製品
サービス
- ダッシュボード/SPL作成パック【実装・構築支援】
- バージョンアップサービス【実装・構築支援】
- Smart Security Monitoring App【独自App/サービス】
- Splunk × LANSCOPE Original App 【独自App/サービス】
- Security Monitoring App for Box【独自App/サービス】
- Cloud Security Monitoring App【独自App/サービス】
- サービス一覧
- Macnica Premium Support for Splunk(利活用支援、バージョンアップ見守り)
- Macnica Premium Support for Splunk スキルアップパッケージ
LookupテーブルでCIDRマッチする方法
Lookupテーブルを利用したCIDRマッチの方法 $SPLUNK_HOME/etc/apps/ ・手順内の$SPLUNK_HOMEのパスについて 【設定例】 例)ipam.csv ※文字コードUTF-8(BOM無)で保存します。 ※SplunkのWeb画面の設定>ルックアップ>ルックアップテーブルファイルよりファイルをアップロードします。 $SPLUNK_HOME/etc/apps/<app_name>/local/transforms.confファイルを直接編集(存在しない場合は新規作成)して、下記を設定します。 例)transforms.conf ※filenameには配置したファイル名を指定します。 ※transforms.confファイルlookupテーブルの詳細につきましては下記をご参照ください。 例)props.conf ※設定する際にはSplunkのWeb画面の設定>ルックアップ ≫ 自動ルックアップにて設定するか、上記のように$SPLUNK_HOME/etc/apps/<app_name>/local/props.confファイルを直接編集し、既存設定の下に自動ルックアップの設定を追記します。(上記はイベント内のフィールド名とlookupテーブルのフィールド名が同一の場合の定義です) 以上
[<Lookup定義名>]
match_type = CIDR(Lookupフィールド名)
手順内の$SPLUNK_HOMEはSplunkのインストールディレクトリです。
デフォルトでは以下です。---------
Linux : /opt/splunk
Windows : C:\Program Files\Splunk
---------
---------
src_ip,Dept
10.8.1.0/18,Dept1
10.17.101.0/16,Dept2
---------
もしくは$SPLUNK_HOME/etc/apps/<app_name>/lookups/ に配置します。
(Search&Reportで使用する場合は<app_name>はsearchとなります。)
---------
[ipam]
filename = ipam.csv
match_type = CIDR(src_ip)
---------
https://docs.splunk.com/Documentation/Splunk/9.0.4/Admin/Transformsconf#Lookup_tables
---------
[my_sourcetype]
#既存設定の下に下記を追加
LOOKUP-ipam = ipam src_ip OUTPUTNEW Dept AS Department
---------
株式会社マクニカ Splunk 担当
- TEL:045-476-2010
- E-mail:splunk-sales@macnica.co.jp
平日 9:00~17:00
