\default 内 のファイルまたは 管 理 マニュアル で 確 認 することができま 設 定 ファイルの 編 集 法 については 管 理 マニュアル の 設 定 ファイルについて を 参 照 してくださ い inputs.conf を 編 集 してホストのモニタリング を 有 効 にするには: 1. %SPLUNK_HOME%\etc\system\local に inputs.conf を 作 成 し 編 集 のためにそれを 開 きま 2. %SPLUNK_HOME%\etc\system\default\inputs.conf を 開 いて 有 効 にする Windows イベントログ を 確 認 しま 3. %SPLUNK_HOME%\etc\system\default\inputs.conf から 有 効 にする Windows イベントログ スタンザをコピーし ま 4.コピーしたスタンザを %SPLUNK_HOME%\etc\system\local\inputs.conf に 貼 り 付 けま 5.スタンザを 的 の Windows イベントログデータを 収 集 するように 編 集 しま 6. %SPLUNK_HOME%\etc\system\local\inputs.conf を 保 存 して 終 了 しま 7.Splunk Enterprise を 再 起 動 しま 次 のセクションでは ホストのモニタリングのための 特 定 の 設 定 値 について 説 明 していきま Windows ホストのモニター 設 定 値 Splunk Enterprise は Windows ホスト 情 報 をモニターするために inputs.conf 内 の 以 下 の 属 性 を 使 していま 82
83 属 性 必 須? 説 明 interval はい 新 しいデータのポーリングを う 頻 度 を 秒 で 指 定 しま 負 の 値 を 指 定 した 場 合 は 1 回 のみ を 実 しまこの 属 性 を 定 義 しない 場 合 デフォルト 値 は 存 在 しないためその は 機 能 しません type はい モニターするホスト 情 報 のタイプ Computer, operatingsystem, processor, disk, networkadapter, service, process, driver のいずれか または application を 使 できまこの 変 数 が 存 在 しない 場 合 は 実 されません disabled いい え Windows ホストモニタリング 設 定 の 例 をまったく 実 しないかどうか この 属 性 に 1 を 設 定 すると は 実 されません 次 のファイル 内 の Windows ホストモニタリング 設 定 属 性 の 使 法 の 例 を 以 下 に します: inputs.conf # Queries computer information. [WinHostMon://computer] type = Computer interval = 300 # Queries OS information. # 'interval' set to a negative number tells Splunk Enterprise to # run the input once only. [WinHostMon://os] type = operatingsystem interval = -1 # Queries processor information. [WinHostMon://processor] type = processor interval = -1 # Queries hard disk information. [WinHostMon://disk] type = disk interval = -1 # Queries network adapter information. [WinHostMon://network] type = networkadapter interval = -1 # Queries service information. # This example runs the input ever 5 minutes. [WinHostMon://service] type = service interval = 300 # Queries information on running processes. # This example runs the input every 5 minutes. [WinHostMon://process] type = process interval = 300 # Queries information on installed applications. # This example runs the input every 5 minutes. [WinHostMon://application] type = application interval = 300 Windows ホストモニタリングデータのフィールド Splunk Enterprise が Windows ホストモニタリング からのデータのインデックスを 作 成 する 場 合 受 信 した イベントのソースには windows が 設 定 されま 受 信 イベントのソースタイプには WinHostMon が 設 定 されま Answers 83
84 何 か 質 問 がありますか? Splunk Answers では Splunk コミュニティに 寄 せられた Windows ホスト 情 報 に 関 する 質 問 と 回 答 をご 覧 いただけま Windows プリンタ 情 報 のモニター Splunk Enterprise は Windows 印 刷 サブシステム 情 報 のモニターをサポートしていまローカルマシン 上 の プリンタとドライバ 印 刷 ジョブ およびプリンタポートなど あらゆる 統 計 情 報 をモニターすることができま 以 下 の 印 刷 システム 情 報 を 収 集 することができま プリンタ: 接 続 されているプリンタのステータス およびプリンタの 追 加 / 削 除 時 などの 印 刷 サブシス テムに 関 する 情 報 ジョブ: 誰 が 何 を 印 刷 したか ジョブの 詳 細 既 存 のジョブのステータスなどの 印 刷 ジョブに 関 する 情 報 ドライバ: 既 存 のプリントドライバ 情 報 プリントドライバの 追 加 / 削 除 時 などの プリントドライバサ ブシステムの 情 報 ポート:システムにインストールされているプリンタポートの 情 報 および 追 加 / 削 除 時 完 全 版 Splunk Enterprise インスタンスとユニバーサルフォワーダーの 両 が プリンタサブシステム 情 報 の ローカル 収 集 をサポートしていま プリンタモニター は splunk-winprintmon.exe と 呼 ばれるプロセスとして 実 されまこのプロセスは 定 義 さ れている 各 に 対 して に 指 定 されている 間 隔 で 1 回 実 されまプリンタサブシステムのモニタリン グは Splunk Web または inputs.conf を 使 って 設 定 できま プリンタ 情 報 のモニター 理 由 プリンタのモニタリングにより プリンタサブシステムに 関 する 詳 細 な 情 報 を 収 集 することができまプリン タ プリントドライバ およびポートのインストールと 削 除 印 刷 ジョブの 開 始 と 完 了 誰 が 何 をいつ 印 刷 したか などの システムに 対 する 任 意 の 変 更 をモニターできまプリンタ 障 害 が 発 した 場 合 まずプリンタモニタリ ング 情 報 を がかりに 調 査 を 進 めていくことができまSplunk のサーチ 語 を 利 して Windows ネット ワーク 内 のすべてのプリンタの 統 計 情 報 を で 把 握 できる ダッシュボードやビューを 作 成 することができま プリンタ 情 報 のモニターに 何 が 必 要 か アクティビ ティ: ホスト 情 報 のモ ニター 必 要 なアクセス 許 可 : * Splunk Enterprise はWindows 上 で 実 する 必 要 がありま * すべてのローカルホスト 情 報 を 読 み 取 るには Splunk Enterprise を Local System ユー ザーとして 実 する 必 要 がありま セキュリティとリモートアクセスの 検 討 事 項 デフォルトでは Windows 印 刷 サブシステム 情 報 を 収 集 するために Splunk Enterprise を Local System ユー ザーとして 実 する 必 要 がありま リモートマシンからインデクサーへのプリンタ 情 報 の 送 信 には ユニバーサルフォワーダーを 使 することをお 勧 めしま 印 刷 サブシステムデータを 収 集 するための フォワーダーのインストール 設 定 使 法 について は データの 転 送 マニュアルの ユニバーサルフォワーダーの 紹 介 を 参 照 してください 印 刷 サブシステムデータを 収 集 するために リモートマシン 上 にフォワーダーをインストールする 場 合 それらの マシンにはフォワーダーを Local System ユーザーとしてインストールすることができまLocal System ユー ザーは ローカルマシン 上 のすべてのデータにアクセスできますが リモートマシンにアクセスすることはできま せん Splunk Enterprise を Local System 以 外 のユーザーとして 実 する 場 合 そのユーザーには 収 集 する 印 刷 情 報 があるマシンに 対 する ローカル Administrator 権 限 が 必 要 でまた インストールマニュアル の Splunk Enterprise を 実 する Windows ユーザーの 選 択 で 説 明 しているように ユーザーには 他 の 明 的 な アクセス 許 可 が 必 要 で Splunk Web を 使 ったプリンタ 情 報 の 設 定 A. [ 新 規 追 加 ] ページに 移 動 (データの 取 り 込 み) は Splunk Web の [ 新 規 追 加 ] ページから 追 加 しま データの 追 加 法 は? を 参 照 してください 2 種 類 の 法 でこのページを 表 できま Splunk ホーム Splunk 設 定 Splunk 設 定 を 使 する 場 合 : 1.Splunk Web の 右 上 にある [ 設 定 ] をクリックしま 2.[ 設 定 ] ポップアップの [データ] セクションで [データ ] をクリックしま 3.[ローカル 印 刷 モニター] をクリックしま 84
85 4.[ [ 新 規 ] ボタンをクリックして を 追 加 しま Splunk ホームを 使 する 場 合 : 1.Splunk ホームの [データの 追 加 ] リンクをクリックしま 2.ローカル Windows マシンから 印 刷 情 報 をモニターするには [モニター] をクリックしま 3. 左 側 のパネルで [ローカル Windows 印 刷 監 視 ] を 探 して 選 択 しま B. ソースの 選 択 1.[コレクション 名 ] フィールドに この の 覚 えやすい 意 の 名 前 を しま 2.[イベント タイプ] リスト ボックスで この でモニターする 印 刷 モニタリング イベント タイプを 探 しま 3.モニターする 各 タイプを 1 回 クリックしまSplunk Enterprise は タイプを [ 利 可 能 なタイプ] ウィン ドウから [ 選 択 されたタイプ] ウィンドウに 移 動 しま 4.タイプの 選 択 を 解 除 するには [ 選 択 されたタイプ] ウィンドウでその 名 前 をクリックしまSplunk Enterprise は カウンタを [ 選 択 されたタイプ] ウィンドウから [ 利 可 能 なタイプ] ウィンドウに 移 動 しま 5.すべてのタイプを 選 択 / 選 択 解 除 するには [すべて 追 加 ] または [すべて 削 除 ] リンクをクリックしま 重 要 :すべてのタイプを 選 択 すると 量 のデータのインデックスを 作 成 することになり ライセンスの 上 限 を 超 え てしまう 可 能 性 がありま 6.Splunk Enterprise 起 動 後 すぐに を 実 するには [ベースライン] で [はい] ラジオボタンをクリックしま [ [ 間 隔 ( 分 )] フィールドで 指 定 した 間 隔 で を 実 する 場 合 は [いいえ] をクリックしま 7. 緑 の [ 次 へ] ボタンをクリックしま C. の 設 定 [ 設 定 ] ページでは アプリケーション コンテキスト デフォルトのホスト 値 およびインデックスを 指 定 できまこれらのパラメータは 省 略 することができま 1.この の 適 切 なアプリケーション コンテキストを 選 択 しま 2.ホスト 名 の 値 を 設 定 しまさまざまな 選 択 肢 がありまホスト 値 の 設 定 の 詳 細 は ホストについて を 参 照 してください 注 意 :[ホスト] は イベントの host フィールドの 設 定 のみを いまSplunk Enterprise にネットワー ク 上 の 特 定 のホストを 探 すように 指 するものではありません 3.データを 保 管 するインデックスを 設 定 しま 異 なる 種 類 のイベントを 取 り 扱 うために 複 数 のインデックス を 定 義 している 場 合 を 除 き この 値 は default のままにしてください ユーザーデータ のインデックスに 加 えて Splunk Enterprise にはさまざまなユーティリティインデックスが 存 在 していまこれらのインデックス も このドロップダウンボックスに 表 されま 4. 緑 の [ 確 認 ] ボタンをクリックしま D. 選 択 項 の 確 認 設 定 をすべて 指 定 したら 選 択 内 容 をレビューすることができまSplunk Enterprise には モニターのタ イプ ソース ソースタイプ アプリケーション コンテキスト インデックスなど (これ 以 外 が 表 されること もあります) の 選 択 したオプションが 表 されま 設 定 を 確 認 しま 意 図 通 りの 内 容 でない 場 合 は い [<] ボタンをクリックして ウィザードの 前 のステップに 戻 りまそうでない 場 合 は 緑 の [ 送 信 ] ボタンをクリックしま [ 成 功 ] ページが 表 され 指 定 された 印 刷 情 報 のインデックス 作 成 が 開 始 されま inputs.conf を 使 ったホストモニタリングの 設 定 inputs.conf を 使 ってホストのモニタリングを 設 定 することができまinputs.conf を 使 ったデータ の 設 定 の 詳 細 は このマニュアルの の 設 定 を 参 照 してください 注 意 : 設 定 ファイルのデフォルトは %SPLUNK_HOME%\etc\system\default 内 のファイルまたは 管 理 マニュアル で 確 認 することができま 設 定 ファイルの 編 集 法 については 管 理 マニュアル の 設 定 ファイルについて を 参 照 してくださ い inputs.conf を 編 集 して 印 刷 のモニタリング を 有 効 にするには: 1. inputs.conf を %SPLUNK_HOME%\etc\system\default から etc\system\local にコピーしま 2.エクスプローラまたは ATTRIB コマンドを 使 って ファイルの 読 み 取 り 専 フラグを 削 除 しま 3.ファイルを 開 いて 編 集 し Windows 印 刷 モニタリング を 有 効 にしま 85
86 4.Splunk を 再 起 動 しま 次 のセクションでは ホストのモニタリングのための 特 定 の 設 定 値 について 説 明 していきま 印 刷 モニタリングの 設 定 値 Splunk Enterprise は Windows プリンタサブシステムをモニターするために inputs.conf 内 の 以 下 の 属 性 を 使 していま 属 性 必 須? 説 明 interval はい 新 しいデータのポーリングを う 頻 度 を 秒 で 指 定 しまこの 属 性 が 指 定 定 義 されていない 場 合 デフォルト 値 は 存 在 しないためその は 機 能 しませ ん type はい モニターするホスト 情 報 のタイプ printer, job, driver のいずれか または port を 使 できまこの 変 数 が 存 在 しない 場 合 は 実 されません baseline disabled いい え いい え 既 存 のプリンタ ジョブ ドライバ またはポートの 状 態 のベースラインを 成 するかどうかを しまこの 属 性 に 1, を 設 定 すると ベースラインが 成 されまこの 場 合 Splunk Enterprise の 起 動 までに 時 間 がかかり CPU リソースも 消 費 される 可 能 性 がありま をまったく 実 しないかどうか この 属 性 に 1 を 設 定 すると は 実 されません Windows ホストモニタリング 設 定 の 例 inputs.conf での Windows ホストモニタリング 設 定 属 性 の 使 法 の 例 を 以 下 に しま # Monitor printers on system. [WinPrintMon://printer] type = printer baseline = 0 # Monitor print jobs. [WinPrintMon://job] type = job baseline = 1 # Monitor printer driver installation and removal. [WinPrintMon://driver] type = driver baseline = 1 # Monitor printer ports. [WinPrintMon://port] type = port baseline = 1 Windows 印 刷 モニタリングデータのフィールド Splunk Enterprise が Windows 印 刷 モニタリング からのデータのインデックスを 作 成 する 場 合 受 信 したイ ベントのソースには windows が 設 定 されま 受 信 イベントのソースタイプには WinPrintMon が 設 定 されま Answers 何 か 質 問 がありますか? Splunk Answers では Splunk コミュニティに 寄 せられた Windows 印 刷 モニタリ ングに 関 する 質 問 と 回 答 をご 覧 いただけま Windows ネットワーク 情 報 のモニター Splunk Enterprise は Windows ネットワーク 情 報 のモニタリングをサポートしていまWindows マシンとや り 取 りされるネットワークアクティビティに 関 する 詳 細 な 統 計 情 報 をモニターできま 以 下 のネットワーク 情 報 を 収 集 することができま ネットワーク 活 動 :Windows マシンプラットフォームが 任 意 のネットワーク 活 動 を う 場 合 Splunk Enterprise を 使 ってそれをモニターすることができま アドレスファミリー:IPv4 または IPv6 プロトコル 経 由 でネットワークトランザクションが われたかど うか パケットタイプ:トランザクションで 送 信 されたパケットタイプ ( 例 : connect または transport パ ケット) プロトコル:TCP または UDP プロトコル 経 由 でネットワークトランザクションが われたかどうか ホスト:ローカル/リモートホスト ホストが 通 信 したポート 利 可 能 な DNS 情 報 などの ネットワー クトランザクションに 関 与 したホストに 関 する 情 報 86
87 アプリケーション:ネットワークトランザクションを 開 始 したアプリケーション ユーザー:ネットワークトランザクションを 開 始 したユーザー およびその ID と SID その 他 : 伝 送 ヘッダーサイズやトランザクションが IPSec で 保 護 されていたかどうかなどを 含 めた ネッ トワークトランザクションに 関 するその 他 の 情 報 完 全 版 Splunk Enterprise インスタンスとユニバーサルフォワーダーの 両 が ネットワーク 情 報 のローカル 収 集 をサポートしていま ネットワークモニター は splunk-netmon.exe と 呼 ばれるプロセスとして 実 されまこのプロセスは 定 義 さ れている 各 に 対 して に 指 定 されている 間 隔 で 1 回 実 されまネットワークのモニタリングは Splunk Web または inputs.conf を 使 って 設 定 できま 重 要 :Splunk Enterprise の Windows ネットワーク モニタリングは 64 ビット Windows システムでのみ 利 できま32 ビットの Windows システムでは 利 できません ネットワーク 情 報 のモニター 理 由 Windows ネットワークのモニタリングにより Windows ネットワークアクティビティに 関 する 詳 細 な 情 報 を 収 集 することができまユーザーまたはプロセスによるネットワーク 接 続 の 開 始 トランザクションが IPv4 また は IPv6 アドレスを 使 しているかどうかなど ネットワーク 上 のトランザクションをモニターすることができま Splunk Enterprise のネットワークモニタリングを 利 すれば サービス 拒 否 攻 撃 の 受 信 / 発 信 に 関 与 してい るマシンを 通 知 して 攻 撃 を 検 出 防 することができまSplunk のサーチ 語 を 利 して Windows ネッ トワーク 内 のすべてのネットワーク 操 作 の 統 計 情 報 を で 把 握 できる ダッシュボードやビューを 作 成 すること ができま ネットワーク 情 報 のモニターに 何 が 必 要 か アク ティビ ティ: ネット ワーク 情 報 の モニ ター 要 件 : Splunk は Windows 上 で 実 する 必 要 があります マシンの Windows は 以 下 のいずれかでなければなりません Windows Vista Windows 7 Windows 8 Windows Server 2008 Windows Server 2008 R2 Windows Server 2012 Windows システムには Windows Vista Windows 7 Windows Server 2008 および Windows Server 2008 R2 が 動 作 するマシンのカーネルモード ドライバ フレームワーク バージョン 1.11 アップデートを 含 め 利 可 能 なすべてのアップデートやサービス パックを 適 する 必 要 がありま すべてのローカルホスト 情 報 を 読 み 取 るには Splunk Enterprise を Local System ユーザーま たはローカル 管 理 者 アカウントとして 実 する 必 要 がありま セキュリティとリモートアクセスの 検 討 事 項 デフォルトでは Windows ネットワーク 情 報 を 収 集 するために Splunk Enterprise を Local System ユーザー として 実 する 必 要 がありま リモートマシンからインデクサーへのホスト 情 報 の 送 信 には ユニバーサルフォワーダーを 使 することをお 勧 め しまWindows ホストデータを 収 集 するための フォワーダーのインストール 設 定 使 法 については データの 転 送 マニュアルの ユニバーサルフォワーダーの 紹 介 を 参 照 してください Windows ネットワーク 情 報 を 収 集 するために リモートマシン 上 にフォワーダーをインストールする 場 合 それ らのマシンにはフォワーダーを Local System ユーザーとしてインストールすることができまLocal System ユーザーは ローカルマシン 上 のすべてのデータにアクセスできますが リモートマシンにアクセスすることはで きません Splunk Enterprise を Local System 以 外 のユーザーとして 実 する 場 合 そのユーザーには 収 集 するホスト データがあるマシンに 対 する ローカル Administrator 権 限 が 必 要 でまた インストールマニュアル の Splunk Enterprise を 実 する Windows ユーザーの 選 択 で 説 明 しているように ユーザーには 他 の 明 的 な アクセス 許 可 が 必 要 で Splunk Web を 使 ったホストモニタリングの 設 定 A. [ 新 規 追 加 ] ページに 移 動 (データの 取 り 込 み) は Splunk Web の [ 新 規 追 加 ] ページから 追 加 しま データの 追 加 法 は? を 参 照 してください 2 種 類 の 法 でこのページを 表 できま Splunk ホーム Splunk 設 定 Splunk 設 定 を 使 する 場 合 : 1.Splunk Web の 右 上 にある [ 設 定 ] [ 設 定 ] をクリックしま 87
88 2.[ 設 定 ] ポップアップの [データ] セクションで [データ ] をクリックしま 3.[ローカル Windows ネットワークモニタリング] をクリックしま 4.[ [ 新 規 ] ボタンをクリックして を 追 加 しま Splunk ホームを 使 する 場 合 : 1.Splunk ホームの [データの 追 加 ] リンクをクリックしま 2.ローカル Windows マシンのネットワーク 情 報 をモニターするには [モニター] をクリックしま 他 の Windows マシンからネットワーク 情 報 を 転 送 するには [ [ 転 送 ] をクリックしま[データの 追 加 - ソースの 選 択 ] ページが 表 されま 注 意 :ネットワーク 情 報 の 転 送 には 追 加 設 定 が 必 要 で 3. 左 側 のパネルで [ローカル Windows ネットワーク 監 視 ] を 探 して 選 択 しま B. ソースの 選 択 1.[ネットワーク モニター 名 ] フィールドに この の 覚 えやすい 意 の 名 前 を 指 定 しま 2.[アドレス ファミリー] で モニターする IP アドレスファミリーのタイプ (IPv4 または IPv6) を 選 択 しま 3.[パケット タイプ] で モニターするパケット タイプ (connect accept transport.) を 選 択 しま 4.[ 向 ] で モニターするネットワークの 向 を 選 択 します ([[ 着 信 ] (モニターしているホストが 受 信 ) または [ 発 信 ] (モニターしているホストから 送 信 )) 5.[プロトコル] で モニターするプロトコルの 種 類 を 選 択 します ([tcp] または [udp]) 6.[リモートアドレス] フィールドに モニターしているホストとネットワーク 通 信 する モニター 対 象 リモート ホストのホスト 名 または IP アドレスを しま 注 意 : 複 数 のホストをモニターする 場 合 は このフィールドに 正 規 表 現 を 指 定 しま 7.[プロセス] フィールドに ネットワーク 通 信 をモニターするプロセスの 名 前 の 部 または 全 部 を しま 注 意 :リモートアドレスと 同 様 に 正 規 表 現 を 使 って 複 数 のプロセスをモニターすることができま 8.[ユーザー] フィールドに ネットワーク 通 信 をモニターするユーザーの 名 前 の 部 または 全 部 を しま 注 意 :リモートアドレスやプロセスの 場 合 と 同 様 に 正 規 表 現 を 使 って 複 数 のプロセスをモニターすることがで きま 9. 緑 の [ 次 へ] ボタンをクリックしま C. の 設 定 [ 設 定 ] ページでは アプリケーション コンテキスト デフォルトのホスト 値 およびインデックスを 指 定 できまこれらのパラメータは 省 略 することができま 1.この の 適 切 なアプリケーション コンテキストを 選 択 しま 2.ホスト 名 の 値 を 設 定 しまさまざまな 選 択 肢 がありまホスト 値 の 設 定 の 詳 細 は ホストについて を 参 照 してください 注 意 :[ホスト] は イベントの host フィールドの 設 定 のみを いまSplunk Enterprise にネットワー ク 上 の 特 定 のホストを 探 すように 指 するものではありません 3.データを 保 管 するインデックスを 設 定 しま 異 なる 種 類 のイベントを 取 り 扱 うために 複 数 のインデックス を 定 義 している 場 合 を 除 き この 値 は default のままにしてください ユーザーデータ のインデックスに 加 えて Splunk Enterprise にはさまざまなユーティリティインデックスが 存 在 していまこれらのインデックス も このドロップダウンボックスに 表 されま 4. 緑 の [ 確 認 ] ボタンをクリックしま D. 選 択 項 の 確 認 設 定 をすべて 指 定 したら 選 択 内 容 をレビューすることができまSplunk Enterprise には モニターのタ イプ ソース ソースタイプ アプリケーション コンテキスト インデックスなど (これ 以 外 が 表 されること もあります) の 選 択 したオプションが 表 されま 設 定 を 確 認 しま 意 図 通 りの 内 容 でない 場 合 は い [<] ボタンをクリックして ウィザードの 前 のステップに 戻 りまそうでない 場 合 は 緑 の [ 送 信 ] ボタンをクリックしま [ 成 功 ] ページが 表 され 指 定 された 印 刷 情 報 のインデックス 作 成 が 開 始 されま inputs.conf を 使 ったネットワークモニタリングの 設 定 88
89 inputs.conf を 使 ってネットワークのモニタリングを 設 定 することができまinputs.conf を 使 ったデータ の 設 定 の 詳 細 は このマニュアルの の 設 定 を 参 照 してください 注 意 : 設 定 ファイルのデフォルトは %SPLUNK_HOME%\etc\system\default 内 のファイルまたは 管 理 マニュアル で 確 認 することができま 設 定 ファイルの 編 集 法 については 管 理 マニュアル の 設 定 ファイルについて を 参 照 してくださ い inputs.conf を 編 集 してネットワークのモニタリング を 有 効 にするには: 1. inputs.conf を %SPLUNK_HOME%\etc\system\default から etc\system\local にコピーしま 2.エクスプローラまたは ATTRIB コマンドを 使 って ファイルの 読 み 取 り 専 フラグを 削 除 しま 3.ファイルを 開 いて 編 集 し Windows ネットワークモニタリング を 有 効 にしま 4.Splunk を 再 起 動 しま 次 のセクションでは ホストのモニタリングのための 特 定 の 設 定 値 について 説 明 していきま Windows ホストのモニター 設 定 値 Windows ネットワークモニタリング を 定 義 するには inputs.conf で [WinNetMon://<name>] スタンザを 定 義 し まSplunk Enterprise は Windows ネットワークモニター の 設 定 に 以 下 の 属 性 を 使 しま disabled = [0 1] 属 性 : 説 明 : を 有 効 にするかどうかを しま を 無 効 にするには 1 を 有 効 にするには 0 を 設 定 しま 0 ( 有 効 ) デフォルト: index = < 字 列 > remoteaddress = < 正 規 表 現 > process = < 正 規 表 現 > user = < 正 規 表 現 > データを 保 管 するインデックスを 指 定 しま この 属 性 は 省 略 することができま 設 定 した 場 合 ネットワークトランザクショ ンに 関 与 している IP アドレスと 照 合 しま IP アドレスを 表 す 正 規 表 現 のみを 使 できま す (ホスト 名 は 不 可 ) 正 規 表 現 に 致 しないリモートアドレスのイ ベントはフィルタリングされま 正 規 表 現 に 致 するリモートアドレスを 持 つ イベントは 収 集 されま 例 :192\.163\..* は x.x の 範 囲 の すべての IP アドレスと 致 しま 設 定 した 場 合 ネットワークアクセスを 実 したプロセスまたはアプリケーション 名 と 照 合 されま 正 規 表 現 に 致 しないプロセスが 成 したイ ベントはフィルタリングされま 正 規 表 現 に 致 するプロセスが 成 したイベ ントは 収 集 されま 設 定 した 場 合 ネットワークアクセスを 実 したユーザー 名 と 照 合 されま 正 規 表 現 に 致 しないユーザーが 成 したイ ベントはフィルタリングされま 正 規 表 現 に 致 するユーザーが 成 したイベ ントは 収 集 されま デフォルトのインデックス ( 空 字 列 - すべてに 致 ) ( 空 字 列 - すべてのプロセ スまたはアプリケーションに 致 ) ( 空 字 列 - すべてのユー ザーによるアクセスが 含 まれ ます) addressfamily = [ipv4;ipv6] 設 定 した 場 合 ネットワークアクセスに 使 されたアドレスファミリーに 対 して 照 合 が われま ipv4;ipv6 のように セミコロンで 区 切 っ た 値 を 使 できま ( 空 字 列 - すべての IP トラ フィックが 含 まれます) packettype = [connect;accept;transport] 設 定 した 場 合 トランザクション 内 で 使 さ れているパケットタイプに 対 して 照 合 が わ れま connect;transport のように セミコロン 89 ( 空 字 列 - すべてのパケッ トタイプが 含 まれます)
90 で 区 切 った 値 を 使 できま direction = [inbound;outbound] protocol = [tcp;udp] 設 定 した 場 合 ネットワークトラフィックの 向 に 対 して 照 合 が われま Inbound はモニターを っているマシン に 到 着 するトラフィックを outbound は モニターを っているマシンから 出 て くト ラフィックを 表 していま inbound;outbound のように セミコロ ンで 区 切 った 値 を 使 できま 設 定 した 場 合 指 定 したネットワークプロト コルに 対 して 照 合 が われま tcp は トランザクションの 設 定 にハンド シェークと 状 態 を 使 する TCP を 表 してい ま udp は 状 態 を 持 たない UDP を 表 して いま tcp;udp のように セミコロンで 区 切 っ た 値 を 使 できま ( 空 字 列 - 両 の 向 が 含 まれます) ( 空 字 列 - 両 のプロトコ ルタイプが 含 まれます) readinterval = < 整 数 > driverbuffersize = < 整 数 > ネットワークモニターフィルタドライバを 読 み 込 む 間 隔 (ミリ 秒 ) を 指 定 しま 詳 細 オプション: のパフォーマンスに 問 題 がない 限 り デフォルト 値 の 使 をお 勧 め しま カーネルドライバの 呼 び 出 し 頻 度 を 調 整 する ことができま 頻 度 を 多 くするとネット ワークパフォーマンスに 影 響 する 可 能 性 があ りま 頻 度 を 少 なくすると イベントが 失 われる 可 能 性 がありま 妥 当 な 最 値 は 10 最 値 は 1000 で ネットワークモニターフィルタドライバの バッファに 保 持 するネットワークパケット 数 を しま 詳 細 オプション: のパフォーマンスに 問 題 がない 限 り デフォルト 値 の 使 をお 勧 め しま ドライバがキャッシュに 格 納 するパケットの 量 を 制 御 しま 値 を さくするとイベント が 失 われる 可 能 性 が きくすると ページ メモリーサイズが 増 加 する 可 能 性 がありま 妥 当 な 最 値 は 128 最 値 は 8192 で mode = < 字 列 > 各 イベントの 出 法 を しま Splunk Enterprise は 各 イベントを single または multikv (キー/ 値 のペア) モードで 出 することができま single multikvmaxeventcount = < 整 数 > mode に multikv を 設 定 した 場 合 に 出 する イベントの 最 量 を しま 詳 細 オプション: のパフォーマンスに 問 題 がない 限 り デフォルト 値 の 使 をお 勧 め しま 妥 当 な 最 値 は 10 最 値 は 500 で 100 multikvmaxtimems = < 整 数 > mode に multikv を 設 定 した 場 合 に mulitkv イ ベントを 出 するための 最 時 間 を しま 詳 細 オプション: のパフォーマンスに 問 題 がない 限 り デフォルト 値 の 使 をお 勧 め しま 妥 当 な 最 値 は 100 最 値 は 5000 で 1000 Windows ネットワークモニタリングデータのフィールド Splunk Enterprise が Windows ネットワークモニタリング からのデータのインデックスを 作 成 する 場 合 受 信 したイベントのソースには windows が 設 定 されま 受 信 イベントのソースタイプには WinNetMon が 設 定 され 90
91 ま Windows マシンにすべてのパッチを 適 していることを 確 認 してください Windows Vista Windows 7 Windows Server 2008 または Windows Server 2008 R2 マシン 上 でネット ワーク モニタリング を 利 中 に 問 題 が 発 した 場 合 は マシンに 利 可 能 なすべてのパッチを 適 している ことを 確 認 してください これには カーネル モード ドライバ フレームワーク バージョン 1.11 アップ デートも 含 まれていまこのアップデートについては Microsoft サポート 技 術 情 報 の 記 事 ( を 参 照 してください システムにこのアップデートが 適 されて いない 場 合 ネットワーク モニタリング が 正 常 に 機 能 しない 可 能 性 がありま Answers 何 か 質 問 がありますか? Splunk Answers では Splunk コミュニティに 寄 せられた Windows ネットワーク モニタリングに 関 する 質 問 と 回 答 をご 覧 いただけま その 他 の 取 り 込 み 法 FIFO キューからのデータの 取 得 このトピックでは inputs.conf を 使 った FIFO の 設 定 法 を 説 明 していきま 現 在 Splunk Web では FIFO を 定 義 できません 警 告 :FIFO 経 由 で 送 信 されるデータはメモリーには 保 持 されないため データソースとしては 信 頼 性 に ける 場 合 がありまデータを 失 わないようにするためには 代 わりにモニター を 使 してください inputs.conf への FIFO の 追 加 FIFO を 追 加 するには $SPLUNK_HOME/etc/system/local/ にある inputs.conf または $SPLUNK_HOME/etc/apps/ 内 の 独 のカスタム App ディレクトリにある inputs.conf に スタンザを 追 加 しま 設 定 ファイルで 初 めて 作 業 を う 場 合 は 事 前 に 管 理 マニュアル の 設 定 ファイルについて を 参 照 してください FIFO スタンザを 追 加 するための 基 本 的 な 構 を 以 下 に しま [fifo://<path>] <attrbute1> = <val1> <attrbute2> = <val2>... この スタンザは 指 定 したパスにある FIFO から 読 み 込 むことを Splunk Enterprise に 指 するもので FIFO スタンザでは 以 下 の 属 性 を 使 することができま 属 性 host = <string> 説 明 ホスト/キーフィールドに このスタンザの 静 的 な 値 を 設 定 し ま ホストキーの 初 期 値 を 設 定 しまこのキーは パーシ ング/インデックス 作 成 時 に 使 されます ( 特 に host フィールドの 設 定 時 ) サーチ 時 に 使 される host フィールドでもありま <string> の 前 には host:: が 付 けられま デフォルト データの 起 源 となる ホストの IP アドレ スまたは 完 全 修 飾 ド メイン 名 index = <string> この からのイベントを 保 管 するインデックスを 設 定 しま <string> の 前 には index:: が 付 けられま インデックスフィールドの 詳 細 は インデクサーとク ラスタの 管 理 マニュアルの インデックス 作 成 の 仕 組 み を 参 照 してください main またはデフォ ルトのインデックス として 設 定 した 任 意 の 値 になりま sourcetype = <string> この からのイベントの sourcetype キー/フィールドを 設 定 しま このデータのソースタイプを 動 的 に 判 断 する 代 わり に 明 的 に 宣 しまこのことは パーシングおよ びインデックス 作 成 中 の このタイプのデータに 対 する サーチ 可 能 性 と 関 連 するフォーマットの 適 の 両 で 重 要 になりま ソースタイプキーの 初 期 値 を 設 定 しまこのキーは パーシング/インデックス 作 成 時 に 使 されます ( 特 に host フィールドの 設 定 時 ) サーチ 時 に 使 される source type フィールドでもありま <string> の 前 には sourcetype:: が 付 けられま ソースタイプの 詳 細 は このマニュアルの ソースタイ プが 重 要 な 理 由 を 参 照 してください 91 * データのさまざま な 側 に 基 づいて ソースタイプが 選 択 されまハード コード 化 されたデ フォルト 値 はありま せん
92 source = <string> * この からのイベントの source キー/フィールドを 設 定 し ま 注 意 :source キーに 優 先 する 設 定 を うことは 般 的 にお 勧 めできません 通 常 レイヤーは データの 取 得 場 所 を 正 確 に 記 録 し 問 題 の 分 析 と 調 査 を 援 するた めに より 正 確 な 字 列 を 提 供 していまこの 値 に 優 先 する 設 定 を う 前 に ソースタイプ タグ 設 定 およ びワイルドカードを 使 ったサーチの 使 を 検 討 してくだ さい <string> の 前 には source:: が 付 けられま ファイルパス queue = [parsingqueue indexqueue] * プロセッサが 読 み 込 んだイベントをデポジットするか どうかを 指 定 しま データに props.conf および 他 のパーシングルールを 適 する 場 合 は parsingqueue を 設 定 しま データを 直 接 インデックスに 送 信 する 場 合 は indexqueue を 設 定 しま デフォルトは parsingqueue で ファイルシステムへの 変 更 のモニター この 機 能 は 廃 予 定 で この 機 能 は Splunk Enterprise バージョン 5.0 から 推 奨 ( 廃 予 定 ) となりました このことは Splunk Enterprise 6.x でこの 機 能 はまだ 機 能 しますが 将 来 のバージョンでは 削 除 される 可 能 性 があることを 意 味 して いま 代 替 案 : Windows システムでのファイルシステム 変 更 のモニター 法 を 学 習 する *nix システムで auditd デーモンを 使 って デーモンからの 出 をモニターする 推 奨 で 廃 予 定 の 機 能 の 覧 は リリースノートの 推 奨 ( 廃 予 定 ) の 機 能 を 参 照 してください Splunk Enterprise のファイルシステム 変 更 モニター 機 能 は ファイルシステム 内 の 変 更 を 追 跡 する 場 合 に 役 ちまファイルシステム 変 更 モニターは 指 定 した 任 意 のディレクトリを 監 視 して そのディレクトリに 何 らか の 変 更 が われた 場 合 に イベントを 成 しまさまざまな 設 定 を 変 更 することができ システム 上 の 任 意 の ファイル (Splunk 固 有 のファイルだけでなく) の 編 集 削 除 追 加 を 検 知 することができまたとえ ば /etc/sysconfig/ を 監 視 して システム 設 定 が 変 更 された 時 にアラートを 成 するように 設 定 することができま ファイルシステム 変 更 モニターは inputs.conf に 設 定 しま 重 要 :この 機 能 と 転 送 機 能 を 使 ってリモートインデクサーにイベントを 送 信 する 場 合 は ヘビーフォワーダー ヘビーフォワーダーを 使 するか または ユニバーサルフォワーダーでの 使 の 説 明 に 従 って 設 定 を う 必 要 がありま 注 意 :Windows でのファイル 読 み 取 りの 監 査 については Splunk コミュニティのベストプラクティス Wiki を 参 照 してください ユーザーによっては Windows のネイティブ 監 査 ツールを 利 する が 簡 単 なこともありま ファイルシステム 変 更 モニター 機 能 の 仕 組 み ファイルシステム 変 更 モニターは 以 下 の 情 報 を 使 って 変 更 を 検 出 しま 変 更 時 グループ ID ユーザー ID ファイルモード ( 読 み 取 り/ 書 き 込 み 属 性 など) ファイルコンテンツの SHA256 ハッシュ (オプション) ファイルシステム 変 更 モニターの 以 下 の 機 能 を 設 定 することができま 正 規 表 現 を 使 ったホワイトリスト 監 視 対 象 ファイルの 指 定 正 規 表 現 を 使 ったブラックリスト スキップするファイルの 指 定 ディレクトリ 再 帰 シンボリックリンクトラバーサルを 含 める 複 数 ディレクトリのスキャン およびそれぞれに 対 する 独 のポーリング 頻 度 の 指 定 暗 号 化 署 名 ファイルシステム 変 更 の 分 散 監 査 データの 作 成 追 加 / 変 更 時 にファイル 全 体 を 1 つのイベントとしてインデックス 作 成 ファイル 全 体 やハッシュの 送 信 にサイズ 削 減 すべての 変 更 イベントのインデックス 作 成 と Splunk Enterprise を 使 ったサーチ 警 告 :root ファイルシステムのモニターに ファイルシステム 変 更 モニターを 使 しないでください そうする と ディレクトリ 再 帰 が 有 効 になっている 場 合 に 危 険 で また 時 間 もかかりま 92
93 ファイルシステム 変 更 モニターの 設 定 デフォルトでファイルシステム 変 更 モニターは $SPLUNK_HOME/etc/ の 内 容 が 変 更 削 除 または 追 加 された 場 合 に 監 査 イベントを 成 しまSplunk Enterprise を 初 めて 起 動 する 場 合 $SPLUNK_HOME/etc/ ディレクトリとそ のサブディレクトリ 内 の 各 ファイルに 対 して 監 査 イベントが 成 されまその 後 は 設 定 に 変 更 が われると ( 段 に 関 係 なく) 影 響 するファイルに 対 して 監 査 イベントが 作 成 されまsignedaudit=true の 場 合 ファイルシ ステム 変 更 監 査 イベントは 監 査 インデックス (index=_audit) に 保 管 されまsignedaudit が 有 効 になっていない 場 合 は 他 のインデックスを 指 定 しない 限 り デフォルトでイベントは main インデックスに 書 き 込 まれま 注 意 :ファイルシステム 変 更 モニターは 変 更 を ったアカウントのユーザー 名 は 追 跡 しません 変 更 の 発 の みを 追 跡 していまユーザーレベルのモニタリングの 場 合 は その 情 報 にアクセスするネイティブのオペレー ティングシステム 監 査 ツールの 使 を 検 討 してください ファイルシステム 変 更 モニターを 使 ってディレクトリを 監 視 するには $SPLUNK_HOME/etc/system/local/ 内 または $SPLUNK_HOME/etc/apps/ の 独 の App ディレクトリ 内 の inputs.conf に [fschange] スタンザを 追 加 または 編 集 しま 設 定 ファイルの 般 情 報 については 管 理 マニュアル の 設 定 ファイルについて を 参 照 してください 注 意 : [fschange] スタンザを 変 更 した 場 合 は Splunk Enterprise を 再 起 動 する 必 要 がありま 構 [fschange] スタンザの 構 を 以 下 に しま [fschange:<directory or file to monitor>] <attribute1> = <val1> <attribute2> = <val2>... 以 下 の 事 項 に 注 意 してください 属 性 指 定 ディレクトリとそのサブディレクトリの すべての 追 加 / 更 新 / 削 除 操 作 がモニターされま 任 意 の 変 更 により Splunk がインデックスを 作 成 するイベントが 成 されま <directory or file to monitor> デフォルトは $SPLUNK_HOME/etc/ で すべての 属 性 は 任 意 で 省 略 することができま 利 可 能 な 属 性 の 覧 を 以 下 に しま index=<indexname> 属 性 説 明 成 されたすべてのイベントを 保 管 するイ ンデックス recurse=<true false> 真 (True) の 場 合 <code[fschange]</code> で 指 定 されてい るディレクトリ 内 のすべてのディレクトリ が 再 帰 されま followlinks=<true false> 真 (True) の 場 合 ファイルシステム 変 更 モニターはシンボリックリンクを 追 いま デフォルト main ( 監 査 イベント 署 名 を 有 効 にしていない 場 合 ) true false 警 告 : followlinks の 設 定 には 注 意 を 払 う 必 要 があ りまそうしないと システムループが 発 す る 可 能 性 がありま pollperiod=n このディレクトリに 対 する 変 更 を N 秒 ご とにチェックしま 3600 秒 何 らかの 変 更 を った 場 合 そのシス テム 監 査 イベ ントが 成 さ れ それが 監 査 サーチに 利 できるよ うになるま で 秒 ほどかかり ま hashmaxsize=n * N バイト 以 下 の 各 ファイルの SHA1 ハッ シュを 算 出 しま このハッシュは ファイル/ディレク トリの 変 更 を 検 出 するための 追 加 の 段 として 利 することができま 93-1 ( 変 更 検 出 にハッシュを 使 しない)
94 signedaudit=<true false> * 暗 号 化 署 名 した 追 加 / 更 新 / 削 除 イベント を 送 信 しま 真 (True) を 設 定 すると _audit イン デックス 内 にイベントが 成 されま index 属 性 を 設 定 している 場 合 は 偽 (False) を 設 定 する 必 要 がありま 注 意 : signedaudit に 真 (True) を 設 定 する 場 合 は audit.conf で 監 査 が 有 効 になって いることを 確 認 してください false fullevent=<true false> * 追 加 または 更 新 を 検 出 した 場 合 に 完 全 なイベントを 送 信 しま sendeventmaxsize 属 性 でさらに 修 飾 さ れま false sendeventmaxsize=n * イベントのサイズが N バイト 以 下 の 場 合 にのみ 完 全 なイベントを 送 信 しま これにより インデックス 作 成 され たファイルデータのサイズを 制 限 し ま -1 ( 無 制 限 ) sourcetype = <string> * この からのイベントのソースタイプ を 設 定 しま <string> の 前 には sourcetype:: が 動 的 に 追 加 されま audittrail (signedaudit=true の 場 合 ) または fs_notification (signedaudit=false の 場 合 ) filesperdelay = <integer> * <integer> 件 のファイルの 処 理 後 delayinmills に 指 定 されている 時 間 に 相 当 する 遅 延 を 挟 みま これは CPU を 消 費 しすぎないよう に ファイルシステムのモニタリン グを 抑 制 するために いられま N/A delayinmills = <integer> * filesperdelay に 指 定 されているよう に <integer> 件 のファイルの 処 理 ごとに 使 する 遅 延 時 間 (ミリ 秒 ) これは CPU を 消 費 しすぎないよう に ファイルシステムのモニタリン グを 抑 制 するために いられま filters=<filter1>,<filter2>,...<filtern> これらの 各 フィルタは モニターのポーリ ングサイクル 中 に つかった 各 ファイルや ディレクトリに 対 して 左 から 右 へと 適 されていきまフィルタの 定 義 について は 次 のセクションを 参 照 してください N/A フィルタの 定 義 filters 属 性 で 使 するフィルタを 定 義 するには 以 下 のように [filter...] スタンザを 定 義 しま [filter:blacklist:backups] regex1 =.*bak regex2 =.*bk [filter:whitelist:code] regex1 =.*\.c regex2 =.*\.h [fschange:/etc] filters = backups,code fschange ホワイトリスト/ブラックリストは 般 的 なファイアウォールのロジックと 同 様 に 処 理 されまイ ベントは 最 初 に 致 するフィルタが つかるまで フィルタのリストと 順 番 に 照 合 されていきまイベントと 最 初 に 致 したフィルタがホワイトリストの 場 合 そのイベントのインデックスが 作 成 されまイベントと 最 初 に 致 したフィルタがブラックリストの 場 合 そのイベントのインデックスは 作 成 されません 致 するフィルタ が つからなかった 場 合 は イベントのインデックスが 作 成 されまこれは 暗 黙 的 に すべて 通 過 フィルタ が 存 在 し すべてに 該 当 しないイベントのインデックスが 作 成 されることを 意 味 していまそのような 場 合 にイ 94
