製品
サービス
- 簡易セキュリティコンサルティング【コンサルティング】
- Splunk SOAR 自動化アセスメントサービス【コンサルティング】
- ダッシュボード/SPL作成パック【実装・構築支援】
- バージョンアップサービス【実装・構築支援】
- Splunk Premium Apps 構築サポートサービス【実装・構築支援】
- Splunkセキュリティログ分析スタートパッケージ【独自App/サービス】
- Splunk × CrowdStrike Falcon Insight, Macnica Original App【独自App/サービス】
- 政府統一基準対応App【独自App/サービス】
- Smart Security Monitoring App【独自App/サービス】
- Splunk × LANSCOPE Original App 【独自App/サービス】
- Security Monitoring App for Box【独自App/サービス】
- Cloud Security Monitoring App【独自App/サービス】
- SIEM運用監視サービス【独自App/サービス】
- サービス一覧
- Macnica Premium Support for Splunk(利活用支援、バージョンアップ見守り)
- Macnica Premium Support for Splunk スキルアップパッケージ
仕様・技術情報
LookupテーブルでCIDRマッチする方法
- 公開日
- 2016-10-11
- 最終更新日
- 2023-12-01
- バージョン
- Splunk Enterprise 9.0.4
- 概要
- LookupテーブルでCIDRマッチする方法
- 内容
-
Lookupテーブルを利用したCIDRマッチの方法
$SPLUNK_HOME/etc/apps/
/local/transforms.confに以下を設定することによりCIDRマッチを利用した検索ができます。 [<Lookup定義名>]
match_type = CIDR(Lookupフィールド名)・手順内の$SPLUNK_HOMEのパスについて
手順内の$SPLUNK_HOMEはSplunkのインストールディレクトリです。
デフォルトでは以下です。---------
Linux : /opt/splunk
Windows : C:\Program Files\Splunk
---------【設定例】
- ルックアップテーブルを作成します。
例)ipam.csv
---------
src_ip,Dept
10.8.1.0/18,Dept1
10.17.101.0/16,Dept2
---------※文字コードUTF-8(BOM無)で保存します。
※SplunkのWeb画面の設定>ルックアップ>ルックアップテーブルファイルよりファイルをアップロードします。
もしくは$SPLUNK_HOME/etc/apps/<app_name>/lookups/ に配置します。
(Search&Reportで使用する場合は<app_name>はsearchとなります。)- ルックアップ定義を行います。
$SPLUNK_HOME/etc/apps/<app_name>/local/transforms.confファイルを直接編集(存在しない場合は新規作成)して、下記を設定します。
例)transforms.conf
---------
[ipam]
filename = ipam.csv
match_type = CIDR(src_ip)
---------※filenameには配置したファイル名を指定します。
※transforms.confファイルlookupテーブルの詳細につきましては下記をご参照ください。
https://docs.splunk.com/Documentation/Splunk/9.0.4/Admin/Transformsconf#Lookup_tables- 必要に応じて、自動ルックアップ設定を行います。(必須ではありません)
例)props.conf
---------
[my_sourcetype]
#既存設定の下に下記を追加
LOOKUP-ipam = ipam src_ip OUTPUTNEW Dept AS Department
---------※設定する際にはSplunkのWeb画面の設定>ルックアップ ≫ 自動ルックアップにて設定するか、上記のように$SPLUNK_HOME/etc/apps/<app_name>/local/props.confファイルを直接編集し、既存設定の下に自動ルックアップの設定を追記します。(上記はイベント内のフィールド名とlookupテーブルのフィールド名が同一の場合の定義です)
以上
株式会社マクニカ Splunk 担当
- TEL:045-476-2010
- E-mail:splunk-sales@macnica.co.jp
月~金 8:45~17:30