製品
サービス
- 簡易セキュリティコンサルティング【コンサルティング】
- Splunk SOAR 自動化アセスメントサービス【コンサルティング】
- ダッシュボード/SPL作成パック【実装・構築支援】
- バージョンアップサービス【実装・構築支援】
- Splunk Premium Apps 構築サポートサービス【実装・構築支援】
- Splunkセキュリティログ分析スタートパッケージ【独自App/サービス】
- Splunk × CrowdStrike Falcon Insight, Macnica Original App【独自App/サービス】
- 政府統一基準対応App【独自App/サービス】
- Smart Security Monitoring App【独自App/サービス】
- Splunk × LANSCOPE Original App 【独自App/サービス】
- Security Monitoring App for Box【独自App/サービス】
- Cloud Security Monitoring App【独自App/サービス】
- SIEM運用監視サービス【独自App/サービス】
- サービス一覧
- Macnica Premium Support for Splunk(利活用支援、バージョンアップ見守り)
- Macnica Premium Support for Splunk スキルアップパッケージ
仕様・技術情報
特定の時刻よりも古いファイルを取り込まない方法(ignoreOlderThan の利用方法)
inputs.confのパラメーターの一つであるignoreOlderThanを設定すると、Splunkはファイルの更新日時が設定された基準時刻よりも古いファイルは取り込まないという動作を行います。 inputs.conf 設定例 なお、ignoreOlderThanで指定した時刻の基準の日時はSplunkのサービスが起動し、上記の設定を反映させた時刻となります。 例えば、2023/6/2 00:00:00に上述のようにignoreOlderThan=1dを設定し、/var/log/abc/xyz.logファイルの更新日時が2023/6/1 00:00:00より前の場合、Splunkへの取り込みの対象から除外されます。 ※注意点※ ignoreOlderThanで指定した時間範囲の基準についてはSplunkの再起動を実施したタイミングで再起動を実施した日時に更新されます。 設定ファイルの確認方法 inputs.confにて設定した内容が正しく反映されているか確認する場合、以下のコマンドを実行し、設定した内容が表示されるか確認してください。 ※$SPLUNK_HOMEはインストールディレクトリです。デフォルトでは以下です。 <Linux> <Windows> 以上
[monitor:///var/log/abc/xyz.log]
sourcetype = test
ignoreOlderThan = 1d
この基準はSplunkを起動/再起動による設定の読み込み直しが発生しない限り、変わりません。
本FAQにて説明した内容の詳細に関しては、後述の参考資料をご確認ください。$SPLUNK_HOME/bin/splunk cmd btool inputs listSplunk Enterprise : /opt/splunk
Universal Forwarder : /opt/splunkforwarderSplunk Enterprise : C:\Program Files\Splunk
Universal Forwarder : C:\Program Files\SplunkUniversalForwarder
株式会社マクニカ Splunk 担当
- TEL:045-476-2010
- E-mail:splunk-sales@macnica.co.jp
月~金 8:45~17:30