95 ンデックスを 作 成 させたくない 場 合 は リストの 最 後 に 残 りのイベントに 致 するブラックリストを 設 定 しま 例 :... filters = <filter1>, <filter2>,... terminal-blacklist [filter:blacklist:terminal-blacklist] regex1 =.? 重 要 : 連 のホワイトリストの 最 後 にある 最 終 ブラックリストも 含 めて あるディレクトリをブラックリスト の 対 象 にした 場 合 そのすべてのサブフォルダとファイルが 動 的 にブラックリストの 対 象 となり ホワイトリ ストに 渡 されることはありません これに 対 処 するために ブラックリストフィルタの 前 に 必 要 なフォルダとサ ブフォルダすべてを 明 的 にホワイトリストに 指 定 してください 例 指 定 ディレクトリ 内 の 拡 張 が.config.xml.properties および.log のファイルをモニターし その 他 すべて を 無 視 する 設 定 を 以 下 に しま 注 意 :この 例 では 1 つのディレクトリがブラックリストに 該 当 する 可 能 性 がありまその 場 合 そのすべ てのサブフォルダとファイルも 動 的 にブラックリスト 化 されまホワイトリストに 指 定 されたディレクトリ 内 のファイルのみがモニターされま [filter:whitelist:configs] regex1 =.*\.config regex2 =.*\.xml regex3 =.*\.properties regex4 =.*\.log [filter:blacklist:terminal-blacklist] regex1 =.? [fschange:/var/apache] index = sample recurse = true followlinks = false signedaudit = false fullevent = true sendeventmaxsize = delayinmills = 1000 filters = configs,terminal-blacklist ユニバーサルフォワーダーでの 使 ユニバーサルフォワーダーからファイルシステム 変 更 モニターイベントを 転 送 するには signedaudit = false と index=_audit を 設 定 する 必 要 がありま [fschange:<directory or file to monitor>] signedaudit = false index=_audit この 法 では ファイルシステムモニターイベントのインデックスが _audit インデックスに 作 成 さ れ sourcetype に fs_notification が source に fschangemonitor が 設 定 されます (sourcetype と source の 両 に 対 し てデフォルト 値 の audittrail ではない) スクリプト を 介 した API や 他 のリモートデータインターフェイス からのデータの 取 得 Splunk Enterprise は 指 定 したスクリプトからのイベントを 受 け 取 ることができまスクリプト は vmstat iostat netstat top などの Windows/*nix コマンドラインツールと 連 携 使 する 場 合 に 役 ちま スクリプト を 使 って API や 他 のリモートデータインターフェイス/メッセージキューからデータを 取 得 することができま 次 にそのデータに 対 して vmstat や iostat などのコマンドを 使 って 測 定 基 準 やステータス データを 成 することができま 注 意 :このトピックは すでに 連 の に 書 き 込 んだスクリプト の 追 加 法 を 説 明 していまスクリプ ト の 開 発 法 については Developing Views and Apps for Splunk Web マニュアルの Build scripted inputs を 参 照 してください Splunk Apps にあるさまざまな App が 特 定 の 途 向 けのスクリプト を 提 供 していま 検 索 するに は [App] メニューで [Browse more apps] ( 他 の App を 参 照 ) オプションを 使 しま 95
96 スクリプト を 設 定 するには [システム] を 使 するか または inputs.conf を 編 集 しま 注 意 :Windows プラットフォームでは 中 継 Windows バッチ (.bat) または PowerShell (.ps1) ファイルを 使 っ て perl や python などのテキストベースのスクリプトを 有 効 にすることができま 警 告 :スクリプト 経 由 で 起 動 されたスクリプトは Splunk Enterprise 環 境 を 継 承 しまスクリプトの 動 作 に 影 響 する 環 境 変 数 は 忘 れずに 消 去 してください 問 題 が 発 する 可 能 性 が い 唯 の 環 境 変 数 が ライブラ リパスの 環 境 変 数 です ( 般 的 に Linux Solaris および FreeBSD では LD_LIBRARY_PATH) Splunk Enterprise は stderr I/O チャネルに 送 信 される 任 意 のメッセージを スクリプト を 使 って splunkd.log に 記 録 しま Splunk Web を 使 ったスクリプト の 追 加 Splunk Web にスクリプト を 追 加 するには このマニュアルの スクリプト を 参 照 してください inputs.conf を 使 ったスクリプト の 追 加 スクリプト を 追 加 するには inputs.conf に [script] スタンザを 追 加 しま 構 [script] スタンザの 構 を 以 下 に しま [script://$script] <attrbute1> = <val1> <attrbute2> = <val2>... 以 下 の 事 項 に 注 意 してください 属 性 $SCRIPT は スクリプトのある 場 所 への 完 全 パスで ベストプラクティスとして スクリプトを 指 定 した inputs.conf から もっとも 近 い bin/ ディレクトリにス クリプトを 保 管 してください たとえば $SPLUNK_HOME/etc/system/local/inputs.conf を 設 定 した 場 合 スクリ プトは $SPLUNK_HOME/etc/system/bin/ に 保 管 してください $SPLUNK_HOME/etc/apps/$APPLICATION/ 内 のアプリケー ションに 対 して 作 業 を っている 場 合 は Splunk を $SPLUNK_HOME/etc/apps/$APPLICATION/bin/ に 保 管 しま すべての 属 性 は 任 意 で 省 略 することができま 利 可 能 な 属 性 の 覧 を 以 下 に しま interval = 属 性 <number> <cron schedule> 説 明 * 指 定 したコマンドの 実 頻 度 を しま 秒 を 表 す 整 数 値 または 有 効 な cron スケジュールを 指 定 しま cron schedule を 指 定 した 場 合 起 動 時 にスクリプ トは 実 されません cron スケジュールに 定 義 されている 時 間 に 実 されま Splunk Enterprise はインスタンスあたり 1 つ のスクリプト 呼 び 出 しを 維 持 しま 間 隔 は ス クリプトの 完 了 時 期 に 基 づいていまそのた め 10 分 ごとに 実 するように 設 定 したスクリ プトがあり スクリプトの 実 完 了 に 20 分 か かった 場 合 次 回 のスクリプト 実 は 最 初 の 実 から 30 分 後 に われま 常 時 データストリームがある 場 合 は 1 (また は スクリプトの 間 隔 よりも さな 値 ) を し ま 単 発 のデータストリームの 場 合 は -1 を し まinterval に -1 を 設 定 すると 毎 回 Splunk デーモンの 再 起 動 時 にスクリプトが 実 されま 60 秒 デフォルト index = <string> * この からのイベントを 保 管 するインデックスを 設 定 しま <string> の 前 に index:: が 付 けられま インデックスフィールドの 詳 細 は インデク サーとクラスタの 管 理 マニュアルの インデッ クス 作 成 の 仕 組 み を 参 照 してください main またはデフォルトのイン デックスとして 設 定 した 任 意 の 値 になりま sourcetype = <string> この からのイベントの sourcetype キー/フィール ドを 設 定 しま このデータのソースタイプを 動 的 に 判 断 する 代 わりに 明 的 に 宣 しまこのことは パー 96 データのさまざまな 側 に 基 づ いてソースタイプが 選 択 されま ハードコード 化 されたデ フォルト 値 はありません
97 シングおよびインデックス 作 成 中 の このタイプ のデータに 対 するサーチ 可 能 性 と 関 連 するフォー マットの 適 の 両 で 重 要 になりま ソースタイプキーの 初 期 値 を 設 定 しまこの キーは パーシング/インデックス 作 成 時 に 使 されます ( 特 に host フィールドの 設 定 時 ) サー チ 時 に 使 される source type フィールドでも ありま <string> の 前 には sourcetype:: が 付 けられま ソースタイプの 詳 細 は このマニュアルの ソー スタイプが 重 要 な 理 由 を 参 照 してください source = <string> * この からのイベントの source キー/フィールド を 設 定 しま 注 意 :ソースキーに 優 先 する 設 定 は わないこ とをお 勧 めしま 通 常 レイヤーは データ の 取 得 場 所 を 正 確 に 記 録 し 問 題 の 分 析 と 調 査 を 援 するために より 正 確 な 字 列 を 提 供 してい まこの 値 に 優 先 する 設 定 を う 前 に ソース タイプ タグ 設 定 およびワイルドカードを 使 っ たサーチの 使 を 検 討 してください <string> の 前 に source:: が 付 けられま ファイルパス disabled = <true false> * disabled は を 無 効 にしたい 場 合 に 真 (True) を 設 定 する 論 理 値 で false スクリプトを 継 続 的 に 実 する 場 合 は 終 了 しないようにスクリプトを 作 成 し それに 短 い 間 隔 を 設 定 しまこ れにより 何 か 問 題 があった 場 合 でも Splunk が 再 起 動 されまSplunk Enterprise は 実 されたスクリプト を 追 跡 し 終 了 時 にはシャットダウンを いま ラッパースクリプトの 使 スクリプト に 引 数 を 指 定 したコマンドを 使 するラッパースクリプトを 作 成 するのもお 勧 めできまコ マンドに Splunk Web が されたテキストの 検 証 時 にエスケープ 処 理 を う 特 殊 字 を 使 できることも ありまこの 場 合 以 前 に 設 定 した の 更 新 すると 保 存 に 失 敗 してしまいま 注 意 :Splunk Enterprise がテキストの 検 証 時 にエスケープ 処 理 を う 字 とは 等 号 (=) やセミコロン (;) などの パスに 使 できない 字 のことで たとえば 以 下 のスクリプト を Splunk Web で 編 集 した 場 合 Splunk Enterprise がパラメータ 内 の 等 号 (=) をエスケープ 処 理 して myutil.py ユーティリティに 渡 すため 正 しく 保 存 されません [script://$splunk_home/etc/apps/myapp/bin/myutil.py file=my_datacsv] disabled = false この 問 題 を 回 避 するために スクリプト を 含 むラッパースクリプトを 作 成 してください (conf ファイルの 直 接 編 集 による の 更 新 は この 検 証 の 対 象 にはなりません )ラッパースクリプトの 作 成 については Developing Views and Apps for Splunk Web マニュアルの Scripted inputs overview を 参 照 してくだ さい inputs.conf の 使 例 データ のソースとして UNIX の top コマンドを 使 する 例 を 以 下 に しま 1. 新 しいアプリケーションディレクトリを 作 成 しまこの 例 では scripts/ を 使 しま $ mkdir $SPLUNK_HOME/etc/apps/scripts 2.すべてのスクリプトは アプリケーションディレクトリ 内 の bin/ ディレクトリから 実 する 必 要 がありま $ mkdir $SPLUNK_HOME/etc/apps/scripts/bin 3.この 例 は さなシェルスクリプト top.sh を 使 しま $ #!/bin/sh top -bn 1 # linux only - different OSes have different parameters 4.スクリプトが 実 形 式 であることを 確 認 してください chmod +x $SPLUNK_HOME/etc/apps/scripts/bin/top.sh 5.シェルを 介 してスクリプトを 実 することで スクリプトが 正 しく 機 能 することを 確 認 してください 97
98 $SPLUNK_HOME/etc/apps/scripts/bin/top.sh スクリプトは 1 つの top 出 を 送 信 する 必 要 がありま 6.スクリプトのエントリを $SPLUNK_HOME/etc/apps/scripts/local/ 内 の inputs.conf に 追 加 しま [script:///opt/splunk/etc/apps/scripts/bin/top.sh] interval = 5 sourcetype = top source = script://./bin/top.sh # run every 5 seconds # set sourcetype to top # set source to name of script 注 意 :props.conf を 変 更 しなければならない 場 合 もありま デフォルトで Splunk Enterprise は 単 の top エントリを 複 数 のイベントに 分 割 しま この 問 題 に 対 処 するには 出 に 存 在 していない 何 らかの 項 の 前 でのみ 分 割 するように サーバーに 指 しま たとえば $SPLUNK_HOME/etc/apps/scripts/default/props.conf に 以 下 の 項 を 追 加 すると すべての が 単 のイベ ントに 含 まれま [top] BREAK_ONLY_BEFORE = <stuff> top 出 にはタイムスタンプがないため 現 在 の 時 刻 を 使 するように 指 定 する 必 要 がありまそのために は props.conf に 以 下 の 項 を 設 定 しま DATETIME_CONFIG = CURRENT cron スケジュールへの interval 属 性 の 設 定 上 記 の 例 で 以 下 のような 字 列 を 使 して cron スケジュールに interval 属 性 を 設 定 することもできま 0 * * * *:1 時 間 に 1 回 時 間 の 開 始 時 に 実 することを しま */ * * 1-5: 曜 の 午 前 9 時 から 午 後 5 時 までの 間 15 分 ごとに 実 することを しま 15,35,55 0-6, */2 *: 各 偶 数 ( など) の 始 めに 午 前 0 時 午 前 7 時 および 午 後 8 時 午 前 0 時 の 間 の 各 時 間 の および 55 分 に 実 することを しま cron スケジュールの 詳 細 は Crontab Web サイトの CRONTAB(5) を 参 照 してください crawl を 使 ったモニター 項 の 発 この 機 能 は 廃 予 定 で この 機 能 は Splunk Enterprise バージョン 6.0 から 推 奨 ( 廃 予 定 ) となりました このことは この 機 能 はまだ 利 できますが 将 来 のバージョンでは 削 除 される 可 能 性 があることを 意 味 していま 代 わりに ファ イルやディレクトリをサーチして 動 でモニターすることができま 推 奨 で 廃 予 定 の 機 能 の 覧 は リリースノートの 推 奨 ( 廃 予 定 ) の 機 能 を 参 照 してください ファイルシステムまたはネットワークをサーチして インデックスに 追 加 する 新 たなデータソースを 探 すに は crawl サーチコマンドを 使 しま デフォルトの crawl 設 定 を 変 更 するには crawl.conf を 編 修 しまcrawl 実 時 の crawl のデフォルトに 優 先 す る 設 定 を えま crawl は crawl アクティビティのログを 成 し $SPLUNK_HOME/var/log/splunk/crawl.log に 保 管 しま crawl のデフォルトの 変 更 crawl のデフォルトの 設 定 を 変 更 するには $SPLUNK_HOME/etc/system/local/crawl.conf を 編 集 しまファイルと ネットワークの crawl は それぞれ 独 のスタンザに 個 別 に 定 義 しま 構 crawl.conf には 2 つのスタンザが 存 在 していま[files]と [network] は それぞれがファイルとネットワーク の crawl のデフォルトを 定 義 していま これらのスタンザに 定 義 できる 属 性 とデフォルト 値 の 詳 細 は crawl.conf spec ファイルを 参 照 してください 例 98
99 ファイルとネットワークの 両 に 対 して crawl 設 定 が 定 義 されている crawl.conf ファイルの 例 を 以 下 に しま [files] bad_directories_list= bin, sbin, boot, mnt, proc, tmp, temp, home, mail,.thumbnails, cache, old bad_extensions_list= mp3, mpg, jpeg, jpg, m4, mcp, mid bad_file_matches_list= *example*, *makefile, core.* packed_extensions_list= gz, tgz, tar, zip collapse_threshold= 10 days_sizek_pairs_list= 3-0,7-1000, big_dir_filecount= 100 index=main max_badfiles_per_dir=100 [network] host = myserver subnet = 24 </pre> イベント 処 理 の 設 定 イベント 処 理 の 概 要 イベントは ログファイル 内 のアクティビティレコードで インデックスに 保 管 されまこれが 主 に Splunk Enterprise がインデックスを 作 成 するデータでイベントは ログファイルを 成 したシステムに 関 する 情 報 を 提 供 していま イベントデータ と 呼 ばれる 語 は Splunk インデックスの 内 容 を 表 していま イベントの 例 を 以 下 に しま [01/Jul/2005:12:05: ] "GET /trade/app?action=logout HTTP/1.1" Splunk Enterprise がイベントのインデックスを 作 成 する 場 合 以 下 のような 処 理 が われま 字 セットのエンコードを 設 定 する 複 数 イベントの 分 割 を 設 定 する イベントのタイムスタンプを 識 別 する (イベントにタイムスタンプが 存 在 しない 場 合 はタイムスタンプを 割 り 当 てる) host source および sourcetype などの 役 に つ 連 の 標 準 フィールドを 抽 出 する イベントをセグメントに 分 割 する イベントに 動 的 にメタデータを 割 り 当 てる ( 指 定 されている 場 合 ) データを 匿 名 化 する ( 指 定 されている 場 合 ) Splunk Enterprise のインデックス 作 成 処 理 の 概 要 については インデクサーとクラスタの 管 理 マニュアルの インデックスの 概 要 を 参 照 してください 字 セットのエンコードの 設 定 Splunk Enterprise では データソースの 字 セットのエンコードを 設 定 することができまSplunk Enterprise には Splunk デプロイ 環 境 の 国 際 化 をサポートするために 内 蔵 の 字 セット 規 格 が 意 されてい まSplunk Enterprise は さまざまな 語 をサポートしています (UTF-8 エンコードを 使 しない 部 の 語 も 含 む) デフォルトでは ソースに 対 して UTF-8 エンコードの 適 が 試 みられまソースが UTF-8 エンコードを 使 していない 場 合 または ASCII ファイルの 場 合 props.conf に CHARSET キーを 設 定 して 使 する 字 セットを 指 定 していない 限 り Splunk Enterprise はソースからのデータの UTF-8 エンコードへの 変 換 を 試 みま 部 分 の *nix システムでは iconv -l コマンドを 使 って 有 効 な 字 エンコード 規 格 の 覧 を 取 得 することができ まWindows では iconv のポートを 利 できま サポートする 字 セット Splunk Enterprise は 以 下 のような 字 セットを 含 め 多 彩 な 字 セットをサポートしていま UTF-8 UTF-16LE Latin-1 BIG5 SHIFT-JIS 完 全 な 覧 については このトピックの 最 後 にある サポートするすべての 字 セットの 覧 を 参 照 してくださ い ここでは Splunk Enterprise がサポートしている 主 要 な 字 セットと 対 応 する 語 の 覧 を 記 載 していま 語 コード 99
100 アラビア 語 アラビア 語 アルメニア 語 ベラルーシ 語 ブルガリア 語 チェコ 語 グルジア 語 ギリシャ 語 ヘブライ 語 本 語 本 語 韓 国 語 ロシア 語 ロシア 語 ロシア 語 スロバキア 語 スロベニア 語 タイ 語 ウクライナ 語 ベトナム 語 CP1256 ISO ARMSCII-8 CP1251 ISO ISO Georgian-Academy ISO ISO EUC-JP SHIFT-JIS EUC-KR CP1251 ISO KOI8-R CP1250 ISO TIS-620 KOI8-U VISCII 字 セットの 動 指 定 に 適 する 字 セットを 動 で 指 定 するには props.conf に CHARSET キーを 設 定 しま [spec] CHARSET=<string> たとえば ギリシャ 語 のデータを 成 しているホスト (この 例 では GreekSource ) があり そのホストが ISO エンコードを 使 している 場 合 は props.conf 内 でそのホストに 対 して CHARSET=ISO を 設 定 しま [host::greeksource] CHARSET=ISO 注 意 :Splunk Enterprise は UTF-8 マッピングのある 字 エンコードのみをパーシングしま 部 の EUC- JP 字 セットには UTF-8 エンコードへのマッピングがありません 字 セットの 動 指 定 Splunk Enterprise は その 洗 練 された 字 セットエンコードアルゴリズムを 使 って 動 的 に 語 と 適 切 な 字 セットを 認 識 することができま 特 定 の に 対 して 動 的 に 適 切 な 語 と 字 セットを 認 識 するには props.conf 内 でその に CHARSET=AUTO を 設 定 しまたとえば ホスト my-foreign-docs の 字 セットエンコードを 動 的 に 認 識 させる 場 合 は props.conf 内 でそのホストに CHARSET=AUTO を 設 定 しま [host::my-foreign-docs] CHARSET=AUTO Splunk が 字 セットを 認 識 しない 場 合 Splunk Enterprise が 認 識 できない 字 セットエンコードを 使 する 場 合 は 以 下 のパスにサンプルファイルを 追 加 して 字 セットの 認 識 法 を 学 習 させま $SPLUNK_HOME/etc/ngram-models/_<language>-<encoding>.txt 字 セット 仕 様 ファイルを 追 加 したら Splunk Enterprise を 再 起 動 する 必 要 がありま 再 起 動 後 新 しい 字 セットを 使 するソースを 認 識 できるようになり インデックス 時 にそれが 動 的 に UTF-8 に 変 換 されま 100
101 たとえば vulcan-iso 字 セットを 使 する 場 合 仕 様 ファイルを 以 下 のパスにコピーしま /SPLUNK_HOME/etc/ngram-models/_vulcan-ISO txt サポートするすべての 字 セットの 覧 前 述 の 共 通 の 字 セットは CHARSET 属 性 がサポートする 字 セットの さなサブセットに 過 ぎません Splunk Enterprise がサポートしている 字 セットやエイリアスのリストは 膨 で *nix の iconv ユーティリティ がサポートしているリストと 同 じでここでは すべての 字 セットのリストを 記 載 しままた 括 弧 内 はエ イリアスを 表 していま utf-8 (aka CESU-8 ANSI_X ANSI_X ASCII CP367 IBM367 ISO-IR-6 ISO646-US ISO_646.IRV:1991 US US-ASCII CSASCII) utf-16le (aka UCS-2LE, UNICODELITTLE) utf-16be (aka ISO UCS-2 UCS-2 CSUNICODE UCS-2BE UNICODE-1-1 UNICODEBIG CSUNICODE11 UTF-16) utf-32le (aka UCS-4LE) utf-32be (aka ISO UCS-4 UCS-4 CSUCS4 UCS-4BE UTF-32) utf-7 (aka UNICODE-1-1-UTF-7 CSUNICODE11UTF7) c99 (aka java) utf-ebcdic latin-1 (aka CP819 IBM819 ISO ISO-IR-100 ISO_8859-1:1987 L1 CSISOLATIN1) latin-2 (aka ISO ISO-IR-101 ISO_8859-2:1987 L2 CSISOLATIN2) latin-3 (aka ISO ISO-IR-109 ISO_8859-3:1988 L3 CSISOLATIN3) latin-4 (aka ISO ISO-IR-110 ISO_8859-4:1988 L4 CSISOLATIN4) latin-5 (aka ISO ISO-IR-148 ISO_8859-9:1989 L5 CSISOLATIN5) latin-6 (aka ISO ISO-IR-157 ISO_ :1992 L6 CSISOLATIN6) latin-7 (aka ISO ISO-IR-179 L7) latin-8 (aka ISO ISO-CELTIC ISO-IR-199 ISO_ :1998 L8) latin-9 (aka ISO ISO-IR-203 ISO_ :1998) latin-10 (aka ISO ISO-IR-226 ISO_ :2001 L10 LATIN10) ISO (aka CYRILLIC ISO-IR-144 ISO_8859-5:198,8 CSISOLATINCYRILLIC) ISO (aka ARABIC ASMO-708 ECMA-114 ISO-IR-127 ISO_8859-6:1987 CSISOLATINARABIC MACARABIC) ISO (aka ECMA-118 ELOT_928 GREEK GREEK8 ISO-IR-126 ISO_8859-7:1987 ISO_8859-7:2003 CSISOLATINGREEK) ISO (aka HEBREW ISO ISO-IR-138 ISO ISO_8859-8:1988 CSISOLATINHEBREW) ISO roman-8 (aka HP-ROMAN8 R8 CSHPROMAN8) KOI8-R (aka CSKOI8R) KOI8-U KOI8-T GEORGIAN-ACADEMY GEORGIAN-PS ARMSCII-8 MACINTOSH (aka MAC MACROMAN CSMACINTOSH) [ 注 意 :これらの MAC* 字 セットは MacOS 9 でMac OS X は Unicode を 使 していま] MACGREEK MACCYRILLIC MACUKRAINE MACCENTRALEUROPE MACTURKISH MACCROATIAN MACICELAND MACROMANIA MACHEBREW MACTHAI NEXTSTEP CP850 (aka 850 IBM850 CSPC850MULTILINGUAL) CP862 (aka 862 IBM862 CSPC862LATINHEBREW) CP866 (aka 866 IBM866 CSIBM866) CP874 (aka WINDOWS-874) CP932 CP936 (aka MS936 WINDOWS-936) CP949 (aka UHC) CP950 CP1250 (aka MS-EE WINDOWS-1250) CP1251 (aka MS-CYRL WINDOWS-1251) CP1252 (aka MS-ANSI WINDOWS-1252) CP1253 (aka MS-GREEK WINDOWS-1253) CP1254 (aka MS-TURK WINDOWS-1254) CP1255 (aka MS-HEBR WINDOWS-1255) CP1256 (aka MS-ARAB WINDOWS-1256) CP1257 (aka WINBALTRIM WINDOWS-1257) CP1258 (aka WINDOWS-1258) CP1361 (aka JOHAB) BIG-5 (aka BIG-FIVE CN-BIG5 CSBIG5) BIG5-HKSCS(aka BIG5-HKSCS:2001) CN-GB (aka EUC-CN EUCCN GB2312 CSGB2312) EUC-JP (aka EXTENDED_UNIX_CODE_PACKED_FORMAT_FOR_JAPANESE CSEUCPKDFMTJAPANESE) EUC-KR (aka CSEUCKR) 101
102 EUC-TW (aka CSEUCTW) GB18030 GBK GB_ (aka ISO-IR-57 ISO646-CN CSISO57GB1988 CN) HZ (aka HZ-GB-2312) GB_ (aka CHINESE, ISO-IR-58 CSISO58GB231280) SHIFT-JIS (aka MS_KANJI SJIS, CSSHIFTJIS) ISO-IR-87 (aka JIS0208 JIS_C JIS_X0208 JIS_X JIS_X X0208 CSISO87JISX0208 ISO-IR-159 JIS_X0212 JIS_X JIS_X X0212 CSISO159JISX ) ISO-IR-14 (aka ISO646-JP JIS_C RO JP CSISO14JISC6220RO) JISX (aka JIS_X0201 X0201 CSHALFWIDTHKATAKANA) ISO-IR-149 (aka KOREAN KSC_5601 KS_C_ KS_C_ CSKSC ) VISCII (aka VISCII1.1-1 CSVISCII) ISO-IR-166 (aka TIS-620 TIS620-0 TIS TIS TIS ) 注 意 : Splunk Enterprise は CHARSET の 照 合 時 に 句 読 点 と 字 字 の 区 別 を 無 視 しまたとえば utf-8 UTF-8 および utf8 はすべて 同 とみなされま イベント 改 の 設 定 イベントの 中 には 複 数 の から 構 成 されているものもありまデフォルトで Splunk Enterprise は 部 分 の 複 数 イベントを 正 確 に 処 理 できま 正 しく 処 理 されない 複 数 イベントがある 場 合 は ソフトウェアの 分 割 動 作 を 変 更 するように 設 定 する 必 要 がありま Splunk Enterprise がイベント 境 界 を 判 別 する 仕 組 み Splunk Enterprise は 2 つのステップで イベント 境 界 を 判 別 していま 1. 改 LINE_BREAKER 属 性 の 正 規 表 現 値 を 使 って 受 信 ストリームのバイトを 個 別 の に 分 割 しまデフォルト で LINE_BREAKER は 任 意 の 改 または 復 帰 改 (([\r\n]+)) になりま 2. の 結 合 SHOULD_LINEMERGE 属 性 が 真 (True) (デフォルト) の 場 合 にのみ われまこのステップは 他 のすべ ての 結 合 設 定 ( 例 :BREAK_ONLY_BEFORE, BREAK_ONLY_BEFORE_DATE, MUST_BREAK_AFTER, など) を 使 って 以 前 に 分 割 した を 結 合 してイベントを 作 成 しま 2 番 のステップが 実 されない 場 合 (SHOULD_LINEMERGE に 偽 (False) を 設 定 した 場 合 ) イベントは 単 純 に LINE_BREAKER により 決 定 される 個 別 の になりま 最 初 のステップは 較 的 効 率 的 に われますが 2 番 の ステップの 処 理 には 較 的 時 間 がかかりまLINE_BREAKER 正 規 表 現 を 熟 知 していれば 最 初 のステップだけ 実 施 して 2 番 のステップを ばしても 分 に 的 の 結 果 を 得 られることがありまデータの 部 分 が 複 数 イ ベントである 場 合 などに この 法 が 特 に 役 ちま イベント 境 界 の 設 定 法 多 くのログは 厳 密 に 1 に 1 つのイベントの 形 式 を 採 していますが そうではないログも 存 在 していま 般 的 には Splunk Enterprise が 動 的 にイベント 境 界 を 認 識 することができまイベント 境 界 の 認 識 が 正 しく われない 場 合 には props.conf にカスタムルールを 設 定 することができま 複 数 イベントを 設 定 するには まずイベントの 形 式 を 調 査 しまイベントの 開 始 または 終 了 を 設 定 するため に イベント 内 のパターンを 判 断 しま 次 に $SPLUNK_HOME/etc/system/local/props.conf を 編 集 して データを 設 定 するために 必 要 な 属 性 を 指 定 しま 複 数 イベントを 処 理 するには 2 種 類 の 法 がありま データストリームを に 分 割 し それをイベントに 再 構 築 する 般 的 にこの 法 は 複 数 の 属 性 を 使 って 結 合 ルールを 定 義 できるため 設 定 プロセスが 簡 単 になりまデータを 複 数 の に 分 割 するに は LINE_BREAKER 属 性 を 使 しまそれと 緒 に SHOULD_LINEMERGE=true を 設 定 し また 結 合 属 性 (BREAK_ONLY_BEFORE など) を 設 定 して を 再 構 築 してイベントを 作 成 する 法 を Splunk に 指 しま データがデフォルトの LINE_BREAKER 設 定 ( 任 意 の 数 の 改 と 復 帰 改 ) に 正 しく 準 拠 している 場 合 は LINE_BREAKER を 変 更 する 必 要 はありません 単 純 に SHOULD_LINEMERGE=true を 設 定 して 再 構 築 するための 結 合 属 性 を 使 しま LINE_BREAKER 機 能 を 使 って データストリームを 直 接 イベントに 分 割 する この 法 はインデックス 作 成 速 度 が 向 上 する 可 能 性 がありますが 作 業 はある 程 度 複 雑 で 困 難 になりまインデックス 作 成 に 時 間 がかか り 量 のデータが 複 数 イベントから 成 り っている 場 合 は この 法 でパフォーマンスを 幅 に 改 善 す ることができまLINE_BREAKER 属 性 と SHOULD_LINEMERGE=false を 使 しま これらの 属 性 については 後 述 しま 分 割 の 般 属 性 分 割 に 影 響 する props.conf 属 性 を 以 下 に しま 属 性 TRUNCATE = <nonnegative integer> 説 明 デフォルトの 最 (バイト) を 変 更 しまこの 属 性 の 単 位 はバイトですが 複 数 バイト 字 のために 字 の 途 中 で 終 了 する 場 合 の さが 丸 められるこ とに 注 意 してください 切 り 詰 めを わない 場 合 は 0 を 設 定 します (た バイト デフォルト
103 だし 常 に い はしばしば 無 効 なデータの 兆 候 でもあります) LINE_BREAKER = <regular expression> * の 結 合 処 理 ( 後 述 の SHOULD_LINEMERGE 属 性 が 指 定 さ れている 場 合 ) を う 前 の raw テキストを 初 期 イベ ントに 分 割 する 法 を 決 定 する 正 規 表 現 を 指 定 しま 正 規 表 現 には 捕 捉 グループ ( 致 項 の 識 別 さ れたサブコンポーネントを 定 義 する 括 弧 のペア) を 含 める 必 要 がありま 正 規 表 現 に 致 する 場 合 Splunk Enterprise は 最 初 の 捕 捉 グループの 開 始 点 を 前 のイベント の 終 了 点 とみなし 最 初 の 捕 捉 グループの 終 了 点 を 次 のイベントの 開 始 点 とみなしま 最 初 の 捕 捉 グループの 内 容 は 破 棄 されまこ の 内 容 は どのイベントにも 存 在 しません こ れは Splunk にそのテキストが 間 に 存 在 して いることを 知 らせるもので 注 意 : LINE_BREAKER を 使 って 複 数 イベントを 分 割 した 場 合 (SHOULD_LINEMERGE を 使 って 個 別 の を 複 数 イベントに 再 構 築 しない) 処 理 速 度 が 幅 に 向 上 することを 実 感 できると 思 いま データの 部 分 が 複 数 イベントである 場 合 な どに この 法 の 使 を 検 討 してください LINE_BREAKER と 分 岐 式 の 使 法 の 詳 細 は props.conf 仕 様 ファイルを 参 照 してください ([\r\n]+) (この 場 合 任 意 の 数 の 復 帰 改 (\r) または 改 (\n) 字 で 区 切 られている 各 が それぞれ 1 つのイベントに 分 割 されま) LINE_BREAKER_LOOKBEHIND = <integer> SHOULD_LINEMERGE = [true false] * 前 の raw データチャンクからの 残 りデータがある 場 合 Splunk が LINE_BREAKER 正 規 表 現 を 適 する raw データチャンクの 終 了 ( 次 のチャンクを 連 結 した 状 態 で) までの 字 数 を LINE_BREAKER_LOOKBEHIND に 指 定 し ま 特 に 巨 なイベントや 複 数 イベントを 処 理 す る 場 合 に この 値 をデフォルト 値 よりも 増 やした が 良 い 場 合 がありま * 真 (True) を 設 定 すると Splunk Enterprise は 複 数 の を 単 のイベントにまとめ 次 のセクション で 説 明 している 属 性 に 基 づいて 設 定 を いま 100 字 true SHOULD_LINEMERGE に 真 (True) を 設 定 した 場 合 にのみ 適 される 属 性 SHOULD_LINEMERGE=true (デフォルト) の 場 合 これらの 属 性 を 使 って 分 割 動 作 を 定 義 しま 属 性 BREAK_ONLY_BEFORE_DATE = [true false] 説 明 真 (True) を 設 定 すると 付 のある 改 に 遭 遇 した 場 合 にのみ 新 しいイベントが 作 成 されま true デフォルト 注 意 : DATETIME_CONFIG に CURRENT または NONE を 設 定 した 場 合 Splunk はタイ ムスタンプを 識 別 しない ため この 属 性 は 意 味 を 持 たなくなりま BREAK_ONLY_BEFORE = <regular expression> MUST_BREAK_AFTER = <regular expression> 真 (True) を 設 定 すると 正 規 表 現 に 致 する 改 に 遭 遇 した 場 合 にのみ 新 しいイベントが 作 成 されま 設 定 した 場 合 に 現 在 の と 正 規 表 現 が 致 すると 次 の の 新 しいイベントが 常 に 作 成 されま 他 のルールと 致 した 場 合 現 在 の の 前 で 分 割 されることもありま 空 字 列 空 字 列 MUST_NOT_BREAK_AFTER = <regular expression> MUST_NOT_BREAK_BEFORE = <regular expression> MAX_EVENTS = <integer> 設 定 した 場 合 に 現 在 の が 正 規 表 現 と 致 すると 以 降 の は MUST_BREAK_AFTER 式 に 致 するまでの 間 分 割 されません 設 定 した 場 合 に 現 在 の が 正 規 表 現 に 致 すると 現 在 の の 前 の 最 後 のイベントは 分 割 されません 任 意 のイベントに 追 加 する 数 の 最 値 を 指 定 し ま 指 定 した 数 を 読 み 込 んだ 後 に 分 割 されま 空 字 列 空 字 列 256 例 103
104 イベント 分 割 の 指 定 [my_custom_sourcetype] BREAK_ONLY_BEFORE = ^\d+\s*$ 数 字 のみで 構 成 されている を 新 しいイベントの 開 始 として イベントを 分 割 する 例 を 以 下 に しまソースタ イプが my_custom_sourcetype の 任 意 のデータに 対 して 処 理 を いま 複 数 を 単 のイベントに 結 合 以 下 のログイベントには 同 じリクエストの 部 となる 複 数 の が 含 まれていま 各 リクエスト 間 の 違 いはパス (Path) でこの 例 では これらのすべての を 単 のイベントエントリとして 表 する 必 要 があることを 前 提 にしていま {{" , 02:57:11.58", 122, 11, "Path=/LoginUser Query=CrmId=ClientABC&ContentItemId=TotalAccess&SessionId=3A1785URH117BEA&Ticket=646A1DA4STF896EE&SessionTime=25368&ReturnUrl= Method=GET, IP= , Content=", ""}} {{" , 02:57:11.60", 122, 15, "UserData:<User CrmId="clientabc" UserId="p "><EntitlementList></EntitlementList></User>", ""}} {{" , 02:57:11.60", 122, 15, "New Cookie: SessionId=3A1785URH117BEA&Ticket=646A1DA4STF896EE&CrmId=clientabc&UserId=p &AccountId=&AgentHost=man&AgentId=man, MANUser: Version=1&Name=&Debit=&Credit=&AccessTime=&BillDay=&Status=&Language=&Country=& =& Notify=&Pin=&PinPayment=&PinAmount=&PinPG=&PinPGRate ""}} この 複 数 イベントのインデックスを 正 しく 作 成 するには 設 定 に Path を 使 しま $SPLUNK_HOME/etc/system/local/props.conf に 以 下 の 項 を 追 加 しま [source::source-to-break] SHOULD_LINEMERGE = True BREAK_ONLY_BEFORE = Path= このコードは イベントの 各 を 結 合 して 語 Path= の 前 でのみ 分 割 することを 表 していま 複 数 イベントの 分 割 とセグメント 分 割 の 制 限 事 項 極 端 に きなイベントには 分 割 とセグメント 分 割 制 限 が 適 されま 10,000 バイトを 超 える :Splunk Enterprise は 10,000 バイトを 超 える のインデックスを 作 成 する 場 合 それぞれが 10,000 バイトの 複 数 に 分 割 しま 切 り 詰 められた 各 セクションの 最 後 に は meta::truncated フィールドが 追 加 されまただし Splunk Enterprise は 引 き 続 きこれらの を 単 のイベントにグループ 化 しま 100,000 バイトを 超 えるイベントのセグメント 分 割 :サーチ 結 果 には イベントの 最 初 の 100,000 バ イトしか 表 されません ただし 常 に い の 最 初 の 100,000 バイト 以 降 のセグメントを サーチす ることは 可 能 で 1,000 セグメントを 超 えるイベントのセグメント 分 割 :サーチ 結 果 では イベントの 最 初 の 1,000 件 の セグメントが セグメントとして 空 字 で 区 切 られて 表 されまマウスカーソルをセグメントの 上 に 移 動 すると 強 調 表 されまイベントの 残 りの 部 分 は raw テキストとして 表 され 対 話 形 式 の 書 式 は 設 定 されません Answers 何 か 質 問 がありますか? Splunk Answers では Splunk コミュニティに 寄 せられた 分 割 に 関 する 質 問 と 回 答 をご 覧 いただけま イベントのタイムスタンプの 設 定 このトピックは Splunk Enterprise でのタイムスタンプの 設 定 法 について 説 明 していま 次 のサンプルイベントを 調 査 しま [01/Jul/2005:12:05: ] "GET /trade/app?action=logout HTTP/1.1" イベント 内 の 時 間 情 報 に 注 してください:[01/Jul/2005:12:05: ] これが タイムスタンプになりま Splunk Enterprise はタイムスタンプを 使 って 時 間 別 にイベントを 相 関 させ Splunk Web でのヒストグラムの 作 成 やサーチの 時 間 範 囲 の 設 定 を いま 部 分 のイベントにはタイムスタンプが 含 まれていまイベントに タイムスタンプ 情 報 が 含 まれていない 場 合 は インデックス 時 のタイムスタンプ 値 がイベントに 割 り 当 てられま たいていの 場 合 タイムスタンプの 処 理 は 正 しく われますが 状 況 によってはタイムスタンプの 処 理 法 を 設 定 しなければならないこともありまたとえば 部 のソースを 利 している または 分 散 デプロイ 環 境 を 運 し ている 場 合 タイムスタンプの 認 識 とフォーマットを 再 設 定 しなければならないことがありま タイムスタンプの 詳 細 は このマニュアルの タイムスタンプの 設 定 を 参 照 してください 104
105 インデックス 作 成 フィールド 抽 出 の 設 定 Splunk がインデックス 時 に 抽 出 できるフィールドは 3 種 類 ありま デフォルトフィールド カスタムフィールド ファイルヘッダーフィールド Splunk Enterprise は 各 イベントに 対 して 常 に 連 のデフォルトフィールドを 抽 出 していまカスタムフィー ルド またデータによってはファイルヘッダーフィールドを 抽 出 するように 設 定 することも 可 能 で インデックス 作 成 フィールドの 抽 出 の 詳 細 は このマニュアルの インデックス 作 成 フィールドの 抽 出 を 参 照 し てください データの 匿 名 化 このトピックは Splunk Enterprise に 取 り 込 まれる クレジットカード 番 号 や 社 会 保 障 番 号 などのデータの 匿 名 化 について 説 明 していま ログイベントのインデックス 作 成 時 に 個 の 機 密 情 報 を 隠 したい 場 合 もありまクレジットカード 番 号 や 社 会 保 障 番 号 などは インデックスに 表 させたくないデータでこのトピックでは プライバシーを 保 護 するため に 機 密 情 報 フィールドの 部 をマスクしながら 残 りのデータでイベントを 追 跡 できるようにする 法 を 説 明 して いま Splunk Enterprise では 2 種 類 の 法 でデータを 匿 名 化 することができま 正 規 表 現 変 換 を 使 する ストリームエディタ 処 理 (sed) スクリプトを 使 する 正 規 表 現 変 換 を 使 ったデータの 匿 名 化 transforms.conf で 正 規 表 現 を 利 して データをマスクすることができま この 例 では アプリケーションサーバーログの SessionId および Ticket number フィールドの 最 後 の 4 字 を 除 いて 残 りの 字 をマスクしま 的 の 出 は 以 下 のようになりま SessionId=###########7BEA&Ticket=############96EE のサンプルは 以 下 のようになりま " , 02:57:11.58", 122, 11, "Path=/LoginUser Query=CrmId=ClientABC& ContentItemId=TotalAccess&SessionId=3A1785URH117BEA&Ticket=646A1DA4STF896EE& SessionTime=25368&ReturnUrl= Method=GET,IP= , Content=", "" " , 02:57:11.60", 122, 15, "UserData:<User CrmId="clientabc" UserId="p "><EntitlementList></EntitlementList></User>", "" " , 02:57:11.60", 122, 15, "New Cookie: SessionId=3A1785URH117BEA& Ticket=646A1DA4STF896EE&CrmId=clientabcUserId=p &AccountId=&AgentHost=man& AgentId=man, MANUser: Version=1&Name=&Debit=&Credit=&AccessTime=&BillDay=&Status= &Language=&Country=& =& Notify=&Pin=&PinPayment=&PinAmount=&PinPG= &PinPGRate=&PinMenu=&", "" データをマスクするには $SPLUNK_HOME/etc/system/local/ ディレクトリ 内 の props.conf および transforms.conf ファ イルを 変 更 しま props.conf の 設 定 $SPLUNK_HOME/etc/system/local/props.conf を 編 集 して 以 下 のスタンザを 追 加 しま [<spec>] TRANSFORMS-anonymize = session-anonymizer, ticket-anonymizer 以 下 の 事 項 に 注 意 してください <spec> には 以 下 のいずれかを 使 する 必 要 がありま <sourcetype> イベントのソースタイプ host::<host> ここで <host> はイベントのホストを 表 しま source::<source> ここで <source> はイベントのソースを 表 しま この 例 で session-anonymizer および ticket-anonymizer は 任 意 の TRANSFORMS クラス 名 で そのアクショ ンは 対 応 する transforms.conf ファイル 内 のスタンザに 定 義 されていまtransforms.conf 内 に 作 成 したクラ ス 名 を 使 してください transforms.conf の 設 定 105
