Splunk取り込みアクション：特定の条件でSplunkへのログを取り込まないようにする

Splunkのログ量が多く、契約ログ量を超過してしまったり、ログ量を減らしたいという方は多いのではないでしょうか。

Splunkの「取り込みアクション(Ingest Actions)」を使用し、特定の条件でSplunk側でログをドロップさせる方法を紹介します。

▼取り込みアクションとは
Splunkのver9.0以上に搭載された機能で、ログを取り込む際に以下のような処理を行うことが可能です。
①特定の文字列をマスキングする
②特定の条件でログを取り込まない
③特定の条件で別のindexに保存する
④S3へルーティングする

参考）Splunk公式ドキュメント
Using ingest actions in Splunk Enterprise - Splunk Lantern

今回はその中の「②特定の条件でログを取り込まない」を設定してみます。

▼設定例
①Splunkの管理画面->設定->取り込みアクション

②Rulesetsのタブをクリックし、「New Ruleset」をクリック

③ルールセット編集画面にて、ルール名設定及びログ削減とするイベントのソースタイプを選択

④ルールセット編集画面で「規則の追加」->「Filter using Regular Expression」を選択

⑤ルール設定でドロップするログの条件を設定。その後画面右上の「保存」を押すと設定完了。
※今回はログの中に「cart」という文字列が入っていたらドロップするように設定

「適用」ボタンを押すとどのログが取り込まない対象か赤で表示される

以上となります。