splunkを構築しよう(6)
こんにちは。アイシーティーリンクの鈴木です。
前回はsearch headの拡張機能であるSHCについての内容を書きました。このブログでは、業務で使用したsplunkの機能について毎回紹介していきます。今回はデータ取り込みで、最低限必要な設定ファイルをピックアップして紹介します。
①inputs.conf
取り込みたいデータの場所を指定。また取り込み除外したいデータも指定できる。
(forwarderやindexerで設定)
②props.conf
取り込みデータの加工ができる設定ファイル。 host, source, sourcetype毎にイベント処理を細かく加工できる。(forwarderやindexerで設定)
③tranceforms.conf
props.confとセットで利用し、取り込みデータの変換が可能。props.confで定義したデータを正規表現を使ってマスキングするなど細かい設定ができる。
(forwarderやindexerで設定)
④output.conf
収集したデータの転送先を記載。forwarderやsearchheadでデータを転送する宛先を指定する。
※forwarderやindexerなどのコンポーネントについては、過去の記事を参考にしていただければと思います。
おわりに
splunkの設定ファイルは数が多く、理解して運用していくには骨が折れます。使いこなすには、環境を用意した上で、色々と試行錯誤することが大事だと思いました。これからも、実務経験を通じてスキルアップしていけたらと思います。
最後までお読みいただきありがとうございます。
この記事が気に入ったらサポートをしてみませんか?