106 $SPLUNK_HOME/etc/system/local/transforms.conf に 適 切 な TRANSFORMS を 追 加 しま [session-anonymizer] REGEX = (?m)^(.*)sessionid=\w+(\w{4}[&"].*)$ FORMAT = $1SessionId=########$2 DEST_KEY = _raw [ticket-anonymizer] REGEX = (?m)^(.*)ticket=\w+(\w{4}&.*)$ FORMAT = $1Ticket=########$2 DEST_KEY = _raw 以 下 の 事 項 に 注 意 してください REGEX には イベント 内 の 匿 名 化 する 字 列 を 指 す 正 規 表 現 を 指 定 する 必 要 がありま 注 意 : 正 規 表 現 プロセッサは 複 数 イベントを 処 理 しません この 問 題 に 対 処 するためには イベントが 複 数 であることを 指 定 する 必 要 がありまtransforms.conf 内 の 正 規 表 現 の 前 に (?m) を 設 定 してください FORMAT は マスク 値 を しま$1は 正 規 表 現 までのすべてのテキスト $2 は 正 規 表 現 後 のすべてのテキス トで DEST_KEY = _raw は FORMAT からの 値 をログ 内 の raw 値 に 書 き 込 んでイベントを 変 更 することを していま sed スクリプトを 使 ったデータの 匿 名 化 sed スクリプトを 使 ってイベント 内 の 字 列 を 置 換 / 代 替 することで データを 匿 名 化 することもできま UNIX ユーザーの ならば おそらく UNIX ユーティリティ sed をご 存 じかと 思 いまこのユーティリティ は ファイルを 読 み 込 んで 指 定 されている 連 のコマンドに 従 って を 変 更 しまSplunk Enterprise で は props.conf 内 で sed 類 似 の 構 を 使 って データを 匿 名 化 することができま props.conf への sed スクリプトの 定 義 $SPLUNK_HOME/etc/system/local 内 に props.conf のコピーを 作 成 または 編 集 しま sed script を 指 定 するには SEDCMD を 使 するスタンザを props.conf に 作 成 しま [<spec>] SEDCMD-<class> = <sed script> 以 下 の 事 項 に 注 意 してください <spec> には 以 下 のいずれかを 使 する 必 要 がありま <sourcetype> イベントのソースタイプ host::<host> ここで <host> はイベントのホストを 表 しま source::<source> ここで <source> はイベントのソースを 表 しま sed script は インデックス 時 に _raw フィールドにのみ 適 されま 現 在 Splunk Enterprise は 以 下 の sed コマンドのサブセットをサポートしていま 置 換 (s) 字 代 替 (y) 注 意 : props.conf を 変 更 したら 変 更 内 容 を 反 映 するために Splunk Enterprise を 再 起 動 してください 正 規 表 現 照 合 による 字 列 の 置 換 sed 置 換 の 構 を 以 下 に しま SEDCMD-<class> = s/<regex>/<replacement>/flags 以 下 の 事 項 に 注 意 してください 例 regex は PERL 正 規 表 現 で replacement は 正 規 表 現 に 致 した 項 と 置 換 する 字 列 で \n は 逆 参 照 を しており n は 単 の 数 字 で flags に g を 指 定 すると すべての 致 項 が 置 換 されままた 数 字 を 指 定 すると 指 定 された 致 項 が 置 換 されま 以 下 の 例 では 社 会 保 障 番 号 とクレジットカード 番 号 を 含 むデータのインデックスを 作 成 しまインデックス 時 に イベント 内 でこれらの 値 は 最 後 の 4 桁 のみを 表 し 残 りはマスクしまprops.conf スタンザは 以 下 のよう 106
107 になりま [source::.../accounts.log] SEDCMD-accounts = s/ssn=\d{5}(\d{4})/ssn=xxxxx\1/g s/cc=(\d{4}-){3}(\d{4})/cc=xxxx-xxxx-xxxx-\2/g これで イベント 内 で 社 会 保 障 番 号 は ssn=xxxxx6789 クレジットカード 番 号 は cc=xxxx-xxxx-xxxx-1234 のように 表 されるようになりま 字 の 代 替 sed 字 代 替 の 構 を 以 下 に しま SEDCMD-<class> = y/<string1>/<string2>/ これにより string1 内 の 各 字 が string2 内 の 字 で 代 されま 例 インデックスを 作 成 するファイル abc.log があり イベント 内 では 字 の a b c の 代 わりに 字 の A B および C を 使 したい 場 合 を 考 えてみましょう props.conf に 以 下 の 項 を 追 加 しま [source::.../abc.log] SEDCMD-abc = y/abc/abc/ これで source="*/abc.log" でサーチしても データ 内 に 字 の a b c は つからないはずで Splunk Enterprise により 各 a が A に b が B に c が C に 代 替 されていま タイムスタンプの 設 定 タイムスタンプ 割 り 当 ての 仕 組 み Splunk Enterprise でタイムスタンプは 常 に 重 要 な 役 割 を 果 たしまSplunk Enterprise はタイムスタンプ を 使 って 時 間 別 にイベントを 相 関 させ Splunk Web でのタイムラインヒストグラムの 作 成 やサーチの 時 間 範 囲 の 設 定 を いま イベントへのタイムスタンプの 割 り 当 ては インデックス 時 に われま 通 常 タイムスタンプ 値 は raw イベ ントデータ 内 の 情 報 を 使 って 動 的 に 割 り 当 てられまイベントに 明 的 なタイムスタンプがない 場 合 は 他 の 段 でのタイムスタンプ 値 の 割 り 当 てが 試 みられま 部 のデータでは タイムスタンプの 認 識 法 を 設 定 しな ければならないこともありま Splunk Enterprise はタイムスタンプ 値 を _time フィールドに 保 管 します (UTC 形 式 ) タイムスタンプ 処 理 は イベント 処 理 時 の 主 要 ステップの 1 つでイベント 処 理 の 詳 細 は このマニュアルの イベント 処 理 の 設 定 を 参 照 してください Splunk Enterprise によるタイムスタンプの 割 り 当 て 法 Splunk Enterprise は 以 下 の 優 先 ルールを 使 って イベントにタイムスタンプを 割 り 当 てま 1. TIME_FORMATが 明 的 に 指 定 されている 場 合 は それを 使 ってイベントの 時 を 探 しまprops.conf に TIME_FORMAT 属 性 を 設 定 しま 2.データに TIME_FORMAT が 設 定 されていない 場 合 は Splunk Enterprise がイベントのタイムスタンプを 判 別 しよ うと 試 みまイベントのソースタイプ (TIME_FORMAT 情 報 が 含 まれている) を 使 ってタイムスタンプを 探 しま 3.イベントに 時 間 または 付 がない 場 合 は 同 じソースからの 直 前 のイベントを 使 しま 4.ソース 内 のイベントに 付 がない 場 合 は ソース 名 またはファイル 名 から 付 を 探 しまファイル 名 で 時 刻 は 識 別 されません (この 場 合 イベントには 付 がなくとも 時 刻 が 存 在 している 必 要 がありま) 5.ファイルソースの 場 合 ファイル 名 から 付 を 特 定 できなかった 場 合 そのファイルの 変 更 時 刻 を 使 しま 6. 最 後 の 段 として 各 イベントのインデックス 作 成 時 に 現 在 のシステム 時 刻 をタイムスタンプとして 設 定 しま 注 意 :Splunk Enterprise はソースから 付 のみを 抽 出 できま 時 間 は 抽 出 できません ソースから 時 刻 を 抽 出 する 必 要 がある 場 合 は transform を 使 しま タイムスタンプの 設 定 部 分 のイベントでは 特 別 なタイムスタンプ 処 理 を う 必 要 はありません Splunk Enterprise が 動 的 にタイ ムスタンプを 認 識 して 抽 出 しまただし 部 のソースや 分 散 デプロイ 環 境 では タイムスタンプが 適 切 に フォーマットされるように タイムスタンプの 抽 出 法 を 設 定 しなければならないことがありま 107
108 タイムスタンプ 抽 出 を 設 定 するには 2 種 類 の 法 がありま サンプル データのタイムスタンプを 対 話 的 に 調 整 するには Splunk Web の [ソースタイプの 設 定 ] ページ を 使 しま 満 できる 結 果 が 得 られたら 変 更 内 容 を 新 しいソースタイプに 保 存 して そのソースタイ プをデータ に 適 しま [ソースタイプの 設 定 ] ページ を 参 照 してください props.conf を 直 接 編 集 する 詳 細 は タイムスタンプ 認 識 の 設 定 を 参 照 してください 以 下 の 的 で タイムスタンプ 抽 出 プロセッサを 設 定 することも 可 能 で タイムゾーンオフセットを 適 する 複 数 のタイムスタンプを 使 ってイベントから 正 確 なタイムスタンプを 取 得 する インデックス 作 成 パフォーマンスを 向 上 する 新 しい からデータを 追 加 する 場 合 の 注 意 事 項 新 しい からのデータのインデックスを 作 成 した 後 に タイムスタンプの 抽 出 処 理 を 調 整 する 必 要 があることに 気 が 付 いた 場 合 は 設 定 を 変 更 した 後 に データのインデックスを 再 作 成 する 必 要 がありまそのため デー タのプレビュー で 説 明 しているように データのプレビューを うことをお 勧 めしま または 新 しいデータ をテスト Splunk Enterprise インスタンスで (または 実 働 環 境 Splunk インスタンス の 別 のインデックスを 使 して) テストしてから 実 働 環 境 のインスタンスにデータを 追 加 しまそうすること で 何 か 調 整 が 必 要 な 場 合 でも データを 軽 に 削 除 してから インデックスを 再 作 成 して 的 の 結 果 が 得 られ るまで 調 整 を うことができま タイムスタンプ 認 識 の 設 定 部 分 のイベントでは 特 別 なタイムスタンプ 処 理 を う 必 要 はありません Splunk Enterprise が 動 的 にタイ ムスタンプを 認 識 して 抽 出 しまただし 部 のソースや 分 散 デプロイ 環 境 では タイムスタンプが 適 切 に フォーマットされるように タイムスタンプの 抽 出 法 を 設 定 しなければならないことがありま タイムスタンプ 抽 出 を 設 定 するには 2 種 類 の 法 がありま サンプル データのタイムスタンプを 対 話 的 に 調 整 するには Splunk Web の [ソースタイプの 設 定 ] ページ を 使 しま 満 できる 結 果 が 得 られたら 変 更 内 容 を 新 しいソースタイプに 保 存 して そのソースタイ プをデータ に 適 しま [ソースタイプの 設 定 ] ページ を 参 照 してください props.conf を 直 接 編 集 する タイムスタンプ 抽 出 のための props.conf の 編 集 法 については このまま 読 み 進 めてください タイムスタンププロセッサ Splunk Enterprise のタイムスタンププロセッサは デフォルトでは $SPLUNK_HOME/etc/datetime.xml に 存 在 してい ま 例 外 的 な 独 のタイムスタンプを 処 理 するのではない 限 り 通 常 このファイルを 編 集 する 必 要 はありませ ん 何 らかの 法 でタイムスタンプ 認 識 法 を 設 定 する 必 要 がある 場 合 は 通 常 は 後 述 のように props.conf のタイ ムスタンプ 属 性 設 定 を 変 更 することで 問 題 を 解 決 できま props.conf の 設 定 では 対 処 できない 独 のタイムスタンプがある 場 合 は DATETIME_CONFIG 属 性 を 使 って 独 のタ イムスタンププロセッサで 代 することができます ( 次 のセクションを 参 照 ) この 属 性 には Splunk Enterprise がタイムスタンプ 処 理 に 使 するファイルを 指 定 しま props.conf でのタイムスタンププロパティの 編 集 タイムスタンプの 認 識 法 を 設 定 するには props.conf を 編 修 しまタイムスタンプに 関 連 するさまざまな 属 性 が 存 在 していま 特 に TIME_FORMAT 属 性 を 使 ってタイムスタンプの strptime() フォーマットを 指 定 すること で Splunk Enterprise によるタイムスタンプの 認 識 法 を 決 定 することができままた その 他 のタイムスタ ンプ 関 連 属 性 を 設 定 することもできまたとえば イベント 内 のタイムスタンプの 位 置 使 するタイムゾー ン さまざまな 単 位 のタイムスタンプの 処 理 法 などを 指 定 することができま $SPLUNK_HOME/etc/system/local/ 内 または $SPLUNK_HOME/etc/apps/ の 独 のカスタムアプリケーションディレクトリ 内 にある props.conf ファイルを 編 集 しま 設 定 ファイルの 般 情 報 については 管 理 マニュアル の 設 定 ファイルについて を 参 照 してください タイムスタンプ 認 識 を 設 定 するには props.conf 内 の 1 つまたは 複 数 のタイムスタンプ 属 性 を 設 定 しまこれら の 属 性 およびその 他 の 属 性 の 詳 細 は props.conf 仕 様 ファイルを 参 照 してください 構 の 概 要 タイムスタンプ 属 性 の 構 の 概 要 を 以 下 に しま [<spec>] DATETIME_CONFIG = <filename relative to $SPLUNK_HOME> TIME_PREFIX = <regular expression> MAX_TIMESTAMP_LOOKAHEAD = <integer> TIME_FORMAT = <strptime-style format> TZ = <posix time zone string> MAX_DAYS_AGO = <integer> MAX_DAYS_HENCE = <integer> 108
109 MAX_DIFF_SECS_AGO = <integer> MAX_DIFF_SECS_HENCE = <integer> この 構 で <spec> には 以 下 のものを 使 できま <sourcetype> イベントのソースタイプ host::<host> ここで <host> はイベントのホストを 表 しま source::<source> <source> はイベントのソース 値 を 表 しま イベントに <spec> の 値 と 致 するデータが 含 まれている 場 合 スタンザに 定 義 されているタイムスタンプルール がそのイベントに 適 されま 異 なる <spec> 値 に 対 処 するために 複 数 のスタンザを 設 定 することができま タイムスタンプ 属 性 props.conf に 設 定 できるタイムスタンプ 属 性 を 以 下 に しま 属 性 DATETIME_CONFIG = <filename relative to $SPLUNK_HOME> 説 明 Splunk Enterprise のタイムスタンププロセッサの 設 定 に 使 するファイルを 指 定 しま 標 準 環 境 下 では 独 のタイムスタンププロ セッサファイルを 作 成 したり デフォルトの datetime.xml ファイルを 修 正 したりする 必 要 はありません 般 的 には このトピックに 記 述 されている 他 の props.conf 属 性 を 使 っ て ご 分 のニーズを 満 たすように Splunk Enterprise のタイムスタンプ 認 識 機 能 を 調 整 することができまただし データに 独 のタイムスタンプ 形 式 が 存 在 している 場 合 は このファイルに 代 わる 独 のファイルを 作 成 して それで 機 能 を 代 しなければなら ないこともありま タイムスタンププロセッサの 実 を 防 する 場 合 は DATETIME_CONFIG = NONE を 設 定 しま タイムスタンプ 処 理 をオフにすると イ ベント 内 のタイムスタンプ テキストが 調 査 されることはありません 代 わりにイベント の 受 信 時 刻 が 使 されます ( からイ ベントを 受 信 した 時 刻 ) ファイルベースの の 場 合 イベントのタイムスタンプは ファイルの 変 更 時 刻 から 取 得 されま DATETIME_CONFIG = CURRENT を 設 定 すると イン デックス 作 成 時 に 現 在 のシステム 時 刻 が 各 イ ベントに 割 り 当 てられま 注 意 : CURRENT と NONE の 両 が 明 的 にタ イムスタンプの 識 別 を 無 効 にしまそのた め デフォルトのイベント 境 界 検 出 (BREAK_ONLY_BEFORE_DATE = true) は 的 通 り には 機 能 しません これらの 設 定 を 使 する 場 合 は SHOULD_LINEMERGE や BREAK_ONLY_*, MUST_BREAK_* 設 定 を 使 ってイベントの 結 合 を 管 理 しま デフォルト $SPLUNK_HOME/etc/datetime.xml TIME_PREFIX = <regular expression> 設 定 した 場 合 Splunk Enterprise はタイムスタン プの 抽 出 を 試 みる 前 に この 正 規 表 現 と 致 する イベントテキスト 内 の 項 を 探 しまタイムス タンプアルゴリズムは 最 初 の 正 規 表 現 致 項 の 最 後 に 続 くイベントテキスト 内 のみで タイム スタンプを 探 しま イベントのタイムスタンプの 直 前 を 正 確 に 指 する 正 規 表 現 を 使 する 必 要 がありま たとえば フレーズ abc123 に 続 いてタイ ムスタンプが 登 場 する 場 合 TIME_PREFIX には abc123 を 設 定 する 必 要 がありま イベントテキスト 内 に TIME_PREFIX が つか らなかった 場 合 タイムスタンプの 抽 出 は われません 空 字 列 MAX_TIMESTAMP_LOOKAHEAD = <integer> Splunk Enterprise がイベント 内 でタイムスタンプ をどこまで 探 すのかを 字 数 で 指 定 しま これらの 制 約 は TIME_PREFIX が す 位 置 から 適 されま たとえば TIME_PREFIX の 位 置 がイ ベント 内 の 11 字 で MAX_TIMESTAMP_LOOKAHEAD に 字
110 10 が 設 定 されている 場 合 タイムスタ ンプ 抽 出 は 字 に 制 限 されま 0 または-1 を 設 定 した 場 合 タイムスタンプ 認 識 の さ 制 約 は 事 実 上 無 効 になりまこ のことは の さ (またはイベント 分 割 に LINE_BREAKER が 再 定 義 された 時 のイベントサイズ) に 応 じて 負 の 影 響 が 出 る 可 能 性 がありま TIME_FORMAT = <strptimestyle format> タイムスタンプを 抽 出 するための strptime() フォーマット 字 列 を 指 定 しま strptime() は 時 間 フォーマットを 指 定 する ための UNIX 標 準 規 格 で 詳 細 は 後 述 す る 拡 張 strptime() サポート を 参 照 してく ださい TIME_FORMAT は TIME_PREFIX の 後 (TIME_PREFIX 属 性 が 指 定 されていない 場 合 はイベントの 開 始 点 ) から 読 み 込 みを 開 始 しま TIME_PREFIX を 使 する 場 合 タイムスタ ンプの 開 始 点 前 の 字 列 と 致 し それらの 字 が 含 まれるように 指 定 する 必 要 がありま TIME_PREFIX を 設 定 せずに TIME_FORMAT を 設 定 する 場 合 タイムスタンプは 各 イベント の 開 始 点 に 登 場 する 必 要 がありまそうし ないと 設 定 されているフォーマットに 従 っ て 処 理 することができないため 各 イベント には 警 告 が 含 まれ strptime を 使 すること はできません (それでも Splunk が 問 題 に どのように 対 処 するのかによっては 有 効 な タイムスタンプが 得 られる 可 能 性 がありま ) 最 良 の 結 果 を 得 るために <strptime-style format> には 年 の 付 および の 時 刻 を 記 述 する 必 要 がありま <strptime-style format> に 時 間 コンポーネント が 含 まれているけれども 分 コンポーネント が 含 まれていない 場 合 TIME_FORMAT は 時 間 コンポーネントを 無 視 しまフォー マットは 例 外 として 取 り 扱 われ 精 度 は 付 のみとみなされま 空 字 列 TZ = <time zone identifier> * Splunk Enterprise は 以 下 のように 特 定 のイベ ントのタイムゾーンを 判 断 しま イベントの raw テキストにタイムゾー ンがある 場 合 は (UTC や -08:00 など) それが 使 されま そうでない 場 合 は TZ に 有 効 なタイム ゾーン 字 列 が 設 定 されていれば そ れが 使 されまzoneinfo TZ デー タベースからの 値 を 使 って タイム ゾーン 設 定 を 指 定 しま インデクサーに 到 着 したイベントの 起 源 がフォワーダーで インデクサーと フォワーダーの 両 で Splunk Enterprise 6.0 以 降 が 動 作 している 場 合 は フォワーダーのタイムゾーンを 使 しま それ 以 外 の 場 合 は splunkd が 動 作 して いるシステムのタイムゾーンを 使 し ま 詳 細 と 例 については このマニュアルの タ イムスタンプのタイムゾーンの 指 定 を 参 照 してください 空 字 列 TZ_ALIAS = <key=value>[,<key=value>]... * イベントから 抽 出 されたタイムゾーン 字 列 の 解 釈 法 に 対 して 管 理 者 レベルの 制 御 を 提 供 しま たとえば EST は 国 の 東 部 標 準 時 (Eastern Standard Time) または 豪 州 の 東 部 標 準 時 (Eastern Standard Time) と 解 釈 することができ まその 他 にも 複 数 のタイムゾーンに 解 釈 で きる 3 字 のタイムゾーン 省 略 形 が 存 在 していま これらの 値 に 対 する 従 来 の Splunk デフォル トマッピングが 期 待 通 りに 機 能 する 場 合 TZ_ALIAS の 使 に 関 する 要 件 はありませ ん たとえば デフォルトで EST は 国 東 部 標 準 時 にマップされま 110 未 設 定
111 TZ の 値 には 効 果 がありません TIME_FORMAT に 設 定 されている またはパターンベースの 推 測 フォールバックからの イベントテキスト 内 のタイムゾーン 字 列 にのみ 影 響 しま この 設 定 は key=value ペアをカンマで 区 切 っ たリストで このキーは イベントのタイムゾーン 指 定 のテキストに 対 して 照 合 され 値 はタイムス タンプを UTC/GMT にマッピングする 際 に 使 するタイムゾーン 指 定 になりま 値 は 必 要 なオフセットを 表 す 他 の TZ 指 定 で 例 :TZ_ALIAS = EST=GMT+10:00(その 他 の 例 につ いては 設 定 ファイルリファレンス の props.conf サンプルファイルを 参 照 してくだ さい) MAX_DAYS_AGO = <integer> * 抽 出 した 付 が 有 効 になる 現 在 の 付 から 過 去 への 最 数 を 指 定 しま たとえば MAX_DAYS_AGO = 10 の 場 合 現 在 の 付 から 10 を 超 えて 古 い 付 は 無 視 され ま 設 定 可 能 な 過 去 最 数 は で 2000 注 意 :2000 より 古 いデータがある 場 合 は この 値 を 増 やして ください MAX_DAYS_HENCE = <integer> * 抽 出 した 付 が 有 効 になる 現 在 の 付 から 将 来 への 最 数 を 指 定 しま たとえば MAX_DAYS_HENCE = 3 の 場 合 3 を 超 えて 将 来 の 付 は 無 視 されま 重 要 :ウィンドウを 限 定 すると 誤 判 定 の 可 能 性 が 低 くなりま 変 更 する 際 には 細 の 注 意 を 払 ってください サーバーに 誤 った 付 セットがある 場 合 ま たはサーバーが 1 先 のタイムゾーンに 存 在 している 場 合 は 3 以 上 の 値 を 設 定 してくだ さい この 場 合 1 先 までのタイムスタンプ 抽 出 を えま 設 定 可 能 な 最 数 は で 2 MAX_DIFF_SECS_AGO = <integer> イベントのタイムスタンプが 1 つ 前 のタイムスタ ンプよりも <integer> 秒 を 超 えて 前 の 場 合 ソース からのタイムスタンプの 半 と 時 間 フォーマット が 同 じ 場 合 にのみそれを 受 け 付 けま 重 要 :タイムスタンプの 順 序 が 乱 雑 な 場 合 は この 値 を 増 やすことを 検 討 してくださ い 設 定 可 能 な 最 秒 数 は で 3600 秒 (1 時 間 ) MAX_DIFF_SECS_HENCE = <integer> イベントのタイムスタンプが 1 つ 前 のタイムスタ ンプよりも <integer> 秒 を 超 えて 後 の 場 合 ソース からのタイムスタンプの 半 と 時 間 フォーマット が 同 じ 場 合 にのみそれを 受 け 付 けま 重 要 :タイムスタンプの 順 序 が 乱 雑 な 場 合 または 週 に 1 回 未 満 しか 書 き 込 まれないログ がある 場 合 は この 値 を 増 やすことを 検 討 し てください 設 定 可 能 な 最 秒 数 は で 秒 (1 週 間 ) 拡 張 strptime() サポート タイムスタンプのパーシングを 設 定 するには props.conf で TIME_FORMAT 属 性 を 使 しまこの 属 性 は strptime() フォーマット 字 列 を 取 りまこの 字 列 は タイムスタンプの 抽 出 に いられま Splunk Enterprise は 拡 張 版 の UNIX strptime() を 実 装 しており マイクロ 秒 ミリ 秒 任 意 の 時 間 幅 フォー マット および 互 換 性 を 保 つための 他 の 時 間 フォーマットの 利 を 可 能 にする 追 加 の 時 間 フォーマットがサポー トされていま 次 のような 追 加 のフォーマットがあります: %N %Q,%q GNU 付 - 時 刻 ナノ 秒 width: %3N = ミリ 秒 %6N = マイクロ 秒 %9N = ナノ 秒 を 指 定 して 1 秒 未 満 の 任 意 のパーシングを 指 定 しま ミリ 秒 Apache Tomcat の 場 合 はマイクロ 秒 width を 指 定 した 場 合 %Q およ び %q で 任 意 の 時 間 分 解 能 をフォーマットできま 111
112 %I 12 時 間 形 式 の 時 間 %I が %S または %s の 後 にある 場 合 ( %H:%M:%S.%l など) log4cpp の 観 点 からのミリ 秒 として 解 釈 されま %+ 標 準 UNIX 付 形 式 タイムスタンプ %v BSD および OSX 標 準 付 フォーマット %Z, %z, %::z, %:::z GNU libc サポート %o AIX タイムスタンプサポート (%o は %Y のエイリアスとして 使 されます) %p ロケールの AM または PM との 同 等 ( 注 意 : 存 在 しない 場 合 もありま) %s エポック (10 桁 ) 注 意 : リテラルドットと %Q %q %N などの 1 秒 未 満 の 指 定 で 終 わる strptime 式 は 終 点 のドットと 変 換 指 定 をオプションとして 取 り 扱 いまテキストに.subseconds 部 が 存 在 しない 場 合 でも 抽 出 は われま strptime() フォーマット 式 の 例 strptime() 式 で 処 理 するサンプルの 付 形 式 を 以 下 に しま 1998/12/31 %Y-%m-%d %y-%m-%d 1998 years, 312 days %Y years, %j days Jan 24, 2003 %b %d, %Y January 24, 2003 %B %d, %Y %s.%3n 注 意 : 現 在 Splunk Enterprise は タイムスタンプ 内 の 英 語 以 外 の 名 を 認 識 しません ログファイルに 英 語 以 外 の 名 を 書 き 込 む App がある 場 合 可 能 な 場 合 は 数 値 の を 使 するように App を 再 設 定 してください 例 データには 以 下 のような 簡 単 に 認 識 できるタイムスタンプが 含 まれていることがありま...FOR: 04/24/07 PAGE このようなタイムスタンプを 抽 出 するには props.conf に 以 下 のスタンザを 追 加 しま [host::foo] TIME_PREFIX = FOR: TIME_FORMAT = %m/%d/%y データには Splunk Enterprise がタイムスタンプとしてパーシングしてしまうような 情 報 が 含 まれていることも ありま 以 下 に 例 を しま /12/31 16:00:00 ed May 23 15:40: Splunk Enterprise は 付 を Dec 31, 1989 (1989 年 ) として 抽 出 しますが この 情 報 は 役 に ちま せん この 場 合 host::foo のイベントから 正 しいタイムスタンプを 抽 出 するように props.conf を 設 定 してくださ い [host::foo] TIME_PREFIX = \d{4}/\d{2}/\d{2} \d{2}:\d{2}:\d{2} \w+\s TIME_FORMAT = %b %d %H:%M:%S %Y この 設 定 は host::foo からのすべてのタイムスタンプが 同 じフォーマットであることを 前 提 にしていま 潜 在 的 なタイムスタンプ 設 定 エラーを 防 するために props.conf のスタンザは できる 限 りきめ 細 かく 設 定 してく ださい 複 数 のタイムスタンプを 持 つイベントから 正 しいタイムスタンプを 抽 出 する 法 の 詳 細 は 複 数 のタイムスタン プを 持 つイベントのタイムスタンプ 割 り 当 ての 設 定 を 参 照 してください 特 定 のニーズに 合 わせたタイムスタンプの 設 定 このトピックで 説 明 している 属 性 を 使 って 以 下 のような 特 定 の 的 に 合 わせてタイムスタンプ 抽 出 プロセッサを 設 定 することができま タイムゾーンオフセットを 適 する 複 数 のタイムスタンプを 使 ってイベントから 正 確 なタイムスタンプを 取 得 する インデックス 作 成 パフォーマンスを 向 上 する 112
113 サーチ 結 果 へのタイムスタンプの 表 法 の 設 定 ブラウザのロケール 設 定 を 使 って ブラウザによるサーチ 結 果 内 のタイムスタンプの フォーマット 法 を 設 定 す ることができまブラウザのロケールの 設 定 については ユーザーの 語 とロケール を 参 照 してください raw データ 内 のタイムスタンプの 表 法 の 再 設 定 Splunk Enterprise はブラウザのロケールを 使 ってサーチ 結 果 内 のタイムスタンプの 表 法 を 設 定 していま raw データのフォーマットは 引 き 続 き 元 の 形 式 で 保 持 されていまraw データとサーチ 結 果 の 両 のデータ フォーマットを 標 準 化 するために これを 変 更 することができまそのためには props.conf および transforms.conf を 使 しま 以 下 に 例 を しま raw イベント 内 のタイムスタンプデータが 以 下 のようになっていると 仮 定 してみましょう 06/07/ :26:11 PM このデータを 以 下 のようにしたいと 考 えています (サーチ 結 果 の 表 法 と 合 わせるために) 07/06/ :26:11 PM この 例 では props.conf および transforms.conf を 使 った raw イベント 内 のタイムスタンプの 変 換 法 の 概 要 を 表 していま transforms.conf に 以 下 のスタンザを 追 加 しま [resortdate] REGEX = ^(\d{2})\/(\d{2})\/(\d{4})\s([^/]+) FORMAT = $2/$1/$3 $4 DEST_KEY = _raw props.conf に 以 下 のスタンザを 追 加 しまここで <spec> がデータを 修 飾 しま [<spec>] TRANSFORMS-sortdate = resortdate Answers 何 か 質 問 がありますか? Splunk Answers では Splunk コミュニティに 寄 せられた タイムスタンプの 認 識 と 設 定 に 関 する 質 問 と 回 答 をご 覧 いただけま 複 数 のタイムスタンプを 持 つイベントのタイムスタンプ 割 り 当 ての 設 定 イベントに 複 数 のタイムスタンプが 含 まれている 場 合 Splunk Enterprise が 使 するタイムスタンプを 指 定 する ことができまこれは 特 に syslog のホストチェーンデータが 含 まれているイベントのインデックスを 作 成 す る 場 合 に 役 ちま props.conf を 編 修 して 位 置 的 タイムスタンプ 抽 出 を 設 定 しまprops.conf のタイムスタンプ 編 集 については タイムスタンプ 認 識 の 設 定 を 参 照 してください 位 置 的 タイムスタンプ 抽 出 の 設 定 イベント 内 の 任 意 の 場 所 にあるタイムスタンプを 認 識 するように Splunk Enterprise を 設 定 するには props.conf のスタンザに TIME_PREFIX および MAX_TIMESTAMP_LOOKAHEAD 属 性 を 追 加 しまTIME_PREFIX に 正 規 表 現 を 設 定 するこ とで タイムスタンプ 検 索 の 開 始 場 所 を す 字 パターンを Splunk Enterprise に 指 することができま MAX_TIMESTAMP_LOOKAHEAD の 値 を 設 定 して Splunk Enterprise にどの 程 度 先 までイベントのタイムスタンプを 探 すのか (TIME_PREFIX の) を 指 する 値 を 設 定 しま 先 読 みを 制 限 することで 正 確 性 とパフォーマンスの 両 を 改 善 することができま TIME_PREFIX を 設 定 した 場 合 タイムスタンプの 抽 出 を 試 みる 前 に その 正 規 表 現 に 致 するイベントのテキスト が 検 索 されまSplunk Enterprise のタイムスタンプアルゴリズムは 最 初 に 正 規 表 現 に 致 した 項 に 続 くテ キスト 内 のタイムスタンプのみに 注 しまそのため TIME_PREFIX に abc123 を 設 定 すると 最 初 に 登 場 した abc123 に 続 くテキストのみが タイムスタンプ 抽 出 に 利 されま TIME_PREFIX は MAX_TIMESTAMP_LOOKAHEAD の 開 始 点 も 設 定 しま 先 読 みは TIME_PREFIX 正 規 表 現 内 の 致 するテキ スト 項 の 後 から 開 始 されまたとえば TIME_PREFIX がイベントの 最 初 の 11 字 からのテキストと 致 して 抽 出 するタイムスタンプが 常 に 次 の 30 字 内 に 存 在 する 場 合 MAX_TIMESTAMP_LOOKAHEAD=30 を 設 定 することができ まタイムスタンプ 抽 出 は 12 字 から 始 まり 41 字 で 終 了 するテキストに 限 定 されま 例 以 下 のようなイベントがある 場 合 を 考 えてみましょう 113
114 1989/12/31 16:00:00 Wed May 23 15:40: ERROR UserManager - Exception thrown Ignoring unsupported search for eventtype: /doc sourcetype="access_combined" NOT eventtypetag=bot タイムスタンプを 時 間 情 報 May 23 15:40: の 2 番 の 字 列 として 識 別 するには 以 下 のように props.conf を 設 定 しま [source::/applications/splunk/var/spool/splunk] TIME_PREFIX = \d{4}/\d{2}/\d{2} \d{2}:\d{2}:\d{2} \w+\s MAX_TIMESTAMP_LOOKAHEAD = 21 この 設 定 は 最 初 のタイムスタンプ 構 造 に 致 するイベントを 検 索 しますが それは 無 視 してそれに 続 く 21 字 (MAX_TIMESTAMP_LOOKAHEAD 属 性 から 取 得 された 値 ) 内 にあるタイムスタンプに 注 しま2 番 のタイムスタンプ は 常 にその 21 字 の 範 囲 内 に 存 在 するため それが 発 されま 注 意 :タイムスタンプ 抽 出 速 度 を 最 適 化 するには MAX_TIMESTAMP_LOOKAHEAD の 値 を 変 更 して イベント 内 の 的 の タイムスタンプを 発 するために 必 要 な 部 分 のみを 検 索 するように 調 整 しまこの 例 で MAX_TIMESTAMP_LOOKAHEAD はイベントの 正 規 表 現 値 から 21 字 のみを 検 索 するように 最 適 化 されていま タイムスタンプのタイムゾーンの 指 定 異 なるタイムゾーンからのデータのインデックスを 作 成 する 場 合 タイムゾーンオフセットを 使 って サーチ 時 に 正 しく 相 関 されるように 調 整 することができまタイムゾーンは イベントのホスト ソース またはソースタ イプに 基 づいて 設 定 することができま props.conf へのタイムゾーンの 設 定 props.conf のタイムスタンプ 編 集 については タイムスタンプ 認 識 の 設 定 を 参 照 してください Splunk がタイムゾーンを 適 する 仕 組 み デフォルトで Splunk Enterprise は 以 下 の 順 序 でこれらのルールを 使 ってタイムゾーンを 適 しま 1.Splunk Enterprise は raw イベントデータに 指 定 されている 任 意 のタイムゾーンを 使 します ( 例 :PST, ) 2.イベントがスタンザに 指 定 されているホスト ソース またはソースタイプに 致 する 場 合 props.conf に 設 定 されている TZ 属 性 の 値 を 使 しま 3.インデクサーに 到 着 したイベントの 起 源 がフォワーダーで フォワーダーと 受 信 側 インデクサーの 両 で Splunk Enterprise 6.0 以 降 が 動 作 している 場 合 は フォワーダーのタイムゾーンが 使 されま 4.それ 以 外 の 場 合 は イベントのインデックスを 作 成 するサーバーのタイムゾーンが 使 されま 注 意 :Splunk Enterprise が 動 作 しているシステムのタイムゾーン 設 定 を 変 更 した 場 合 変 更 内 容 を 反 映 するに は Splunk Enterprise を 再 起 動 する 必 要 がありま props.conf へのタイムゾーンの 指 定 タイムゾーンを 設 定 するには $SPLUNK_HOME/etc/system/local/ 内 または $SPLUNK_HOME/etc/apps/ の 独 のカスタム App ディレクトリ 内 の props.conf を 編 集 しま 設 定 ファイルの 般 情 報 については 管 理 マニュアル の 設 定 ファイルについて を 参 照 してください タイムゾーンを 設 定 するには props.conf 内 の 適 切 なスタンザに TZ 属 性 を 追 加 しまSplunk TZ 属 性 は zoneinfo TZ ID を 認 識 しま(zoneinfo (TZ) データベース 内 のすべてのタイムゾーン TZ ID を 参 照 )ホスト ソース またはソースタイプのスタンザ 内 で TZ 属 性 に 的 のタイムゾーンの TZ ID を 設 定 しまこれは そ のホスト ソース またはソースタイプからのイベントのタイムゾーンでなければなりません インデクサーのタイムゾーンは Splunk Enterprise で 設 定 されているのではなく オペレーティングシステムの タイムゾーンが 使 われていることに 注 意 してください インデクサーのホストシステムで 時 刻 が 正 しく 設 定 されて いる 限 り イベントのタイムゾーンのオフセットは 正 しく 算 出 されま 例 このインデクサーには New York City (タイムゾーンは 国 東 部 標 準 時 (US/Eastern)) および Mountain View, California ( 太 平 洋 標 準 時 (US/Pacific)) からのイベントが 到 着 しまこれらの 2 種 類 のイベントセットのタイ ムスタンプを 正 しく 処 理 するには インデクサーの props.conf に 国 東 部 標 準 時 と 国 太 平 洋 標 準 時 の 両 のタ イムゾーンを 指 定 する 必 要 がありま 最 初 の 例 では 名 前 が 正 規 表 現 nyc.* と 致 するホストから 到 着 する 任 意 のイベントのタイムゾーンを 国 東 部 標 準 時 に 設 定 しま [host::nyc*] TZ = US/Eastern 2 番 の 例 では バス /mnt/ca/... 内 のソースから 到 着 する 任 意 のイベントのタイムゾーンを 国 太 平 洋 標 準 時 114
115 に 設 定 しま [source::/mnt/ca/...] TZ = US/Pacific zoneinfo (TZ) データベース zoneinfo データベースは 公 的 に 管 理 されているタイムゾーン 値 のデータベースで UNIX 版 の Splunk は ご 利 の UNIXディストリビューションに 含 まれている TZ データベースを 使 し ていまUNIX ディストリビューションの 半 は 次 のディレクトリ 内 にデータベースを 保 管 していま す:/usr/share/zoneinfo Solaris 版 の Splunk は TZ 情 報 を 次 のディレクトリに 保 管 しています:/usr/share/lib/zoneinfo Windows 版 の Splunk には TZ データベースのコピーが 同 梱 されていま 可 能 な TZ 値 については zoneinfo (TZ) データベースを 参 照 してください イベントデータから 抽 出 されたタイムゾーン 字 列 のマップ イベントデータ 内 に 登 場 するタイムゾーンの 省 略 形 の 解 釈 法 を 変 更 するには props.conf で TZ_ALIAS 属 性 を 使 しまたとえば EST はデフォルトで 国 東 部 標 準 時 を 表 していますが イベントデータによってはそれが 豪 州 東 部 標 準 時 を 表 していることもありま EST を 後 者 の 意 味 に 変 更 するには 以 下 のように 属 性 を 設 定 し ま TZ_ALIAS = EST=GMT+10:00 次 に Splunk がイベントデータ 内 に EST を 発 した 場 合 それはデフォルトの GMT- 5:00 ではなく GMT+10:00 として 解 釈 されま この 例 のように タイムゾーン 字 列 を 既 存 の 字 列 + オフセット 値 にマップすることができままた 1 つの TZ 字 列 を 他 の 字 列 に 直 接 マップすることもできま タイムゾーン 字 列 のマッピング 時 には 夏 時 間 と 冬 時 間 の 両 のタイムゾーンを 処 理 するようにしてください たとえば EST をマッピングする 場 合 は EDT もマップしまご 利 の 地 域 で いられている 組 み 合 わせに 応 じて 適 切 なマップを ってください ソフトウェアをテストして 成 されるタイムゾーン 字 列 を 確 認 してく ださい 複 数 のマッピングを 指 定 することができまTZ_ALIAS の 構 を 以 下 に しま TZ_ALIAS = <key=value>[,<key=value>]... 詳 細 と 例 については 設 定 ファイルリファレンス の props.conf ファイルの 仕 様 と 例 を 参 照 してください ユーザーのサーチ 結 果 のタイムゾーン 設 定 Splunk ビルトイン 認 証 を 使 ってユーザーを 追 加 編 集 する 場 合 ユーザーのタイムゾーンを 設 定 することができ まそのユーザーのサーチ 結 果 は 設 定 したタイムゾーンで 表 されまただし この 設 定 によりインデック ス 時 に 決 定 された 実 際 のイベントデータのタイムゾーンが 変 更 されることはありません この 値 の 設 定 について は Splunk のセキュリティ マニュアルの Splunk Web を 使 ったユーザーの 設 定 を 参 照 してください インデックス 作 成 パフォーマンス 向 上 のためのタイムスタンプ 認 識 の 調 整 インデックス 作 成 を 速 化 するために Splunk Enterprise のタイムスタンププロセッサがイベントを 調 査 する 度 合 いを 調 整 したり タイムスタンププロセッサをオフにすることができまそのためには props.conf を 編 集 しま props.conf のタイムスタンプ 編 集 については タイムスタンプ 認 識 の 設 定 を 参 照 してください タイムスタンプ 先 読 みの 調 整 タイムスタンプ 先 読 みは イベントを 調 査 する 度 合 い ( 何 字 先 まで) を 決 定 しまこの 設 定 に は MAX_TIMESTAMP_LOOKAHEAD 属 性 を 使 しま タイムスタンププロセッサがイベント 内 を 調 査 するデフォルトの 字 数 は 150 字 でMAX_TIMESTAMP_LOOKAHEAD の 値 を 減 らすと インデックス 作 成 速 度 を 向 上 することができま 特 にタイムスタンプが 常 にイベントの 最 初 の 部 分 に 登 場 する 場 合 は この 値 を 調 整 してください 例 : この 例 では ソース foo から 到 着 するイベントの 最 初 の 20 字 のみ タイムスタンプを 探 しま [source::foo] MAX_TIMESTAMP_LOOKAHEAD =
116 ... タイムスタンププロセッサを 無 効 にする インデックス 作 成 パフォーマンスを 改 善 するために タイムスタンププロセッサを 無 効 にすることができま 特 定 のホスト ソース またはソースタイプに 致 するイベントのタイムスタンプ 処 理 をオフにするに は DATETIME_CONFIG 属 性 に NONE を 設 定 しまDATETIME_CONFIG=NONE の 場 合 Splunk Enterprise はイベントのテ キストからタイムスタンプを 探 しません 代 わりに イベントの 受 信 時 刻 つまり からイベントを 受 け 取 っ た 時 の 時 刻 が 使 されまファイルベースの (モニターなど) の 場 合 タイムスタンプは ファイルの 変 更 時 刻 から 取 得 されま また DATETIME_CONFIG に CURRENT を 設 定 して インデックス 作 成 のパフォーマンスを 向 上 することもできまこ の 場 合 インデックス 時 に 現 在 のシステム 時 刻 が 各 イベントに 割 り 当 てられま 例 : この 例 は ソース foo からのイベントのタイムスタンプ 抽 出 をオフにしま [source::foo] DATETIME_CONFIG = NONE... 注 意 : CURRENT と NONE の 両 が 明 的 にタイムスタンプの 識 別 を 無 効 にしまそのため デフォルトのイベン ト 境 界 検 出 (BREAK_ONLY_BEFORE_DATE = true) は 的 通 りには 機 能 しません これらの 設 定 を 使 する 場 合 は SHOULD_LINEMERGE や BREAK_ONLY_*, MUST_BREAK_* 設 定 を 使 ってイベントの 結 合 を 管 理 しま インデックス 作 成 フィールド 抽 出 の 設 定 インデックス 作 成 フィールドの 抽 出 について Splunk Enterprise がデータのインデックスを 作 成 する 場 合 データストリームをパーシングして 連 のイベン トを 作 成 しまこのプロセスの 環 として イベントデータにさまざまなフィールドが 追 加 されまこれら のフィールドには 動 的 に 追 加 されるデフォルトフィールドや 分 が 指 定 したカスタムフィールドが 含 ま れま イベントへのフィールドの 追 加 プロセスは フィールドの 抽 出 と 呼 ばれていま2 種 類 のフィールド 抽 出 が 存 在 していま インデックス 作 成 フィールドの 抽 出 :このトピックの 始 めに 簡 単 に 説 明 しましたが これがこの 章 で 説 明 する 主 な 項 になりまこれらのフィールドはインデックス 内 に 保 管 され フィールドはイベントデータ の 部 となりま サーチ 時 フィールドの 抽 出 :データのサーチ 時 に 処 理 が われまそれらのフィールドはその 場 で 作 成 されますが インデックス 内 には 保 管 されません この 種 類 のフィールド 抽 出 については ナレッジ 管 理 マニュアルの フィールドについて を 参 照 してください 2 種 類 のインデックスされたフィールドが 存 在 していま デフォルトフィールド:Splunk が 各 イベントに 動 的 に 追 加 しまこの 章 の デフォルトフィールドに ついて を 参 照 してください カスタムフィールド: 分 が 指 定 したフィールドでこのマニュアルの インデックス 時 のカスタム フィールドの 作 成 を 参 照 してください 注 意 :フィールドに 関 する 作 業 を う 場 合 部 分 のマシンデータは 構 造 を 持 たないか または 常 に 変 化 する 構 造 を 持 っていることを 考 慮 するようにしてください このような 種 類 のデータには 柔 軟 性 の 観 点 からサーチ 時 フィールド 抽 出 を 使 することをお 勧 めしまサーチ 時 フィールド 抽 出 の 設 定 後 その 変 更 は 簡 単 に えま より 固 定 された 構 造 のデータや すでにファイル 内 のデータやイベントに 構 造 がすでに 定 義 されているデータもあ りまSplunk Enterprise には このような 種 類 のファイルの 構 造 を 読 み 込 むためのオプションが 意 されてお り (カンマ 区 切 りファイル (CSV) タブ 区 切 りファイル (TSV) パイプ 区 切 りファイル JSON データ ソースな ど) インデックス 時 にフィールドのマッピングが われま 仕 組 みについては このマニュアルの ヘッダー のあるファイルからのデータ 抽 出 を 参 照 してください デフォルトフィールドについて (host source sourcetype など) データのインデックス 作 成 時 には 各 イベントにさまざまなフィールドが 追 加 されまこれらのフィールドは インデックスのイベントデータの 部 となりまSplunk が 動 的 に 追 加 するフィールドは デフォルト フィールドと 呼 ばれま デフォルトのフィールドは さまざまな 的 に 利 されまたとえば デフォルトフィールド index はイベント が 存 在 しているインデックスを しまデフォルトフィールド linecount はイベントに 含 まれる 数 を timestamp はイベントの 発 時 刻 を しまSplunk はデータのインデックス 作 成 時 に 部 のフィールドの 値 特 に sourcetype の 値 を 利 して 正 しくイベントを 作 成 しまデータのインデックスが 作 成 されたら サー チにデフォルトフィールドを 使 できま すべてのデフォルトフィールドの 覧 を 以 下 に しま 116
