製品
サービス
- 簡易セキュリティコンサルティング【コンサルティング】
- Splunk SOAR 自動化アセスメントサービス【コンサルティング】
- ダッシュボード/SPL作成パック【実装・構築支援】
- バージョンアップサービス【実装・構築支援】
- Splunk Premium Apps 構築サポートサービス【実装・構築支援】
- Splunkセキュリティログ分析スタートパッケージ【独自App/サービス】
- Splunk × CrowdStrike Falcon Insight, Macnica Original App【独自App/サービス】
- 政府統一基準対応App【独自App/サービス】
- Smart Security Monitoring App【独自App/サービス】
- Splunk × LANSCOPE Original App 【独自App/サービス】
- Security Monitoring App for Box【独自App/サービス】
- Cloud Security Monitoring App【独自App/サービス】
- SIEM運用監視サービス【独自App/サービス】
- サービス一覧
- Macnica Premium Support for Splunk(利活用支援、バージョンアップ見守り)
- Macnica Premium Support for Splunk スキルアップパッケージ
仕様・技術情報
検索時に利用するソースタイプ名を変更する方法
「rename」の機能について Splunkではログの取り込み時に利用したソースタイプ名を指定することで、対象のログの検索を行うことが可能です。 「rename」という機能により、ログの検索時に指定するソースタイプ名を変更することが可能です。 この機能を利用することで、以下のような操作が行えます。 設定例 <前提> <設定対象ファイル> <追加する設定> ※$SPLUNK_HOMEはSplunkのインストールディレクトリに読み替えてください。デフォルトインストールの場合は以下の通りです。 <Linux> <Windows> ※設定追加後のSplunkサービスの再起動は必要ありません。 上記の設定追加後、検索時の対象のソースタイプの扱いは以下となります。 尚、検索時にフィールド「_sourcetype」を利用すると、変更前のソースタイプ名で対象のログを検索することが可能です。 <例> 注意事項 「rename」の機能は検索時のみ利用できます。ログ取り込み時に指定するソースタイプ名を変更することはできません。 以上
ログの取り込み時とは異なるソースタイプ名で対象のログを検索したい場合や、複数のソースタイプを同一のものとして検索したい場合等に、この機能を利用します。
この機能を利用する場合、props.confでパラメーター 「rename」を設定します。
検索時に利用したいソースタイプ名:sourcetypeB
$SPLUNK_HOME/etc/system/local/props.conf もしくは
$SPLUNK_HOME/etc/apps/<任意のApp>/local/props.conf
…既存の設定…
rename = sourcetypeB/opt/splunkC:\Program Files\Splunk
株式会社マクニカ Splunk 担当
- TEL:045-476-2010
- E-mail:splunk-sales@macnica.co.jp
月~金 8:45~17:30
