LookupテーブルでCIDRマッチする方法

公開日
2016-10-11
最終更新日
2016-10-11
バージョン
Splunk Enterprise 6.4.3
概要
LookupテーブルでCIDRマッチする方法
参考情報
内容

Lookupテーブルを利用したCIDRマッチの方法

$SPLUNK_HOME/etc/apps//local/transforms.confに以下を設定することによりCIDRマッチを利用した検索ができます。

[<Lookup定義名>]
match_type = CIDR(Lookupフィールド名)

【設定例】

  • ルックアップテーブルを作成します。

例)ipam.csv

---------
src_ip,Dept
10.8.1.0/18,Dept1
10.17.101.0/16,Dept2
---------

※文字コードUTF-8(BOM無)で保存します。

※SplunkのWeb画面の設定>ルックアップ>ルックアップテーブルファイルよりファイルをアップロードします。
もしくは$SPLUNK_HOME/etc/apps//lookups/ に配置します。
(Search&Reportで使用する場合ははsearchとなります。)

  • ルックアップ定義を行います。

$SPLUNK_HOME/etc/apps//local/transforms.confファイルを直接編集(存在しない場合は新規作成)して、下記を設定します。

例)transforms.conf

---------
[ipam]
filename = ipam.csv
match_type = CIDR(src_ip)
---------

※filenameには配置したファイル名を指定します。

※transforms.confファイルlookupテーブルの詳細につきましては下記をご参照ください。
https://docs.splunk.com/Documentation/Splunk/6.4.3/Admin/Transformsconf#Lookup_tables

  • 必要に応じて、自動ルックアップ設定を行います。(必須ではありません)

例)props.conf

---------
[my_sourcetype]
#既存設定の下に下記を追加
LOOKUP-ipam = ipam src_ip OUTPUTNEW Dept AS Department
---------

※設定する際にはSplunkのWeb画面の設定>ルックアップ ≫ 自動ルックアップにて設定するか、上記のように$SPLUNK_HOME/etc/apps//local/props.confファイルを直接編集し、既存設定の下に自動ルックアップの設定を追記します。(上記はイベント内のフィールド名とlookupテーブルのフィールド名が同一の場合の定義です)

以上