117 フィー ルドの タイプ 内 部 フィー ルド 基 本 的 なデ フォル ト フィー ルド デフォ ルトの 時 フィー ルド フィールドの リスト _raw, _time, _indextime, _cd host, index, linecount, punct, source, sourcetype, splunk_server, timestamp date_hour, date_mday, date_minute, date_month, date_second, date_wday, date_year, date_zone 説 明 これらのフィールドには Splunk が 内 部 処 理 の 的 で 使 する 情 報 が 含 まれていま これらのフィールドは イベントのソース 含 まれているデータの 種 類 保 管 されて いるインデックス 含 まれている 数 発 時 などのイベントに 関 する 基 本 情 報 を 表 していま これらのフィールドは イベントのタイムスタンプに 対 するサーチをさらに 細 かく 制 御 するために いられま 注 意 : 各 システムで 成 されたタイムスタンプ 情 報 を 持 つイベントのみが date_* フィールドを 持 っていまイベントに date_* フィールドがある 場 合 それはイベ ント 体 からの 直 接 の 時 間 / 付 値 を 表 していまインデックス 時 / 時 にタイム ゾーン 変 換 や 時 間 / 付 値 の 変 更 を った 場 合 ( 例 :タイムスタンプがインデックス 時 または 時 になるように 設 定 した) これらのフィールドはそれを 表 さないよう になりま サーチの 観 点 からのデフォルトフィールドについての 情 報 は ナレッジ 管 理 マニュアルの デフォルトフィー ルドの 使 を 参 照 してください 注 意 :インデックスに 追 加 する 独 のカスタムフィールドを 指 定 することもできまこの 章 の インデック ス 時 のカスタムフィールドの 作 成 を 参 照 してください このトピックは 3 つの 主 要 デフォルトフィールドを 取 り 上 げていきま host source sourcetype host source および sourcetype の 定 義 host source および sourcetype フィールドは 以 下 のように 定 義 されま host - イベントの host の 値 は 般 的 にはイベントの 発 元 となるホスト 名 IP アドレス またはネット ワークホストの 完 全 修 飾 ドメイン 名 になりまhost 値 を 利 すれば 特 定 のデバイスから 収 集 されたデー タを 軽 に 特 定 することができまホストの 詳 細 は ホストについて を 参 照 してください source - イベントの source は イベントの 起 源 となるファイル ストリーム または 他 の の 名 前 で ファイルやディレクトリからモニターされるデータの 場 合 source の 値 は /archive/server1/var/log/messages.0 や /var/log/ などのフルパスになりまネットワークベースのデータ ソースの 場 合 source は UDP:514 のようなプロトコルとポートになりま sourcetype - イベントの sourcetype は access_combined や cisco_syslog などの データ 成 元 のデータ の 形 式 でsourcetype は Splunk によるデータのフォーマット 法 を 決 定 しまソースタイプの 詳 細 は ソースタイプが 重 要 な 理 由 を 参 照 してください ソースとソースタイプ ソースとソースタイプを 混 同 しないようにしてください どちらもデフォルトフィールドですが それ 以 外 はまっ たく 違 いま ソース (source) は イベントが 由 来 するファイル ストリーム または 他 の 名 で ソースタイプ (sourcetype) は イベントのフォーマットを しまSplunk はこのフィールドを 使 っ て 受 信 したデータストリームを 個 別 のイベントにフォーマットする 法 を 決 定 しま 同 じソースタイプを 持 つイベントが 異 なるソースから 来 ることもありまたとえ ば source=/var/log/messages をモニターしており また udp:514 から syslog を 直 接 受 信 している 場 合 を 考 えて みましょう sourcetype=linux_syslog をサーチした 場 合 それらの 両 のソースからのイベントが 返 されま ホストおよびソースタイプの 割 り 当 てに 優 先 する 設 定 を う 状 況 ほとんどの 場 合 Splunk は 正 確 かつ 有 益 なソースとソースタイプの 値 を 動 認 識 することができまただし 状 況 によっては この 処 理 に 介 して 優 先 する 値 を 設 定 しなければならないこともありま ホスト 割 り 当 てに 優 先 する 設 定 以 下 のような 場 合 に デフォルトの host 割 り 当 てを 変 更 することができま 当 初 は 別 のホストで 成 されたアーカイブデータを 括 ロードしており それらのイベントにそのホスト 値 を 設 定 したい 場 合 データが 別 のホストから 転 送 されている 場 合 ( 特 に 指 定 のない 限 り フォワーダーがホストになりま) どこで 成 されたログでも そのログデータを 受 信 したサーバーがホストになるような 集 中 ログサーバー 環 境 で 作 業 を っている 場 合 117
118 ホストの 詳 細 は ホスト 値 の 設 定 を 参 照 してください ソースタイプ 割 り 当 てに 優 先 する 設 定 以 下 のような 場 合 に デフォルトの sourcetype 割 り 当 てを 変 更 することができま Splunk がデータを 適 切 に 動 フォーマットできず 誤 ったタイムスタンプ 設 定 やイベントの 分 割 が わ れるなどの 問 題 が 発 する 場 合 離 散 グループのホストに 由 来 するイベント または 特 定 の IP アドレスやユーザー ID に 関 連 するイベントな ど 特 定 の から 受 信 した 特 定 のイベントにソースタイプを 適 したい 場 合 Splunk が 動 的 に 認 識 できるソースタイプを 拡 張 することも または 単 にソースタイプの 名 前 を 変 更 することも 可 能 で ソースタイプの 詳 細 は ソースタイプの 設 定 を 参 照 してください デフォルトフィールドの 動 的 割 り 当 て Splunk への 取 り 込 み 時 に ファイルにデフォルトフィールド (メタデータ) を 動 的 に 割 り 当 てることができま この 機 能 を 利 して 受 信 データにソースタイプ ホスト またはソースを 動 的 に 指 定 できまこの 機 能 は 主 に スクリプト やスクリプトが 処 理 した 既 存 のファイルからのデータを 処 理 する 場 合 に 役 ちま 重 要 : 継 続 的 なファイルモニタリング (tail) に 動 的 メタデータ 割 り 当 てを 使 することはお 勧 めできません ファイル の 詳 細 は このマニュアルの ファイルとディレクトリのモニター を 参 照 してください 注 意 :モジュール 機 能 は この ***SPLUNK*** ヘッダー 機 能 よりも 幅 に 優 れていまhost source およ び sourcetype tの 動 的 に 成 された 値 を Splunk に 提 する 必 要 がある 場 合 は モジュール の 作 成 を 検 討 し てください この 機 能 を 使 するには ファイルに 単 の 動 的 ヘッダーを 追 加 して 値 を 割 り 当 てるメタデータフィールド を 指 定 しま 利 可 能 なメタデータフィールドは sourcetype host および source で inputs.conf props.conf および transforms.conf を 編 集 する 代 わりに この 法 を 使 ってメタデータを 割 り 当 てることができま 単 の ファイルの 設 定 既 存 の ファイルに 対 してこの 機 能 を 使 するには ファイルを 編 集 して 単 の ヘッダーを 追 加 します ( 動 またはスクリプトを 使 って) ***SPLUNK*** <metadata field>=<string> <metadata field>=<string>... <metadata field>=<string> には 有 効 なメタデータ/ 値 のペアを 設 定 しま 複 数 のペアを 指 定 することがで きま 例 :sourcetype=log4j host=swan 単 のヘッダーをファイル 内 の 任 意 の 場 所 に 追 加 しまEOF に 達 するまで ヘッダーに 続 く 任 意 のデータ が 割 り 当 てた 属 性 と 値 に 追 加 されま ファイルを $SPLUNK_HOME/var/spool/splunk または Splunk がモニターしている 他 のディレクトリに 追 加 しま スクリプトによる 設 定 スクリプトを 作 成 して 受 信 するデータストリームに 動 的 に ヘッダーを 追 加 することができままた ファイルの 内 容 に 基 づいて 動 的 にヘッダーを 設 定 することもできま インデックス 時 のカスタムフィールドの 作 成 警 告 :Splunk がインデックス 時 に 動 的 に 抽 出 してインデックスを 作 成 する 連 のデフォルトフィールド (timestamp punct host source sourcetype など)に カスタムフィールドを 追 加 することはお 勧 め めできません このフィールドリストに 追 加 すると インデックス 作 成 された 各 フィールドがサーチ 可 能 インデックスのサイズを 増 やすため インデックス 作 成 のパフォーマンスとサーチ 時 間 に 悪 影 響 を 与 える 可 能 性 がありまインデックス 作 成 フィールドは 柔 軟 性 にも けていま 連 のフィールドを 変 更 すると データセット 全 体 のインデックスを 再 作 成 する 必 要 がありま 詳 細 は インデクサーとクラスタの 管 理 マニュアルの インデックス 時 とサーチ 時 を 参 照 してください これらの 注 意 事 項 や 問 題 があっても カスタムフィールドを 追 加 しなければならないことがありまたとえば 特 定 のサーチ 時 フィールド 抽 出 が サーチのパフォーマンスに きな 影 響 を 与 えるような 環 境 が 挙 げられまた とえば 頻 繁 に きなイベントセットに 対 してfoo!=bar や NOT foo=bar などの 式 でサーチを 実 し foo フィールド がほぼ 常 に 値 bar を 取 る 場 合 がこれにあたりま 反 対 に サーチ 時 抽 出 フィールドの 値 が ほぼフィールド 外 に 存 在 している 場 合 に インデックス 作 成 フィールド を 追 加 したいこともありまたとえば foo=1 のみをサーチするような 場 合 に foo=1 を 持 たない 多 くのイベント 内 に 1 が 存 在 している 場 合 インデックス 時 に 抽 出 されるフィールドのリストに foo を 追 加 する が 効 率 的 なこ とがありま 般 的 には サーチ 時 にカスタムフィールドを 抽 出 するようにしてください 詳 細 は ナレッジ 管 理 マニュア ルの フィールドについて を 参 照 してください 追 加 のインデックス 作 成 フィールドの 定 義 118
119 追 加 のインデックス 作 成 フィールドを 定 義 するには props.conf transforms.conf および fields.conf を 編 集 し ま $SPLUNK_HOME/etc/system/local/ 内 または $SPLUNK_HOME/etc/apps/ の 独 のカスタムアプリケーションディレクトリ 内 にある これらのファイルを 編 集 しま 設 定 ファイルの 般 情 報 については 管 理 マニュアル の 設 定 ファイルについて を 参 照 してください 分 散 環 境 での 設 定 変 更 の 保 管 場 所 分 散 サーチデプロイ 環 境 の 場 合 処 理 はサーチピア (インデクサー) とサーチヘッドに 分 けて われま 変 更 内 容 は 以 下 の 法 でデプロイする 必 要 がありま props.conf および transforms.conf の 変 更 を 各 サーチピアにデプロイしま fields.conf の 変 更 をサーチヘッドにデプロイしま 注 意 :サーチピアへのデータ 転 送 にヘビーフォワーダーを 使 している 場 合 props および transforms の 処 理 は サーチピアではなくフォワーダー 上 で われまそのため props と transforms に 関 する 変 更 は サーチピア ではなくフォワーダーにデプロイする 必 要 がありま Splunk Enterprise 分 散 コンポーネントの 詳 細 は 分 散 デプロイ マニュアルの コンポーネントとロール を 参 照 してください 設 定 の 保 管 場 所 については 管 理 マニュアル の 設 定 パラメータとデータパイプライン を 参 照 してくださ い フィールド 名 構 の 制 限 事 項 Splunk では フィールド 名 に 英 数 字 とアンダースコアのみを 使 できま フィールド 名 に 使 できる 字 は a-z A-Z 0-9 _ で フィールド 名 の 先 頭 に 0-9 または _ を 使 することはできません 先 頭 のアンダースコアは Splunk の 内 部 変 数 に 予 約 されていま 国 際 字 は 使 できません transforms.conf への 新 規 フィールド 正 規 表 現 スタンザの 追 加 transforms.conf にインデックス 時 フィールド 変 換 を 定 義 する 場 合 は 以 下 のフォーマットに 従 ってください ( 注 意 :LOOKAHEAD や DEST_KEY など 部 の 属 性 は 特 定 の 途 でのみ 必 要 になります): [<unique_transform_stanza_name>] REGEX = <regular_expression> FORMAT = <your_custom_field_name>::$1 WRITE_META = [true false] DEST_KEY = <KEY> DEFAULT_VALUE = <string> SOURCE_KEY = <KEY> REPEAT_MATCH = [true false] LOOKAHEAD = <integer> 以 下 の 事 項 に 注 意 してください REGEX のように すべての 変 換 に <unique_stanza_name> が 必 要 になりま REGEX は データからフィールドを 抽 出 するための 正 規 表 現 で REGEX の 名 前 付 きグループは 直 接 フィールドに 抽 出 されま 単 純 なフィールド 抽 出 の 場 合 は FORMAT を 指 定 する 必 要 はありません REGEX でフィールド 名 と 対 応 する 値 の 両 を 抽 出 する 場 合 以 下 の 特 殊 グループを 使 って FORMAT 属 性 の マッピング 指 定 をスキップすることができま _KEY_<string>, _VAL_<string> たとえば 以 下 の 事 項 は 同 じ 意 味 を 持 っていま FORMAT を 使 : REGEX = ([a-z]+)=([a-z]+) FORMAT = $1::$2 FORMAT を 不 使 : REGEX = (?<_KEY_1>[a-z]+)=(?<_VAL_1>[a-z]+) FORMAT は 省 略 することができまこれを 使 って 追 加 する 任 意 のフィールド 名 や 値 も 含 めて 抽 出 する フィールド/ 値 のペアのフォーマットを 指 定 しま 名 前 付 きグループを 使 った 単 純 な REGEX の 場 合 は FORMAT を 指 定 する 必 要 はありません FORMAT は 抽 出 がサーチ 時 に われるのか またはインデックス 時 に われるのかによって 動 作 が 異 なりま 119
120 または: インデックス 時 変 換 の 場 合 $n を 使 って 各 REGEX 照 合 の 出 を 指 定 します ( 例 :$1 $2 など) REGEX に n グループがない 場 合 照 合 は 失 敗 しま FORMAT のデフォルトは <unique_transform_stanza_name>::$1 で 特 殊 識 別 $0 は REGEX 実 前 に DEST_KEY 内 に 存 在 していた 情 報 を 表 します (インデックス 時 フィール ド 抽 出 の 場 合 DEST_KEY は _meta です) 詳 細 は 後 述 する Splunk によるインデックス 作 成 フィール ドの 構 築 法 を 参 照 してください インデックス 時 フィールド 抽 出 の 場 合 さまざまな 法 で FORMAT を 設 定 することができま<fieldname>::<field-value> を 使 って 以 下 のように 設 定 することもできま FORMAT = field1::$1 field2::$2 (REGEX は 捕 捉 グループ field1 および field2 のフィールド 値 を 抽 出 しま) FORMAT = $1::$2 (REGEX は フィールド 名 とフィールド 値 の 両 を 抽 出 します) また 連 結 フィールドを 作 成 するインデックス 時 フィールド 抽 出 を 設 定 することもできま FORMAT = ipaddress::$1.$2.$3.$4 FORMAT を 使 って 連 結 フィールドを 作 成 する 場 合 $ が 唯 の 特 殊 字 であることを 理 解 しておくことが 重 要 でこれは その 後 に 数 字 が 続 き そしてその 数 字 が 既 存 の 捕 捉 グループに 適 される 場 合 にのみ 正 規 表 現 捕 捉 グループのプリフィックスとして 処 理 されま 正 規 表 現 に 捕 捉 グループが 1 つのみ 存 在 し その 値 が bar の 場 合 : FORMAT = foo$1 で 成 される 値 : foobar FORMAT = foo$bar で 成 される 値 : foo$bar FORMAT = foo$1234 で 成 される 値 : foo$1234 FORMAT = foo$1\$2 で 成 される 値 : foobar\$2 WRITE_META = true は 抽 出 されたフィールド 名 と 値 を _meta (Splunk によるインデックス 作 成 フィールドの 保 管 場 所 ) に 書 き 込 みまこの 属 性 は DEST_KEY = _meta の 場 合 を 除 いて すべてのインデックス 時 フィール ド 抽 出 に 設 定 する 必 要 があります ( 後 述 する DEST_KEY の 説 明 を 参 照 ) _meta に 関 する 情 報 およびそれがインデックス 作 成 フィールドの 作 成 時 に 果 たす 役 割 については 後 述 する Splunk によるインデックス 作 成 フィールドの 構 築 法 を 参 照 してください DEST_KEY が インデックス 時 フィールド 抽 出 には 必 要 です (WRITE_META = false または 何 も 設 定 されていない 場 合 ) これは REGEX の 結 果 の 保 管 場 所 を しま インデックス 時 サーチの 場 合 は DEST_KEY = _meta (Splunk がインデックス 作 成 フィールドを 保 管 する 場 所 ) でその 他 の 可 能 な KEY 値 については このマニュアルの transforms.conf に 関 するページを 参 照 してください _meta に 関 する 情 報 およびそれがインデックス 作 成 フィールドの 作 成 時 に 果 たす 役 割 については 後 述 する Splunk によるインデックス 作 成 フィールドの 構 築 法 を 参 照 してください DEST_KEY = _meta を 使 する 場 合 FORMAT 属 性 の 先 頭 に $0 を 追 加 する 必 要 がありま$0は Splunk がREGEX を 実 する 前 の DEST_KEY 値 を 表 しています (_meta) 注 意 : $0 の 値 が REGEX から 得 られることはありません DEFAULT_VALUE は 省 略 することができまREGEX が 失 敗 した 場 合 この 属 性 の 値 は DEST_KEY に 書 き 込 まれま デフォルトは 空 で SOURCE_KEY は 省 略 することができまこれを 使 って REGEX を 適 する 値 の KEY を 指 定 しま デフォルトは SOURCE_KEY = _raw で この 場 合 すべてのイベントに 丸 ごと 適 されま 般 的 には REPEAT_MATCH とともに 使 されま その 他 の 可 能 な KEY 値 については このマニュアルの transforms.conf に 関 するページを 参 照 してくだ さい REPEAT_MATCH は 省 略 することができまSOURCE_KEY に 対 して REGEX を 複 数 回 実 する 場 合 は true を 設 定 し ま REPEAT_MATCH は 前 回 照 合 が 停 された 場 所 から 開 始 し 致 する 項 が つからなくなるまで 処 理 を 続 しまイベントあたりに 予 測 される フィールド/ 値 の 致 項 数 が 不 明 な 場 合 などに 役 ちま デフォルトは false で LOOKAHEAD は 省 略 することができまイベント 内 のサーチ 字 数 を 指 定 しま デフォルトは 4096 で の さが 4096 字 を 超 えるイベントがある 場 合 は LOOKAHEAD の 値 を 増 やすことができま 特 に 照 合 する 必 要 があるテキストがこの 字 数 よりも 後 にある 場 合 は この 値 を 増 やす 必 要 がありま ただし きなテキストセグメントをスキャンする 場 合 複 雑 な 正 規 表 現 のコストが 常 に くなる 可 能 性 があることに 注 意 してください 複 数 の 最 マッチや 先 読 み/ 前 読 みを 使 する 場 合 速 度 が 幅 に 低 下 する 可 能 性 がありま 注 意 : 正 規 表 現 の 構 と 使 法 の 概 要 については Regular-Expressions.info を 参 照 してください 正 規 表 現 をテストするには サーチ 内 で rex サーチコマンドを 使 ってそれらを 指 定 しま 正 規 表 現 式 を 作 成 テストする ために 役 つサードパーティ 製 ツールのリストも 意 されていま 120
121 注 意 : 正 規 表 現 内 の 捕 捉 グループには フィールド 名 構 の 制 限 事 項 に 従 ってフィールド 名 を 指 定 する 必 要 があ りまASCII 字 (a z A Z 0 9 または _) のみを 使 できま 国 際 字 は 使 できません props.conf への 新 しいフィールドのリンク props.conf に 以 下 の を 追 加 しま [<spec>] TRANSFORMS-<class> = <unique_stanza_name> 以 下 の 事 項 に 注 意 してください <spec> には 以 下 の 値 を 使 できま <sourcetype> イベントのソースタイプ host::<host> <host> はイベントのホストで source::<source> <source> はイベントのソースで 注 意 : <spec> の 設 定 時 には 正 規 表 現 型 構 を 使 できままた ソースおよびソースタイプスタ ンザの 照 合 では 字 と 字 が 区 別 されますが ホストスタンザでは 区 別 されません 詳 細 は props.conf 仕 様 ファイルを 参 照 してください <class> は 抽 出 するフィールド (キー) の 名 前 空 間 を 識 別 する 意 のリテラル 字 列 で 注 意 : <class>の 値 は フィールド 名 構 の 制 限 ( 前 述 ) に 従 う 必 要 はありません a-z A-Z および 0-9 以 外 の 字 を 使 でき またスペースも 利 できま <unique_stanza_name> は transforms.conf のスタンザ 名 で 注 意 :インデックス 時 フィールド 抽 出 の 場 合 props.conf は TRANSFORMS-<class> を 使 しま EXTRACT- <class> は サーチ 時 フィールド 抽 出 の 設 定 に いられま fields.conf への 新 規 フィールド エントリの 追 加 fields.conf に 新 しいインデックス 作 成 フィールド のエントリを 追 加 しま [<your_custom_field_name>] INDEXED=true 以 下 の 事 項 に 注 意 してください <your_custom_field_name> は transforms.conf に 追 加 する 意 のスタンザ 内 に 設 定 する カスタムフィールド の 名 前 で フィールドのインデックスが 作 成 されることを すために INDEXED=true を 設 定 しま 注 意 :サーチ 時 に 同 名 のフィールドが 抽 出 される 場 合 は フィールドに 対 して INDEXED=false を 設 定 する 必 要 があ りままた そのフィールドの インデックス 時 には 取 得 されないけれども サーチ 時 には 抽 出 される 値 を 持 つイベントが 存 在 する 場 合 も INDEXED_VALUE=false を 設 定 する 必 要 がありま たとえば インデックス 時 に 単 純 な <field>::1234 抽 出 を う 場 合 を 考 えてみましょう これは 機 能 します が A(\d+)B のような 正 規 表 現 に 基 づいてサーチ 時 フィールド 抽 出 も うような 場 合 は 字 列 A1234B がその フィールドの 値 1234 を み 出 すため 問 題 が 発 してしまいまこれによりサーチ 時 に 1234 のイベントが 登 場 するため Splunk は <field>::1234 抽 出 を 使 ってインデックス 時 を 特 定 することができなくなってしまいま 変 更 内 容 を 反 映 するための Splunk の 再 起 動 props.conf や transforms.conf などの 設 定 ファイルの 変 更 は 影 響 するすべてのコンポーネント 上 で Splunk を シャットダウンして 再 起 動 しないと 反 映 されません Splunk によるインデックス 作 成 フィールドの 構 築 法 Splunk は _meta に 書 き 込 むことで インデックス 作 成 フィールドを 構 築 していまその 詳 細 を 以 下 に しま _meta は transforms.conf 内 の DEST_KEY = _meta または WRITE_META = true を 含 むすべての 致 する 変 換 によ り 変 更 されま 致 する 各 変 換 は _meta を 上 書 きすることができま_meta に 追 加 する 場 合 は WRITE_META = true を 使 しま WRITE_META を 使 しない 場 合 は $0 で FORMAT を 開 始 しま パーシング 中 に _meta が 完 全 に 構 築 されたら Splunk は 以 下 の 法 でテキストを 変 換 しま テキストはユニットに 分 割 されま 各 ユニットは 空 字 で 区 切 られま 空 字 の 有 無 に 関 係 なく 引 符 (" ") で 字 を きなユニットにグループ 化 しま 引 符 直 前 の 円 記 号 (\) またはバックスラッシュは 引 符 のグループ 化 特 性 を 無 効 にしま 円 記 号 の 前 に 円 記 号 があると その 円 記 号 が 無 効 になりま 2 つの 連 続 するコロン (::) を 含 むテキストユニットは 抽 出 フィールドに 変 換 されま2 つの 連 続 す るコロンの 左 側 がフィールド 名 右 側 が 値 になりま 注 意 : 般 的 に 正 規 表 現 抽 出 値 を 持 ち 引 符 を 含 むインデックス 作 成 フィールドは 機 能 せず 円 記 号 がある 場 合 にも 問 題 がありまサーチ 時 に 抽 出 されるフィールドには これらの 制 限 はありません 121
122 引 符 と 円 記 号 を 含 んでおり それらが 無 効 になるような 連 のインデックス 時 抽 出 の 例 を 以 下 に しま WRITE_META = true FORMAT = field1::value field2::"value 2" field3::"a field with a \" quotation mark" field4::"a field which ends with a backslash\\" Splunk によるフィールド 名 の 作 成 時 注 意 :Splunk がフィールド 名 を 作 成 する 場 合 フィールド 名 構 の 制 限 事 項 が 適 されま 1.a-z A-Z および 0-9 以 外 のすべての 字 は アンダースコア (_) に 置 換 されま 2. 先 頭 のアンダースコアはすべて 削 除 されまSplunk で 先 頭 のアンダースコアは 内 部 フィールド に 予 約 されていま インデックス 時 フィールド 抽 出 の 例 ここには インデックス 時 フィールド 抽 出 の 設 定 ファイルの 設 定 例 をいくつか 記 載 していま 新 しいインデックス 作 成 フィールドの 定 義 この 基 本 的 な 例 では インデックス 作 成 フィールド err_code を 作 成 しま transforms.conf transforms.conf に 以 下 の 項 を 追 加 しま [netscreen-error] REGEX = device_id=\[\w+\](?<err_code>[^:]+) FORMAT = err_code::"$1" WRITE_META = true このスタンザは device_id= に 続 けて 括 弧 に 囲 まれた 単 語 およびコロンで 終 了 するテキスト 字 列 を 取 りま イベントのソースタイプは testlog で コメント: FORMAT = には 以 下 の 値 が 含 まれていま err_code:: は フィールド 名 で $1 は インデックスに 書 き 込 まれる 新 しいフィールドを 表 していまREGEX により 抽 出 された 値 で WRITE_META = true は FORMAT の 内 容 をインデックスに 書 き 込 むことを 表 していま props.conf props.conf に 以 下 の を 追 加 しま [testlog] TRANSFORMS-netscreen = netscreen-error fields.conf fields.conf に 以 下 の を 追 加 しま [err_code] INDEXED=true 設 定 ファイルの 変 更 内 容 を 反 映 するために Splunk を 再 起 動 しま 1 つの 正 規 表 現 で 2 つの 新 規 インデックス 作 成 フィールドを 定 義 この 例 では インデックス 作 成 フィールド username および login_result を 作 成 しま transforms.conf transforms.conf に 以 下 の 項 を 追 加 しま [ftpd-login] REGEX = Attempt to login by user: (.*): login (.*)\. FORMAT = username::"$1" login_result::"$2" 122
123 WRITE_META = true このスタンザは リテラルテキスト Attempt to login by user: を 探 し 後 ろにコロンが 付 いたユーザー 名 を 抽 出 し 次 に 後 ろにピリオドが 付 いた 結 果 を 抽 出 しま は 以 下 のようになりま :15:21 mightyhost awesomeftpd INFO Attempt to login by user: root: login FAILED. props.conf props.conf に 以 下 の を 追 加 しま [ftpd-log] TRANSFORMS-login = ftpd-login fields.conf fields.conf に 以 下 の を 追 加 しま [username] INDEXED=true [login_result] INDEXED=true 設 定 ファイルの 変 更 内 容 を 反 映 するために Splunk を 再 起 動 しま インデックス 時 のイベントセグメントからのフィールド 値 の 連 結 この 例 は インデックス 時 変 換 を 使 った イベントの 個 別 のセグメントの 抽 出 および FORMAT を 使 ってそれらを 結 合 して 単 のフィールドを 作 成 する 法 を 表 していま 以 下 のイベントが 存 在 する 場 合 を 考 えてみましょう :48: PACKET 078FCFD0 UDP Rcv R Q [0084 A NOERROR] A (4)www(8)google(3)com(0) 的 は (4)www(8)google(3)com(0) を dns_requestor フィールドの 値 として 抽 出 することでただし それらの 無 意 味 な 括 弧 と 数 字 は 不 要 で 単 純 に のみを 抽 出 たいと 考 えていまそのためにはどうすれば 良 い のでしょうか? transforms.conf まず transforms.conf 内 に 変 換 dnsrequest を 設 定 しま [dnsrequest] REGEX = UDP[^\(]+\(\d\)(\w+)\(\d\)(\w+)\(\d\)(\w+) FORMAT = dns_requestor::$1.$2.$3 この 変 換 は dns_requestor という 名 前 のカスタムフィールドを 定 義 しまその REGEX を 使 って 値 dns_requestor の 3 つのセグメントを 抜 き 出 しま 次 に FORMAT を 使 って それらのセグメントの 間 にピリオドを 付 けながら 並 べ 適 切 な URL のようにフォーマットしま 注 意 :このイベントセグメントを 連 結 してフィールド 値 を 作 成 する 法 は インデックス 時 抽 出 でのみ 実 する ことができまサーチ 時 抽 出 では 実 上 の 制 限 から 実 できません この 法 で FORMAT を 使 する 必 要 があ る 場 合 は 実 するために 新 しいインデックス 作 成 フィールドを 作 成 する 必 要 がありま props.conf 次 に dnsrequest 変 換 を 参 照 し それを server1 ソースタイプから 受 け 取 るイベントに 適 するフィールド 抽 出 を props.conf に 定 義 しま [server1] TRANSFORMS-dnsExtract = dnsrequest fields.conf 最 後 に fields.conf に 以 下 のスタンザを 設 定 しま [dns_requestor] INDEXED = true 123
124 設 定 ファイルの 変 更 内 容 を 反 映 するために Splunk を 再 起 動 しま ヘッダーのあるファイルからのデータの 抽 出 カンマ 区 切 り 形 式 (CSV) ファイルなどの 構 造 化 データの 多 くが ファイルヘッダーに 情 報 を 保 有 していま Splunk Enterprise はその 情 報 を 使 って インデックス 時 イベント 処 理 中 にフィールドを 抽 出 することができま これらのフィールドを 動 抽 出 するように Splunk Enterprise を 設 定 することができま たとえば 般 的 に 従 来 の CSV ファイルは それ 以 降 の の 値 に 対 する 列 出 しを 含 む から 始 まりま 以 下 に 例 を しま host,status,message,"start date" srv1.splunk.com,error,"no space left on device", t06:35:00 srv2.splunk.com,ok,-, t06:00:00 設 定 ファイルを 使 ったヘッダーベースの 動 フィールド 抽 出 の 有 効 化 ヘッダーがあるファイル (カンマ 区 切 り 形 式 ファイル IIS Web サーバーログ および 他 の 構 造 化 データファイル など) からデータを 抽 出 するには inputs.conf と props.conf を 組 み 合 わせて 使 しま $SPLUNK_HOME/etc/system/local/ 内 または $SPLUNK_HOME/etc/apps/<app_name>/local の 独 のカスタムアプリケー ションディレクトリ 内 にある これらのファイルを 編 集 しまInputs.conf には モニターするファイル およ びモニターするために 使 するソースタイプを 指 定 しまprops.conf には ソースタイプ 体 を 定 義 しま 設 定 ファイルの 般 情 報 については 管 理 マニュアル の 設 定 ファイルについて を 参 照 してください 重 要 :props.conf に 対 して った 変 更 は (ヘッダーベースの 動 フィールド 抽 出 など) Splunk Enterprise を 再 起 動 しない 限 り 反 映 されません 構 造 化 データ の Props.conf 属 性 props.conf には ヘッダーを 含 むファイルを 処 理 するために 以 下 の 属 性 が 含 まれていま 他 の props.conf 属 性 については props.conf 仕 様 ファイルを 参 照 してください 属 性 INDEXED_EXTRACTIONS = {CSV W3C TSV PSV JSON} 説 明 ファイルのタイプと 抽 出 またはファイルに 対 して 使 するパーシン グ 法 を 指 定 しま デフォルト N/A ( 設 定 さ れない) PREAMBLE_REGEX ファイルによってはプリアンブル が 含 まれていることもありま この 属 性 には 指 定 パターンに 基 づいてそれらのプリアンブル を 無 視 するための 正 規 表 現 を 指 定 しま FIELD_HEADER_REGEX プリフィックスが 付 いたヘッダー のパターンを す 正 規 表 現 Splunk Enterprise は 正 規 表 現 に 致 する 最 初 の を 探 して それ をヘッダーフィールドとしてパーシングしま 実 際 のヘッダーは 致 したパターンの 後 から 始 まり それ はパーシングされたヘッ ダーフィールドには 含 まれないことに 注 意 してください この 属 性 に は 特 殊 字 を 指 定 することができま FIELD_DELIMITER FIELD_QUOTE HEADER_FIELD_DELIMITER HEADER_FIELD_QUOTE HEADER_FIELD_LINE_NUMBER TIMESTAMP_FIELDS = field1,field2,...,fieldn FIELD_NAMES モニター 対 象 ファイルまたはソース 内 のフィールドを 区 切 る/ 分 割 する 字 を しまこの 属 性 には 特 殊 字 を 指 定 することができま 指 定 ファイルまたはソース 内 の 引 に 使 する 字 を しまこ の 属 性 には 特 殊 字 を 指 定 することができま ヘッダー 内 のフィールド 名 を 区 切 る 字 を しまこの 属 性 に は 特 殊 字 を 指 定 することができま HEADER_FIELD_DELIMITER が 指 定 されていない 場 合 ヘッダー には FIELD_DELIMITER が 適 されま ヘッダー 内 のフィールド 名 を 囲 む 字 を しまこの 属 性 には 特 殊 字 を 指 定 することができまHEADER_FIELD_QUOTE が 指 定 されていない 場 合 ヘッダー には FIELD_QUOTE が 適 されま ヘッダーフィールドを 含 むファイル 内 の の 番 号 を しま0 を 設 定 すると Splunk がファイル 内 のヘッダーフィールドを 動 的 に 検 索 しま 部 の CSV および 構 造 化 ファイルには 区 切 り 字 で 区 切 られた イベント 内 の 複 数 のフィールドにまたがるタイムスタンプが 存 在 して いることもありまこの 属 性 は タイムスタンプを 構 成 するそのよ うなフィールドを カンマ 区 切 り 形 式 で 指 定 することを Splunk に 指 しま 部 の CSV および 構 造 化 ファイルには ヘッダーが 存 在 しないこと がありまこの 属 性 は ヘッダーフィールドを 直 接 指 定 することを Splunk に 指 しま MISSING_VALUE_REGEX 構 造 化 データファイル 内 に 指 定 された 正 規 表 現 が つかった 場 合 N/A 124 N/A N/A N/A N/A N/A N/A 0 Splunk Enterprise は イベン トのタイム スタンプの 動 抽 出 を 試 みま N/A
125 MISSING_VALUE_REGEX 内 のフィールドの 値 は 空 とみなされま N/A 部 の 属 性 では 特 殊 字 または 値 を 使 できる 部 の 属 性 には 円 記 号 (\) またはバックスラッシュを 使 することで スペース 垂 直 タブ 平 タブ フォー ムフィードなどの 特 殊 字 や 値 を 指 定 することができま 特 殊 値 Props.conf の 表 記 フォームフィード \f スペース 平 タブ space または ' ' \t または tab 垂 直 タブ \v 空 字 whitespace なし none または \0 ファイル 区 切 り 字 fs または \034 グループ 区 切 り 字 gs または \035 レコード 区 切 り 字 rs または \036 単 位 区 切 り 字 us または \037 これらの 特 殊 字 は 以 下 の 属 性 に 指 定 することができま FIELD_DELIMITER FIELD_HEADER_REGEX FIELD_QUOTE 設 定 ファイルの 編 集 によるソースタイプの 作 成 と 参 照 これらの 属 性 を 使 するには props.conf を 編 集 する 必 要 がありまSplunk がヘッダーデータを 持 つファイル から フィールドを 抽 出 するための 法 を 定 義 した 新 しいソースタイプを 作 成 するには props.conf を 編 集 しま props.conf を 編 集 したら 次 に Splunk がインデックスを 作 成 するファイル 内 に 新 たに 作 成 されたソースタイプを 参 照 するように inputs.conf を 編 集 しま ヘッダーを 持 つファイル 抽 出 の 新 しいソースタイプを 作 成 参 照 するには: 1.テキストエディタを 使 って 適 切 な 場 所 にある props.conf ファイルを 開 きま 前 述 の 設 定 ファイルを 使 った ヘッダーベースの 動 フィールド 抽 出 の 有 効 化 を 参 照 してください 注 意 :このファイルが 存 在 しない 場 合 は 作 成 する 必 要 がありま 2. 前 述 の 属 性 を 使 って Splunk Enterprise にファイルヘッダーおよび 構 造 化 ファイルデータの 抽 出 法 を 指 す るスタンザを 作 成 することで 新 しいソースタイプを 定 義 しま 例 : [HeaderFieldsWithFewEmptyFieldNamesWithSpaceDelim] FIELD_DELIMITER=, HEADER_FIELD_DELIMITER=\s FIELD_QUOTE=" 注 意 : 必 要 に 応 じて 任 意 の 数 のスタンザ (ソースタイプ) を 定 義 することができま 3.props.conf ファイルを 保 存 して 終 了 しま 4. inputs.conf ファイルが 存 在 していない 場 合 は 同 じディレクトリにファイルを 作 成 しま 5. 編 集 するためにファイルを 開 きま 6.ファイルヘッダーおよび 構 造 化 データを 抽 出 するファイルを 表 すスタンザを 追 加 しま 複 数 追 加 することもで きま 例 : [monitor:///opt/test/data/structureddata/headerfieldswithfewemptyfieldnameswithspacedelim.csv] sourcetype=headerfieldswithfewemptyfieldnameswithspacedelim 注 意 :ヘッダーと 構 造 化 データを 抽 出 するファイルやディレクトリのために 任 意 の 数 のスタンザを 追 加 するこ とができま 7.inputs.conf ファイルを 保 存 して 終 了 しま 125
126 8. 変 更 内 容 を 有 効 にするために Splunk Enterprise を 再 起 動 しま ヘッダーファイルから 抽 出 したデータの 転 送 ヘッダーを 持 つファイルから 抽 出 したフィールドを 他 の Splunk Enterprise インスタンスに 転 送 することもで きま 構 造 化 データファイルから 抽 出 したフィールドを 転 送 するには 以 下 の 順 に 従 ってください 1.ファイルをモニターするインスタンス 上 で このトピック 前 半 の 設 定 ファイルの 編 集 によるソースタイプの 作 成 と 参 照 の 説 明 に 従 って props.conf および inputs.conf を 編 集 しま 2. 次 に データを 他 の Splunk Enterprise インスタンスに 転 送 するようにシステムを 設 定 しま 注 意 :データの 転 送 と 受 信 のための 設 定 法 については データの 転 送 マニュアルの 転 送 と 受 信 の 設 定 を 参 照 してください 3.データを 受 信 するインスタンス 上 で Splunk Enterprise をレシーバーとして 設 定 しま 4. 受 信 側 インスタンスの $SPLUNK_HOME/etc/system/local に props.conf ファイルが 存 在 していない 場 合 は そのディ レクトリにファイルを 作 成 しま 5.モニターする Splunk インスタンス 上 の props.conf から 適 切 なスタンザを 受 信 側 Splunk インスタンス 上 に 作 成 した props.conf にコピーしま 6. 受 信 側 インスタンスで Splunk Enterprise を 再 起 動 しま 7.モニター 側 インスタンスで Splunk Enterprise を 再 起 動 しま 8. 受 信 側 インスタンス 上 でサーチ App を 使 って 構 造 化 データ ファイルからフィールドが 正 しく 抽 出 され イ ンデックスが 作 成 されたことを 確 認 しま 注 意 事 項 にデータが 含 まれているヘッダーフィールドのみインデックスが 作 成 される 構 造 化 データファイルからヘッダーフィールドを 抽 出 する 場 合 最 低 1 つの にデータが 存 在 しているフィール ドのみが 抽 出 されまヘッダーフィールドのどの にもデータが 含 まれていない 場 合 そのフィールドはスキッ プされ インデックスは 作 成 されません たとえば 以 下 の CSV ファイルを 考 えてみましょう header1,header2,header3,header4,header5 one,1,won,,111 two,2,too,,222 three,3,thri,,333 four,4,fore,,444 five,5,faiv,,555 Splunk Enterprise がこのファイルを 読 み 込 むと header4 列 の はすべて 空 のため このヘッダーフィールドま たはその のインデックスを 作 成 することはありません このことは インデックス 内 で header4 またはその 内 のデータをサーチできないことを 意 味 していま ただし header4 フィールドに 空 字 列 ( 例 :"") が 存 在 する が 含 まれている 場 合 そのフィールドおよびそのす べての のインデックスが 作 成 されま Splunk Enterprise は 中 間 ファイルのヘッダーフィールド 名 変 更 をサポートしていない Internet Information Server などの 部 のソフトウェアは ファイル 処 理 中 のヘッダーフィールド 名 の 変 更 をサ ポートしていまSplunk はこのような 変 更 を 認 識 できません ファイル 内 でヘッダーフィールドの 名 前 が 変 更 されたファイルのインデックス 作 成 を 試 みても 名 前 が 変 更 されたヘッダーフィールドのインデックスは 作 成 され ません 設 定 およびデータファイルの 例 ファイルヘッダー 抽 出 属 性 の 使 法 を 表 す inputs.conf と props.conf ファイルの 例 を 以 下 に しま データをローカルに 抽 出 するには inputs.conf と props.conf を 編 集 して 構 造 化 データファイルの とソー スタイプを 定 義 し 次 に 前 述 の 属 性 を 使 って Splunk Enterprise にファイルの 処 理 法 を 指 しまこのデー タを 他 の Splunk に 転 送 するには 転 送 側 インスタンスの inputs.conf と props.conf および 受 信 側 インスタン スの props.conf を 編 集 しま Inputs.conf [monitor:///opt/test/data/structureddata/csvwithfewheaderfieldswithoutanyvalues.csv] sourcetype=csvwithfewheaderfieldswithoutanyvalues [monitor:///opt/test/data/structureddata/verylargecsvfile.csv] 126
127 sourcetype=verylargecsvfile [monitor:///opt/test/data/structureddata/uselesslongheadertobeignored.log] sourcetype=uselesslongheadertobeignored [monitor:///opt/test/data/structureddata/headerfieldswithfewemptyfieldnameswithspacedelim.csv] sourcetype=headerfieldswithfewemptyfieldnameswithspacedelim [monitor:///opt/test/data/fieldheaderregex.log] sourcetype=extractcorrectheaders Props.conf [CSVWithFewHeaderFieldsWithoutAnyValues] FIELD_DELIMITER=, [VeryLargeCSVFile] FIELD_DELIMITER=, [UselessLongHeaderToBeIgnored] HEADER_FIELD_LINE_NUMBER=35 TIMESTAMP_FIELDS=Date,Time,TimeZone FIELD_DELIMITER=\s FIELD_QUOTE=" [HeaderFieldsWithFewEmptyFieldNamesWithSpaceDelim] FIELD_DELIMITER=, HEADER_FIELD_DELIMITER=\s FIELD_QUOTE=" [ExtractCorrectHeaders] FIELD_HEADER_REGEX=Ignore_This_Stuff:\s(.*) FIELD_DELIMITER=, サンプルファイル 設 定 したファイルがどのようになるのかを 理 解 するために 先 ほど 取 り 上 げた inputs.conf および props.conf の 部 を 抜 粋 した サンプルファイルを 以 下 に しま 注 意 : 内 容 をすべて 参 照 するために 右 向 に 少 しスクロールしなければならないかもしれません CSVWithFewHeaderFieldsWithoutAnyValues.csv vqmcallhistoryid,serialnumber,vqmavgjbenvdelay,vqmavgjbenvnegdelta,vqmavgjbenvposdelta,vqmbitrate,vqmburstcount,vqmburstlengthavgms,vqmburstlen 99152,CFG ,-3,-2,356,64000,1,280,14,14.29,36,3499,201000,BW @ , :37:37.292,0,4.68,1.43,0.19,0,0,0,0,52,60,15,17,60,10,0,Loopback,0.48,48,46,0,30,1334,10,99.55,10008,9962,0,0,,,,, ,2,100590,5029,0. 60,975,488,179,192,999.3,0,0,4.07,,4.12,,4.2,,4.03,,0.02,63,76,76,,,,43,0,6.8,0,520,10054,87,87,89,93,9,79,12,12,12, , ,100 0/1,2,0,54,80,80,18500, ,48,1,0, :41:47.303, :41: ,CFG ,-3,-1,251,64000,4,195,9,20.52,28,3494,359000,BW @ , :35:02.324,0,2.88,1.11,3.44,0,0,0,0,40,40,26,24,50,10,0,Loopback,0.31,54,46,0,31,2455,10,99.8,17769,17732,0,0,,,,, ,5,71556,3577,0.6 62,993,496.5,126,139,3404.7,0,0,4.04,,4.07,,4.2,,3.94,,0.36,58,64,69,,,,49,0,286,0,529,17839,86,86,87,93,9,137,8,8,8, , ,10 0/1,2,0,48,60,70,30400, ,54,1,0, :41:47.342, :41: VeryLargeCSVFile.csv IncidntNum,Category,Descript,DayOfWeek,Date,Time,PdDistrict,Resolution,Location,X,Y ,FRAUD,"FORGERY, CREDIT CARD",Tuesday,02/18/2003,16:30,NORTHERN,NONE,2800 Block of VAN NESS AV, , ,WARRANTS,WARRANT ARREST,Thursday,04/17/2003,22:45,NORTHERN,"ARREST, BOOKED",POLK ST / SUTTER ST, , ,LARCENY/THEFT,GRAND THEFT PICKPOCKET,Tuesday,02/18/2003,16:05,NORTHERN,NONE,VAN NESS AV / MCALLISTER ST, , ,DRUG/NARCOTIC,SALE OF BASE/ROCK COCAINE,Tuesday,02/18/2003,17:00,BAYVIEW,"ARREST, BOOKED",1600 Block of KIRKWOOD AV, , ,OTHER OFFENSES,CONSPIRACY,Tuesday,02/18/2003,17:00,BAYVIEW,"ARREST, BOOKED",1600 Block of KIRKWOOD AV, , ,OTHER OFFENSES,PROBATION VIOLATION,Tuesday,02/18/2003,17:00,BAYVIEW,"ARREST, BOOKED",1600 Block of KIRKWOOD AV, ,
