Splunk-ナレッジマネジメント

Splunkナレッジマネジメントは、SplunkEnterprise実装のナレッジオブジェクトのメンテナンスに関するものです。

以下は main features of knowledge management −

• ナレッジオブジェクトが組織内の適切なグループの人々によって共有および使用されていることを確認します。

• ナレッジオブジェクトの命名規則を実装し、重複または廃止されたオブジェクトを廃止することにより、イベントデータを正規化します。

• 検索とピボットのパフォーマンスを向上させるための戦略を監督します（レポートアクセラレーション、データモデルアクセラレーション、サマリーインデックス、バッチモード検索）。

• Pivotユーザー向けのデータモデルを構築します。

ナレッジオブジェクト

データに関する特定の情報を取得するのはSplunkオブジェクトです。ナレッジオブジェクトを作成するときは、非公開にすることも、他のユーザーと共有することもできます。ナレッジオブジェクトの例は、保存された検索、タグ、フィールド抽出、ルックアップなどです。

ナレッジオブジェクトの使用

Splunkソフトウェアを使用すると、ナレッジオブジェクトが作成および保存されます。ただし、重複する情報が含まれている場合や、対象読者全員が効果的に使用しているとは限りません。このような問題に対処するには、これらのオブジェクトを管理する必要があります。これは、それらを適切に分類し、適切な権限管理を使用してそれらを処理することによって行われます。以下は、さまざまな知識オブジェクトの使用法と分類です。

フィールドとフィールド抽出

フィールドとフィールド抽出は、Splunkソフトウェアの知識の最初のレイヤーです。SplunkソフトウェアからITデータから自動的に抽出されたフィールドは、生データに意味をもたらすのに役立ちます。手動で抽出されたフィールドは、この意味の層を拡張および改善します。

イベントの種類とトランザクション

イベントタイプとトランザクションを使用して、類似したイベントの興味深いセットをグループ化します。イベントタイプは、検索によって検出されたイベントのセットをグループ化します。トランザクションは、時間にまたがる概念的に関連するイベントのコレクションです。

ルックアップとワークフローアクション

ルックアップとワークフローアクションは、さまざまな方法でデータの有用性を拡張するナレッジオブジェクトのカテゴリです。フィールドルックアップを使用すると、静的テーブル（CSVファイル）やPythonベースのコマンドなどの外部データソースからデータにフィールドを追加できます。ワークフローアクションにより、データ内のフィールドと、IPアドレスを含むフィールドでのWHOISルックアップなど、他のアプリケーションまたはWebリソースとの間の相互作用が可能になります。

タグとエイリアス

タグとエイリアスは、フィールド情報のセットを管理および正規化するために使用されます。タグとエイリアスを使用して、関連するフィールド値のセットをグループ化し、それらのIDのさまざまな側面を反映する抽出されたフィールドタグを与えることができます。たとえば、各ホストに同じタグを付けることで、特定の場所（建物や都市など）にある一連のホストからのイベントをグループ化できます。

同じデータを参照するために異なるフィールド名を使用する2つの異なるソースがある場合は、エイリアスを使用してデータを正規化できます（たとえば、clientipをipaddressにエイリアスします）。

データモデル

データモデルは1つ以上のデータセットの表現であり、Pivo​​tツールを駆動します。これにより、Pivo​​tユーザーは、Splunkソフトウェアの検索言語を操作しなくても、有用なテーブル、複雑な視覚化、堅牢なレポートをすばやく生成できます。データモデルは、インデックス付きデータの形式とセマンティクスを完全に理解しているナレッジマネージャーによって設計されています。典型的なデータモデルは、他の知識オブジェクトタイプを利用します。

これらのナレッジオブジェクトの例のいくつかについては、次の章で説明します。