Splunk-ナレッジマネジメント

Splunkナレッジマネジメントは、Splunk Enterprise実装のナレッジオブジェクトのメンテナンスに関するものです。

以下は、ナレッジマネジメントの主な機能です。

• 知識オブジェクトが組織内の適切なグループの人々によって共有され、使用されていることを確認してください。
• ナレッジオブジェクトの命名規則を実装し、重複または廃止されたオブジェクトを廃止することにより、イベントデータを正規化します。
• 検索とピボットのパフォーマンスを改善するための戦略を監督します（レポートアクセラレーション、データモデルアクセラレーション、サマリーインデックス、バッチモード検索）。
• Pivotユーザーのデータモデルを作成します。

知識オブジェクト

データに関する特定の情報を取得するためのSplunkオブジェクトです。 ナレッジオブジェクトを作成するとき、それを非公開にしたり、他のユーザーと共有したりできます。 ナレッジオブジェクトの例：保存された検索、タグ、フィールド抽出、ルックアップなど。

ナレッジオブジェクトの使用

Splunkソフトウェアを使用すると、ナレッジオブジェクトが作成および保存されます。 ただし、重複する情報が含まれている場合や、すべての対象ユーザーが効果的に使用できない場合があります。 このような問題に対処するには、これらのオブジェクトを管理する必要があります。 これは、それらを適切に分類し、適切な権限管理を使用してそれらを処理することにより行われます。 以下は、さまざまな知識オブジェクトの用途と分類です-

フィールドとフィールド抽出

フィールドとフィールド抽出は、Splunkソフトウェアの知識の最初のレイヤーです。 ITデータからSplunkソフトウェアから自動的に抽出されたフィールドは、生データに意味をもたらします。 手動で抽出されたフィールドは、この意味の層を拡張および改善します。

イベントの種類とトランザクション

イベントタイプとトランザクションを使用して、類似したイベントの興味深いセットをグループ化します。 イベントタイプは、検索で検出されたイベントのセットをグループ化します。 トランザクションは、時間にまたがる概念的に関連するイベントのコレクションです。

ルックアップとワークフローアクション

ルックアップとワークフローアクションは、さまざまな方法でデータの有用性を拡張するナレッジオブジェクトのカテゴリです。 フィールドルックアップを使用すると、静的テーブル（CSVファイル）やPythonベースのコマンドなどの外部データソースからデータにフィールドを追加できます。 ワークフローアクションは、データ内のフィールドと、IPアドレスを含むフィールドでのWHOISルックアップなどの他のアプリケーションまたはWebリソースとの間の相互作用を可能にします。

タグとエイリアス

タグとエイリアスは、フィールド情報のセットを管理および正規化するために使用されます。 タグとエイリアスを使用して、関連するフィールド値のセットをグループ化し、アイデンティティのさまざまな側面を反映する抽出されたフィールドタグを提供できます。 たとえば、特定の場所（建物や都市など）のホストのセットからのイベントをグループ化するには、各ホストに同じタグを付けます。

異なるフィールド名を使用して同じデータを参照する2つの異なるソースがある場合、エイリアスを使用して（たとえばclientipをipaddressにエイリアスすることにより）データを正規化できます。

データモデル

データモデルは1つ以上のデータセットの表現であり、Pivo​​tツールを駆動します。これにより、Pivo​​tユーザーは、Splunkソフトウェア検索言語と対話する必要なく、便利なテーブル、複雑な視覚化、堅牢なレポートをすばやく生成できます。 データモデルは、インデックス付きデータの形式とセマンティクスを完全に理解しているナレッジマネージャーによって設計されています。 典型的なデータモデルは、他の種類のナレッジオブジェクトを利用します。

これらの知識オブジェクトの例のいくつかについては、後続の章で説明します。