128 UselessLongHeaderToBeIgnored.log ************ Start Display Current Environment ************ WebSphere Platform 6.1 [ND cf ] running with process name sammys_cell_a\fsgwws189node_a\sammys_a_c01_s189_m06 and process id Detailed IFix information: ID: WS-WASSDK-AixPPC32-FP BuildVrsn: null Desc: Software Developer Kit ID: WS-WAS-AixPPC32-FP BuildVrsn: null Desc: WebSphere Application Server ID: WS-WASSDK-AixPPC32-FP BuildVrsn: null Desc: Software Developer Kit ID: WS-WAS-AixPPC32-FP BuildVrsn: null Desc: WebSphere Application Server ID: sdk.fp61021 BuildVrsn: null Desc: WebSphere Application Server ID: sdk.fp61019 BuildVrsn: null Desc: WebSphere Application Server ID: was.embed.common.fp61021 BuildVrsn: null Desc: WebSphere Application Server ID: was.embed.fp61021 BuildVrsn: null Desc: WebSphere Application Server HeaderFieldsWithFewEmptyFieldNamesWithSpaceDelim.csv "Field 1" "Field 3" "Field 4" "Field 6" Value11,Value12,Value13,Value14,Value15,Value16 Value21,Value22,Value23,Value24,Value25 Value31,Value32,Value33,Value34,Value35, Value36 FieldHeaderRegex.log Garbage Garbage Garbage Ignore_This_Stuff: Actual_Header1 Actual_Header2 Answers 何 か 質 問 がありますか? Splunk Answers では Splunk コミュニティに 寄 せられた フィールドの 抽 出 に 関 する 質 問 と 回 答 をご 覧 いただけま ホスト 値 の 設 定 ホストについて イベントの host フィールドの 値 は イベントが 成 された 物 理 デバイスの 名 前 でこれは Splunk Enterprise がインデックスを 作 成 した 各 イベントにホストを 割 り 当 てる デフォルトフィールドのため 特 定 のホストが 成 したすべてのイベントを ホスト 名 を 使 ってサーチすることができま 般 的 に host の 値 は イベントの 成 元 となるホスト 名 IP アドレス またはネットワークホストの 完 全 修 飾 ド メイン 名 になりま Splunk Enterprise による host 値 の 割 り 当 て Splunk Enterprise は 以 下 の 順 序 で 設 定 を 調 査 し 最 初 に つかったホスト 設 定 を 使 って 各 イベントに host 値 を 割 り 当 てま 1. transforms.conf に 指 定 されている イベント 固 有 のホスト 割 り 当 て 2.イベントの の デフォルトのホスト 値 (ある 場 合 ) 3. 最 初 にデータを 取 り 込 んだ Splunk インスタンス (インデクサーまたはフォワーダー) の デフォルトのホスト 値 これらの 割 り 当 て 法 の 概 要 と 使 事 例 は 後 述 しま 以 降 のトピックでは これらの 法 を 詳 細 に 説 明 してい きま デフォルトのホスト 値 ソースに 対 して 他 のホストルールが 指 定 されていない 場 合 任 意 の からインスタンスに 取 り 込 まれる すべて のデータに 適 されるデフォルト 値 が host フィールドに 割 り 当 てられまデフォルトのホスト 値 は 最 初 に データを 取 り 込 んだ Splunk Enterprise インスタンス (インデクサーまたはフォワーダー) のホスト 名 または IP アドレスになりまイベントが 発 したサーバー 上 で Splunk Enterprise インスタンスが 動 作 している 場 合 は このホスト 名 は 正 確 で 動 による 介 は 必 要 ありません 詳 細 は このマニュアルの Splunk Enterprise サーバーのデフォルトホストの 設 定 を 参 照 してください ファイル/ディレクトリ のデフォルトホスト 128
129 Splunk Enterprise を 集 中 ログアーカイブマシン 上 で 実 している 場 合 または 環 境 内 の 他 のホストから 転 送 され たファイルを 処 理 している 場 合 特 定 の から 取 り 込 まれるイベントの デフォルトのホスト 割 り 当 てに 優 先 す る 設 定 を わなければならないことがありま 特 定 の から 取 り 込 まれたデータのホスト 値 を 割 り 当 てるには 2 種 類 の 法 がありま 特 定 の から 取 り 込 まれるすべてのデータに 対 して 静 的 なホスト 値 を 定 義 する またはパスの 部 やソースのファイル 名 などを ホスト 値 に 動 的 に 割 り 当 てることができま 各 ホストのログアーカイブを 異 なるサブディレクトリに 分 類 するよ うなディレクトリ 構 造 を 採 している 場 合 は 後 者 の 法 が 役 ちま 詳 細 は このマニュアルの ファイル/ディレクトリ のデフォルトホストの 設 定 を 参 照 してください イベント 固 有 の 割 り 当 て 状 況 によっては イベントデータを 調 査 してホスト 値 を 割 り 当 てなければならないこともありまたとえば イ ベントを Splunk Enterprise に 送 信 する 集 中 ログホストがある 場 合 そのメインのログサーバーには 複 数 のホス トサーバーがデータを 送 信 していま 各 イベントにその 成 元 サーバーのホスト 値 を 確 実 に 設 定 するには その イベントのデータを 使 ってホスト 値 を 決 定 する 必 要 がありま 詳 細 は このマニュアルの イベントデータに 基 づくホスト 値 の 設 定 を 参 照 してください 誤 って 割 り 当 てられたホスト 値 の 取 り 扱 い イベントデータに 誤 ったホスト 値 が 割 り 当 てられた 場 合 でも 配 することはありません このような 問 題 を 修 正 するための さまざまな 段 が 存 在 していま 詳 細 は このマニュアルの 誤 って 割 り 当 てられたホスト 値 の 取 り 扱 い を 参 照 してください ホスト 値 のタグ 設 定 正 確 なサーチを 実 する 助 けとして ホスト 値 にタグを 設 定 することができまタグを 利 することで さま ざまなホストのグループを 有 なサーチ 可 能 カテゴリに 変 換 することができま 詳 細 は ナレッジ 管 理 マニュアルの タグとエイリアスについて を 参 照 してください Splunk Enterprise サーバーのデフォルトホストの 設 定 イベントのホスト 値 は イベントが 成 されたネットワーク 上 の 物 理 デバイスの IP アドレス ホスト 名 また は 完 全 修 飾 ドメイン 名 でSplunk Enterprise はインデックス 時 に インデックスを 作 成 した 各 イベントに 対 し て host 値 を 割 り 当 てるため ホスト 値 でサーチを 実 することで 特 定 のデバイスに 由 来 するデータを 軽 に 発 することができま デフォルトのホスト 割 り 当 て ソースに 対 して 他 のホストルールを 指 定 していない 場 合 (この 章 で 説 明 している 情 報 を 使 って) イベントのデフォ ルトのホスト 値 は 最 初 にイベントデータを 取 り 込 んだ Splunk インスタンス (フォワーダーまたはインデクサー) が 動 作 しているサーバーの ホスト 名 または IP アドレスになりまイベントが Splunk Enterprise インスタン スが 動 作 しているサーバー 上 で 成 された 場 合 そのホスト 名 割 り 当 ては 正 確 で 何 も 設 定 を 変 更 する 必 要 はあり ません ただし すべてのデータが 他 のホストから 転 送 される またはアーカイブデータの 括 ロードを う 場 合 そのデータのデフォルトのホスト 値 を 変 更 した が 良 いことがありま host フィールドのデフォルト 値 を 設 定 するには Splunk Web を 使 するか または inputs.conf を 編 集 しま Splunk Web を 使 ったデフォルトホスト 値 の 設 定 Splunk Web を 使 って サーバーのデフォルトホスト 値 を 設 定 しま 1.Splunk Web で 画 の 右 上 にある [システム] リンクをクリックしま 2.[システム] で [システム 設 定 ] をクリックしま 3.[システム 設 定 ] ページで [ [ 全 般 設 定 ] をクリックしま 4.[ 全 般 設 定 ] ページで [インデックス 設 定 ] セクションまでスクロールして [デフォルトのホスト 名 ] を 変 更 しま 5. 変 更 内 容 を 保 存 しま この Splunk Enterprise インスタンスに 取 り 込 まれるすべてのイベントの host フィールドのデフォルト 値 が 設 定 されまこの 章 の 後 半 で 説 明 しているように 個 別 のソースまたはイベントに 対 して この 値 に 優 先 する 設 定 を うことができま inputs.conf を 使 ったデフォルトホスト 値 の 設 定 インストール 時 に デフォルトのホスト 割 り 当 ては inputs.conf に 設 定 されま$SPLUNK_HOME/etc/system/local/ 内 または $SPLUNK_HOME/etc/apps/ の 独 のカスタム App ディレクトリ 内 にあるファイルを 編 集 して ホスト 値 を 変 更 することができま ホスト 割 り 当 ては [default] スタンザに 保 管 されていま 129
130 inputs.conf 内 の デフォルトのホスト 割 り 当 ての 形 式 を 以 下 に しま [default] host = <string> <string> にデフォルトのホスト 値 を 設 定 しま<string>のデフォルトは データの 起 源 となるホストの IP アドレ スまたはドメイン 名 で 警 告 : <string> の 値 を 引 符 で 囲 まないでください host=fooで host="foo" ではありません inputs.conf への 変 更 内 容 を 反 映 するために Splunk Enterprise を 再 起 動 してください 注 意 :デフォルトで host: 属 性 には $decideonstartup 変 数 が 設 定 されていまこれは splunkd が 動 作 している マシンのホスト 名 が 設 定 されることを 意 味 していまsplunk デーモンの 開 始 時 には 毎 回 値 が 再 解 釈 されま 特 定 の から 取 り 込 んだデータのデフォルトホスト 値 に 優 先 する 設 定 Splunk Enterprise を 集 中 ログアーカイブマシン 上 で 実 している 場 合 または 環 境 内 の 他 のホストから 転 送 され たファイルを 処 理 している 場 合 特 定 の から 取 り 込 まれるイベントの デフォルトのホスト 割 り 当 てに 優 先 す る 設 定 を わなければならないことがありま 特 定 の から 取 り 込 まれたデータのホスト 値 を 割 り 当 てるには 2 種 類 の 法 がありま 特 定 の から 取 り 込 まれるすべてのデータに 対 して 静 的 なホスト 値 を 定 義 する またはパスの 部 やソースのファイル 名 などを ホスト 値 に 動 的 に 割 り 当 てることができま 各 ホストのログアーカイブを 異 なるサブディレクトリに 分 類 するよ うなディレクトリ 構 造 を 採 している 場 合 は 後 者 の 法 が 役 ちま 詳 細 は このマニュアルの ファイル/ディレクトリ のデフォルトホストの 設 定 を 参 照 してください イベントデータを 使 ったデフォルトホスト 値 に 優 先 する 設 定 状 況 によっては イベントデータを 調 査 してホスト 値 を 割 り 当 てなければならないこともありまたとえば イ ベントを Splunk Enterprise に 送 信 する 集 中 ログホストがある 場 合 そのメインのログサーバーには 複 数 のホス トサーバーがデータを 送 信 していま 各 イベントにその 成 元 サーバーのホスト 値 を 確 実 に 設 定 するには その イベントのデータを 使 ってホスト 値 を 決 定 する 必 要 がありま 詳 細 は このマニュアルの イベントデータに 基 づくホスト 値 の 設 定 を 参 照 してください ファイル/ディレクトリ のデフォルトホストの 設 定 特 定 のファイル/ディレクトリ のすべてのデータに ホスト 値 を 設 定 することができまホストは 静 的 にま たは 動 的 に 設 定 することができま ホスト 値 を 静 的 に 設 定 する 場 合 指 定 したファイル/ディレクトリ から 取 り 込 まれる 各 イベントには 同 じホスト 名 が 割 り 当 てられま ホスト 値 を 動 的 に 設 定 する 場 合 正 規 表 現 またはソースのディレクトリ パスのセグメントを 使 って ソー ス の 部 がホスト 名 として 抽 出 されま また ソースまたはソースタイプの 値 (および 他 の 種 類 の 情 報 ) に 基 づいて 特 定 のファイル/ディレクトリ か ら 取 り 込 まれるイベントにホスト 値 を 割 り 当 てることも 可 能 で 詳 細 は このマニュアルの イベントデータに 基 づくホスト 値 の 設 定 を 参 照 してください 注 意 : 現 在 Splunk Enterprise では TCP UDP またはスクリプト 経 由 で 取 り 込 んだイベントデータ の デフォルトのホスト 設 定 は 有 効 にはなっていません デフォルトホスト 値 の 静 的 設 定 この 法 では 特 定 のファイル/ディレクトリ から 取 り 込 まれた 各 イベントに 単 のデフォルトホスト 値 が 適 されま 注 意 : 静 的 なホスト 値 割 り 当 ては 対 応 する から 新 たに 取 り 込 まれるデータにのみ 適 されますでにイ ンデックスが 作 成 されたデータに デフォルトのホスト 値 を 割 り 当 てることはできません 代 わりに ホスト 値 に タグを 設 定 することは 可 能 で Splunk Web の 使 Splunk Web の [システム] にある [データ ] ページから ファイル/ディレクトリタイプの を 新 たに 追 加 した 場 合 そのファイル/ディレクトリ のホストを 定 義 することができま 1.Splunk Web の 左 上 にある [システム] をクリックしま 2.[システム] ポップアップの [データ] セクションで [データ ] をクリックしま 3.[ファイルとディレクトリ] をクリックしま 4.[ファイルとディレクトリ] ページで 既 存 の の 名 前 をクリックするか ( 更 新 する 場 合 ) または [ 新 規 ] をク リックして 新 しいファイル/ディレクトリ を 作 成 しま 5.[ホスト] セクションで [ホスト 設 定 ] ドロップダウンから [ 定 数 値 ] オプションを 選 択 しま 130
131 6.[ホストフィールドの 値 ] フィールドに この の 静 的 なホスト 値 を しま 7.[ 保 存 ] をクリックしま および タイプの 詳 細 は このマニュアルの Splunk Enterprise がモニターできる 項 を 参 照 してくだ さい inputs.conf の 編 集 inputs.conf を 直 接 編 集 して モニター 対 象 ファイル/ディレクトリ のホスト 値 を 指 定 することができま 適 切 なスタンザに host 属 性 を 設 定 してください [monitor://<path>] host = <your_host> $SPLUNK_HOME/etc/system/local/ 内 または $SPLUNK_HOME/etc/apps/ の 独 のカスタムアプリケーションディレクトリ 内 にある inputs.conf を 編 集 してください 設 定 ファイルの 般 情 報 については 管 理 マニュアル の 設 定 ファイルについて を 参 照 してください および タイプの 詳 細 は このマニュアルの Splunk Enterprise がモニターできる 項 を 参 照 してくだ さい 静 的 ホスト 値 割 り 当 ての 例 この 例 は /var/log/httpd から 取 り 込 まれる 任 意 のイベントを 対 象 にしていまこの から 取 り 込 まれるイベ ントには webhead-1 の host 値 が 割 り 当 てられま [monitor:///var/log/httpd] host = webhead-1 デフォルトホスト 値 の 動 的 設 定 この 法 は ソース パスのセグメントまたは 正 規 表 現 から ファイル/ディレクトリ のホスト 値 を 動 的 に 抽 出 しまたとえば アーカイブディレクトリのインデックスを 作 成 する 場 合 に ディレクトリ 内 の 各 ファイル の 名 前 に 関 連 するホスト 情 報 が 含 まれている 場 合 その 情 報 を 抽 出 してそれを host フィールドに 割 り 当 てるこ とができま 注 意 : 正 規 表 現 の 構 と 使 法 の 概 要 については Regular-Expressions.info を 参 照 してください 正 規 表 現 をテストするには サーチ 内 で rex サーチ コマンドを 使 ってそれらを 指 定 しま 正 規 表 現 式 を 作 成 テストす るために 役 つサードパーティ 製 ツールのリストも 意 されていま Splunk Web の 使 1.Splunk Web の 左 上 にある [システム] をクリックしま 2.[システム] ポップアップの [データ] セクションで [データ ] をクリックしま 3.[ファイルとディレクトリ] をクリックしま 4.[ファイルとディレクトリ] ページで 既 存 の の 名 前 をクリックするか ( 更 新 する 場 合 ) または [ 新 規 ] をク リックして 新 しいファイル/ディレクトリ を 作 成 しま 5.[ホスト] セクションで [ホスト 設 定 ] ドロップダウンから 次 のいずれかのオプションを 選 択 しま 正 規 表 現 パス - 正 規 表 現 を 使 ってホスト 名 を 抽 出 する 場 合 このオプションを 選 択 しま 次 に [ [ 正 規 表 現 ] フィールドに ホストを 抽 出 する 正 規 表 現 を しま セグメントパス - データソースのパス 内 のセグメントからホスト 名 を 抽 出 する 場 合 このオプションを 選 択 しま 次 に [セグメント 番 号 ] フィールドに セグメント 番 号 を しまたとえば ソースへのパス が /var/log/<host server name> で 3 番 のセグメント (ホストサーバー 名 ) をホスト 値 にする 場 合 は 3 を しま 6.[ 保 存 ] をクリックしま inputs.conf の 編 集 inputs.conf を 直 接 編 集 して 動 的 なホスト 抽 出 ルールを 設 定 することができま $SPLUNK_HOME/etc/system/local/ 内 または $SPLUNK_HOME/etc/apps/ の 独 のカスタムアプリケーションディレクトリ 内 にある inputs.conf を 編 集 してください 設 定 ファイルの 般 情 報 については 管 理 マニュアル の 設 定 ファイルについて を 参 照 してください 正 規 表 現 を 使 って 抽 出 した 値 で host フィールドを 上 書 きするには host_regex を 使 しま [monitor://<path>] host_regex = <your_regular_expression> 131
132 正 規 表 現 は 各 のファイル 名 から host 値 を 抽 出 しま 正 規 表 現 の 最 初 の 捕 捉 グループが ホストとして 使 されま 注 意 : 正 規 表 現 に 致 する 項 がない 場 合 デフォルトの host 属 性 がホストとして 設 定 されま データソースのパス 内 のセグメントから 抽 出 した 値 で host フィールドを 上 書 きするには host_segment を 使 し またとえば ソースへのパスが /var/log/<host server name> で 3 番 のセグメント (ホストサーバー 名 ) をホ スト 値 にする 場 合 は スタンザは 以 下 のようになりま [monitor://var/log/] host_segment = 3 動 的 なホスト 割 り 当 ての 例 この 例 では 正 規 表 現 により /var/log/foo.log からのすべてのイベントに ホスト 値 foo が 割 り 当 てられま [monitor://var/log] host_regex = /var/log/(\w+) この 例 は パス apache/logs 内 の 3 番 のセグメントをホスト 値 に 割 り 当 てま [monitor://apache/logs/] host_segment = 3 注 意 事 項 inputs.conf スタンザで host_segment 属 性 を 使 する 場 合 いくつかの 注 意 事 項 がありま 同 じスタンザ 内 に host_regex と host_segment 属 性 を 同 時 に 指 定 することはできません 同 じスタンザ 内 に host_segment と source 属 性 を 同 時 に 指 定 すると host_segment 属 性 の 動 作 が 変 化 しま ソースに 対 して 指 定 した 値 に / (スラッシュ) が 含 まれている 場 合 host_segment に 指 定 したセグメント 番 号 に 基 づいてホスト 値 が 抽 出 されま source に / がない 場 合 または source で 利 できるセグメント 数 よりも きな host_segment 値 を 指 定 すると Splunk Enterprise はホスト 値 を 抽 出 できません 代 わりに データを 抽 出 したホスト 名 が 使 されま 以 下 の 例 を 参 照 してください 例 1:ホスト 名 は server01 ソース パスは /mnt/logs/server01 inputs.conf には 以 下 の 項 を 設 定 : [monitor:///mnt/logs/] host_segment = 3 この 場 合 Splunk Enterprise はホスト 名 server01 をソース パス (/mnt/logs/server01/*) から 抽 出 し ホスト フィールドにこの 値 を 設 定 しま 例 2:ホスト 名 は server01 ソース パスは /mnt/logs/server01 inputs.conf には 以 下 の 項 を 設 定 : [monitor:///mnt/logs/server01] source = /mnt/logs/server01 host_segment = 3 この 場 合 Splunk Enterprise はホスト 名 server01 を source 属 性 から 抽 出 し ホスト フィールドにこの 値 を 設 定 しま 例 3:ホスト 名 は server02 ソース パスは /mnt/logs/server02 inputs.conf には 以 下 の 項 を 設 定 : [monitor:///mnt/logs/server02] source = serverlogs host_segment = 3 この 場 合 指 定 された source からホスト セグメント 値 を 抽 出 できないため Splunk Enterprise はホスト フィールドとして server02 を 使 しま 注 意 : 絶 対 に 必 要 な 場 合 を 除 いて 明 的 に source を 指 定 しないでください この 属 性 を 指 定 してデフォルトの ソース 値 に 優 先 する 設 定 を う 代 わりに ソースタイプ タグ 設 定 およびサーチでのワイルドカードの 使 を 検 討 してください イベントデータに 基 づくホスト 値 の 設 定 132
133 Splunk Enterprise では イベント 内 のデータに 基 づいて イベントにホスト 名 を 割 り 当 てることができまこ のトピックでは イベントデータを 使 った デフォルトのホスト 割 り 当 てに 優 先 する 設 定 を う 法 を 説 明 してい きま 設 定 イベント 単 位 の 優 先 設 定 を うには transforms.conf に 1 つ そして props.conf にもう 1 つ 合 計 2 つのスタン ザを 作 成 する 必 要 がありま$SPLUNK_HOME/etc/system/local/ 内 または $SPLUNK_HOME/etc/apps/ の 独 のカスタム アプリケーションディレクトリ 内 にある これらのファイルを 編 集 しま 設 定 ファイルの 般 情 報 については 管 理 マニュアル の 設 定 ファイルについて を 参 照 してください transforms.conf 以 下 の 構 に 従 って transforms.conf にスタンザを 作 成 しま [<unique_stanza_name>] REGEX = <your_regex> FORMAT = host::$1 DEST_KEY = MetaData:Host 以 下 の 事 項 に 注 意 してください <unique_stanza_name> は 関 連 するホスト 値 を 反 映 する 必 要 がありまこの 名 前 は 後 ほど props.conf スタ ンザで 使 しま <your_regex> は ホスト 値 を 抽 出 するイベント 内 の 位 置 を す 正 規 表 現 で FORMAT = host::$1 は REGEX の 値 を host:: フィールドに 書 き 込 みま 注 意 : 正 規 表 現 の 構 と 使 法 の 概 要 については Regular-Expressions.info を 参 照 してください 正 規 表 現 をテストするには サーチ 内 で rex サーチコマンドを 使 ってそれらを 指 定 しま 正 規 表 現 式 を 作 成 テストする ために 役 つサードパーティ 製 ツールのリストも 意 されていま props.conf 次 に props.conf に transforms.conf のスタンザを 参 照 するスタンザを 作 成 しま [<spec>] TRANSFORMS-<class> = <unique_stanza_name> 以 下 の 事 項 に 注 意 してください 例 <spec> には 以 下 の 値 を 使 できま <sourcetype> イベントのソースタイプ host::<host> ここで <host> はイベントのホストを 表 しま source::<source> <source> はイベントのソース 値 を 表 しま <class> は 変 換 に 割 り 当 てる 任 意 で 意 の 識 別 で <unique_stanza_name> は transforms.conf で 作 成 したスタンザ 名 で houseness.log ファイルから 以 下 のイベントセットを 処 理 する 場 合 を 考 えてみましょう ホストは 3 番 にあり ます ( fflanda など) :53 accepted fflanda :29 accepted rhallen :17 accepted fflanda まず transforms.conf に 新 しいスタンザを 作 成 し ホスト 値 を 抽 出 する 正 規 表 現 を 設 定 しま [houseness] DEST_KEY = MetaData:Host REGEX = \s(\w*)$ FORMAT = host::$1 次 に props.conf スタンザで transforms.conf スタンザを 参 照 しま 例 : [source::.../houseness.log] TRANSFORMS-rhallen=houseness SHOULD_LINEMERGE = false 上 記 のスタンザには 追 加 の 属 性 / 値 のペア SHOULD_LINEMERGE = false が 存 在 していまこの 指 定 は イベントを 改 ごとに 分 割 することを していま 133
134 これでサーチ 結 果 には イベントが 以 下 のように 表 されるようになりま 誤 って 割 り 当 てられたホスト 値 の 取 り 扱 い 何 らかの 理 由 で 部 のイベントに 誤 ったホスト 値 が 割 り 当 てられていることに 気 が 付 くこともあるでしょう た とえば Splunk Enterprise サーバー 上 のディレクトリにいくつかの Web プロキシのログを 収 集 して 保 管 してお り host フィールドの 値 に 優 先 する 設 定 を 忘 れたまま そのディレクトリを として 追 加 し それらのすべて のイベントのオリジナルのホスト 値 が Splunk Enterprise ホストと 同 じになってしまうことがありま このような 事 態 が 発 した 場 合 の 対 処 法 を 複 雑 さの 順 番 に 記 載 していきま データセット 全 体 を 削 除 して 再 度 インデックス 作 成 する サーチを 使 って 誤 ったホスト 値 を 持 つイベントを 削 除 して その 後 それらのイベントのインデックスを 再 作 成 する 不 正 なホスト 値 にタグを 設 定 し サーチにはそのタグを 使 する CSV ルックアップを 設 定 してホストをルックアップし ルックアップ ファイル 内 のそれを 新 しいフィール ド 名 にマップして その 新 しい 名 前 をサーチに 使 する host フィールドから 新 しいフィールド (temp_host など) へのエイリアスを 設 定 し 名 前 temp_host を 使 って 正 しいホスト 名 をルックアップする CSV ルックアップを 設 定 し 次 にルックアップでオリジナルの host を 新 しいルックアップ 値 で 上 書 きする (ルックアップの 定 義 時 に OUTPUT オプションを 使 ) これらの 法 の 中 で データのインデックスを 削 除 してからインデックスを 再 作 成 できないけれども データを 削 除 して 再 インデックスを 作 成 できれば 最 のパフォーマンスを 実 現 できるような 場 合 は 最 後 の 法 が 最 適 で ソースタイプの 設 定 ソースタイプが 重 要 な 理 由 ソースタイプは Splunk Enterprise が 取 り 込 んだすべてのデータに 割 り 当 てるデフォルトフィールドの 1 つ でこれは Splunk がインデックス 作 成 時 にデータを 正 しくフォーマットできるように 収 集 したデータの 種 類 を 表 していままた これはデータの 分 類 法 でもあり これを 使 ってデータを 軽 にサーチすることができ ま ソースタイプに 関 する 重 要 事 項 Splunk Enterprise はソースタイプを 使 ってデータのフォーマット 法 を 判 断 するため データには 正 しいソース タイプを 割 り 当 てることが 常 に 重 要 になりまこれにより インデックスが 作 成 されたデータ (イベントデー タ) は 適 切 なタイムスタンプおよびイベント イベント 分 割 を 使 って 期 待 通 りのデータが 作 成 されまそのため 以 降 のデータに 対 するサーチがとても 簡 単 になりま たいていの 場 合 データに 正 しいソースタイプを 割 り 当 てるのはとても 簡 単 でSplunk Enterprise には 多 数 の 事 前 定 義 されたソースタイプが 意 されていま 般 的 には データの 取 り 込 み 時 に Splunk Enterprise が 正 しいソースタイプを 動 的 に 選 択 しまただし ユーザーによる 介 が 必 要 な 場 合 もありま 特 殊 なデータ の 場 合 別 の 事 前 定 義 ソースタイプを 動 で 選 択 しなければならないこともありままたデータが 常 に 特 殊 な 場 合 は 独 のイベント 処 理 設 定 を 持 つ 新 たなソースタイプを 作 成 する 必 要 がありまデータソースに 異 機 種 環 境 データが 含 まれている 場 合 は イベント 単 位 (ソース 単 位 ではない) にソースタイプを 割 り 当 てなければならな いこともありま データのインデックスが 作 成 されたら 他 のフィールドと 同 様 に ソースタイプを 使 ってイベントデータをサーチす ることもできまソースタイプはデータを 分 類 する 主 要 な 段 であるため しばしばサーチで 頻 繁 に 利 されま 般 的 なソースタイプ 般 的 な 任 意 のデータ フォーマットを ソースタイプにすることができまソースタイプの 半 は ログ フォーマットでSplunk Enterprise が 動 的 に 認 識 できる 般 的 なソースタイプの 例 を 以 下 に しま access_combined:ncsa 結 合 フォーマットの HTTP Web サーバーログ apache_error: 標 準 の Apache Web サーバーエラーログ cisco_syslog:cisco ネットワークデバイス (PIX ファイアウォール ルーター および ACS を 含 む) が 成 する 標 準 syslog 般 的 には 集 中 ログホストへのリモート syslog 経 由 websphere_core:websphere からのコアファイルエクスポート 注 意 :Splunk Enterprise が 動 的 に 認 識 するソースタイプの 覧 については このマニュアルの 事 前 定 義 ソー スタイプの 覧 を 参 照 してください ソースタイプの 設 定 134
135 ソースタイプに 関 連 する 2 種 類 の 基 本 的 な 設 定 タイプがありま 取 り 込 んだデータに 明 的 にソースタイプを 割 り 当 てる 最 初 から または 既 存 のソースタイプを 変 更 して 新 しいソースタイプを 作 成 する ソースタイプの 割 り 当 て たいていの 場 合 Splunk Enterprise がデータに 最 適 なソースを 判 断 し 取 り 込 んだイベントに 動 的 にそれを 割 り 当 てまただし データにソースタイプを 明 的 に 割 り 当 てなければならないこともありま 通 常 この 作 業 は データ の 定 義 時 に いまソースタイプ 割 り 当 ての 改 善 法 の 詳 細 は 以 下 のトピックを 参 照 してくだ さい 動 ソースタイプ 割 り 当 てに 優 先 する 設 定 イベント 単 位 でのソースタイプに 優 先 する 設 定 ルールベースのソースタイプ 認 識 の 設 定 ソースタイプ 名 の 変 更 このトピックの 後 半 では Splunk Enterprise によるソースタイプの 割 り 当 て 法 が 説 明 されていま 新 しいソースタイプの 作 成 ご 利 のデータのニーズに 既 存 のソースタイプでは 対 応 できない 場 合 は 新 しいソースタイプを 作 成 することがで きま Splunk のデータプレビュー 機 能 を 利 すれば ユーザーインターフェイスを 使 ってデータに 合 わせてソースタイ プの 設 定 を 軽 に 調 整 することができま 本 質 的 にこの 機 能 は ビジュアルなソースタイプエディタと 呼 ぶこと ができま 詳 細 は データへの 適 切 なソースタイプの 割 り 当 て を 参 照 してください また props.conf を 直 接 編 集 して ソースタイプのスタンザを 追 加 することで 新 しいソースタイプを 作 成 する こともできま 新 しいソースタイプの 作 成 法 を 学 習 するには ソースタイプの 作 成 を 参 照 してください データプレビュー 機 能 を 使 ったソースタイプのテストと 変 更 Splunk Web のデータプレビュー 機 能 は に 適 したソースタイプの 効 果 を 軽 に 参 照 することができま この 機 能 では 実 際 にインデックスにイベントを 書 き 込 まずに 結 果 となるイベントをプレビューすることが できままた データのプレビュー 機 能 を 使 って タイムスタンプとイベント 分 割 設 定 を 対 話 形 式 で 編 集 し 変 更 内 容 を 新 たなソースタイプとして 保 存 することもできまデータ プレビュー 機 能 をソースタイプ エディタ として 活 する 法 については データへの 適 切 なソースタイプの 割 り 当 て を 参 照 してください ソースタイプのサーチ sourcetype は ソースタイプサーチフィールド 名 でsourcetype フィールドを 使 って 任 意 のソースタイプから の 類 似 のデータタイプを 探 すことができまたとえば sourcetype=weblogic_stdout をサーチして WebLogic が 複 数 のドメイン (Splunk の 語 では ホスト ) からログを 記 録 している 場 合 でも すべての WebLogic サー バーイベントを 探 すことができま Splunk Enterprise によるソースタイプの 割 り 当 て 法 Splunk Enterprise には インデックス 時 にイベントデータにソースタイプを 割 り 当 てるためのさまざまな 法 が 意 されていまイベントデータの 処 理 時 には 定 義 されている 優 先 順 位 に 従 ってこれらの 法 が 適 されま まず inputs.conf および props.conf 内 のハードコード 化 されたソースタイプ 設 定 から 始 めて ルールベース のソースタイプ 関 連 付 けに 移 し 次 に 動 ソースタイプ 認 識 や 動 ソースタイプ 学 習 などの 法 を 利 しま 複 数 の 法 を 順 次 利 することで Splunk Enterprise が 特 定 の 種 類 のイベントにソースタイプ 値 を 適 する 法 を 設 定 する で 他 のイベントにはソースタイプ 値 を 動 的 に 設 定 することができま Splunk Enterprise が データ のソースタイプを 決 定 するための 処 理 法 を 以 下 のリストに しま Splunk Enterprise は 最 初 の 法 から 開 始 して ソースタイプを 判 断 できるまで 必 要 に 応 じてその 他 の 法 を 試 していきまこのリストでは 各 レベルでのソースタイプ 割 り 当 ての 設 定 法 の 概 要 も 説 明 されていま 1.データ に 基 づく 明 的 なソースタイプ 指 定 データ に 対 する 明 的 なソースタイプが つかった 場 合 は ここで 処 理 が 中 されま これは inputs.conf または Splunk Web で 設 定 しまファイル にソースタイプを 割 り 当 てるための inputs.conf 構 を 以 下 に しま [monitor://<path>] sourcetype=<sourcetype> Splunk Web で の 定 義 時 に ソースタイプを 割 り 当 てることもできまこのファイル に 対 する 作 業 に ついては このマニュアルの Splunk Web の 使 を 参 照 してください このプロセスは ネットワークや 他 の のプロセスと 似 ていま 詳 細 は のソースタイプの 指 定 を 参 照 してください 2.データソースに 基 づく 明 的 なソースタイプ 指 定 特 定 のソースに 対 する 明 的 なソースタイプが つかった 場 合 は ここで 処 理 が 中 されま 135
136 これは 以 下 の 構 を 使 って props.conf に 設 定 できま [source::<source>] sourcetype=<sourcetype> 詳 細 は ソースのソースタイプの 指 定 を 参 照 してください 3.ルールベースのソースタイプ 認 識 ソースタイプに 対 して 作 成 された 任 意 のルールが 適 されま props.conf でソースタイプ 分 類 ルールを 作 成 することができま [rule::<rule_name>] sourcetype=<sourcetype> MORE_THAN_[0-100] = <regex> LESS_THAN_[0-100] = <regex> ソースタイプ 認 識 ルールの 設 定 の 詳 細 は ルールベースのソースタイプ 認 識 の 設 定 を 参 照 してください 4.ソースタイプの 動 照 合 次 に 類 似 のファイルと 照 合 して ソースタイプの 動 認 識 を い ソースタイプを 割 り 当 てま Splunk Enterprise はファイルまたはネットワーク ストリームの 最 初 の 数 千 から パターン の 署 名 を 算 出 しまこれらの 署 名 は 繰 り 返 される 単 語 パターン 句 読 点 パターン の さなどを 識 別 しまSplunk Enterprise が 署 名 を 算 出 する 際 に 既 知 の 事 前 定 義 されている 連 のソースタイプと 較 が われま 致 す る 項 があった 場 合 は そのソースタイプがデータに 割 り 当 てられま Splunk Enterprise が 最 初 から 認 識 できるソースタイプの 覧 については このマニュアルの 事 前 定 義 ソースタ イプの 覧 を 参 照 してください 5. 遅 延 型 ルールベースのソースタイプ 関 連 付 け ここまでにソースタイプが 特 定 できなかった 場 合 遅 延 型 ルールが 参 照 されま これは ルールベースの 関 連 付 け ( 前 述 のステップ 3) と 同 じように 機 能 しまprops.conf に delayedrule:: スタ ンザを 作 成 しまこれは Splunk が 前 述 の 照 合 で 何 も 分 からなかった 場 合 に 役 つ 汎 型 のルールになりま 遅 延 型 ルール 関 連 付 けは 前 述 のステップ 3 で rule:: を 使 って 定 義 したソースタイプの 汎 版 として 使 しま たとえば rule:: を 使 って sendmail syslog や cisco syslog などの 特 定 の syslog ソースタイプから イベントデータを 取 得 して 次 に delayedrule:: で 汎 型 の syslog ソースタイプを 残 りの syslog イベントデー タに 適 しま 構 を 以 下 に しま [delayedrule::$rule_name] sourcetype=$sourcetype MORE_THAN_[0-100] = $REGEX LESS_THAN_[0-100] = $REGEX ソースタイプ 認 識 の 遅 延 型 ルールの 設 定 と 削 除 の 詳 細 は ルールベースのソースタイプ 認 識 の 設 定 を 参 照 して ください 6.ソースタイプの 動 学 習 ここまでの 法 でイベントにソースタイプを 割 り 当 てることができなかった 場 合 イベント 署 名 の 新 しいソース タイプが 作 成 されます ( 前 述 のステップ 4 を 参 照 ) Splunk Enterprise は 学 習 パターン 情 報 を sourcetypes.conf に 保 存 しま 動 ソースタイプ 割 り 当 てに 優 先 する 設 定 Splunk Enterprise はデータへのソースタイプの 動 割 り 当 てを 試 みま 割 り 当 てるソースタイプを 明 的 に 指 定 することができまデータ またはデータソースに 基 づいて ソースタイプを 割 り 当 てるように 設 定 するこ とができま データへのソースタイプ 割 り 当 てルールの 優 先 順 位 については Splunk によるソースタイプの 割 り 当 て 法 を 参 照 してください 重 要 : 優 先 する 設 定 は ファイル/ディレクトリ にのみ 機 能 しまネットワーク のソースタイプに 優 先 する 設 定 は えません また 優 先 設 定 はそれが 設 定 された 後 に 取 り 込 まれたデータにのみ 適 されますでに インデックスが 作 成 されたイベントのソースタイプを 修 正 するには 代 わりにソースタイプのタグを 設 定 してくだ さい ここでは データに 関 する 以 下 の 事 項 に 基 づいた ソースタイプの 指 定 法 を 説 明 していきま 136
137 ソース のソースタイプの 指 定 /var/log/ などの 特 定 の から 取 り 込 まれたデータのソースタイプを 明 的 に 割 り 当 てることができまこ の 作 業 は Splunk Web または inputs.conf 設 定 ファイルを 使 って いま 注 意 : によるソースタイプの 割 り 当 ては 軽 な 法 に えますが きめ 細 かく 調 整 することはできません この 法 では ある からのすべてのデータに 同 じソースタイプが 割 り 当 てられてしまいます ( 部 のデータが 別 のソースやホストから 取 り 込 まれる 場 合 でも) より 対 象 を 絞 り 込 み ソースタイプの 動 割 り 当 てをバイパス するには このトピックの 後 半 で 説 明 しているように データのソースに 基 づいてソースタイプを 割 り 当 てま Splunk Web の 使 [システム] でデータ を 定 義 する 場 合 その から 取 り 込 まれるすべてのデータに 適 する ソースタイプ 値 を 設 定 することができま[システム] では リストからソースタイプを 選 択 したり 独 のソースタイプ 値 を したりすることができま のソースタイプを 選 択 するには [システム] から 的 のデータ の 設 定 を 探 しまファイル の 場 合 の 例 を 以 下 に しま 1.Splunk Web の 左 上 にある [システム] をクリックしま 2.[システム] ポップアップの [データ] セクションで [データ ] をクリックしま 3.[ファイルとディレクトリ] をクリックしま 4.[ [ 新 規 ] ボタンをクリックして を 追 加 しま 5.[その 他 の 設 定 ] ボックスを 選 択 しま 6.[ソースタイプ] には ソースタイプを 設 定 するための 3 種 類 の 選 択 肢 がありま 動 :このデフォルト 設 定 では データのソースタイプが 動 的 に 選 択 されま リストから: 般 的 な 事 前 定 義 ソースタイプのリストが 表 されまこのオプションの 詳 細 は 次 のセク ションを 参 照 してください マニュアル:ドロップダウンリストに 的 のソースタイプがないけれども 事 前 定 義 ソースタイプには 含 ま れている 場 合 は その 値 を 動 で することができままた 独 のソースタイプを 動 で するこ ともできまこのオプションの 詳 細 は 後 述 していま ドロップダウンリストからのソースタイプの 選 択 般 的 な 事 前 定 義 ソースタイプかのリストから ソースタイプを 選 択 することができま 1.[ソースタイプを 設 定 ] ドロップダウンリストから [リストから] を 選 択 しま 2. 表 された [リストからソースタイプを 選 択 ] ドロップダウン リストから ソースタイプを 選 択 しま 3. の 設 定 を 保 存 しま その から 取 り 込 まれ インデックスが 作 成 されるすべてのイベントに 対 して 選 択 したソースタイプが 割 り 当 てられるようになりま 注 意 :ドロップダウンリストには 般 的 なソースタイプのみが 表 されま 利 可 能 なすべての 事 前 定 義 さ れたソースタイプについては 事 前 定 義 ソースタイプの 覧 を 参 照 してください ソースタイプの 動 特 定 の から 取 り 込 まれるデータに 対 するソースタイプを 動 で することができま 1.[ソースタイプを 設 定 ] ドロップダウンリストから [マニュアル] を 選 択 しま 2. 表 された [ソースタイプ] フィールドに ソースタイプを しまSplunk の 事 前 定 義 ソースタイプまた は 独 のソースタイプを 指 定 できま 3. の 設 定 を 保 存 しま その から 取 り 込 まれ インデックスが 作 成 されるすべてのイベントに 対 して 指 定 したソースタイプが 割 り 当 てられるようになりま inputs.conf 設 定 ファイルを 使 inputs.conf に を 設 定 する 場 合 その のソースタイプを 指 定 することができま $SPLUNK_HOME/etc/system/local/ 内 または $SPLUNK_HOME/etc/apps/ の 独 のカスタムアプリケーションディレク トリ 内 にある inputs.conf を 編 集 してください 設 定 ファイルの 般 情 報 については 管 理 マニュアル の 設 定 ファイルについて を 参 照 してください ソースタイプを 指 定 するには のスタンザ 内 に sourcetype 属 性 を 設 定 しま 例 : 137
138 [tcp://:9995] connection_host=dns sourcetype=log4j source=tcp:9995 この 例 では ポート 9995 の TCP から 取 り 込 まれる 任 意 のイベントに 対 してソースタイプ log4j が 設 定 されま 警 告 : 属 性 値 は 引 符 で 囲 まないでください sourcetype=log4jで sourcetype="log4j" ではありません ソースのソースタイプの 指 定 ソースタイプの 動 割 り 当 てに 優 先 して 特 定 のソースから 取 り 込 まれるすべてのデータに 対 して 単 のソース タイプを 明 的 に 割 り 当 てるには props.conf を 使 しま $SPLUNK_HOME/etc/system/local/ 内 または $SPLUNK_HOME/etc/apps/ の 独 のカスタムアプリケーションディレクトリ 内 にある props.conf を 編 集 してください 設 定 ファイルの 般 情 報 については 設 定 ファイルについて を 参 照 してください 重 要 :データを 転 送 している 場 合 に ソースのソースタイプを 割 り 当 てるには この 作 業 をフォワーダー 上 の props.conf で う 必 要 がありまレシーバー 上 の props.conf で 作 業 を うと その 優 先 設 定 は 機 能 しません ソースタイプ 割 り 当 ての 優 先 設 定 を うには props.conf にソース のスタンザを 追 加 しまスタンザにはソー スパスを 指 定 しま 必 要 に 応 じて 正 規 表 現 を 使 してください 次 に sourcetype 属 性 でソースタイプを 指 定 し ま 例 : [source::.../var/log/anaconda.log(.\d+)?] sourcetype=anaconda この 例 は /var/log/anaconda.log の 後 に 任 意 の 数 の 数 字 が 続 く 字 列 を 含 む 任 意 のソースから 取 り 込 まれるイベ ントに 対 して ソースタイプ anaconda を 設 定 しま 重 要 :スタンザのソースパス 正 規 表 現 ([source::.../web/...log] など) は できる 限 り 対 象 を 限 定 するように 設 定 する 必 要 がありま... で 終 了 する 正 規 表 現 は 使 しないでください たとえば 以 下 のようには 指 定 しない でください [source::/home/fflanda/...] sourcetype=mytype このような 設 定 は 危 険 でこの 場 合 Splunk は /home/fflanda 内 のすべての gzip ファイルを gzip ファイルで はなく mytype ファイルとして 処 理 してしまいま 以 下 のように 指 定 することをお 勧 めしま [source::/home/fflanda/...log(.\d+)?] sourcetype=mytype 注 意 : 正 規 表 現 の 構 と 使 法 の 概 要 については Regular-Expressions.info を 参 照 してください 正 規 表 現 をテストするには サーチ 内 で rex サーチコマンドを 使 ってそれらを 指 定 しま 正 規 表 現 式 を 作 成 テストする ために 役 つサードパーティ 製 ツールのリストも 意 されていま ルールベースのソースタイプ 認 識 の 設 定 ルールベースのソースタイプ 認 識 を 使 って Splunk Enterprise が 認 識 するソースタイプの 種 類 を 増 やすことがで きまprops.conf に 特 定 のソースタイプと 連 の 基 準 を 関 連 付 ける rule:: スタンザを 作 成 しまデータの 取 り 込 み 時 に ルールの 基 準 を 満 たすファイル に 指 定 したソースタイプが 割 り 当 てられま props.conf には ルールと 遅 延 型 ルールの 2 種 類 のルールを 作 成 することができまこれらのルールの 違 いは ソースタイプ 処 理 プロセス 中 に Splunk Enterprise がそれを 確 認 する 時 期 のみで 取 り 込 まれたデータセット の 処 理 時 に Splunk Enterprise はさまざまな 法 でソースタイプを 決 定 しま データ またはソースに 基 づいて 明 的 なソースタイプ 定 義 を 確 認 後 props.conf に 定 義 されている 任 意 の rule:: スタンザを 参 照 し それらのスタンザに 定 義 されている 分 類 ルールに 基 づいて データのソースタ イプの 特 定 が 試 みられま rule:: スタンザを 参 照 しても 致 するソースタイプがない 場 合 過 去 に 学 習 したソースタイプと 類 似 のパ ターンを 識 別 する ソースタイプの 動 認 識 が 試 みられま それでも 特 定 できない 場 合 は props.conf 内 の delayedrule:: スタンザを 参 照 して それらのスタンザ 内 に 定 義 されているルールを 使 って データのソースタイプの 判 断 を 試 みま データへのソースタイプ 割 り 当 てルールの 優 先 順 位 については Splunk Enterprise によるソースタイプの 割 り 当 て 法 を 参 照 してください rule:: スタンザに 特 別 なソースタイプ の 分 類 ルールを 指 定 し また delayedrule:: スタンザには 汎 ソースタイ プ 向 けの 分 類 ルールを 指 定 することができまこのように 専 のソースタイプに 当 てはまらない 各 種 イベント 138
