splunkを構築しよう(6)

こんにちは。アイシーティーリンクの鈴木です。

前回はsearch headの拡張機能であるSHCについての内容を書きました。このブログでは、業務で使用したsplunkの機能について毎回紹介していきます。今回はデータ取り込みで、最低限必要な設定ファイルをピックアップして紹介します。

①inputs.conf

取り込みたいデータの場所を指定。また取り込み除外したいデータも指定できる。
(forwarderやindexerで設定)

②props.conf

取り込みデータの加工ができる設定ファイル。 host, source, sourcetype毎にイベント処理を細かく加工できる。(forwarderやindexerで設定)

③tranceforms.conf

props.confとセットで利用し、取り込みデータの変換が可能。props.confで定義したデータを正規表現を使ってマスキングするなど細かい設定ができる。
(forwarderやindexerで設定)

④output.conf

収集したデータの転送先を記載。forwarderやsearchheadでデータを転送する宛先を指定する。

※forwarderやindexerなどのコンポーネントについては、過去の記事を参考にしていただければと思います。

おわりに

splunkの設定ファイルは数が多く、理解して運用していくには骨が折れます。使いこなすには、環境を用意した上で、色々と試行錯誤することが大事だと思いました。これからも、実務経験を通じてスキルアップしていけたらと思います。

最後までお読みいただきありがとうございます。