サイト内検索
セキュリティ事業メニュー
セキュリティ事業
HOME
選ばれる
理由
サービス
取扱メーカー
事例・レポート・
ブログ・用語集
セミナー・
オンデマンド動画
TOP
製品・サービス
仕様・技術情報
ソリューション
ユーザー事例
サポート
セミナー・コンテンツ
評価機申込・FAQ
資料請求
お問い合わせ
イベント・セミナー
オンデマンド動画

検索時に利用するソースタイプ名を変更する方法

公開日
2019-08-29
最終更新日
2023-11-27
バージョン
Splunk Enterprise 9.1.1
概要
Splunkにはソースタイプ名を変更して検索できるようにする「rename」という機能が用意されています。
ログの取り込み時とは異なるソースタイプ名で対象のログを検索したい場合や、複数のソースタイプを同一のものとして検索したい場合等に、この機能を利用します。
この機能を利用する場合、props.confでパラメーター 「rename」を設定します。
参考情報
内容

「rename」の機能について

Splunkではログの取り込み時に利用したソースタイプ名を指定することで、対象のログの検索を行うことが可能です。

「rename」という機能により、ログの検索時に指定するソースタイプ名を変更することが可能です。

この機能を利用することで、以下のような操作が行えます。

  • 取り込み時に指定したソースタイプ名とは別名でログを検索する
  • 検索時に利用する複数のソースタイプを同一のものとして扱う

設定例

<前提>

取り込み時に指定したソースタイプ名:sourcetypeA
検索時に利用したいソースタイプ名:sourcetypeB

<設定対象ファイル>

サーチヘッドの
$SPLUNK_HOME/etc/system/local/props.conf  もしくは
$SPLUNK_HOME/etc/apps/<任意のApp>/local/props.conf

※$SPLUNK_HOMEはインストールディレクトリです。また、デフォルトでは以下の通りです。

<Linux>

Splunk Enterprise : /opt/splunk

<Windows>

Splunk Enterprise : C:\Program Files\Splunk

追加する設定

[sourcetypeA]

…既存の設定…

rename = sourcetypeB

上記の設定追加後、検索時の対象のソースタイプの扱いは以下となります。

  • sourcetypeBを指定して検索すると、sourcetypeAで取り込みを行ったログが検索結果に表示されます。
  • sourcetypeAを指定して検索すると、sourcetypeAで取り込みを行ったログは検索結果に表示されません。

尚、検索時にフィールド「_sourcetype」を利用すると、変更前のソースタイプ名で対象のログを検索することが可能です。

<例>

_sourcetype = sourcetypeA

注意事項

「rename」の機能は検索時のみ利用できます。ログ取り込み時に指定するソースタイプ名を変更することはできません。

以上

前のページへ