139 には 汎 のソースタイプが 適 されまたとえば rule:: スタンザを 使 って sendmail_syslog や cisco_syslogなどの 特 定 の syslog ソースタイプを 処 理 し 次 に delayedrule:: スタンザを 設 定 して 残 りの syslog データに 汎 型 の syslog ソースタイプを 適 できま 設 定 ソースタイプルールを 設 定 するには $SPLUNK_HOME/etc/system/local/ 内 または $SPLUNK_HOME/etc/apps/ の 独 のカ スタムアプリケーションディレクトリ 内 にある props.conf を 編 集 してください 設 定 ファイルの 般 情 報 について は 管 理 マニュアル の 設 定 ファイルについて を 参 照 してください ルールを 作 成 するには props.conf に rule:: または delayedrule:: スタンザを 追 加 しまスタンザのヘッダーに はルール 名 を 指 定 して スタンザ 本 にソースタイプを 定 義 しまソースタイプを 定 義 したら ソースタイプ 割 り 当 てルールを 設 定 しまこれらのルールは 1 つまたは 複 数 の MORE_THAN および LESS_THAN ステートメントを 使 して データ 内 の 正 規 表 現 に 定 割 合 以 上 適 合 するパターンを 探 しま ルールを 作 成 するには 以 下 の 構 を 使 しま [rule::<rule_name>] OR [delayedrule::<rule_name>] sourcetype=<source_type> MORE_THAN_[0-99] = <regex> LESS_THAN_[1-100] = <regex> MORE_THAN および LESS_THAN 属 性 には 数 値 を 設 定 しまこれは 正 規 表 現 に 指 定 された 字 列 を 含 む の 割 合 (パーセント) を 表 していまたとえば MORE_THAN_80 の 場 合 数 の 80% 以 上 に 関 連 する 式 が 含 まれていな ければなりません LESS_THAN_20は 数 の 20% 以 下 が 関 連 する 式 を 含 んでいることを 表 していま 注 意 : 属 性 名 は MORE_THAN_ となっていますが 実 際 にはこの 属 性 は を 超 える ではなく 以 上 の 意 味 を 持 っていま 同 様 に LESS_THAN_ 属 性 は 以 下 の 意 味 で 使 しま ルールには 任 意 の 数 の MORE_THAN および LESS_THAN 条 件 を 指 定 することができまデータファイルがルール 内 のすべてのステートメントに 合 致 する 場 合 にのみ そのルールのソースタイプが 割 り 当 てられまたとえば の 60% 以 上 がある 正 規 表 現 に 致 し 別 の 正 規 表 現 に 致 する が 20% 以 下 の 場 合 にのみ ファイル にそ のソースタイプを 割 り 当 てるルールを 定 義 することができま 注 意 : 正 規 表 現 の 構 と 使 法 の 概 要 については Regular-Expressions.info を 参 照 してください 正 規 表 現 をテストするには サーチ 内 で rex サーチコマンドを 使 ってそれらを 指 定 しま 正 規 表 現 式 を 作 成 テストする ために 役 つサードパーティ 製 ツールのリストも 意 されていま 例 Postfix syslog ファイル # postfix_syslog sourcetype rule [rule::postfix_syslog] sourcetype = postfix_syslog # If 80% of lines match this regex, then it must be this type MORE_THAN_80=^\w{3} +\d+ \d\d:\d\d:\d\d.* postfix(/\w+)?\[\d+\]: 分 割 可 能 テキスト 遅 延 型 ルール # breaks text on ascii art and blank lines if more than 10% of lines have # ascii art or blank lines, and less than 10% have timestamps [delayedrule::breakable_text] sourcetype = breakable_text MORE_THAN_10 = (^(?:--- === \*\*\* =+=)) ^\s*$ LESS_THAN_10 = [: ][012]?[0-9]:[0-5][0-9] 事 前 定 義 ソースタイプの 覧 Splunk Enterprise には 多 数 のソースタイプ 定 義 が 最 初 から 意 されていまこれらのソースタイプは 事 前 定 義 ソースタイプと 呼 ばれていま Splunk Enterprise は 取 り 込 んだデータの 半 に これらの 事 前 定 義 ソースタイプを 動 的 に 認 識 して 割 り 当 てる ことができままた 動 的 には 認 識 できないけれども Splunk Web または inputs.conf を 使 って 動 で 割 り 当 てられる 事 前 定 義 ソースタイプも 意 されています ( 動 ソースタイプ 割 り 当 てに 優 先 する 設 定 など この 章 の 各 トピックを 参 照 ) 事 前 定 義 ソースタイプが 的 のデータに 適 合 する 場 合 は それを 使 することをお 勧 めしまSplunk Enterprise は 事 前 定 義 ソースタイプのデータに 対 して インデックスを 適 切 に 作 成 する 法 を 理 解 していま ただし データが 事 前 定 義 ソースタイプに 適 していない 場 合 は 独 のソースタイプを 作 成 することができま す ( ソースタイプの 作 成 を 参 照 ) Splunk Enterprise は 独 のプロパティがない 場 合 でも 実 質 的 に 任 意 の 形 式 のデータのインデックスを 作 成 することができま 139
140 ソースタイプの 概 要 については ソースタイプが 重 要 な 理 由 を 参 照 してください 動 認 識 されるソースタイプ ソースタイプ 名 access_combined 起 源 NCSA 連 結 フォーマッ ト http Web サーバーログ (Apache や 他 の Web サーバー が 成 可 能 ) 例 webdev [08/Aug/2005:13:18: ] "GET / HTTP/1.0" "-" "check_http/1.10 (nagios-plugins 1.4)" access_combined_wcookie NCSA 連 結 フォーマット http Web サーバーログ (Apache や 他 の Web サーバーが 成 可 能 ) 最 後 に cookie フィールド を 追 加 " " [19/Aug/2005:10:04: ] "GET /themes/splunk_com/images/logo_splunk.png HTTP/1.1" " "Mozilla/5.0 (X11; U; Linux i686; en-us; rv:1.7.8) Gecko/ Fedora/ Firefox/1.0.4" " " access_common apache_error asterisk_cdr asterisk_event asterisk_messages NCSA 共 通 フォーマット httpweb サーバーログ (Apache や 他 の Web サーバー が 成 可 能 ) 標 準 Apache Web サーバーロ グ 標 準 Asterisk IP PBX コール 詳 細 レコード 標 準 Asterisk イベントログ ( 管 理 イベント) 標 準 Asterisk メッセージログ (エラーと 警 告 ) [16/May/2005:15:01: ] "GET /themes/combeta/images/bullet.png HTTP/1.1" [Sun Aug 7 12:17: ] [error] [client ] File does not exist: /home/reba/public_html/images/bullet_image.gif ""," ","1234","default","""James Jesse""< >","SIP/5249-1ce3","","Voic ","u1234"," :19:25"," :19:25"," :19:42",17,17,"ANSWERED","DOCUMENTATION" Aug 24 14:08:05 asterisk[14287]: Manager 'randy' logged on from Aug 24 14:48:27 WARNING[14287]: Channel 'Zap/1-1' sent into invalid extension 's' in context 'default', but no invalid handler asterisk_queue 標 準 Asterisk キューログ NONE NONE NONE CONFIGRELOAD cisco_syslog db2_diag exim_main exim_reject linux_messages_syslog linux_secure log4j PIX ファイアウォール ルー ター ACS などを 含 めて す べての Cisco ネットワークデ バイスが 成 する 標 準 Cisco syslog 通 常 はリモート syslog 経 由 で 集 中 ログホスト に 送 信 される 標 準 IBM DB2 データベース 管 理 およびエラーログ Exim MTA メインログ Exim 拒 否 ログ 標 準 Linux syslog ( 半 のプ ラットフォームで /var/log/messages) Linux securelog log4j を 使 する 任 意 の J2EE サーバーが 成 する log4j 標 準 140 Sep 14 10:51:11 stage-test.splunk.com Aug :08:49: %PIX : Inbound TCP connection denied from IP_addr/port to IP_addr/port flags TCP_flags on interface int_name Inbound TCP connection denied from /9876 to /6161 flags SYN on interface outside I27231H328 LEVEL: Event PID : 2120 TID : 4760 PROC : db2fmp.exe INSTANCE: DB2 NODE : 000 FUNCTION: DB2 UDB, Automatic Table Maintenance, db2hmonevalstats, probe:900 STOP : Automatic Runstats: evaluation has finished on database TRADEDB :02:43 1E69KN-0001u6-8E => [email protected] R=send_to_relay T=remote_smtp H=mail.int.splunk.com [ ] :24:57 SMTP protocol violation: synchronization error (input sent without waiting for greeting): rejected connection from H=gate.int.splunk.com [ ] Aug 19 10:04:28 db1 sshd(pam_unix)[15979]: session opened for user root by (uid=0) Aug 18 16:19:27 db1 sshd[29330]: Accepted publickey for root from ::ffff: port ssh :44:03, [PoolThread-
141 log4j mysqld_error mysqld postfix_syslog sendmail_syslog sugarcrm_log4php weblogic_stdout websphere_activity websphere_core websphere_trlog_syserr websphere_trlog_sysout サーバーが 成 する log4j 標 準 出 標 準 mysql エラーログ 標 準 mysql クエリーログ テ キスト 変 換 した mysql のバイ ナリログにも 対 応 UNIX/Linux syslog 経 由 で 報 告 される 標 準 Postfix MTA ロ グ UNIX/Linux syslog 経 由 で 報 告 される 標 準 Sendmail MTA ログ log4php ユーティリティを 使 っ て 報 告 される 標 準 Sugarcrm アクティビティログ 標 準 のネイティブ BEA 形 式 の Weblogic サーバーログ Websphere アクティビティロ グ サービスログと 呼 ばれるこ ともあります Websphere からの Corefile エ クスポート IBM のネイティブ tr 形 式 の 標 準 Websphere システムエラー ログ IBM のネイティブ trlog 形 式 の 標 準 Websphere system out ログ Resin および Jboss の log4j サーバーログと 似 ていま すが (システムエラーログのサ 141 0] INFO [STDOUT] got some property :19:29 InnoDB: Started; log sequence number /usr/libexec/mysqld: ready for connections. Version: '4.1.10a-log' socket: '/var/lib/mysql/mysql.sock' port: 3306 Source distribution 53 Query SELECT xar_dd_itemid, xar_dd_propid, xar_dd_value FROM xar_dynamic_data WHERE xar_dd_propid IN (27) AND xar_dd_itemid = 2 Mar 1 00:01:43 avas postfix/smtpd[1822]: 0141A61A83: client=host pool80180.interbusiness.it[ ] Aug 6 04:03:32 nmrjl00 sendmail[5200]: q64f01vr001110: to=root, ctladdr=root (0/0), delay=00:00:01, xdelay=00:00:00, mailer=relay, min=00026, relay=[ ] [ ], dsn=2.0.0, stat=sent (v00f3hmx Message accepted for delivery) Fri Aug 5 12:39: ,244 [28666] FATAL layout_utils - Unable to load the application list language file for the selected language(en_us) or the default language(en_us) ####<Sep 26, :27:24 PM MDT> <Warning> <WebLogicServer> <bea03> <asiadminserver> <ListenThread.Default> <<WLS Kernel>> <> <BEA > <HostName: , maps to multiple IP addresses: , > ComponentId: Application Server ProcessId: 2580 ThreadId: c ThreadName: Nondeferrable Alarm : 3 SourceId: com.ibm.ws.channel.framework.impl. WSChannelFrameworkImpl ClassName: MethodName: Manufacturer: IBM Product: WebSphere Version: Platform 6.0 [BASE o ] ServerName: nd6cell01\was1node01\tradeserver1 TimeStamp: :04: UnitOfWork: Severity: 3 Category: AUDIT PrimaryMessage: CHFW0020I: The Transport Channel Service has stopped the Chain labeled SOAPAcceptorChain2 ExtendedMessage: NULL SECTION TITLE subcomponent dump routine NULL=============================== 1TISIGINFO signal 0 received 1TIDATETIME Date: 2005/08/02 at 10:19:24 1TIFILENAME Javacore filename: /kmbcc/javacore txt NULL SECTION XHPI subcomponent dump routine NULL ============================== 1XHTIME Tue Aug 2 10:19: XHSIGRECV SIGNONE received at 0x0 in <unknown>. Processing terminated. 1XHFULLVERSION J2RE IBM AIX build ca NULL [7/1/05 13:41:00:516 PDT] ae SystemErr R at com.ibm.ws.http.channel. inbound.impl.httpiclreadcallback.complete (HttpICLReadCallback.java(Compiled Code)) (truncated) [7/1/05 13:44:28:172 PDT] d SystemOut O Fri Jul 01 13:44:28 PDT 2005 TradeStreamerMDB: 100 Trade stock prices updated: Current Statistics Total update Quote Price message count = 4400 Time to receive stock update
142 windows_snare_syslog すが (システムエラーログのサ ンプル 形 式 ) 重 度 が 低 いイ ベントおよび 情 報 通 知 イベント が 含 まれています サードパーティ 製 Intersect Alliance Snare エージェント 経 由 で UNIX/Linux サーバー 上 の syslog に 報 告 される 標 準 Windows イベントログ alerts messages (in seconds): min: max: avg: The current price update is: Update Stock price for s:393 old price = new price = Sep 14 10:49:46 stagetest.splunk.com Windows_Host MSWinEventLog 0 Security 3030 Day Aug 24 00:16: Security admin4 User Success Audit Test_Host Object Open: Object Server: Security Object Type: File Object Name: C:\Directory\secrets1.doc New Handle ID: 1220 Operation ID: {0,117792} Process ID: 924 Primary User Name: admin4 Primary Domain: FLAME Primary Logon ID: (0x0,0x8F9F) Client User Name: - Client Domain: - Client Logon ID: - Accesses SYNCHRONIZE ReadData (or ListDirectory) Privileges -Sep 特 殊 ソースタイプ ソースタイプ 名 known_binary 起 源 ファイル 名 が 般 的 にログファイルではな くバイナリファイルとして 知 られているパ ターンと 致 例 mp3 ファイル 画 像 ファイル.rdf.dat など これは 明 らかに テキスト 形 式 であ るファイルを 取 得 することを 的 にしてい ま 事 前 定 義 ソースタイプ 動 的 に 認 識 されるもの および 動 的 には 認 識 されないものも 含 めた すべての 事 前 定 義 ソースタイプを 以 下 に しま カテゴ リ アプリ ケー ション サー バー データ ベース メール オペ レー ティン グシス テム ネット ワーク プリン タ ルー ターと ファイ ア ウォー ル VoIP Web サー バー その 他 ソースタイプ log4j log4php weblogic_stdout websphere_activity websphere_core websphere_trlog mysqld mysqld_error mysqld_bin exim_main exim_reject postfix_syslog sendmail_syslog procmail linux_messages_syslog linux_secure linux_audit linux_bootlog anaconda anaconda_syslog osx_asl osx_crashreporter osx_crash_log osx_install osx_secure osx_daily osx_weekly osx_monthly osx_window_server windows_snare_syslog dmesg ftp ssl_error syslog, sar rpmpkgs novell_groupwise tcp cups_access cups_error spooler cisco_cdr cisco_syslog clavister asterisk_cdr asterisk_event asterisk_messages asterisk_queue access_combined access_combined_wcookie access_common apache_error iis snort 事 前 定 義 ソースタイプの 設 定 の 表 Splunk Enterprise がどのような 設 定 情 報 を 使 って 特 定 のソースタイプのインデックスを 作 成 するのかを 理 解 する ために btool ユーティリティを 実 してプロパティの 覧 を 参 照 することができまbtool の 使 法 の 詳 細 は Troubleshooting manual の Use btool to troubleshoot configurations を 参 照 してください tcp ソースタイプの 設 定 の 表 例 を 以 下 に しま 142
143 $./splunk btool props list tcp [tcp] BREAK_ONLY_BEFORE = (=\+)+ BREAK_ONLY_BEFORE_DATE = True CHARSET = UTF-8 DATETIME_CONFIG = /etc/datetime.xml KV_MODE = none LEARN_SOURCETYPE = true MAX_DAYS_AGO = 2000 MAX_DAYS_HENCE = 2 MAX_DIFF_SECS_AGO = 3600 MAX_DIFF_SECS_HENCE = MAX_EVENTS = 256 MAX_TIMESTAMP_LOOKAHEAD = 128 MUST_BREAK_AFTER = MUST_NOT_BREAK_AFTER = MUST_NOT_BREAK_BEFORE = REPORT-tcp = tcpdump-endpoints, colon-kv SEGMENTATION = inner SEGMENTATION-all = full SEGMENTATION-inner = inner SEGMENTATION-outer = foo SEGMENTATION-raw = none SEGMENTATION-standard = standard SHOULD_LINEMERGE = True TRANSFORMS = TRANSFORMS-baindex = banner-index TRANSFORMS-dlindex = download-index TRUNCATE = maxdist = 100 pulldown_type = true イベント 単 位 でのソースタイプに 優 先 する 設 定 ここでは イベント 単 位 にソースタイプに 優 先 する 設 定 を う 法 を 説 明 していきまこの 処 理 は Splunk Enterprise によるソースタイプの 割 り 当 て 法 で 説 明 しているように Splunk Enterprise が 初 期 割 り 当 てを 完 了 した 後 のパーシング 時 に いま イベント 単 位 の 優 先 設 定 を うには transforms.conf と props.conf を 使 しま 注 意 :この 種 類 の 優 先 設 定 処 理 はパーシング 時 に われるため インデクサーまたはヘビーフォワーダー 上 での み 機 能 しまユニバーサルフォワーダーでは 利 できません /パーシング/インデックス 作 成 プロセスの 過 程 で 利 できる 設 定 については 管 理 マニュアル の 設 定 パラメータとデータパイプライン を 参 照 してくだ さい 特 定 の またはソースから 取 り 込 まれたイベントデータの 基 本 的 な (イベントタイプではない) ソースタイプ 優 先 設 定 については このマニュアルの 動 ソースタイプ 割 り 当 てに 優 先 する 設 定 を 参 照 してください 設 定 イベント 単 位 の 優 先 設 定 を うには transforms.conf に 1 つ そして props.conf にもう 1 つ 合 計 2 つのスタン ザを 作 成 する 必 要 がありま$SPLUNK_HOME/etc/system/local/ 内 または $SPLUNK_HOME/etc/apps/ の 独 のカスタム アプリケーションディレクトリ 内 にある これらのファイルを 編 集 しま 設 定 ファイルの 般 情 報 については 管 理 マニュアル の 設 定 ファイルについて を 参 照 してください transforms.conf 以 下 の 構 に 従 って transforms.conf にスタンザを 作 成 しま [<unique_stanza_name>] REGEX = <your_regex> FORMAT = sourcetype::<your_custom_sourcetype_value> DEST_KEY = MetaData:Sourcetype 以 下 の 事 項 に 注 意 してください <unique_stanza_name> は 関 連 するソースタイプを 反 映 する 必 要 がありまこの 名 前 は 後 ほど props.conf スタンザで 使 しま <your_regex> は 独 のソースタイプを 適 するイベントを 表 す 正 規 表 現 です ( 特 定 のホスト 名 や 他 のフィー ルド 値 を 持 つイベントなど) <your_custom_sourcetype_value> は 正 規 表 現 に 致 したイベントに 適 するソースタイプで 143
144 注 意 : 正 規 表 現 の 構 と 使 法 の 概 要 については Regular-Expressions.info を 参 照 してください 正 規 表 現 をテストするには サーチ 内 で rex サーチコマンドを 使 ってそれらを 指 定 しま 正 規 表 現 式 を 作 成 テストする ために 役 つサードパーティ 製 ツールのリストも 意 されていま props.conf 次 に props.conf に transforms.conf のスタンザを 参 照 するスタンザを 作 成 しま [<spec>] TRANSFORMS-<class> = <unique_stanza_name> 以 下 の 事 項 に 注 意 してください <spec> には 以 下 の 値 を 使 できま <sourcetype> イベントのソースタイプ host::<host> ここで <host> はイベントのホストを 表 しま source::<source> <source> はイベントのソース 値 を 表 しま <class> は 変 換 に 割 り 当 てる 任 意 で 意 の 識 別 で <unique_stanza_name> は transforms.conf で 作 成 したスタンザ 名 で 例 : 単 の から 取 り 込 まれた 異 なるホストを 持 つイベントへのソースタイプの 割 り 当 て 共 有 UDP UDP514 がある 場 合 を 考 えてみましょう Splunk Enterprise インスタンスはこの を 使 っ て さまざまなホストからのデータのインデックスを 作 成 しまUDP514 経 由 で Splunk に 取 り 込 まれるデー タの 中 で 3 台 のホスト (host1 host2 および host3) からのデータに 特 定 のソースタイプ my_log を 割 り 当 てる 必 要 がありま まず 始 めに Splunk が 般 的 に 使 する syslog イベントの host フィールドを 抽 出 する 正 規 表 現 を 利 するこ とができまこれは system/default/transforms.conf 内 にありま [syslog-host] REGEX = :\d\d\s+(?:\d+\s+ (?:user daemon local.?)\.\w+\s+)*\[?(\w[\w\.\-]{2,})\]?\s FORMAT = host::$1 DEST_KEY = MetaData:Host この 正 規 表 現 を 的 のホスト 名 (この 例 では host1 host2 host3) からのイベントにのみ 致 するように 修 正 しま REGEX = :\d\d\s+(?:\d+\s+ (?:user daemon local.?)\.\w+\s+)*\[?(host1 host2 host3)[\w\.\-]*\]?\s これらの 3 台 のホストからのイベントに my_log ソースタイプを 適 する 変 換 内 で この 修 正 した 正 規 表 現 を 使 しま [set_sourcetype_my_log_for_some_hosts] REGEX = :\d\d\s+(?:\d+\s+ (?:user daemon local.?)\.\w+\s+)*\[?(host1 host2 host3)[\w\.\-]*\]?\s FORMAT = sourcetype::my_log DEST_KEY = MetaData:Sourcetype 次 にその 変 換 を 特 定 の を 識 別 する props.conf のスタンザ 内 に 指 定 しま [source::udp:514] TRANSFORMS-changesourcetype = set_sourcetype_my_log_for_some_hosts ソースタイプの 作 成 新 しいソースタイプは 2 種 類 の 法 で 作 成 することができま Splunk Web の [ソースタイプの 設 定 ] を 使 する props.conf 設 定 ファイルを 編 集 する Splunk Web でのソースタイプの 設 定 Splunk Web の [ソースタイプの 設 定 ] ページでは データにソースタイプを 適 した 効 果 を 軽 に 参 照 し 必 要 に 応 じてソースタイプの 設 定 を 調 整 することができま 変 更 内 容 を 新 たなソースタイプとして 保 存 して それを データ に 割 り 当 てることができま このページでは タイムスタンプやイベントの 分 割 を 調 整 するための 般 的 な 種 類 の 調 整 オプションが 意 さ れていまその 他 の 変 更 を う 場 合 は props.conf ファイルを 直 接 編 集 しま 設 定 を 変 更 すると 即 座 にイベ ントデータの 変 化 を 確 認 することができま 詳 細 は このマニュアルの [ソースタイプの 設 定 ] ページ を 参 照 してください 144
145 props.conf の 編 集 props.conf を 編 集 して 新 しいスタンザを 追 加 することで 新 しいソースタイプを 作 成 できまprops.conf の 詳 細 は 管 理 マニュアル の props.conf に 関 する 記 事 を 参 照 してください $SPLUNK_HOME/etc/system/local/ 内 または $SPLUNK_HOME/etc/apps/ の 独 のカスタムアプリケーションディレクトリ 内 にある props.conf ファイルを 編 集 しま 設 定 ファイルの 般 情 報 については 管 理 マニュアル の 設 定 ファイルについて を 参 照 してください データプレビュー 機 能 の [ 詳 細 モード] タブから 新 しいソースタイプの props.conf スタンザを 直 接 作 成 すること もできま 詳 細 は イベント 処 理 の 変 更 の 詳 細 モードに 関 するセクションを 参 照 してください ソースタイプを 作 成 する 場 合 サーチ 可 能 イベントを 作 成 するためのデータの 処 理 法 を 設 定 しま 特 に 2 つ の 重 要 な 設 定 を 指 定 する 必 要 がありま イベント 改 : props.conf を 使 ったイベント 分 割 の 指 定 法 については イベントの 分 割 の 設 定 を 参 照 してください タイムスタンプ: props.conf を 使 ったタイムスタンプの 指 定 法 については タイムスタンプ 認 識 の 設 定 およびこのマニュアルの タイムスタンプの 設 定 内 の 他 のトピックを 参 照 してください その 他 のさまざまな 設 定 を うこともできま 詳 細 は props.conf の 仕 様 を 参 照 してください ソースタイプ 名 の 変 更 状 況 によっては ソースタイプ 名 の 変 更 が 必 要 なこともありまたとえば に 誤 ったソースタイプ 名 を 割 り 当 ててしまった 場 合 に ソースタイプ 名 の 変 更 が 必 要 になりままた 2 つの 異 なる 名 前 のソースタイプを サーチ 時 に 同 時 に 処 理 しなければならないこともありま props.conf 内 で rename 属 性 を 使 って サーチ 時 に 新 しいソースタイプをイベントに 割 り 当 てることができまそ の 後 もそれを 使 ってサーチする 必 要 がある 場 合 オリジナルのソースタイプは 別 のフィールド _sourcetype に 移 動 されま 注 意 :インデックス 作 成 されたイベントには 引 き 続 きオリジナルのソースタイプが 含 まれま 名 前 の 変 更 は サーチ 時 にのみ われままた ソースタイプ 名 を 変 更 しても 最 初 に 誤 ったソースタイプを 割 り 当 てたことに より 成 された イベントデータのインデックスフォーマットが 修 正 される 訳 ではありません ソースタイプ 名 を 変 更 するには ソースタイプスタンザに rename 属 性 を 追 加 しま rename = <string> 注 意 :ソースタイプ 名 には 字 a z 数 字 0 9 および _ (アンダースコア) 字 のみ 使 できま たとえば アプリケーションサーバーに 対 して ソースタイプ cheese_shop を 使 している 場 合 を 考 えてみ ましょう その 後 誤 って 連 のデータをソースタイプ whoops としてインデックスを 作 成 してしまいまし た ソースタイプ 名 whoops を cheese_shop に 変 更 するには props.conf に 以 下 のスタンザを 指 定 しま [whoops] rename=cheese_shop これで cheese_shop でサーチを うと 最 初 に 使 していた cheese_shop ソースタイプのイベントだ けではなく whoops ソースタイプのイベントも 表 されるようになりま sourcetype=cheese_shop whoops イベントを 選 出 する 必 要 がない 場 合 は サーチに _sourcetype を 使 することができま _sourcetype=whoops 重 要 : 名 前 を 変 更 したソースタイプからのデータは ターゲットソースタイプ (この 例 では cheese_shop ) の サーチ 時 設 定 のみを 使 しまオリジナルのソースタイプ (この 例 では whoops ) で 抽 出 されたフィールドは 無 視 されま イベントのセグメント 分 割 の 管 理 セグメント 分 割 について セグメント 分 割 は インデックス 時 にサーチ 可 能 セグメントにイベントを 分 割 し もう 度 サーチ 時 に 分 割 す るために いられまセグメント 分 割 は メジャー メジャーまたはマイナー マイナーに 分 類 できまマイナーセグメントは メジャーセグメント 内 の 分 割 セグメントでたとえば IP アドレス は メジャーセグメントで しかし このメジャーセグメントは 192 のようなマイナーセグメント または のようなマイナーセグメ ントのグループに 分 割 することができま 145
146 イベントのセグメント 分 割 の 度 合 いを 定 義 することができまインデックス 時 セグメント 分 割 はインデックス 作 成 とサーチ 速 度 ストレージサイズ および 先 機 能 (Splunk Web が 提 供 する サーチバーに したテ キストに 致 する 項 を 表 する 機 能 ) の 使 可 否 に 影 響 するため このことが 重 要 になりま サーチ 時 セ グメント 分 割 はサーチ 速 度 および Splunk Web に 表 された 結 果 から 項 を 選 択 してサーチを 作 成 できるかど うかに 影 響 しま インデックス 時 と サーチ 時 の 違 いについては インデクサーとクラスタの 管 理 マニュアルの イン デックス 時 とサーチ 時 を 参 照 してください props.conf で 特 定 のカテゴリのイベントに セグメント 分 割 を 割 り 当 てることができま 詳 細 は イベン トデータのセグメント 分 割 の 設 定 を 参 照 してください イベントのセグメント 分 割 のタイプ インデックス 時 またはサーチ 時 に 設 定 できる 主 に 3 種 類 のセグメント 分 割 タイプ (レベル) がありま インナーセグメント 分 割 は 細 分 可 能 なもっとも さなマイナーセグメントにまでイベントを 分 割 しま たとえば のような IP アドレスにインナーセグメント 分 割 を うと および 223 に 分 割 されまインデックス 時 にインナーセグメント 分 割 を 設 定 すると インデックス 作 成 および サーチ 処 理 が 速 化 され ディスクの 使 量 が 減 少 しまただし 先 機 能 は 制 限 され ユーザーは マイナーセグメントレベルでのみ 先 を えま アウターセグメント 分 割 は インナーセグメント 分 割 の 反 対 でアウターセグメント 分 割 では メ ジャーセグメントのインデックスのみが 作 成 されまたとえば IP アドレス は としてインデックスが 作 成 されまこの 場 合 フレーズ 内 の 個 別 の 部 分 はサーチできません ただし ワ イルドカードを 使 ってフレーズ 内 の 部 をサーチすることは 可 能 でたとえば 192.0* でサーチする と から 始 まる IP アドレスを 持 つ 任 意 のイベントを 取 得 することができままた アウターセグ メント 分 割 では IP アドレスの の 部 分 (セグメント) などの サーチ 結 果 内 の 個 別 のセグメントをク リックしてサーチを 実 することはできません アウターセグメント 分 割 は フルセグメント 分 割 に べて 少 し 効 率 性 が い 傾 向 がありますが インナーセグメント 分 割 の が 幅 に 効 率 が くなりま フルセグメント 分 割 は インナーセグメント 分 割 とアウターセグメント 分 割 の 組 み 合 わせでフルセグ メント 分 割 の 場 合 IP アドレスはメジャーセグメントと や などの 各 種 マイナーセグメントの 両 に 対 して インデックスが 作 成 されまこのオプションは 効 率 的 がもっとも 低 くなりますが 多 彩 な サーチ 機 能 を 利 することができま $SPLUNK_HOME/etc/system/default にある segmenters.conf ファイルは 利 可 能 なセグメント 分 割 タイプを 定 義 しま デフォルトで インデックス 時 セグメント 分 割 は indexing タイプ (インナーセグメント 分 割 とアウターセグメ ント 分 割 の 組 み 合 わせ) に 設 定 されていまサーチ 時 セグメント 分 割 には フルセグメント 分 割 が 設 定 されてい ま セグメント 分 割 なし スペース 効 率 がもっとも いセグメント 分 割 設 定 が セグメント 分 割 を 完 全 に 無 効 にすることでただし これ がサーチに 与 える 影 響 は きくなりまセグメント 分 割 なしでインデックスを 作 成 するように 設 定 すると time source host および source type などの インデックス 作 成 フィールドに 対 するサーチが 制 限 されま キーワードに 対 するサーチでは 結 果 が 返 されません サーチにパイプを 使 して 結 果 を 制 限 する 必 要 があ りまこの 設 定 は 度 なサーチ 機 能 が 不 要 な 場 合 にのみ 使 してください セグメント 分 割 タイプの 設 定 segmenters.conf はセグメント 分 割 タイプを 定 義 していま 必 要 に 応 じて 独 のセグメント 分 割 タイプを 定 義 す ることもできま デフォルトで 利 できるセグメント 分 割 タイプについては $SPLUNK_HOME/etc/system/default 内 の segmenters.conf ファイルを 参 照 してください 重 要 :デフォルトのファイルは 変 更 しないでください 既 存 のセグメント 分 割 スタンザを 変 更 または 新 しいス タンザを 作 成 する 場 合 は デフォルトファイルを $SPLUNK_HOME/etc/system/local/ または $SPLUNK_HOME/etc/apps/ 内 の カスタム App ディレクトリにコピーしてください 設 定 ファイルとディレクトリの 場 所 については 設 定 ファ イルについて を 参 照 してください 特 定 のホスト ソース またはソースタイプへのセグメント 分 割 の 設 定 特 定 のホスト ソース またはソースタイプに 適 するインデックス 時 およびサーチ 時 セグメント 分 割 を 設 定 す ることができま 特 定 のソースタイプが 関 与 するサーチを 定 期 的 に 実 する 場 合 この 機 能 を 使 ってそれらサー チのパフォーマンスを 向 上 することができま 同 様 に 常 的 に 量 の syslog イベントのインデックスを 作 成 する 場 合 に この 機 能 を 使 ってそれらのイベントが 占 有 するディスクスペースを 減 らすことができま 特 定 のイベントカテゴリへのセグメント 分 割 タイプの 適 法 については イベントデータのセグメント 分 割 の 設 定 を 参 照 してください イベントデータのセグメント 分 割 の 設 定 デフォルトでは 柔 軟 なサーチを 可 能 にするために インデックス 作 成 中 にイベントのセグメント 分 割 が われま さまざまなタイプのセグメント 分 割 を 利 できままた 必 要 に 応 じてタイプを 作 成 することもできま 使 するセグメント 分 割 のタイプは インデックス 作 成 速 度 サーチ 速 度 およびインデックスが 占 有 するディス ク 量 に 影 響 を 与 えまセグメント 分 割 の 詳 細 および 各 セグメント 分 割 タイプのトレードオフについては セグ メント 分 割 について を 参 照 してください Splunk Enterprise では サーチ 時 にイベントをセグメント 分 割 することもできまサーチ 時 セグメント 分 割 は Splunk Web で 設 定 できま Splunk Web でのサーチ 時 セグメント 分 割 の 設 定 を 参 照 してください 146
147 特 定 のホスト ソース またはソースタイプからのイベントの サーチまたは 処 理 法 が 分 かっている 場 合 その タイプのイベントにインデックス 時 セグメント 分 割 を 設 定 することができま 特 定 のタイプのイベントに サー チ 時 セグメント 分 割 を 設 定 することもできま props.conf へのセグメント 分 割 の 指 定 特 定 のホスト ソース またはソースタイプを 持 つイベントに 対 してセグメント 分 割 を 指 定 するには props.conf 内 の 適 切 なスタンザにセグメント 分 割 タイプを 割 り 当 てまスタンザには segmenters.conf に 定 義 されたセグ メント 分 割 タイプまたは ルール を 割 り 当 てま 事 前 定 義 されたタイプ (inner outer または full) または 独 に 定 義 したカスタムタイプを 使 できま 独 のタイプの 定 義 については セグメント 分 割 タイプの 設 定 を 参 照 してください これらのタイプに 対 して props.conf に 設 定 する 属 性 は インデックス 時 セグメント 分 割 を 設 定 するのか または サーチ 時 セグメント 分 割 を 設 定 するのかによって 異 なりま インデックス 時 セグメント 分 割 の 場 合 は SEGMENTATION 属 性 を 使 しま サーチ 時 セグメント 分 割 の 場 合 は SEGMENTATION-<segment selection> 属 性 を 使 しま スタンザ 内 にはいずれかの 属 性 または 両 の 属 性 を 指 定 することができま スタンザは $SPLUNK_HOME/etc/system/local/props.conf に 追 加 しま インデックス 時 セグメント 分 割 SEGMENTATION 属 性 は インデックス 時 に 使 されるセグメント 分 割 タイプを 決 定 しま 構 を 以 下 に しま [<spec>] SEGMENTATION = <seg_rule> [<spec>] には 以 下 の 値 を 使 できま <sourcetype>:イベントデータ 内 のソースタイプ host::<host>:イベントデータ 内 のホスト 値 source::<source>:イベントデータ 内 のソース SEGMENTATION = <seg_rule> これは [<spec>] イベントに 対 してインデックス 時 に 使 する セグメント 分 割 タイプを しま <seg_rule> 次 の 所 に 定 義 されているセグメント 分 割 タイプ または ルール : segmenters.conf 般 的 な 設 定 は inner outer none および full ですが デフォルトファイルには 他 の 事 前 定 義 ルー ルも 存 在 していま 独 のルールを 作 成 するには $SPLUNK_HOME/etc/system/local/segmenters.conf を 編 集 しま 詳 細 は セグメント 分 割 タイプの 設 定 を 参 照 してください サーチ 時 セグメント 分 割 SEGMENTATION-<segment_selection> 属 性 は サーチ 時 に 使 されるセグメント 分 割 タイプを 決 定 しま 構 を 以 下 に しま [<spec>] SEGMENTATION-<segment_selection> = <seg_rule> [<spec>] には 以 下 の 値 を 使 できま <sourcetype>:イベントデータ 内 のソースタイプ host::<host>:イベントデータ 内 のホスト 値 source::<source>:イベントデータ 内 のソース SEGMENTATION-<segment_selection> = <seg_rule> これは [<spec>] イベントに 対 して Splunk Web でサーチ 時 に 使 する セグメント 分 割 タイプを しま <segment_selection> は 以 下 のいずれかになる 可 能 性 がありまfull inner outer または raw これらの 4 つの 値 は Splunk Web のサーチ 結 果 の 上 にある [オプション] から 表 する [ [ 結 果 表 オプション] パネルの [イベントのセグメント 化 ] ドロップダウンに 表 するオプションで これらの 値 は 単 純 に Splunk Web のドロップダウンで 利 できるオプションでこの 属 性 を 使 っ て オプションが 実 する 実 際 のセグメント 分 割 タイプを 指 定 することができます (ドロップダウンに 表 されるオプションとは 違 う 名 前 のタイプにすることもできます) たとえば 通 常 そうすることは ありませんが inner ドロップダウンオプションを 定 義 して outer セグメント 分 割 タイプを 実 することもできま ドロップダウンオプションを <seg_rule> にマップすることで 後 ほどサーチ 結 果 を 参 照 する 際 に そ のオプションを 使 ってサーチ 時 セグメント 分 割 を 設 定 することができま 詳 細 は Splunk Web でのサーチ 時 セグメント 分 割 の 設 定 を 参 照 してください 147
148 <seg_rule> 次 の 所 に 定 義 されているセグメント 分 割 タイプ または ルール : segmenters.conf 般 的 な 設 定 は inner outer none および full ですが デフォルトファイルには 他 の 事 前 定 義 ルー ルも 存 在 していま 独 のルールを 作 成 するには $SPLUNK_HOME/etc/system/local/segmenters.conf を 編 集 しま 詳 細 は セグメント 分 割 タイプの 設 定 を 参 照 してください 例 この 例 では syslog イベントに 対 して インデックス 時 およびサーチ 時 の 両 のセグメント 分 割 ルールを 設 定 しま props.conf の [syslog] ソースタイプスタンザに 以 下 の 項 を 追 加 しま [syslog] SEGMENTATION = inner SEGMENTATION-full= inner このスタンザは syslog ソースタイプを 持 つすべてのイベントに 対 して インデックス 時 のセグメント 分 割 をイン ナーセグメント 分 割 に 変 更 しままた Splunk Web 内 で [full] ラジオボタンを 使 って それらのイベントの インナーセグメント 分 割 を 実 できるようになりま 注 意 :サーチ 時 セグメント 分 割 の 変 更 を 反 映 するには Splunk Enterprise を 再 起 動 する 必 要 がありま 既 存 のデータにインデックス 時 セグメント 分 割 の 変 更 を 適 するには データのインデックスを 再 作 成 する 必 要 があり ま Splunk Web でのサーチ 時 セグメント 分 割 の 設 定 Splunk Web では サーチ 結 果 のセグメント 分 割 を 設 定 することができまこれは インデックス 時 のセグメ ント 分 割 には 何 も 影 響 しません ただし Splunk Web でのサーチ 時 セグメント 分 割 では ブラウザの 操 作 性 に 影 響 し サーチ 結 果 の 取 得 を 速 化 できる 可 能 性 がありま サーチ 結 果 のセグメント 分 割 を 設 定 するには: 1.サーチを 実 しま 結 果 を 参 照 しま 2. 返 されたイベントセットの 上 にある [オプション...] をクリックしま 3.[イベントのセグメント 化 ] ドロップダウンで 利 可 能 ないずれかのオプション (full inner outer または raw) を 選 択 しまデフォルトは full で これらのドロップダウンの 意 味 を 設 定 することができま 詳 細 は イベントデータのセグメント 分 割 の 設 定 を 参 照 してください データ 取 り 込 みプロセスの 改 善 テスト インデックスを 使 って をテストする 新 しい を 実 働 環 境 のインデックスに 追 加 する 前 に まずテストを 実 施 することをお 勧 めしま をテスト インデックスに 追 加 してください から 正 しいデータが 取 り 込 まれ 成 されるイベントの 形 式 も 良 好 な 場 合 は その にデフォルトの main インデックスを 設 定 しまその 後 も 新 しい は この 法 でテスト してください から 的 のデータが 取 り 込 まれない 場 合 またはインデックスが 作 成 されたイベントの 形 式 が 誤 っている 場 合 は 適 切 な 結 果 が 出 るまでテストと 修 正 を いま 良 好 な 結 果 が 得 られた 場 合 は を 編 集 して main イン デックスを 設 定 しま Splunk Enterprise がテスト インデックスに どのようにデータのインデックスを 作 成 するかをプレビューする ことができまプレビュー 中 いくつかのイベント 処 理 設 定 を 対 話 的 に 調 整 することができま 詳 細 は [ソースタイプの 設 定 ] ページ を 参 照 してください テスト インデックスの 使 カスタムインデックスの 作 成 と 使 の 詳 細 は インデクサーとクラスタの 管 理 マニュアル の 複 数 のインデッ クスの 設 定 を 参 照 してください 基 本 的 ないくつかのステップが 存 在 していまそれぞれのステップは 対 応 するトピックで 詳 細 に 説 明 していま 1.Splunk Web または CLI を 使 して または 直 接 indexes.conf を 編 集 して テスト インデックスを 作 成 しま 詳 細 は 複 数 インデックスの 設 定 を 参 照 してください 2.データ の 設 定 時 に イベントをテスト インデックスにルーティングしま 通 常 この 作 業 は Splunk Web を 使 って えま 各 に 対 して: a. [データの 追 加 ] ページで [その 他 の 設 定 ] オプションを 選 択 しま インデックス も 含 めて さまざまな 新 しいフィールドが 表 されま b. [インデックス] ドロップダウンで テスト インデックスを 選 択 しまそのデータ のすべてのイベント 148
