Splunk ログ調査を効率化する方法その③（ワークフローアクションの使用）

Splunkでログ調査をしていて、調査に時間がかかったり、毎回同じような調査をして疲れているというシーンはありませんでしょうか。

今回は今まで30分程かかっていた調査が5分程に短縮されるような方法を紹介します。

以下３つを紹介予定ですが、今回の記事では③を紹介します。

①ワークフローアクションを使用した方法（こちらの記事）
②サーチマクロを使用した方法（こちらの記事）
③Splunkアプリを使用した方法

今回は「IP Extrainfo for Splunk」というSplunkアプリを使用し、IPアドレスの国や組織情報をサーチ結果に自動で表示するようにします。

IP Extrainfo for Splunkアプリについて
・Splunk base url：IP Extrainfo for Splunk | Splunkbase
・どのようなアプリか：IPアドレスの情報を元に国や組織の情報を表示するアプリ

▼使用イメージ

▼使用方法

IP Extrainfo for Splunkアプリをインストール後以下のようなコマンドを打つ
すると、そのIPアドレスの国や組織の情報が表示される

| ipextrainfo ip=clientip

「clientip」の部分には送信元IPアドレスのフィールドを記載

Splunkのテストログで以下のコマンドでテスト

index=main sourcetype=access_combined_wcookie 
|top 10 clientip
| ipextrainfo ip=clientip
|table clientip count country_name org

表示結果

IPアドレスの国コードや組織情報が表示されました。

無料で使用できますが、この国や組織情報を参照するリクエストは月の上限が30,000回となっていますので、使用しすぎにはご注意ください

It does not require an API key or registration and is free but limited to 30k requests per month.

以上となります。