Splunk-データの取り込み
Splunkでのデータの取り込みは、 Add Data検索およびレポートアプリの一部である機能。ログイン後、Splunkインターフェースのホーム画面にAdd Data 以下に示すようなアイコン。
このボタンをクリックすると、分析のためにSplunkにプッシュする予定のデータのソースとフォーマットを選択するための画面が表示されます。
データの収集
分析用のデータは、Splunkの公式ウェブサイトから入手できます。このファイルを保存して、ローカルドライブに解凍します。フォルダを開くと、形式の異なる3つのファイルが見つかります。これらは、一部のWebアプリによって生成されたログデータです。また、Splunkが提供する別のデータセットを収集することもできます。これは、Splunkの公式Webページから入手できます。
Splunkのさまざまな機能の動作を理解するために、これら両方のセットのデータを使用します。
データのアップロード
次に、ファイルを選択します。 secure.log フォルダから、 mailsv前の段落で述べたように、これはローカルシステムに保持しています。ファイルを選択したら、右上隅にある緑色の[次へ]ボタンを使用して次のステップに進みます。
ソースタイプの選択
Splunkには、取り込まれるデータのタイプを検出する機能が組み込まれています。また、Splunkが選択したものとは異なるデータ型を選択するオプションもユーザーに提供します。ソースタイプのドロップダウンをクリックすると、Splunkが取り込み、検索できるようにするさまざまなデータタイプが表示されます。
以下に示す現在の例では、デフォルトのソースタイプを選択します。
入力設定
データ取り込みのこのステップでは、データの取り込み元のホスト名を構成します。ホスト名として選択できるオプションは次のとおりです-
定数値
これは、ソースデータが存在する完全なホスト名です。
パス上の正規表現
正規表現でホスト名を抽出したい場合。次に、抽出するホストの正規表現を[正規表現]フィールドに入力します。
パス内のセグメント
データソースのパスのセグメントからホスト名を抽出する場合は、[セグメント番号]フィールドにセグメント番号を入力します。たとえば、ソースへのパスが/ var / log /であり、3番目のセグメント(ホストサーバー名)をホスト値にする場合は、「3」と入力します。
次に、検索用の入力データに作成するインデックスタイプを選択します。デフォルトのインデックス戦略を選択します。サマリーインデックスは、集計によってデータのサマリーのみを作成し、その上にインデックスを作成しますが、履歴インデックスは検索履歴を保存するためのものです。下の画像にはっきりと描かれています-
設定を確認する
次のボタンをクリックすると、選択した設定の概要が表示されます。それを確認し、[次へ]を選択してデータのアップロードを終了します。
ロードが完了すると、以下の画面が表示され、データの取り込みが成功したことと、データに対して実行できるその他の可能なアクションが示されます。