149 が 選 択 したインデックスに 送 られま c. テスト インデックスを 送 信 する 各 データ に 対 して この 作 業 を 繰 り 返 しま inputs.conf に を 設 定 する 際 にインデックスを 指 定 することも 可 能 で 3.サーチを 実 する 際 に サーチコマンドにテスト インデックスを 指 定 しま(デフォルトで Splunk Enterprise は main インデックスをサーチしま)index= コマンドを 使 しま index=test_index 注 意 :テスト インデックスで 新 しく 作 成 した から 取 り 込 んだイベントをサーチする 場 合 フィールドサイ ドバー で 時 間 範 囲 として [リアルタイム] > [ 全 時 間 (リアルタイム)] を 使 することをお 勧 めしまリアルタイ ムサーチの 結 果 には 抽 出 されたタイムスタンプに 関 係 なく そのインデックスに 書 き 込 まれたすべてのイベン トが 表 されまこの 法 は 特 に [ 過 去 1 時 間 ] または [リアルタイム] > [30 分 のウィンドウ] のサーチでは 表 されない 履 歴 データのインデックスを 作 成 している 場 合 に 役 ちま インデックスデータの 削 除 とやり 直 し テスト インデックスを 消 去 してもう 度 やり 直 したい 場 合 は CLI コマンドの clean を 使 しま へのデフォルトインデックスの 指 定 結 果 が 良 好 で 実 際 にインデックスを 作 成 する 準 備 ができたら データ を 編 集 してテスト インデックスの 代 わ りにデフォルトの main インデックスを 設 定 しまこの 作 業 は 簡 単 で 最 初 にテスト インデックスを 作 成 した 作 業 の 設 定 内 容 を 元 に 戻 すだけですでに 設 定 した 各 データ に 対 して: 1. 当 初 を 設 定 した 場 所 に 戻 りまたとえば Splunk Web の [データの 追 加 ] ページで を 設 定 した 場 合 は その の 設 定 画 に 戻 りま a. [システム] > [システム 設 定 ] > [データ ] を 選 択 しま b. のデータタイプを 選 択 して 設 定 されているそのタイプのすべての を 覧 表 しま c. 編 集 するデータ を 選 択 しま 編 集 画 が 表 されま d. [ 詳 細 設 定 を 表 ] オプションを 選 択 しま[インデックス] フィールドに 移 動 しま e. [インデックス] ドロップダウンで [main] インデックスを 選 択 しまそのデータ のすべてのイベント が 選 択 したインデックスに 送 られま inputs.conf を 使 って を 設 定 した 場 合 は そのファイルを 編 集 してインデックスを 変 更 することができま 2.これで サーチを 実 する 際 に サーチコマンドにインデックスを 指 定 する 必 要 がなくなりまデフォルトで Splunk Enterprise は main インデックスをサーチしま データ 損 失 を 防 するための persistent queue の 使 persistent queue を 使 することで キュー 内 のデータをディスクに 保 管 することができまそうする ことで フォワーダー フォワーダーやインデクサー インデクサーをバックアップする 場 合 に データの 損 失 の 防 に 役 ちま デフォルトで フォワーダーとインデクサーは メモリー 内 に 500KB の キューを 確 保 していま スト リームがフォワーダー/インデクサーの 処 理 限 度 を 超 え キューが 杯 になった 場 合 望 ましくない 事 態 が 発 し てしまいまUDP の 場 合 は データがキューから 破 棄 されて 失 われてしまいま 他 の タイプの 場 合 データを 成 しているアプリケーションがバックアップされま persistent queue を 採 することで このような 問 題 の 発 を 防 することができまpersistent queue を 使 すると メモリー 内 のキューが 杯 になった 場 合 ストリームはディスク 上 のファイルに 書 き 込 まれま 次 に データストリームを 直 接 処 理 できるようになるまでの 間 キューからのデータ (メモリー 内 とディスク 上 の 両 ) が 処 理 されま 重 要 :persistent queue は Splunk Enterprise がバックアップされた 場 合 のデータ 損 失 を 防 するために 役 ちまただし 完 全 な 解 決 策 とはなりません Splunk Enterprise がクラッシュした 場 合 は データが 失 われる 可 能 性 がありまたとえば データの 部 をメモリー 内 キュー および persistent queue ファイルに 保 管 している 場 合 を 考 えてみましょう クラッシュが 発 した 場 合 メモリー 内 のデータは 失 われてしまいま 同 様 に パーシングまたはインデックス 作 成 パイプライン 内 にあり まだディスクに 書 き 込 まれていないデータも ク ラッシュ 時 に 失 われてしまう 可 能 性 がありま 注 意 :Splunk Enterprise 4.2 以 降 では persistent queue が 幅 に 改 良 されて 再 実 装 されました これはデー タ ( 取 り 込 み) の 機 能 となり inputs.conf で 設 定 を いま 従 来 の outputs.conf で 設 定 する 廃 予 定 の persistent queue 機 能 とは 何 の 関 連 もなくなりました persistent queue を 使 できる 場 合 persistent queue は 特 定 のタイプの に 対 して 利 できますべてのタイプで 利 できる 訳 ではありませ ん 般 的 にこのキューは ネットワーク などの 短 期 的 な 性 質 を 持 つ に 対 して 利 できまファイルの モニタリングなどの 継 続 的 な 性 質 がある には 利 できません persistent queue は 以 下 の タイプで 使 できま TCP UDP 149
150 FIFO スクリプト Windows イベントログ persistent queue は 以 下 の タイプでは 使 できません モニター バッチ ファイルシステム 変 更 監 視 splunktcp (Splunk フォワーダーからの ) persistent queue の 設 定 persistent queue を 設 定 するには inputs.conf ファイルを 使 しま 複 数 の がキューを 共 有 することはありません persistent queue は 特 定 の のスタンザ 内 に 設 定 しま 構 persistent queue を 作 成 するには 特 定 の のスタンザ 内 に 以 下 の 2 つの 属 性 を 指 定 しま persistentqueuesize = <integer>(kb MB GB TB) * Max size of the persistent queue file on disk. * Defaults to 0 (no persistent queue). 例 TCP への persistent queue の 設 定 例 を 以 下 に しま [tcp://9994] persistentqueuesize=100mb persistent queue の 場 所 persistent queue はハードコード 化 された 場 所 を 持 ち タイプによって 異 なりま ネットワーク の 場 合 persistent queue は 以 下 の 場 所 にありま $SPLUNK_HOME/var/run/splunk/[tcpin udpin]/pq <port> 注 意 :ファイル 名 には 2 つのアンダースコアが 使 されていまpq <port>で pq_<port> ではありません 例 : TCP ポート 2012 の persistent queue: $SPLUNK_HOME/var/run/splunk/tcpin/pq 2012 UDP ポート 2012 の persistent queue: $SPLUNK_HOME/var/run/splunk/udpin/pq 2012 FIFO の 場 合 persistent queue は $SPLUNK_HOME/var/run/splunk/fifoin/<encoded path> 下 に 保 管 されま スクリプト の 場 合 は $SPLUNK_HOME/var/run/splunk/exec/<encoded path> 下 に 保 管 されまinputs.conf 内 の FIFO/スクリプト スタンザは <encoded path> を 取 得 しま プロセスのトラブルシューティング 的 のイベントが つかりませんか? Splunk Enterprise にデータ を 追 加 する 場 合 そのデータ は 使 している App に 対 して 追 加 されま *nix および Windows App など 部 の App は から 取 り 込 まれたデータを 特 定 のインデックスに 書 き 込 みま す (*nix および Windows App の 場 合 は os インデックス) Splunk Enterprise に 取 り 込 んだはずのデータ が つからない 場 合 は 適 切 なインデックスを 使 しているかどうかを 確 認 してください 使 しているロールに 対 して デフォルトインデックスのリストに os インデックスを 追 加 することもできまロールの 詳 細 は Splunk Enterprise のセキュリティ のロールに 関 するトピックを 参 照 してください 注 意 : inputs.conf を 編 集 して を 追 加 した 場 合 Splunk Enterprise がそれを 即 座 には 認 識 できない 可 能 性 が ありまSplunk Enterprise は 前 回 再 起 動 された 時 点 から 24 時 間 ごとに を 確 認 しまつまり ディレ クトリやファイルをモニターするスタンザを 新 たに 追 加 した 場 合 Splunk Enterprise がそのディレクトリまたは ファイルの 内 容 のインデックス 作 成 を 開 始 するまでに 最 で 24 時 間 かかることを 意 味 していま が 即 座 に 認 識 され インデックス 作 成 が 開 始 されるようにするには Splunk Web を 使 するか または CLI で add コ マンドを 使 って を 追 加 してください tail が 実 されたファイルのトラブルシューティング FileStatus REST エンドポイントを 使 って tail が 実 されたファイルのステータスを 取 得 することができま 150
151 例 : curl モニター のトラブルシューティング モニター の 問 題 に 対 処 するためのさまざまな 情 報 については コミュニティ Wiki の Troubleshooting Monitor Inputs を 参 照 してください フォワーダーから 送 られてくるデータが つからない 場 合 フォワーダーが 正 常 に 機 能 しており インデクサーから えることを 確 認 してください デプロイモニター App を 使 って Splunk トポロジーのトラブルシューティングを って フォワーダーに 関 する 問 題 の 主 原 因 を 調 査 す ることができま 詳 細 は Deploy and Use Splunk Deployment Monitor App マニュアルを 参 照 してくだ さい レシピ フォワーダー フォワーダーの の 設 定 は インデクサーでの 設 定 と 同 じ 法 で えま 唯 の 違 いが フォワーダーには Splunk Web が 含 まれていないため を CLI または inputs.conf を 使 って 設 定 する 必 要 があることで を 設 定 する 前 に このレシピで 説 明 するように フォワーダーをデプロイ 設 定 する 必 要 がありま Splunk のフォワーダー フォワーダーを 使 って レシーバー レシーバーと 呼 ばれるインデクサーにデータを 送 信 することができまこ れが リモート データをインデクサーに 取 り 込 むために 推 奨 する 法 で フォワーダー 特 にユニバーサルフォワーダーを 使 してリモートデータを 取 り 込 む 場 合 フォワーダーとレシー バーのトポロジーを 構 築 して データ を 設 定 する 必 要 がありま 1.Splunk Enterprise インスタンスをレシーバーとしてインストールしま インストール マニュアル を 参 照 してください 2.Splunk Web または CLI を 使 って これらのインスタンスの 受 信 を 有 効 にしま データの 転 送 マニュア ルの レシーバーを 有 効 にする を 参 照 してください 3. 受 信 側 Splunk Enterprise インスタンスのいずれかを デプロイ サーバーとして 設 定 しま 詳 細 は Splunk Enterprise インスタンスの 更 新 マニュアルの デプロイのプランニング を 参 照 してください 4.App を $SPLUNK_HOME/etc/deployment_apps ディレクトリに 保 管 して デプロイ サーバーに 最 低 1 つの App をデ プロイしま 詳 細 は Splunk Enterprise インスタンスの 更 新 マニュアルの デプロイ App の 作 成 を 参 照 してください 5.フォワーダーをインストール 設 定 デプロイしま 設 定 中 : 受 信 側 インデクサーを 指 定 しま*nix および Windows での 法 を 参 照 してください デプロイサーバーを 指 定 しま 注 意 : 転 送 ニーズに 応 じて さまざまなデプロイのベスト プラクティスが 存 在 していま 詳 細 は データ の 転 送 マニュアルの ユニバーサル フォワーダーのデプロイの 概 要 を 参 照 してください これらのシナリオ の 部 では インストール 時 にフォワーダーを 設 定 することができま 6. 各 ユニバーサル フォワーダーへのデータ 設 定 のデプロイには フォワーダー 管 理 機 能 を 使 しまこの マニュアルの データの 転 送 を 参 照 してください 7.テストを って 転 送 やロード バランシング フィルタリングなどの 他 の 設 定 した 動 作 が 的 通 りに 動 作 することを 確 認 しま 結 果 データをサーチするには レシーバーに 移 動 しま フォワーダーの 詳 細 は データの 転 送 マニュアルの 転 送 と 受 信 について を 参 照 してください また この マニュアルの フォワーダーを 使 ったデータの 取 り 込 み も 参 照 してください ファイルとディレクトリ - ローカル Splunk Enterprise は ファイルとディレクトリのイベントをモニターすることができまシステムがイベント を 成 したら Splunk Enterprise がそれのインデックスを 作 成 して サーチ レポート およびアラートを 作 成 実 することができま ファイルやディレクトリから Splunk Enterprise にデータを 取 り 込 むには: A. [ 新 規 追 加 ] ページに 移 動 (データの 取 り 込 み) は Splunk Web の [ 新 規 追 加 ] ページから 追 加 しま2 種 類 の 法 でこのページを 表 できま Splunk ホーム Splunk 設 定 Splunk 設 定 を 使 する 場 合 : 151
152 1.Splunk Web の 右 上 にある [ 設 定 ] をクリックしま 2.[ 設 定 ] ポップアップの [データ] セクションで [データ ] をクリックしま 3.[ファイルとディレクトリ] をクリックしま 4.[ [ 新 規 ] ボタンをクリックして を 追 加 しま Splunk ホームを 使 する 場 合 : 1.Splunk ホームの [データの 追 加 ] リンクをクリックしま 2. ファイルをアップロードするには [アップロード] を ファイルをモニターするには [モニター] を ファイル を 転 送 するには [ 転 送 ] をクリックしま 注 意 :ファイルの 転 送 には 追 加 設 定 が 必 要 でこのマニュアルの データの 転 送 を 参 照 してください B. ソースの 選 択 1.ファイルまたはディレクトリ を 追 加 するには [ファイルとディレクトリ] をクリックしま 2.[ファイルまたはディレクトリ] フィールドで ファイルまたはディレクトリへのフルパスを 指 定 しま 共 有 ネットワークドライブをモニターするには 次 のように します:<myhost>/<mypath>(Windows の 場 合 は \\<myhost>\<mypath>) Splunk Enterprise に マウントされたドライブ およびモニター 対 象 ファイルに 対 する 読 み 取 り 権 限 があることを 確 認 してください 3.Splunk Enterprise によるファイルのモニター 法 を 選 択 しま 継 続 モニター: 継 続 的 なデータ 取 り 込 み ( ) を 設 定 しまSplunk Enterprise はファイルの 新 しい データを 継 続 的 にモニターしまこのオプションの 詳 細 設 定 については 次 のセクションを 参 照 してくだ さい 1 回 インデックスを 作 成 :サーバーから Splunk Enterprise に ファイルをコピーしま 4. 緑 の [ 次 へ] ボタンをクリックしま [ファイルまたはディレクトリ] フィールドでディレクトリを 指 定 した 場 合 画 が 更 新 され [ホワイトリス ト] および [ブラックリスト] フィールドが 表 されまこれらのフィールドには Splunk Enterprise が 含 める (ホワイトリスト) または 除 外 する (ブラックリスト) ファイルを 照 合 するために 使 する 正 規 表 現 を 指 定 できま ホワイトリストまたはブラックリスト 固 有 の 到 着 データ を 参 照 してください それ 以 外 の 場 合 は データのプレビューを えま C. データのプレビューとそのソースタイプの 設 定 新 しいファイル を 追 加 する 場 合 データのソースタイプを 設 定 して それがインデックス 作 成 後 にどのよう に 表 されるかを 設 定 しまそうすることにより データが 適 切 にフォーマットされ 必 要 な 調 整 が われるこ とが 保 証 されま [ソースタイプの 設 定 ] ページについては [ソースタイプの 設 定 ] ページ を 参 照 してください ページの 使 法 については イベント データのソースタイプの 表 と 設 定 を 参 照 してください データ プレビューをスキップすることを 選 択 すると [ 設 定 ] ページが 表 されま 注 意 :Splunk Enterprise では ディレクトリやアーカイブされたファイルのプレビューを 表 できません D. 設 定 の 指 定 [ 設 定 ] ページでは アプリケーション コンテキスト デフォルトのホスト 値 およびインデックスを 指 定 できまこれらのパラメータは 省 略 することができま 1.この の 適 切 なアプリケーション コンテキストを 選 択 しま 2.ホスト 名 の 値 を 設 定 しまさまざまな 選 択 肢 がありまホスト 値 の 設 定 の 詳 細 は ホストについて を 参 照 してください 注 意 :[ホスト] は イベントの host フィールドの 設 定 のみを いまSplunk Enterprise にネットワー ク 上 の 特 定 のホストを 探 すように 指 するものではありません 3.この のデータを 保 管 するインデックスを 設 定 しま 複 数 のインデックスを 定 義 しており それらの 中 の 1 つを 使 する 場 合 を 除 き この 値 は default のままにしてください ユーザーデータ のインデックスに 加 えて Splunk Enterprise にはさまざまなユーティリティインデックスが 存 在 していまこれらのインデックス も このドロップダウンボックスに 表 されま 4. 緑 の [ 確 認 ] ボタンをクリックしま E. 選 択 項 の 確 認 設 定 をすべて 指 定 したら 選 択 内 容 をレビューすることができまSplunk Enterprise には モニターのタ イプ ソース ソースタイプ アプリケーション コンテキスト インデックスなど (これ 以 外 が 表 されること もあります) の 選 択 したオプションが 表 されま 設 定 を 確 認 しま 意 図 通 りの 内 容 でない 場 合 は バナーの い [<] ボタンをクリックして ウィザードの 前 のス 152
153 テップに 戻 りまそうでない 場 合 は 緑 の [ 送 信 ] ボタンをクリックしま [ 成 功 ] ページが 表 され 指 定 されたファイルまたはディレクトリのインデックス 作 成 が 開 始 されま ファイルやディレクトリからのデータの 取 り 込 みの 詳 細 は このマニュアルの ファイルとディレクトリのモニ ター を 参 照 してください ファイルとディレクトリ - リモート リモート マシンから Splunk Enterprise にログを 取 り 込 むもっとも 簡 単 な 法 は ユニバーサル フォワー ダーを 使 することでフォワーダーは データを 成 しているマシン 上 にインストールして インデクサー にデータを 送 信 するように 設 定 しまフォワーダーはデータを 取 得 して イベントをインデクサーに 転 送 しま インデクサーはイベントを 処 理 保 管 して サーチで 利 できるようにしま これには 2 つのステップがありま 1.リモートマシン 上 にフォワーダーを 設 定 し データの 転 送 先 となるインデクサーを 設 定 しま フォワー ダー のレシピを 参 照 してください 2.データをモニターするように フォワーダーの を 設 定 しまこの 作 業 は インデクサー 上 にデータがある 場 合 と 同 様 でただし フォワーダーには Splunk Web がないため の 設 定 には CLI を 使 するか また は inputs.conf を 直 接 編 集 する 必 要 がありま ファイルをモニターするための の 設 定 については このマニュアルの ファイルとディレクトリのモニ ター を 参 照 してください フォワーダーの 設 定 に 関 するその 他 の 情 報 は このマニュアルの フォワーダーを 使 ったデータの 取 り 込 み を 参 照 してください Syslog - TCP/UDP Splunk Enterprise は TCP/UDP ポートで 1 つまたは 複 数 のマシンの syslog サービスから 送 られてくるデータ を 待 ち 受 けることができまこれらのホストからの syslog データを 収 集 して 軽 にサーチ レポート およ びアラートを 利 することができま TCP または UDP 経 由 で syslog データを 取 得 するには syslog データが 到 着 するネットワークポートで 待 機 す るように Splunk Enterprise を 設 定 しま A. [ 新 規 追 加 ] ページに 移 動 ネットワーク は Splunk Web の [データの 追 加 ] ページから 追 加 しまこのマニュアルの データの 追 加 法 は? を 参 照 してください 2 種 類 の 法 でこのページを 表 できま Splunk ホーム Splunk 設 定 Splunk 設 定 を 使 する 場 合 : 1.Splunk Web の 右 上 にある [ 設 定 ] をクリックしま 2.[ 設 定 ] ポップアップの [データ] セクションで [データ ] をクリックしま 3.[TCP] または [UDP] を 選 択 しま 4.[ [ 新 規 ] ボタンをクリックして を 追 加 しま Splunk ホームを 使 する 場 合 : 1.Splunk ホームの [データの 追 加 ] リンクをクリックしま '2.ローカル マシンのネットワーク ポートをモニターするには ローカル マシンのネットワーク ポートをモニターするには [モニター] を または 他 のマシンから ネットワーク データを 受 け 取 る 場 合 は [ 転 送 ] をクリックしま 注 意 :ファイルの 転 送 には 追 加 設 定 が 必 要 で 3.[ [ 転 送 ] を 選 択 した 場 合 この を 適 するフォワーダーのグループを 選 択 または 作 成 しまこのマニュア ルの データの 転 送 を 参 照 してください '4. 緑 の [ 次 へ] ボタンをクリックしま B. ネットワーク の 指 定 1. 左 パネルで [TCP / UDP] をクリックして を 追 加 しま 2.TCP または UDP を 選 択 するには [TCP] または [UDP] ボタンをクリックしま 2.[ポート] フィールドにポート 番 号 を しま 注 意 :Splunk Enterprise を 実 するユーザーには ポートへのアクセス 権 が 必 要 でストック UNIXシステ ムで 1024 未 満 のポートで 待 ち 受 ける 場 合 Splunk Enterprise を root として 実 する 必 要 がありま 153
154 3. 必 要 に 応 じて [ソース 名 上 書 き] フィールドに デフォルト 値 に 優 先 する 新 たなソース 名 を しま 重 要 :この 値 を 変 更 する 前 に Splunk サポートにお 問 い 合 わせください 4.TCP の 場 合 [ 次 からの 接 続 のみを 受 け 付 け] フィールドで ポートがすべてのホストからの 接 続 を 受 け 付 けるか または 1 台 のホストからの 接 続 を 受 け 付 けるかを 指 定 することができま 1 台 のホストからの 接 続 のみを 受 け 付 ける 場 合 は そのホストのホスト 名 または IP アドレスを 指 定 しま ワイルドカードを 使 して 複 数 のホストを 指 定 できま 5.[ [ 次 へ] をクリックして [ 設 定 ] ページで 作 業 を 続 しま C. の 設 定 [ 設 定 ] ページでは ソースタイプ アプリケーション コンテキスト デフォルトのホスト 値 およびイン デックスを 指 定 できまこれらのパラメータは 省 略 することができま 1.[ソースタイプ] を 設 定 しまこれは イベントに 追 加 されるデフォルトのフィールドでソースタイプ は タイムスタンプやイベント 境 界 などの 処 理 する 特 徴 の 決 定 に いられまSplunk の 動 ソースタイプ 設 定 に 優 先 する 設 定 を うには このマニュアルの ソースタイプの 動 割 り 当 てに 優 先 する 設 定 を 参 照 してくだ さい 2.ホスト 名 の 値 を 設 定 しまさまざまな 選 択 肢 がありま IP: プロセッサが リモートサーバーの IP アドレスでホストを 再 書 き 込 みするように 設 定 しま DNS:ホスト 名 にリモートサーバーの DNS エントリを 設 定 しま カスタム:ホストにユーザー 定 義 ラベルを 設 定 しま ホスト 値 の 設 定 の 詳 細 は ホストについて を 参 照 してください 注 意 :[ホスト] は イベントの host フィールドの 設 定 のみを いまSplunk Enterprise にネットワー ク 上 の 特 定 のホストを 探 すように 指 するものではありません 3.この のデータを 保 管 するインデックスを 設 定 しま 異 なる 種 類 のイベントを 取 り 扱 うために 複 数 のイ ンデックスを 定 義 している 場 合 を 除 き この 値 は default のままにしてください ユーザーデータ のイン デックスに 加 えて Splunk Enterprise にはさまざまなユーティリティインデックスが 存 在 していまこれらの インデックスも このドロップダウンボックスに 表 されま 4. 緑 の [ 確 認 ] ボタンをクリックしま D. 選 択 項 の 確 認 設 定 をすべて 指 定 したら 選 択 内 容 をレビューすることができまSplunk Enterprise には モニターのタ イプ ソース ソースタイプ アプリケーション コンテキスト インデックスなど (これ 以 外 が 表 されること もあります) の 選 択 したオプションが 表 されま 設 定 を 確 認 しま 意 図 通 りの 内 容 でない 場 合 は 灰 の [<] ボタンをクリックして ウィザードの 前 のステップ に 戻 りまそうでない 場 合 は 緑 の [ 送 信 ] ボタンをクリックしま [ 成 功 ] ページが 表 され 指 定 されたネットワーク のインデックス 作 成 が 開 始 されま ネットワークからのデータの 取 得 の 詳 細 は このマニュアルの TCP および UDP ポートからのデータの 取 得 を 参 照 してください Windows イベントログ - ローカル Splunk Enterprise はローカル Windows のイベント ログを 収 集 できまこの を 使 って セキュリティに 関 するアラートを 成 したり Windows システムの 状 態 を 判 断 するために 特 定 のイベント ID をサーチしたりす ることができま ローカルイベントログデータを 取 得 するには イベントログサービスを 指 定 しま A. [ 新 規 追 加 ] ページに 移 動 Windows イベント ログ は Splunk Web の [ 新 規 追 加 ] ページから 追 加 しまこのマニュアルの データ の 追 加 法 は? を 参 照 してください 2 種 類 の 法 でこのページを 表 できま Splunk ホーム Splunk 設 定 Splunk 設 定 を 使 する 場 合 : 1.Splunk Web の 右 上 にある [ 設 定 ] をクリックしま 2.[ 設 定 ] ポップアップの [データ] セクションで [データ ] をクリックしま 3.[ローカル イベント ログの 収 集 ] をクリックしま 4.[ 新 規 ] [ 新 規 ] ボタンをクリックして を 追 加 しま 154
155 Splunk ホームを 使 する 場 合 : 1.Splunk ホームの [データの 追 加 ] リンクをクリックしま 2. ローカル Windows マシンのイベント ログ データをモニターするには [モニター] をクリックしま 他 の Windows マシンからイベント ログ データを 転 送 するには [ [ 転 送 ] をクリックしま[データの 追 加 - ソースの 選 択 ] ページが 表 されま 3.[ [ 転 送 ] を 選 択 した 場 合 この を 適 するフォワーダーのグループを 選 択 または 作 成 しまこのマニュア ルの データの 転 送 を 参 照 してください 4. 緑 の [ 次 へ] ボタンをクリックしま B. ソースの 選 択 1. 左 側 のパネルで [ローカル イベント ログ] を 探 して 選 択 しま 2.[イベント ログの 選 択 ] リスト ボックスで この でモニターするイベント ログ チャネルを 探 しま 3.モニターする 各 イベント ログ チャネルを それぞれ 1 回 クリックしまSplunk Enterprise は チャネ ルを [ 利 可 能 な 項 ] ウィンドウから [ 選 択 項 ] ウィンドウに 移 動 しま 4.チャネルの 選 択 を 解 除 するには [ 選 択 項 ] ウィンドウでその 名 前 をクリックしまSplunk Enterprise は チャネルを [ 選 択 項 ] ウィンドウから [ 利 可 能 な 項 ] ウィンドウに 移 動 しま 5.すべてのイベント ログを 選 択 / 選 択 解 除 するには [すべて 追 加 ] または [すべて 削 除 ] リンクをクリックしま 重 要 :すべてのチャネルを 選 択 すると 量 のデータのインデックスを 作 成 することになり ライセンスの 上 限 を 超 えてしまう 可 能 性 がありま 6. 緑 の [ 次 へ] ボタンをクリックしま C. の 設 定 [ 設 定 ] ページでは アプリケーション コンテキスト デフォルトのホスト 値 およびインデックスを 指 定 できまこれらのパラメータは 省 略 することができま 1.この の 適 切 なアプリケーション コンテキストを 選 択 しま 2.ホスト 名 の 値 を 設 定 しまさまざまな 選 択 肢 がありまホスト 値 の 設 定 の 詳 細 は ホストについて を 参 照 してください 注 意 :[ホスト] は イベントの host フィールドの 設 定 のみを いまSplunk Enterprise にネットワー ク 上 の 特 定 のホストを 探 すように 指 するものではありません 3.データを 保 管 するインデックスを 設 定 しま 異 なる 種 類 のイベントを 取 り 扱 うために 複 数 のインデックス を 定 義 している 場 合 を 除 き この 値 は default のままにしてください ユーザーデータ のインデックスに 加 えて Splunk Enterprise にはさまざまなユーティリティインデックスが 存 在 していまこれらのインデックス も このドロップダウンボックスに 表 されま 4. 緑 の [ 確 認 ] ボタンをクリックしま D. 選 択 項 の 確 認 設 定 をすべて 指 定 したら 選 択 内 容 をレビューすることができまSplunk Enterprise には モニターのタ イプ ソース ソースタイプ アプリケーション コンテキスト インデックスなど (これ 以 外 が 表 されること もあります) の 選 択 したオプションが 表 されま 設 定 を 確 認 しま 意 図 通 りの 内 容 でない 場 合 は い [<] ボタンをクリックして ウィザードの 前 のステップに 戻 りまそうでない 場 合 は 緑 の [ 送 信 ] ボタンをクリックしま [ 成 功 ] ページが 表 され 指 定 されたイベント ログ チャネルのインデックス 作 成 が 開 始 されま Windows イベント ログ データの 取 得 の 詳 細 は データの 取 り 込 み マニュアルの Windows イベント ログ データの 監 視 を 参 照 してください Windows イベントログ - リモート Splunk Enterprise は Windows イベント ログをローカルに または WMI 経 由 でリモートにモニターすること ができまこの を 使 って セキュリティに 関 するアラートを 成 したり Windows システムの 状 態 を 判 断 するために 特 定 のイベント ID をサーチしたりすることができま 重 要 :Windows イベント ログをリモートに 収 集 するには リモート Windows マシンにアクセスするための 適 切 な 権 限 があるユーザーとして Splunk インスタンスをインストールする 必 要 がありまこのマニュアルの リモート Windows データのモニター 法 決 定 の 検 討 事 項 を 参 照 してください リモート Windows イベント ログ データを 取 得 するには リモート Windows マシンの Splunk Enterprise インスタンスを 指 定 しま A. [ 新 規 追 加 ] ページに 移 動 155
156 (データの 取 り 込 み) は Splunk Web の [ 新 規 追 加 ] ページから 追 加 しまこのマニュアルの このマニュアルの データの 追 加 法 は? を 参 照 してください 2 種 類 の 法 でこのページを 表 できま Splunk ホーム Splunk 設 定 Splunk 設 定 を 使 する 場 合 : 1.Splunk Web の 右 上 にある [ 設 定 ] をクリックしま 2.[ 設 定 ] ポップアップの [データ] セクションで [データ ] をクリックしま 3.[リモートイベントログの 収 集 ] をクリックしま 4.[ [ 新 規 ] ボタンをクリックして を 追 加 しま Splunk ホームを 使 する 場 合 : 1.Splunk ホームの [データの 追 加 ] リンクをクリックしま 2. リモート Windows マシンのイベント ログ データをモニターするには [モニター] をクリックしま B. ソースの 選 択 1. 左 側 のパネルで [リモート イベント ログ] を 探 して 選 択 しま 2.[イベント ログ コレクション 名 ] フィールドに この の 覚 えやすい 意 の 名 前 を しま 3.[このホストからログを 選 択 ] フィールドに モニター 対 象 イベント ログ チャネルを 持 つマシンの ホスト 名 または IP アドレスを しま 4.[ログの 検 索 ] ボタンをクリックして 指 定 したサーバー 上 の 利 可 能 なイベント ログ チャネルのリストを 持 つページを 更 新 しま 5.モニターする 各 イベント ログ チャネルを それぞれ 1 回 クリックしまSplunk Enterprise は チャネ ルを [ 利 可 能 な 項 ] ウィンドウから [ 選 択 項 ] ウィンドウに 移 動 しま 6.チャネルの 選 択 を 解 除 するには [ 選 択 項 ] ウィンドウでその 名 前 をクリックしまSplunk Enterprise は チャネルを [ 選 択 項 ] ウィンドウから [ 利 可 能 な 項 ] ウィンドウに 移 動 しま 7.すべてのイベント ログを 選 択 / 選 択 解 除 するには [すべて 追 加 ] または [すべて 削 除 ] リンクをクリックしま 重 要 :すべてのチャネルを 選 択 すると 量 のデータのインデックスを 作 成 することになり ライセンスの 上 限 を 超 えてしまう 可 能 性 がありま 8.[ [ 他 のホストから 同 じセットのログを 収 集 ] フィールドに 前 に 選 択 したイベント ログを 持 つ その 他 のマ シンのホスト 名 または IP アドレスを しま 複 数 のホストはカンマで 区 切 りま 9. 緑 の [ 次 へ] ボタンをクリックしま C. の 設 定 [ 設 定 ] ページでは アプリケーション コンテキスト デフォルトのホスト 値 およびインデックスを 指 定 できまこれらのパラメータは 省 略 することができま 1.この の 適 切 なアプリケーション コンテキストを 選 択 しま 2.ホスト 名 の 値 を 設 定 しまさまざまな 選 択 肢 がありまホスト 値 の 設 定 の 詳 細 は ホストについて を 参 照 してください 注 意 :[ホスト] は イベントの host フィールドの 設 定 のみを いまSplunk Enterprise にネットワー ク 上 の 特 定 のホストを 探 すように 指 するものではありません 3.データを 保 管 するインデックスを 設 定 しま 異 なる 種 類 のイベントを 取 り 扱 うために 複 数 のインデックス を 定 義 している 場 合 を 除 き この 値 は default のままにしてください ユーザーデータ のインデックスに 加 えて Splunk Enterprise にはさまざまなユーティリティインデックスが 存 在 していまこれらのインデックス も このドロップダウンボックスに 表 されま 4. 緑 の [ 確 認 ] ボタンをクリックしま D. 選 択 項 の 確 認 設 定 をすべて 指 定 したら 選 択 内 容 をレビューすることができまSplunk Enterprise には モニターのタ イプ ソース ソースタイプ アプリケーション コンテキスト インデックスなど (これ 以 外 が 表 されること もあります) の 選 択 したオプションが 表 されま 設 定 を 確 認 しま 意 図 通 りの 内 容 でない 場 合 は い [<] ボタンをクリックして ウィザードの 前 のステップに 戻 りまそうでない 場 合 は 緑 の [ 送 信 ] ボタンをクリックしま [ 成 功 ] ページが 表 され 指 定 されたイベント ログ チャネルのインデックス 作 成 が 開 始 されま Windows イベントログからのデータの 取 り 込 みの 詳 細 は このマニュアルの Windows イベントログデータの モニター を 参 照 してください 156
157 Windows レジストリ - ローカル Windows マシンのレジストリの 変 更 をモニターすることができまハイブ 全 体 をモニターする 場 合 でも 1 つ のキーのみをモニターする 場 合 でも Splunk Enterprise のレジストリ モニタリング サービスはそれらのデー タを 収 集 して それに 対 してサーチ レポート アラートを 実 することができま ローカル Windows のレジストリ 変 更 データを 収 集 するには Splunk Enterprise をレジストリに 接 続 しま A. [ 新 規 追 加 ] ページに 移 動 (データの 取 り 込 み) は Splunk Web の [ 新 規 追 加 ] ページから 追 加 しま データの 追 加 法 は? を 参 照 してください 2 種 類 の 法 でこのページを 表 できま Splunk ホーム Splunk 設 定 Splunk 設 定 を 使 する 場 合 : 1.Splunk Web の 右 上 にある [ 設 定 ] をクリックしま 2.[ 設 定 ] ポップアップの [データ] セクションで [データ ] をクリックしま 3.[レジストリ 監 視 ] をクリックしま 4.[ [ 新 規 ] ボタンをクリックして を 追 加 しま Splunk ホームを 使 する 場 合 : 1.Splunk ホームの [データの 追 加 ] リンクをクリックしま 2. ローカル Windows マシンのレジストリ データをモニターするには [モニター] をクリックしま B. ソースの 選 択 1. 左 側 のパネルで [レジストリ 監 視 ] を 探 して 選 択 しま 2.[コレクション 名 ] フィールドに この の 覚 えやすい 意 の 名 前 を しま 3.[レジストリハイブ] フィールドに モニターするレジストリキーへのパスを しま 4.パスが 分 からない 場 合 は [ [ 参 照 ] ボタンをクリックして モニターするレジストリキーのパスを 選 択 しま [レジストリハイブ] ウィンドウに レジストリがツリービューで 表 されまハイブ キー およびサブキー はフォルダで 表 され 値 はドキュメントアイコンで 表 されま 注 意 : HKEY_USERS, HKEY_CURRENT_USER, HKEY_LOCAL_MACHINE, および HKEY_CURRENT_CONFIG ハイブは トップレベルのオ ブジェクトとして 表 されまHKEY_CLASSES_ROOT ハイブは そのハイブの 最 初 のサブレベルに 存 在 しているサブ キー 数 のため 表 されません HKEY_CLASSES_ROOT の 項 にアクセスするには HKEY_LOCAL_MACHINE\Software\Classes を 選 択 しま 5.[レジストリハイブ] ウィンドウで キー 名 をクリックして 的 のレジストリキーを 選 択 しま キーの 修 飾 名 は ウィンドウ 下 部 にある [ 修 飾 名 ] フィールドに 表 されま 6.[ [ 選 択 ] をクリックして 選 択 内 容 を 確 認 してウィンドウを 閉 じま 7. 開 始 ハイブ 下 の ノードもモニターする 場 合 は [サブノードをモニター] を 選 択 しま 注 意 :[サブノードをモニター] ノードは Splunk Web でレジストリ モニター を 定 義 する 際 に 作 成 され た inputs.conf ファイルに 追 加 する 項 を しま モニターするキーまたはハイブの 選 択 にツリー ビューを 使 し [サブノードをモニター] を 選 択 した 場 合 Splunk Enterprise は 正 規 表 現 を 定 義 している のスタンザに 追 加 しま 正 規 表 現 (\\\\?.*) は 選 択 した キーまたはそのサブキーを 直 接 参 照 しないイベントをフィルタリングしま [サブノードをモニター]を 選 択 しない 場 合 Splunk Enterprise は 選 択 したキーを 直 接 参 照 しないイベントを フィルタリングする スタンザに 正 規 表 現 が 追 加 されます ( 選 択 したキーのサブキーを 参 照 するイベントを 含 む) モニターするキーの 指 定 にツリー ビューを 使 しない 場 合 は [サブノードをモニター] を 選 択 し [レジスト リ ハイブ] に 独 の 正 規 表 現 を していない 場 合 にのみ 正 規 表 現 が 追 加 されま 8.[イベントタイプ] で 選 択 したレジストリハイブに 対 してモニターするレジストリイベントタイプを 選 択 しま イベント タイプ Set 説 明 Splunk Enterprise は プログラムがレジストリサブキーに SetValue メソッドを 実 した 場 合 に 157
158 Set Create Delete Rename Open Close Query Set イベントを 成 し 既 存 のレジストリエントリの 値 の 設 定 または 上 書 きを いま Splunk Enterprise は レジストリハイブ 内 でプログラムが CreateSubKey メソッドを 実 した 場 合 に Create イベントを 成 し 既 存 のレジストリハイブ 内 に 新 たなサブキーを 作 成 しま Splunk Enterprise は プログラムが DeleteValue または DeleteSubKey メソッドを 実 した 場 合 に Delete イベントを 成 しまこの 法 は 特 定 の 既 存 のキーの 値 を 削 除 するか または 既 存 のハイブからキーを 削 除 しま Splunk Enterprise は RegEdit でレジストリキーまたはサブキーの 名 前 を 変 更 した 場 合 Rename イベントを 成 しま Splunk Enterprise は プログラムがレジストリサブキー 上 で OpenSubKey メソッドを 実 した 場 合 に Open イベントを 成 します (レジストリに 含 まれている 設 定 情 報 をプログラムが 必 要 とする 場 合 の 処 理 など) Splunk Enterprise はプログラムがレジストリキーで Close メソッドを 実 した 場 合 に Close イ ベントを 成 しまこれは プログラムがキーのコンテンツの 読 み 取 りを 完 了 した 場 合 または RegEdit でキーの 値 を 変 更 した 後 に 値 ウィンドウを 終 了 した 場 合 に 発 しま Splunk Enterprise はプログラムがレジストリサブキーで GetValue メソッドを 実 した 場 合 に Query イベントを 成 しま 9.[プロセス パス] フィールドに 適 切 な 値 を して Splunk Enterprise がレジストリをモニターするプロセ スを Splunk に 指 しままたは すべてのプロセスをモニターする 場 合 は デフォルトの C:\.* を 使 しま 10.レジストリ 変 更 のモニタリングを 開 始 する 前 に レジストリ 全 体 のベースラインスナップショットを 取 得 する かどうかを 指 定 しまベースラインを 設 定 するには [ベースラインインデックス] で [はい] をクリックしま 注 意 :ベースラインスナップショットは スナップショット 取 得 時 のレジストリ 全 体 のインデックスでベー スラインインデックスを 設 定 するためのレジストリのスキャンは CPU を 消 費 するためある 程 度 時 間 がかること がありま 11. 緑 の [ 次 へ] ボタンをクリックしま C. の 設 定 [ 設 定 ] ページでは アプリケーション コンテキスト デフォルトのホスト 値 およびインデックスを 指 定 できまこれらのパラメータは 省 略 することができま 1.この の 適 切 なアプリケーション コンテキストを 選 択 しま 2.ホスト 名 の 値 を 設 定 しまさまざまな 選 択 肢 がありまホスト 値 の 設 定 の 詳 細 は ホストについて を 参 照 してください 注 意 :[ホスト] は イベントの host フィールドの 設 定 のみを いまSplunk Enterprise にネットワー ク 上 の 特 定 のホストを 探 すように 指 するものではありません 3.データを 保 管 するインデックスを 設 定 しま 異 なる 種 類 のイベントを 取 り 扱 うために 複 数 のインデックス を 定 義 している 場 合 を 除 き この 値 は default のままにしてください ユーザーデータ のインデックスに 加 えて Splunk Enterprise にはさまざまなユーティリティインデックスが 存 在 していまこれらのインデックス も このドロップダウンボックスに 表 されま 4. 緑 の [ 確 認 ] ボタンをクリックしま D. 選 択 項 の 確 認 設 定 をすべて 指 定 したら 選 択 内 容 をレビューすることができまSplunk Enterprise には モニターのタ イプ ソース ソースタイプ アプリケーション コンテキスト インデックスなど (これ 以 外 が 表 されること もあります) の 選 択 したオプションが 表 されま 設 定 を 確 認 しま 意 図 通 りの 内 容 でない 場 合 は い [<] ボタンをクリックして ウィザードの 前 のステップに 戻 りまそうでない 場 合 は 緑 の [ 送 信 ] ボタンをクリックしま [ 成 功 ] ページが 表 され 指 定 されたレジストリ ノードのインデックス 作 成 が 開 始 されま 警 告 :レジストリ モニターの 実 中 は splunk-regmon.exe プロセスを 動 で 停 または kill しないでください そうすると システムが 不 安 定 な 状 態 になる 可 能 性 がありまレジストリのモニターを 停 するには [サービ ス] コントロールパネルまたは CLI から splunkd サーバープロセスを 停 しま Windows パフォーマンスモニタリング - ローカル ディスク 出 メモリー 測 定 基 準 ( 空 きページ 数 やコミット チャージなど) ネットワーク 統 計 情 報 などを 監 視 する 場 合 Splunk Enterprise は Windows パフォーマンス モニターの 代 役 を 分 に 果 たすことが 可 能 で Splunk Enterprise でパフォーマンス 測 定 基 準 を 収 集 するには: A. [ 新 規 追 加 ] ページに 移 動 (データの 取 り 込 み) は Splunk Web の [ 新 規 追 加 ] ページから 追 加 しまこのマニュアルの データの 追 加 法 は? を 参 照 してください 158
