Splunk-data-ingestion
Splunk-データ取り込み
Splunkでのデータ取り込みは、検索およびレポートアプリの一部である*データの追加*機能を介して行われます。 ログイン後、Splunkインターフェースのホーム画面には、以下に示すように*データの追加*アイコンが表示されます。
このボタンをクリックすると、分析のためにSplunkにプッシュする予定のデータのソースと形式を選択する画面が表示されます。
データの収集
Splunkの公式Webサイトから分析用のデータを取得できます。 このファイルを保存し、ローカルドライブに解凍します。 フォルダを開くと、異なる形式の3つのファイルが見つかります。 それらは、一部のWebアプリによって生成されたログデータです。 Splunkが提供する別のデータセットを収集することもできます。このデータは、公式のSplunk Webページから入手できます。
これら両方のセットのデータを使用して、Splunkのさまざまな機能の動作を理解します。
データをアップロードする
次に、前の段落で述べたように、ローカルシステムに保存した mailsv フォルダーから secure.log ファイルを選択します。 ファイルを選択した後、右上隅にある緑色の[次へ]ボタンを使用して次のステップに進みます。
ソースタイプの選択
Splunkには、取り込むデータのタイプを検出するための組み込み機能があります。 また、Splunkが選択したものとは異なるデータタイプを選択するオプションもユーザーに提供します。 ソースタイプのドロップダウンをクリックすると、Splunkが取り込んで検索を有効にできるさまざまなデータタイプが表示されます。
以下に示す現在の例では、デフォルトのソースタイプを選択します。
入力設定
データ取り込みのこのステップでは、データの取り込み元のホスト名を構成します。 以下は、ホスト名のために、から選択するオプションです-
定数値
ソースデータが存在する完全なホスト名です。
パス上の正規表現
正規表現を使用してホスト名を抽出する場合。 次に、抽出するホストの正規表現を「正規表現」フィールドに入力します。
パス内のセグメント
データソースのパス内のセグメントからホスト名を抽出する場合は、[セグメント番号]フィールドにセグメント番号を入力します。 たとえば、ソースへのパスが/var/log/であり、3番目のセグメント(ホストサーバー名)をホスト値にする場合は、「3」を入力します。
次に、検索用の入力データに作成するインデックスタイプを選択します。 デフォルトのインデックス戦略を選択します。 サマリーインデックスは、集計によってデータのサマリーを作成し、その上にインデックスを作成しますが、履歴インデックスは検索履歴を保存するためのものです。 以下の画像にはっきりと描かれています-
設定の確認
次のボタンをクリックすると、選択した設定の概要が表示されます。 データを確認し、[次へ]を選択してデータのアップロードを完了します。
読み込みが完了すると、以下の画面が表示され、データの取り込みに成功したことと、データに対して実行可能なその他のアクションが示されます。