Splunk-ソースタイプ

Splunkへのすべての受信データは、最初に組み込みのデータ処理ユニットによって判断され、特定のデータタイプとカテゴリに分類されます。たとえば、Apache Webサーバーからのログの場合、Splunkはそれを認識し、読み取られたデータから適切なフィールドを作成できます。

Splunkのこの機能はソースタイプ検出と呼ばれ、「事前トレーニング済み」ソースタイプと呼ばれる組み込みのソースタイプを使用してこれを実現します。

これにより、ユーザーがデータを手動で分類し、受信データのフィールドにデータ型を割り当てる必要がないため、分析が容易になります。

サポートされているソースタイプ

Splunkでサポートされているソースタイプは、ファイルをアップロードすることで確認できます。 Add Data機能をクリックし、ソースタイプのドロップダウンを選択します。以下の画像では、CSVファイルをアップロードしてから、使用可能なすべてのオプションを確認しています。

ソースタイプサブカテゴリ

これらのカテゴリでも、さらにクリックすると、サポートされているすべてのサブカテゴリが表示されます。したがって、データベースカテゴリを選択すると、Splunkが認識できるさまざまなタイプのデータベースとそれらがサポートするファイルを見つけることができます。

事前トレーニング済みのソースタイプ

以下の表は、Splunkが認識する重要な事前トレーニング済みソースタイプの一部を示しています。

ソースタイプ名 自然
access_combined NCSA結合形式のhttpWebサーバーログ(Apacheまたは他のWebサーバーで生成できます)
access_combined_wcookie NCSA結合形式のhttpWebサーバーログ(Apacheまたは他のWebサーバーで生成可能)。最後にCookieフィールドが追加されます。
apache_error 標準のApacheWebサーバーエラーログ
linux_messages_syslog 標準のLinuxsyslog(ほとんどのプラットフォームで/ var / log / messages)
log4j log4jを使用してJ2EEサーバーによって生成されたLog4j標準出力
mysqld_error 標準のmysqlエラーログ