159 2 種 類 の 法 でこのページを 表 できま Splunk ホーム Splunk 設 定 Splunk 設 定 を 使 する 場 合 : 1.Splunk Web の 右 上 にある [ 設 定 ] をクリックしま 2.[ 設 定 ] ポップアップの [データ] セクションで [データ ] をクリックしま 3.[ローカルパフォーマンス 監 視 ] をクリックしま 4.[ [ 新 規 ] ボタンをクリックして を 追 加 しま Splunk ホームを 使 する 場 合 : 1.Splunk ホームの [データの 追 加 ] リンクをクリックしま '2.ローカル Windows マシンのパフォーマンス データをモニターするには [モニター] を または 他 のマシン からパフォーマンス データを 受 け 取 る 場 合 は [ 転 送 ] をクリックしま 3.[ [ 転 送 ] を 選 択 した 場 合 この を 適 するフォワーダーのグループを 選 択 または 作 成 しまこのマニュア ルの データの 転 送 を 参 照 してください 4. 緑 の [ 次 へ] ボタンをクリックしま B. ソースの 選 択 1. 左 側 のパネルで [ローカル パフォーマンス 監 視 ] を 探 して 選 択 しま 2.[コレクション 名 ] フィールドに この の 覚 えやすい 意 の 名 前 を しま 3.[オブジェクトを 選 択 ] ボタンをクリックして この Windows マシンで 利 できるパフォーマンス オブジェ クトのリストを 表 し リストからモニターするオブジェクトを 選 択 しま[カウンタの 選 択 ] および [インスタ ンスの 選 択 ] リスト ボックスが 表 されま 注 意 :データ あたり 1 つのパフォーマンスオブジェクトのみを 追 加 できまこれは Microsoft によるパ フォーマンスモニターオブジェクトの 取 り 扱 い 法 によるもので 多 くのオブジェクトが 選 択 時 に を 動 的 に 記 述 するクラスを 列 挙 しまこのことは に 定 義 されている どのパフォーマンスカウンタやインスタン スが どのオブジェクトに 所 属 しているのかを 判 断 するための 混 乱 や 妨 げになる 可 能 性 がありま 複 数 のオブ ジェクトをモニターする 必 要 がある 場 合 は 各 オブジェクトに 対 して 追 加 のデータ を 作 成 してください 4.[カウンタの 選 択 ] リスト ボックスで この でモニターするパフォーマンス カウンタを 探 しま 5.モニターする 各 カウンタを 1 回 クリックしまカウンタが [ 利 可 能 なカウンタ] ウィンドウから [ 選 択 され たカウンタ] ウィンドウに 移 動 しま 6.カウンタの 選 択 を 解 除 するには [ 選 択 されたカウンタ] ウィンドウでその 名 前 をクリックしまカウンタが [ 選 択 されたカウンタ] ウィンドウから [ 利 可 能 なカウンタ] ウィンドウに 移 動 しま 7.すべてのカウンタを 選 択 / 選 択 解 除 するには [すべて 追 加 ] または [すべて 削 除 ] リンクをクリックしま 重 要 :すべてのカウンタを 選 択 すると 量 のデータのインデックスを 作 成 することになり ライセンスの 上 限 を 超 えてしまう 可 能 性 がありま 8.[インスタンスの 選 択 ] リスト ボックスで [ 利 可 能 なインスタンス] ウィンドウからインスタンスを 1 回 ク リックして この でモニターするインスタンスを 選 択 しまインスタンスが [ 選 択 されたインスタンス] ウィンドウに 移 動 しま 注 意 : _Total インスタンスは 特 殊 なインスタンスで 多 くのタイプのパフォーマンスカウンタに 存 在 していま このインスタンスは 同 じカウンタ 下 の 任 意 の 関 連 するインスタンスの 平 均 でこのインスタンスで 収 集 さ れるデータは 同 じカウンタ 下 の 個 別 のインスタンスとは 幅 に 異 なっていま たとえば 2 台 のディスクを 搭 載 したシステム 上 の PhysicalDisk オブジェクト 下 にある Disk Bytes/Sec パフォーマンス カウンタのパフォーマンス データをモニターする 場 合 表 されるインスタンス には それぞれの 物 理 ディスク 0 C: と 1 D: そして _Total インスタンスが 含 まれまこの 場 合 _Total インスタンスが 2 台 の 物 理 ディスクインスタンスの 平 均 になりま 9.[ポーリング 間 隔 ] フィールドで のポーリング 間 隔 を 秒 で 指 定 しま 10. 緑 の [ 次 へ] ボタンをクリックしま C. の 設 定 [ 設 定 ] ページでは アプリケーション コンテキスト デフォルトのホスト 値 およびインデックスを 指 定 できまこれらのパラメータは 省 略 することができま 1.この の 適 切 なアプリケーション コンテキストを 選 択 しま 2.ホスト 名 の 値 を 設 定 しまさまざまな 選 択 肢 がありまホスト 値 の 設 定 の 詳 細 は ホストについて を 参 照 してください 注 意 :[ホスト] は イベントの host フィールドの 設 定 のみを いまSplunk Enterprise にネットワー ク 上 の 特 定 のホストを 探 すように 指 するものではありません 159
160 3.データを 保 管 するインデックスを 設 定 しま 異 なる 種 類 のイベントを 取 り 扱 うために 複 数 のインデックス を 定 義 している 場 合 を 除 き この 値 は default のままにしてください ユーザーデータ のインデックスに 加 えて Splunk Enterprise にはさまざまなユーティリティインデックスが 存 在 していまこれらのインデックス も このドロップダウンボックスに 表 されま 4. 緑 の [ 確 認 ] ボタンをクリックしま D. 選 択 項 の 確 認 設 定 をすべて 指 定 したら 選 択 内 容 をレビューすることができまSplunk Enterprise には モニターのタ イプ ソース ソースタイプ アプリケーション コンテキスト インデックスなど (これ 以 外 が 表 されること もあります) の 選 択 したオプションが 表 されま 設 定 を 確 認 しま 意 図 通 りの 内 容 でない 場 合 は い [<] ボタンをクリックして ウィザードの 前 のステップに 戻 りまそうでない 場 合 は 緑 の [ 送 信 ] ボタンをクリックしま [ 成 功 ] ページが 表 され 指 定 されたパフォーマンス 測 定 基 準 のインデックス 作 成 が 開 始 されまファイルや ディレクトリからのデータの 取 り 込 みの 詳 細 は このマニュアルの リアルタイムの Windows パフォーマンスモ ニタリング を 参 照 してください Windows パフォーマンスモニタリング - リモート ディスク 出 メモリー 測 定 基 準 ( 空 きページ 数 やコミット チャージなど) ネットワーク 統 計 情 報 などを 監 視 する 場 合 Splunk Enterprise は Windows パフォーマンス モニターの 代 役 を 分 に 果 たすことが 可 能 で Splunk Enterprise でパフォーマンス 測 定 基 準 をリモート 収 集 するには: A. [ 新 規 追 加 ] ページに 移 動 (データの 取 り 込 み) は Splunk Web の [ 新 規 追 加 ] ページから 追 加 しま2 種 類 の 法 でこのページを 表 できま Splunk ホーム Splunk 設 定 どちらの 法 を 使 しても 構 いません 同 じ [ 新 規 追 加 ] ページが 表 されま Splunk 設 定 を 使 する 場 合 : 1.Splunk Web の 右 上 にある [ 設 定 ] をクリックしま 2.[ 設 定 ] ポップアップの [データ] セクションで [データ ] をクリックしま 3.[リモートパフォーマンス 監 視 ] をクリックしま 4.[ [ 新 規 ] ボタンをクリックして を 追 加 しま Splunk ホームを 使 する 場 合 : 1.Splunk ホームの [データの 追 加 ] リンクをクリックしま 2. ローカル Windows マシンのパフォーマンス データをモニターするには [モニター] をクリックしま 他 の Windows マシンからパフォーマンス データを 転 送 するには [ [ 転 送 ] をクリックしま[データの 追 加 - ソースの 選 択 ] ページが 表 されま 注 意 :パフォーマンス データの 転 送 には 追 加 設 定 が 必 要 で 3. 左 側 のパネルで [ローカル パフォーマンス 監 視 ] を 探 して 選 択 しま B. ソースの 選 択 1.[コレクション 名 ] フィールドに この の 覚 えやすい 意 の 名 前 を しま 2.[ターゲット ホストの 選 択 ] フィールドに パフォーマンス データの 収 集 対 象 となる Windows コンピュー タのホスト 名 または IP アドレスを しま 3.[クエリー] ボタンをクリックして [ターゲット ホストの 選 択 ] フィールドに 指 定 した Windows マシン 上 で 利 できる パフォーマンス オブジェクトのリストを 表 しま 注 意 : Win32_PerfFormattedData_*クラスは Splunk Web に 利 可 能 なオブジェクトとしては 表 されませ ん Win32_PerfFormattedData_* クラスをモニターしたい 場 合 は 直 接 wmi.conf に 追 加 する 必 要 がありま 4.[クラスの 選 択 ] リストから モニター 対 象 オブジェクトを 選 択 しま[カウンタの 選 択 ] および [インスタンス の 選 択 ] リスト ボックスが 表 されま 注 意 :データ あたり 1 つのパフォーマンスオブジェクトのみを 追 加 できまこれは Microsoft によるパ フォーマンスモニターオブジェクトの 取 り 扱 い 法 によるもので 多 くのオブジェクトが 選 択 時 に を 動 的 に 記 述 するクラスを 列 挙 しまこのことは に 定 義 されている どのパフォーマンスカウンタやインスタン スが どのオブジェクトに 所 属 しているのかを 判 断 するための 混 乱 や 妨 げになる 可 能 性 がありま 複 数 のオブ ジェクトをモニターする 必 要 がある 場 合 は 各 オブジェクトに 対 して 追 加 のデータ を 作 成 してください 5.[カウンタの 選 択 ] [カウンタの 選 択 ] リスト ボックスで この でモニターするパフォーマンス カウンタを 探 しま 160
161 6.モニターする 各 カウンタを 1 回 クリックしまカウンタが [ 利 可 能 なカウンタ] ウィンドウから [ 選 択 され たカウンタ] ウィンドウに 移 動 しま 7.カウンタの 選 択 を 解 除 するには [ 選 択 されたカウンタ] ウィンドウでその 名 前 をクリックしまカウンタが [ 選 択 されたカウンタ] ウィンドウから [ 利 可 能 なカウンタ] ウィンドウに 移 動 しま 8.すべてのカウンタを 選 択 / 選 択 解 除 するには [すべて 追 加 ] または [すべて 削 除 ] リンクをクリックしま 重 要 :すべてのカウンタを 選 択 すると 量 のデータのインデックスを 作 成 することになり ライセンスの 上 限 を 超 えてしまう 可 能 性 がありま 9.[インスタンスの 選 択 ] リスト ボックスで [ 利 可 能 なインスタンス] ウィンドウからインスタンスを 1 回 ク リックして この でモニターするインスタンスを 選 択 しまインスタンスが [ 選 択 されたインスタンス] ウィンドウに 移 動 しま 注 意 : _Total インスタンスは 特 殊 なインスタンスで 多 くのタイプのパフォーマンスカウンタに 存 在 していま このインスタンスは 同 じカウンタ 下 の 任 意 の 関 連 するインスタンスの 平 均 でこのインスタンスで 収 集 さ れるデータは 同 じカウンタ 下 の 個 別 のインスタンスとは 幅 に 異 なっていま たとえば 2 台 のディスクを 搭 載 したシステム 上 の PhysicalDisk オブジェクト 下 にある Disk Bytes/Sec パフォーマンス カウンタのパフォーマンス データをモニターする 場 合 表 されるインスタンス には それぞれの 物 理 ディスク 0 C: と 1 D: そして _Total インスタンスが 含 まれまこの 場 合 _Total インスタンスが 2 台 の 物 理 ディスクインスタンスの 平 均 になりま 10.[ポーリング 間 隔 ] フィールドで のポーリング 間 隔 を 秒 で 指 定 しま 11. 緑 の [ 次 へ] ボタンをクリックしま C. の 設 定 [ 設 定 ] ページでは アプリケーション コンテキスト デフォルトのホスト 値 およびインデックスを 指 定 できまこれらのパラメータは 省 略 することができま 1.この の 適 切 なアプリケーション コンテキストを 選 択 しま 2.ホスト 名 の 値 を 設 定 しまさまざまな 選 択 肢 がありまホスト 値 の 設 定 の 詳 細 は ホストについて を 参 照 してください 注 意 :[ホスト] は イベントの host フィールドの 設 定 のみを いまSplunk Enterprise にネットワー ク 上 の 特 定 のホストを 探 すように 指 するものではありません 3.データを 保 管 するインデックスを 設 定 しま 異 なる 種 類 のイベントを 取 り 扱 うために 複 数 のインデックス を 定 義 している 場 合 を 除 き この 値 は default のままにしてください ユーザーデータ のインデックスに 加 えて Splunk Enterprise にはさまざまなユーティリティインデックスが 存 在 していまこれらのインデックス も このドロップダウンボックスに 表 されま 4. 緑 の [ 確 認 ] ボタンをクリックしま D. 選 択 項 の 確 認 設 定 をすべて 指 定 したら 選 択 内 容 をレビューすることができまSplunk Enterprise には モニターのタ イプ ソース ソースタイプ アプリケーション コンテキスト インデックスなど (これ 以 外 が 表 されること もあります) の 選 択 したオプションが 表 されま 設 定 を 確 認 しま 意 図 通 りの 内 容 でない 場 合 は い [<] ボタンをクリックして ウィザードの 前 のステップに 戻 りまそうでない 場 合 は 緑 の [ 送 信 ] ボタンをクリックしま [ 成 功 ] ページが 表 され 指 定 されたパフォーマンス 測 定 基 準 のインデックス 作 成 が 開 始 されま リモートマシンからのパフォーマンスモニターデータの 取 り 込 みの 詳 細 は データの 取 り 込 み マニュアルの WMI データのモニター を 参 照 してください Windows Active Directory Splunk を 使 って 任 意 の Active Directory 変 更 データを 収 集 することができま パスワードの 変 更 ユーザーまたはマシンアカウントの 追 加 またはグループポリシーオブジェクトへの 権 限 の 委 任 などを ったユーザーを 確 認 したいと 思 いませんか?Splunk の Active Directory モニター 機 能 を 利 すれ ば このような 情 報 をすべて 軽 に 収 集 確 認 することができまさらに 1 台 のノードから Active Directory フォレスト 全 体 まで 変 更 を 監 視 する Active Directory の 部 分 を 由 に 選 択 することができま 注 意 :Active Directory の 任 意 の 部 分 をモニターするには Active Directory スキーマに 対 する 読 み 取 りアクセ ス 許 可 を 持 つユーザーとして Splunk を 実 する 必 要 がありま Active Directory データを 収 集 するには Splunk Enterprise に Active Directory を 指 しま A. [ 新 規 追 加 ] ページに 移 動 (データの 取 り 込 み) は Splunk Web の [ 新 規 追 加 ] ページから 追 加 しまこのマニュアルの データの 追 加 法 は? を 参 照 してください 2 種 類 の 法 でこのページを 表 できま 161
162 Splunk ホーム Splunk 設 定 Splunk 設 定 を 使 する 場 合 : 1.Splunk Web の 右 上 にある [ 設 定 ] をクリックしま 2.[ 設 定 ] ポップアップの [データ] セクションで [データ ] をクリックしま 3.[Active Directory モニタリング] をクリックしま 4.[ [ 新 規 ] ボタンをクリックして を 追 加 しま Splunk ホームを 使 する 場 合 : 1.Splunk ホームの [データの 追 加 ] リンクをクリックしま 2. ローカル Windows マシンの Active Directory をモニターするには [モニター] をクリックしま B. ソースの 選 択 1. 左 側 のパネルで [Active Directory 監 視 ] を 探 して 選 択 しま 2.[コレクション 名 ] フィールドに この の 覚 えやすい 意 の 名 前 を しま 3. 必 要 に 応 じて [ターゲット ドメイン コントローラ] フィールドに Active Directory のモニターに 使 す る ドメイン コントローラのホスト 名 または IP アドレスを しま 4. 必 要 に 応 じて [ [ 開 始 ノード] フィールドに モニターを 開 始 する Active Directory ノードを しま DC=Splunk-Docs,DC=com のように LDAP 形 式 で 指 定 する 必 要 がありま [ 参 照 ] ボタンをクリックして 利 可 能 な Active Directory ノードのリストから 利 可 能 な Active Directory ド メインを 参 照 選 択 することができま 5.[ 開 始 ノード] フィールドに したノードの すべてのサブノードをモニターする 場 合 は [サブツリーのモニ ター] ボタンを 選 択 しま 6. 緑 の [ 次 へ] ボタンをクリックしま C. の 設 定 [ 設 定 ] ページでは アプリケーション コンテキスト デフォルトのホスト 値 およびインデックスを 指 定 できまこれらのパラメータは 省 略 することができま 1.この の 適 切 なアプリケーション コンテキストを 選 択 しま 2.ホスト 名 の 値 を 設 定 しまさまざまな 選 択 肢 がありまホスト 値 の 設 定 の 詳 細 は ホストについて を 参 照 してください 注 意 :[ホスト] は イベントの host フィールドの 設 定 のみを いまSplunk Enterprise にネットワー ク 上 の 特 定 のホストを 探 すように 指 するものではありません 3.データを 保 管 するインデックスを 設 定 しま 異 なる 種 類 のイベントを 取 り 扱 うために 複 数 のインデックス を 定 義 している 場 合 を 除 き この 値 は default のままにしてください ユーザーデータ のインデックスに 加 えて Splunk Enterprise にはさまざまなユーティリティインデックスが 存 在 していまこれらのインデックス も このドロップダウンボックスに 表 されま 4. 緑 の [ 確 認 ] ボタンをクリックしま D. 選 択 項 の 確 認 設 定 をすべて 指 定 したら 選 択 内 容 をレビューすることができまSplunk Enterprise には モニターのタ イプ ソース ソースタイプ アプリケーション コンテキスト インデックスなど (これ 以 外 が 表 されること もあります) の 選 択 したオプションが 表 されま 設 定 を 確 認 しま 意 図 通 りの 内 容 でない 場 合 は い [<] ボタンをクリックして ウィザードの 前 のステップに 戻 りまそうでない 場 合 は 緑 の [ 送 信 ] ボタンをクリックしま [ 成 功 ] ページが 表 され 指 定 された Active Directory ノードのインデックス 作 成 が 開 始 されま Active Directory のモニターの 詳 細 は このマニュアルの Active Directory のモニター を 参 照 してくださ い スクリプト スクリプト を 追 加 するには: A. [ 新 規 追 加 ] ページに 移 動 (データの 取 り 込 み) は Splunk Web の [ 新 規 追 加 ] ページから 追 加 しま2 種 類 の 法 でこのページを 表 できま 162
163 Splunk ホーム Splunk 設 定 Splunk 設 定 を 使 する 場 合 : 1.Splunk Web の 右 上 にある [ 設 定 ] をクリックしま 2.[ 設 定 ] ポップアップの [データ] セクションで [データ ] をクリックしま 3a.ローカル マシン 上 のスクリプトからデータを 収 集 するには [スクリプト] をクリックしままたは 3b.リモート マシン 上 で 動 作 するスクリプトからデータを 取 得 するには [ [ 転 送 されたデータ] の [スクリプト] をクリックしま 4.[ [ 新 規 ] ボタンをクリックして を 追 加 しま Splunk ホームを 使 する 場 合 : 1.Splunk ホームの [データの 追 加 ] リンクをクリックしま 2.ローカル マシン 上 のスクリプトからのデータをモニターするには [モニター] を リモート マシン 上 のスク リプトからデータを 転 送 する 場 合 は [ 転 送 ] をクリックしま[データの 追 加 - ソースの 選 択 ] ページが 表 され ま 注 意 :スクリプト からデータを 転 送 するには 追 加 の 設 定 が 必 要 で 3. 左 側 のパネルで [スクリプト] を 探 して 選 択 しま B. ソースの 選 択 1.[スクリプト パス] ドロップ ダウンで スクリプトへのパスを 選 択 しまページに 新 しい [スクリプト 名 ] ドロップダウンが 表 されま 2.[スクリプト 名 ] ドロップ ダウンに 実 するスクリプトを 選 択 しまページの [コマンド] フィールドにス クリプト 名 が 設 定 されま 注 意 : 的 のスクリプトが つからない 場 合 ご 利 のオペレーティング システムのファイル 管 理 ツールを 使 って 適 切 な 場 所 にそれを 保 存 する 必 要 がありま 3.[コマンド] フィールドに スクリプトの 実 に 必 要 な 引 数 を 追 加 しま 4.[ [ 間 隔 ] フィールドに スクリプト 実 前 に Splunk Enterprise を 待 機 させる 時 間 ( 秒 ) を しま 5. 必 要 に 応 じて [ソース 名 上 書 き] フィールドに デフォルト 値 に 優 先 する 新 たなソース 名 を しま 6. 緑 の [ 次 へ] ボタンをクリックしま C. の 設 定 [ 設 定 ] ページでは アプリケーション コンテキスト デフォルトのホスト 値 およびインデックスを 指 定 できまこれらのパラメータは 省 略 することができま 1.スクリプトのソースタイプを 選 択 しま[ [ 選 択 ] を 選 択 して ローカル マシンで 利 できるソースタイプの リストから 選 択 または [ 動 ] を 選 択 してソースタイプ 名 を することができま 2.この の 適 切 なアプリケーション コンテキストを 選 択 しま 3.ホスト 名 の 値 を 設 定 しまさまざまな 選 択 肢 がありまホスト 値 の 設 定 の 詳 細 は ホストについて を 参 照 してください 注 意 :[ホスト] は イベントの host フィールドの 設 定 のみを いまSplunk Enterprise にネットワー ク 上 の 特 定 のホストを 探 すように 指 するものではありません 4.データを 保 管 するインデックスを 設 定 しま 異 なる 種 類 のイベントを 取 り 扱 うために 複 数 のインデックス を 定 義 している 場 合 を 除 き この 値 は default のままにしてください ユーザーデータ のインデックスに 加 えて Splunk Enterprise にはさまざまなユーティリティインデックスが 存 在 していまこれらのインデックス も このドロップダウンボックスに 表 されま 5. 緑 の [ 確 認 ] ボタンをクリックしま D. 選 択 項 の 確 認 設 定 をすべて 指 定 したら 選 択 内 容 をレビューすることができまSplunk Enterprise には モニターのタ イプ ソース ソースタイプ アプリケーション コンテキスト インデックスなど (これ 以 外 が 表 されること もあります) の 選 択 したオプションが 表 されま 設 定 を 確 認 しま 意 図 通 りの 内 容 でない 場 合 は い [<] ボタンをクリックして ウィザードの 前 のステップに 戻 りまそうでない 場 合 は 緑 の [ 送 信 ] ボタンをクリックしま [ 成 功 ] ページが 表 され 指 定 された Active Directory ノードのインデックス 作 成 が 開 始 されま 163
Microsoft PowerPoint - 130522_リビジョンアップ案内_最終.pptx
WaWaOfficeシリーズ バージョン8.2リビジョンアップ 2013 年 6 月 18 日 リリース 予 定 株 式 会 社 アイアットOEC ローカル 機 能 の 改 善 プレビュー 表 追 加 の 覧 表 にプレビュー 表 を 設 定 可 能 にしました 1 表 2 表 1 +プレビュー 表 から 選 択 設 定 法 個 設 定 個 設 定 基 本 設 定 PC 専 パラメータの 覧 表 時
POWER EGG V2.01 ユーザーズマニュアル ファイル管理編
POWER EGG V2.0 ユーザーズマニュアル ファイル 管 理 編 Copyright 2009 D-CIRCLE,INC. All Rights Reserved 2009.4 はじめに 本 書 では POWER EGG 利 用 者 向 けに 以 下 の POWER EGG のファイル 管 理 機 能 に 関 する 操 作 を 説 明 しま す なお 当 マニュアルでは ファイル 管 理 機
「給与・年金の方」からの確定申告書作成編
所 得 が 給 与 のみ 公 的 年 金 のみ 給 与 と 公 的 年 金 のみ の 方 で 入 力 方 法 選 択 画 面 で 給 与 年 金 の 方 を 選 択 された 場 合 の 確 定 申 告 書 作 成 の 操 作 手 順 を 説 明 します ~ この 操 作 の 手 引 きをご 利 用 になる 前 に ~ この 操 作 の 手 引 きでは 確 定 申 告 書 の 作 成 方 法 をご 説
CSV_Backup_Guide
ActiveImage Protector による クラスター 共 有 ボリュームのバックアップ 運 用 ガイド 第 5 版 - 2015 年 4 月 20 日 Copyright NetJapan, Inc. All Rights Reserved. 無 断 複 写 転 載 を 禁 止 します 本 ソフトウェアと 付 属 ドキュメントは 株 式 会 社 ネットジャパンに 所 有 権 および 著 作
<4D6963726F736F667420576F7264202D20819C486F70658F6F93588ED297708AC7979D89E696CA837D836A83858341838B8169342E33566572816A2E646F63>
商 品 管 理 商 品 管 理 を 行 うためのメニューです 4.1 商 品 管 理 のサイドメニュー 商 品 管 理 には 以 下 のサイドメニューがあります 商 品 一 覧 登 録 済 みの 商 品 の 一 覧 を 表 示 します 既 に 登 録 済 みの 商 品 の 検 索 検 索 した 商 品 を 編 集 する 際 に 使 用 します 新 規 作 成 商 品 を 新 規 登 録 する 画 面
目 次 1. Web メールのご 利 用 について... 2 2. Web メール 画 面 のフロー 図... 3 3. Web メールへのアクセス... 4 4. ログイン 画 面... 5 5. ログイン 後 (メール 一 覧 画 面 )... 6 6. 画 面 共 通 項 目... 7 7.
Web メール 操 作 説 明 書 京 都 与 謝 野 町 有 線 テレビ 0 目 次 1. Web メールのご 利 用 について... 2 2. Web メール 画 面 のフロー 図... 3 3. Web メールへのアクセス... 4 4. ログイン 画 面... 5 5. ログイン 後 (メール 一 覧 画 面 )... 6 6. 画 面 共 通 項 目... 7 7. メール 一 覧 画 面...
「1 所得税及び復興特別所得税の確定申告書データをお持ちの方」からの更正の請求書・修正申告書作成編
既 に 提 出 した 所 得 税 及 び 復 興 特 別 所 得 税 の 確 定 申 告 の 申 告 額 に 誤 り があった 場 合 で 納 める 税 金 が 多 すぎた 場 合 や 還 付 される 税 金 が 少 なす ぎた 場 合 に 提 出 する 更 正 の 請 求 書 や 申 告 をした 税 額 等 が 実 際 より 少 な すぎた 場 合 や 還 付 される 税 金 が 多 すぎた 場
給料らくだ7.5・かるがるできる給料5.5 追加マニュアル
追 加 マニュアル 給 料 らくだ 7.5 (Rev.5.10) かるがるできる 給 料 5.5 (Rev.5.10) MNL151201N-K マイナンバーモードについて 本 製 品 は マイナンバー 事 務 のうち 保 管 利 用 廃 棄 安 全 管 理 措 置 について 支 援 する 機 能 を 搭 載 しています マイナンバー 事 務 に 関 する 支 援 機 能 を 利 用 できる 状 態
R4財務対応障害一覧
1 仕 訳 入 力 仕 訳 入 力 時 摘 要 欄 で. + Enter を 押 すと アプリケーションでエラーが 発 生 しまインデックスが 配 列 の 境 界 外 です が 出 る 場 合 がある 問 題 に 対 応 しま 2 仕 訳 入 力 仕 訳 入 力 主 科 目 と 補 助 科 目 を 固 定 にすると2 行 目 以 降 の 補 助 科 目 コピーが 動 作 しない 問 題 に 対 応
MapDK3のインストール
ExifEditor Version 4.6 サポートアドレス:[email protected] 目 次 1. メイン 画 面... 3 1.1. 画 像 表 示... 6 2. Exif 情 報 編 集... 8 2.1. 付 帯 情 報 の 編 集... 10 2.2. 日 付 データの 一 括 編 集... 10 2.3. タイムスタンプ... 11 2.3.1. タイムスタンプ
V-CUBE One
V-CUBE One Office 365 連 携 マニュアル ブイキューブ 2016/06/03 この 文 書 は V-CUBE One の Office 365 連 携 用 ご 利 用 マニュアルです 更 新 履 歴 更 新 日 内 容 2016/02/09 新 規 作 成 2016/03/11 Office 365 ID を 既 存 の One 利 用 者 と 紐 付 ける 機 能 に 関 する
C.1 共 有 フォルダ 接 続 操 作 の 概 要 アクセスが 許 可 されている 研 究 データ 交 換 システムの 個 人 用 共 有 フォルダまたは メーリングリストの 共 有 フォルダに 接 続 して フォルダを 作 成 したり ファイル をアップロードまたはダウンロードしたりすることがで
C.1 共 有 フォルダ 接 続 操 作 の 概 要 C.2 Windows から 接 続 操 作 する C.3 Mac OS X から 接 続 操 作 する 67 C.1 共 有 フォルダ 接 続 操 作 の 概 要 アクセスが 許 可 されている 研 究 データ 交 換 システムの 個 人 用 共 有 フォルダまたは メーリングリストの 共 有 フォルダに 接 続 して フォルダを 作 成 したり
あいち電子調達共同システム
(2) 提 出 依 頼 書 の 確 認 提 出 依 頼 書 が 発 行 されると 利 用 者 登 録 で 指 定 したメールアドレスへお 知 らせが 送 信 されま すので 提 出 依 頼 書 を 確 認 します 調 達 案 件 一 覧 画 面 で 案 件 情 報 を 確 認 し 提 出 依 頼 書 を 表 示 します 操 作 1 調 達 案 件 検 索 画 面 で 検 索 条 件 を 入 力 し
スライド 1
Android 版 目 視 録 運 用 操 作 マニュアル 作 成 2012/03/22 更 新 2014/09/26 目 視 録 とは 携 帯 またはパソコンで 施 工 写 真 を 登 録 確 認 できるシステムです ご 利 用 の 為 にはIDとパスワードが 必 要 です TEG ログインID ( ) パスワード ( ) https://teg.mokusiroku.com/
3. [ 送 信 ]をクリックすると パスワード 作 成 画 面 が 表 示 されます 4. [パスワードを 作 成 ]フィールドにパスワードを 入 力 します パスワードを 入 力 すると プライベートなファイルが 保 護 されます パスワードの 強 度 は 選 択 した 基 準 によ って 決
![3. [ 送 信 ]をクリックすると パスワード 作 成 画 面 が 表 示 されます 4. [パスワードを 作 成 ]フィールドにパスワードを 入 力 します パスワードを 入 力 すると プライベートなファイルが 保 護 されます パスワードの 強 度 は 選 択 した 基 準 によ って 決](/thumbs/40/20583362.jpg "3. [ 送 信 ]をクリックすると パスワード 作 成 画 面 が 表 示 されます 4. [パスワードを 作 成 ]フィールドにパスワードを 入 力 します パスワードを 入 力 すると プライベートなファイルが 保 護 されます パスワードの 強 度 は 選 択 した 基 準 によ って 決")
EncryptStick Lite セキュリティソフトウェア 用 Lexar クイックスタートガイド EncryptStick Lite スタートアップガイド 1. Lexar フラッシュドライブを PC または Mac コンピューターに 挿 入 します [EncryptStick Lite 登 録 ]ページが 表 示 されます EncryptStick が 自 動 的 に 起 動 します 自 動
IBM SPSS Statistics for Mac OS のインストール手順 (シングル ユーザー)
IBMSPSSStatisticsforMacOSの インストール 手 順 (シングル ユー ザー) 以 下 に 示 すのは シングル ユーザー ライセンス を 使 用 した IBM SPSS Statistics バージョン 20 のインストール 手 順 です シングルユーザー ライセンス を 使 用 すると 最 大 2 台 のコンピュータに SPSS Statistics をインストールできま
4 応 募 者 向 けメニュー 画 面 が 表 示 されます 応 募 者 向 けメニュー 画 面 で [ 交 付 内 定 時 の 手 続 を 行 う] [ 交 付 決 定 後 の 手 続 を 行 う]をクリックします 10
![4 応 募 者 向 けメニュー 画 面 が 表 示 されます 応 募 者 向 けメニュー 画 面 で [ 交 付 内 定 時 の 手 続 を 行 う] [ 交 付 決 定 後 の 手 続 を 行 う]をクリックします 10](/thumbs/43/23119099.jpg "4 応 募 者 向 けメニュー 画 面 が 表 示 されます 応 募 者 向 けメニュー 画 面 で [ 交 付 内 定 時 の 手 続 を 行 う] [ 交 付 決 定 後 の 手 続 を 行 う]をクリックします 10")
2 科 学 研 究 費 助 成 事 業 のトップページ 画 面 が 表 示 されます [ 研 究 者 ログイン]をクリック します 掲 載 している 画 面 は 例 示 です 随 時 変 更 されます 3 科 研 費 電 子 申 請 システムの 応 募 者 ログイン 画 面 が 表 示 されます e-rad の ID パ ス ワード を 入 力 し [ログイン]をクリックします 9 4 応 募 者
目 次 1. 積 算 内 訳 書 に 関 する 留 意 事 項 1 ページ 2. 積 算 内 訳 書 のダウンロード 3 ページ 3. 積 算 内 訳 書 の 作 成 (Excel 2003の 場 合 ) 6 ページ 4. 積 算 内 訳 書 の 作 成 (Excel 2007の 場 合 ) 13
積 算 内 訳 書 の 作 成 マニュアル 平 成 26 年 1 形 県 県 整 備 部 建 設 企 画 課 目 次 1. 積 算 内 訳 書 に 関 する 留 意 事 項 1 ページ 2. 積 算 内 訳 書 のダウンロード 3 ページ 3. 積 算 内 訳 書 の 作 成 (Excel 2003の 場 合 ) 6 ページ 4. 積 算 内 訳 書 の 作 成 (Excel 2007の 場 合 )
目 次. WEB メールへのログイン.... メール 送 信 手 順.... メール 受 信 手 順... 6. アドレス 帳 の 操 作 手 順... 8 5. フォルダーの 操 作 手 順... 8 6. メール 発 信 者 登 録 署 名 登 録 手 順... 0 7. 基 本 的 な 設 定
Web メール 手 順 書 目 次. WEB メールへのログイン.... メール 送 信 手 順.... メール 受 信 手 順... 6. アドレス 帳 の 操 作 手 順... 8 5. フォルダーの 操 作 手 順... 8 6. メール 発 信 者 登 録 署 名 登 録 手 順... 0 7. 基 本 的 な 設 定... 8. 参 考 情 報... 9 . WEB メールへのログイン 概
Microsoft Word - 操作マニュアル(石油コンビナート_オフラインソフト編)_v0.2.doc
総 務 省 消 防 庁 統 計 調 査 系 システム 操 作 マニュアル 石 油 コンビナート 等 実 態 調 査 業 務 (オフライン オフラインソフト 編 ) 第 0.2 版 平 成 25 年 3 月 総 務 省 消 防 庁 改 訂 履 歴 版 改 訂 日 改 訂 内 容 第 0.1 版 平 成 24 年 1 月 24 日 新 規 作 成 第 0.2 版 平 成 24 年 3 月 2 日 第 4
■コンテンツ
Joruri CMS 2.0.0 基 本 マニュアル (2013.7.23) 2012.2.14 データ データでは 複 数 の 場 所 で 共 通 して 利 用 できる 情 報 (テキスト 形 式 ファイル 形 式 )を 作 成 登 録 管 理 できます テキスト データ>テキスト 作 成 されたテキストが 一 覧 表 示 されます 複 数 の 場 所 で 利 用 するテキスト( 住 所 TEL
Gmail 利用者ガイド
Gmail 利 用 者 ガイド 目 次 1. はじめに... 1 2. Gmail を 利 用 する 前 に... 2 3. 初 めてのログイン... 4 3.1. ログイン... 4 3.2. CAPTCHA の 入 力... 5 4. メールボックスの 説 明... 8 5. メールの 受 信... 9 6. メールの 送 信 返 信... 10 6.1. メールの 新 規 作 成... 10
(Microsoft PowerPoint - Ver12\203o\201[\203W\203\207\203\223\203A\203b\203v\216\221\227\277.ppt)
ACAD-DENKI DENKI Ver.12 新 機 能 / 改 善 機 能 アルファテック 株 式 会 社 1 新 機 能 改 善 機 能 一 覧 ACAD-DENKI/EL Ver.12 新 機 能 と 改 善 機 能 新 メニュー/ 新 機 能 拡 張 プロジェクト 管 理 外 部 端 子 コネクタ 端 子 ネット 分 割 化 リアルタイム 線 番 挿 入 改 善 項 目 図 題 情 報 編
同 期 を 開 始 する( 初 期 設 定 ) 2 1 Remote Link PC Sync を 起 動 する 2 1 接 続 機 器 の [PIN コード ] [ ユーザー 名 ] [ パスワード ] を 入 力 する [PIN コード ] などの 情 報 は 接 続 機 器 の 設 定 画 面
![同 期 を 開 始 する( 初 期 設 定 ) 2 1 Remote Link PC Sync を 起 動 する 2 1 接 続 機 器 の [PIN コード ] [ ユーザー 名 ] [ パスワード ] を 入 力 する [PIN コード ] などの 情 報 は 接 続 機 器 の 設 定 画 面](/thumbs/40/20583110.jpg "同 期 を 開 始 する( 初 期 設 定 ) 2 1 Remote Link PC Sync を 起 動 する 2 1 接 続 機 器 の [PIN コード ] [ ユーザー 名 ] [ パスワード ] を 入 力 する [PIN コード ] などの 情 報 は 接 続 機 器 の 設 定 画 面")
画 面 で 見 る マ ニ ュ ア ル Remote Link 3 対 応 自 動 同 期 アプリ Remote Link PC Sync Remote Link PC Sync は 接 続 機 器 とパソコンとの 間 でファイルの 自 動 同 期 をするアプリです 本 アプリサイトの 対 応 製 品 型 番 に 記 載 された 機 器 動 作 環 境 機 種 OS Windows 8.1(32/64
DN6(R04).vin
page 1 / 2 DataNature6(R04)リリースノート 新 機 能 機 能 改 良 (1) 期 間 項 目 への 締 め 日 の 反 映 年 度 上 期 / 下 期 四 半 期 において 設 定 した 締 め 日 を 反 映 させるかどうかの 設 定 を 追 加 (2) 週 の 設 定 方 法 の 追 加 日 付 から 期 間 の 設 定 で 週 を 追 加 する 場 合 に 週 の"
<82C582F182B382A2322E3594C5837D836A83858341838B2E786C73>
機 能 追 加 一 覧 項 番 機 能 名 機 能 概 要 1 複 数 発 生 記 録 請 求 ( 画 面 入 力 ) 機 能 企 業 ユーザによる 発 生 記 録 について 発 生 記 録 メニュー 画 面 や 取 引 先 グ ループ 選 択 画 面 過 去 請 求 データからの 再 利 用 等 から 複 数 債 権 の 仮 登 録 情 報 を 入 力 し 一 度 に 大 量 の 発 生 記 録
MetaMoJi ClassRoom/ゼミナール 授業実施ガイド
本 書 では 管 理 者 向 けに MetaMoJi ClassRoom/ゼミナールで 年 度 更 新 を 実 施 する 手 順 について 説 明 して います 管 理 者 ガイドと 合 わせてご 覧 ください Excelは 米 国 Microsoft Corporationの 米 国 およびその 他 の 国 における 登 録 商 標 または 商 標 です Apache OpenOffice Apache
別冊資料-11
一 般 競 争 入 札 方 式 工 事 希 望 型 競 争 入 札 方 式 における 技 術 資 料 入 力 システムの 利 用 方 法 について Rev 8.0( 平 成 28 年 3 月 ) 国 土 交 通 省 中 国 地 方 整 備 局 - 目 次 - 1. はじめに... 1 2. 利 用 環 境 及 び 注 意 事 項... 1 3. 入 力 手 順 について... 2 3.1. 技 術
端 末 型 払 い 出 しの 場 合 接 続 構 成 図 フレッツ グループから 払 出 されたIPアドレス /32 NTT 西 日 本 地 域 IP 網 フレッツ グループ フレッツ グループから 払 出 されたIPアドレス /
CTU 端 末 型 接 続 設 定 例 H19 年 10 月 端 末 型 払 い 出 しの 場 合 接 続 構 成 図 フレッツ グループから 払 出 されたIPアドレス 172.25.1.1/32 NTT 西 日 本 地 域 IP 網 フレッツ グループ フレッツ グループから 払 出 されたIPアドレス 172.25.1.2/32 172.25.1.1 172.25.1.2 192.168.24.1
5-2.操作説明書(支店連携)_xlsx
お 客 さま 向 け 送 り 状 発 行 システム 5-2. 操 作 説 明 書 ( 支 店 連 携 ) ゆうパックプリントR は 日 本 郵 便 株 式 会 社 がお 客 さまに 無 料 で 提 供 する ゆうパックや 郵 便 商 品 の 送 り 状 をパソコンで 印 刷 するためのソフトウェアです ゆうパックプリントRを 以 降 ゆうプリR と 表 記 します 本 マニュアルは 支 店 連 携
TIPS - 棚 割 りを 開 始 するまで Liteを 起 動 し 企 業 情 報 の 追 加 を 行 い 棚 割 を 行 う 企 業 の 追 加 をして 下 さい 企 業 情 報 の 追 加 時 に エラーメッセージが 表 示 された 場 合 別 途 TIPS トラブルが 発 生 した 場 合
TIPS 目 次 TIPS 項 目 棚 割 りを 開 始 するまで 商 品 画 像 の 追 加 方 法 商 品 情 報 の 一 括 更 新 登 録 方 法 棚 割 情 報 の 連 携 方 法 小 売 様 棚 割 ソフトとの 棚 割 情 報 連 携 について 他 棚 割 ソフトとの 棚 割 情 報 連 携 について 棚 割 情 報 のExcel 取 込 について 棚 板 設 定 の 詳 細 商 品 設
file:///L|/kajo/_RESOURCE/index.html
はじめに 設 備 基 準 金 額 と 設 備 台 帳 作 成 要 領 設 備 基 準 金 額 設 備 台 帳 作 成 要 領 使 い 方 基 本 設 定 をする 学 校 情 報 を 登 録 する 現 有 状 況 を 登 録 する 整 備 状 況 を 入 力 する FAQ(よくある 質 問 ) インストールができない バックアップファイルが 読 み 込 めない 新 しいパソコンにデータが 移 行 できない
1
Excelファイルアクセス 1. 概 要 Excel ファイルアクセスコンポーネントは Microsoft Excel のファイルを 開 いてセルの 値 や 書 式 を 取 得 変 更 したり テーブル 全 体 を 新 しいファイルと して 保 存 したりするために 用 います Excel ファイルアクセスコンポーネントは アプリケーションビルダーのメニューから 以 下 のように 選 びます [コンポーネント
文科省様式3-2集計オプションマニュアル
文 科 省 様 式 3-2 集 計 オプション 利 用 マニュアル 平 成 25 年 3 月 8 日 日 本 加 除 出 版 株 式 会 社 1 文 科 省 様 式 3-2 集 計 オプション とは 文 科 省 様 式 3-2 集 計 オプションは 日 本 加 除 出 版 株 式 会 社 発 行 の 小 学 校 理 科 教 育 等 設 備 台 帳 ( 平 成 23 年 度 ~ 平 成 34 年 度
Microsoft PowerPoint - 04_H26material_practice_No3-3.pptx
参 考 : 届 書 作 成 プログラムによる 届 出 データの 作 成 方 法 (1) 事 前 準 備 1 被 保 険 者 データの 入 手 (ターンアラウンドCDを 利 用 する 場 合 ) 当 プログラムでは 提 出 先 の 年 金 事 務 所 が 保 有 している 被 保 険 者 のデータを 利 用 して 電 子 申 請 用 データを 作 成 することができます(これを ターンアラウンドCD
PC 移 行 は 以 下 の 流 れで 行 います 次 ページ 以 降 に 各 手 順 を 記 載 しますのでご 確 認 ください ( をクリックすると 該 当 の 説 明 にジャンプします ) 移 行 元 のPCでの 作 業 Step1 移 行 するデータをバックアップする (3ページ) [データ
奉 行 i8/i シリーズ(スタンドアロン 版 ) PC 移 行 の 手 順 書 新 しいPCを 購 入 したので このPCで 奉 行 製 品 を 利 用 したい など 現 在 ご 利 用 のPCから 別 PCで 奉 行 製 品 をご 利 用 になる 場 合 の 移 行 手 順 を 説 明 します 次 ページに 各 作 業 の 流 れを 記 載 しますのでご 確 認 ください 移 行 元 のPC 1
ログイン ブラウザから TDPOST へアクセス ログイン GC-(お 客 様 名 )フォルダを 選 択 各 作 業 へ ブラウザを 起 動 します (Internet Explorer Safari Firefox など) 下 記 アドレスをブラウザのアドレス 入 力 欄 に 入 力 します ht
サーバが 新 しくなりました 現 在 ご 利 用 をいただいている 弊 社 FTP サーバがセキュリティ 強 化 のため 新 しくなります 恐 れ 入 りますが 切 り 替 えをお 願 い 致 します 東 海 電 子 印 刷 オンラインストレージサーバ 事 前 登 録 お 客 様 用 こちらの 説 明 書 は TDPOST に 事 前 登 録 をされたお 客 様 専 用 の 説 明 書 です ログイン
<4D F736F F D2090C389AA8CA72D92F18F6F2D D F ED28CFC82AF91808DEC837D836A B E838B A815B816A2E646F6378>
1. 基 本 事 項 1.1. システムで 行 えること デジタルライブラリー では データベース 上 に 登 録 されている 様 々なカテゴリのデータを 検 索 閲 覧 できます データを 検 索 する キーワード 検 索 全 データをフリーワードで 検 索 できます 簡 易 検 索 データの 共 通 項 目 に 条 件 を 指 定 し 全 データを 横 断 して 検 索 できます 詳 細 検 索
工事記録写真チェックシステム 操作説明書
工 事 記 録 写 真 チェックシステム - 操 作 説 明 書 - 平 成 24 年 11 月 東 日 本 高 速 道 路 株 式 会 社 中 日 本 高 速 道 路 株 式 会 社 西 日 本 高 速 道 路 株 式 会 社 - 目 次 - 1. 概 要 1-1. 対 象 要 領 1-2. 動 作 環 境 1-3. チェック 内 容 2. 操 作 方 法 2-1. システムの 起 動 2-2.
技術報告会原稿フォーマット
Web 情 報 共 有 サービス 利 用 マニュアル 1. ファイルの 保 存 ブラウザを 開 き https://webshare.kyokyo-u.ac.jp を 開 く.ログイン 画 面 が 表 示 されるので,ユーザ ID(メールの ID) とパスワードを 入 力 し,ログインボタンをクリックする( 図 2). ログインに 成 功 すると,TOP フォルダの 一 覧 が 表 示 される (
ユーザーガイド
印 刷 の 管 理 バージョン 1.1 ユーザーガイド 2016 年 7 月 www.lexmark.com 内 容 2 内 容 変 更 履 歴... 3 概 要... 4 アプリケーションを 使 用 する... 5 アプリケーションへのアクセス... 5 アプリケーションを 管 理 する... 5 問 題 に 対 処 する... 7 アプリケーションが 適 切 にロードできない...7 アプリケーションにログインできない...
PowerPoint プレゼンテーション
Android OS 向 け 新 規 インストールガイド 安 心 ネットセキュリティ このインストールガイド( 以 下 本 ガイド )に 従 い アプリケーションをインストールして ください ご 注 意 : 安 心 ネットセキュリティ( 以 下 本 製 品 )は インターネットからアプリケーションを ダウンロードしてインストールします 本 ガイド 中 に 記 載 されている ホームキー メニューキー
QNAP TurboNAS スナップショット設定手順書
QNAP TurboNAS スナップショット 設 定 手 順 書 2015 年 10 月 1 目 次 1. はじめに... 3 2. スナップショット 機 能 概 要... 3 3. スナップショット 初 期 設 定... 4 3.1. ストレージプール 作 成 時 のスナップショット 領 域 設 定 手 順... 4 3.2. ストレージプール 作 成 後 のスナップショット 領 域 設 定 手
ファイルサーバー(NFS) 構築ガイド
CLUSTERPRO D for Linux ファイルサーバー(NFS) 構 築 ガイド 改 版 履 歴 版 数 改 版 日 付 内 容 1 2016/04/20 新 規 作 成 i 目 次 第 1 章 はじめに... 1 1.1 対 象 読 者 と 目 的...2 1.2 適 用 範 囲...2 1.3 表 記 規 則...2 1.4 免 責 事 項...2 1.5 商 標 情 報...3 1.6
WorkWithPlus 8.1 へのアップグレードについて
WorkWithPlus 8.1 へのアップグレード について 本 書 では WorkWithPlus (WWP) バージョン 7.1 以 降 を 適 用 して 開 発 した KB をバージョン 8.1 にアップグ レードして 引 き 続 き 開 発 する 場 合 の 手 順 について 説 明 しています 重 要 :バージョン 8.1 では レスポンシブ Web デザイン( 以 降 RWD)に 対
1.2. ご 利 用 環 境 1.2.1. 推 奨 ブラウザ Internet Explorer 10 11 Google Chrome(バージョン 32 時 点 で 動 作 確 認 済 み) Mozilla Firefox(バージョン 26 時 点 で 動 作 確 認 済 み) Safari 7
1. アーカイブデータベースを 検 索 / 閲 覧 する 1.1. データの 検 索 方 法 東 京 アーカイブ では 以 下 に 分 類 されるカテゴリの 画 像 データ 資 料 データを 閲 覧 できます 江 戸 城 浮 世 絵 双 六 和 漢 書 江 戸 東 京 の 災 害 記 録 絵 葉 書 写 真 帖 近 代 の 地 図 東 京 府 東 京 市 関 係 資 料 番 付 建 築 図 面 書
メール 受 信 画 面 のレイアウトを 変 更 することができます ここでは 初 期 設 定 のレイアウトで 表 示 されているボタ ンやマークについて 解 説 します メール 一 覧 画 面 には 受 信 したメールが 一 覧 表 示 されます メール 受 信 タブをクリックすると 受 信 箱 フ
.3 1...3 メール 受 信 タブのサブメニューから 直 接 受 信 箱 以 外 のフォルダを 表 示 することもできます 共 有 メー ルボックスのフォルダは 指 定 できません 3. 35 メール 受 信 画 面 のレイアウトを 変 更 することができます ここでは 初 期 設 定 のレイアウトで 表 示 されているボタ ンやマークについて 解 説 します メール 一 覧 画 面 には 受
<4D6963726F736F667420576F7264202D20457863656C97F195CF8AB72091808DEC90E096BE8F912091E6312E313294C52E646F63>
Excel 列 変 換 Ver.1.0.3 操 作 説 明 書 第 1.1 版 Copyright (C) 2008 株 式 会 社 恒 河 沙 変 更 履 歴 版 作 成 日 作 成 者 主 な 変 更 点 第 1.0 版 2008/10/29 ( 株 ) 恒 河 沙 東 野 貴 行 新 規 作 成 第 1.1 版 2008/11/04 ( 株 ) 恒 河 沙 東 野 貴 行 - 2 - 目 次
目 次 1. 大 学 情 報 データベースシステムの 使 用 方 法 について... 1 1.1.EXCEL 一 括 登 録... 1 1.2.EXCEL ダウンロード... 2 1.2.1. 検 索 条 件 の 指 定 プレビュー... 3 1.2.2.EXCEL ダウンロード(データ 抽 出 あ
大 学 情 報 データベースシステム EXCEL 一 括 登 録 マニュアル 目 次 1. 大 学 情 報 データベースシステムの 使 用 方 法 について... 1 1.1.EXCEL 一 括 登 録... 1 1.2.EXCEL ダウンロード... 2 1.2.1. 検 索 条 件 の 指 定 プレビュー... 3 1.2.2.EXCEL ダウンロード(データ 抽 出 あり)... 5 1.2.3.EXCEL
改 訂 履 歴 版 概 要 区 分 更 新 日 1.0 新 規 作 成 新 規 2014/06/26 2
Android 版 操 作 ガイド (ver1.0) 2014 年 6 月 26 日 改 訂 履 歴 版 概 要 区 分 更 新 日 1.0 新 規 作 成 新 規 2014/06/26 2 目 次 1. sactto!ファイリングご 利 用 について... 4 2. Android 版 アプリケーションについて... 5 2.1. 概 要... 5 2.2. アプリケーションの 導 入... 5