Windowsイベントログ取り込み時のデフォルトの動作

Windowsイベントログはinputs.confに[WinEventLog://<name>]の設定を追加することで取得することができます。

例：
アプリケーションログの場合
[WinEventLog://Application]
disabled = 0

Windowsイベントログを取り込む場合、Splunkは過去のイベントログから順次読み込みを開始します。

※1年前のWindowsイベントログがあれば、1年前のものから読み込みを開始します。

「current_only」パラメーターの仕様とデータ取り込み状況の管理方法

inputs.confには、「current_only」というパラメーターがあります。デフォルトでは0（無効）と設定されていますが、こちらを1（有効）にすることにより「Splunkが起動している間に生成されたWindowsイベントログのみ」取得します。

例えば、「current_only = 1」の設定をしてWindowsイベントログの取り込みを 7/1 12:00 に開始したとします。

この場合、 7/1 12:00以降でSpklukサービスが起動している間に出力されたWindowsイベントログが取り込みの対象となります。

※7/1 12:00 より前に出力されていた過去のWindowsイベントログは取り込みの対象となりません。

また、Windowsイベントログを取り込む場合、[monitor://<path>]などのデータ取り込みとは別に、[WinEventLog://<name>] 固有で取り込み状況を管理しており、Splunkは取り込み済みイベントログより過去のイベントログを取り込み対象から除外する仕様となっています。

※[WinEventLog://<name>] ではレコードナンバーで取り込み状況を管理しています。

過去のWindowsイベントログを取り込まない方法

上述した仕様を利用して、取り込み設定を追加した後に出力されたWindowsイベントログのみを取得するように動作させることが可能です。

$SPLUNK_HOME/etc/<任意のapp>/local/inputs.conf
[WinEventLog://<name>]
index = test
...（省略）
current_only = 1

$SPLUNK_HOME/bin/splunk restart

$SPLUNK_HOME/etc/<任意のapp>/local/inputs.conf
[WinEventLog://<name>]
index = test
...（省略）

注意事項

a. 必ず上記3.の手順の際に、Windowsイベントログが取り込まれたことを確認してください。

b. 上記4.の手順で、「current_only = 1」の設定を除外しなかった場合、Splunkが停止している間に出力されたWindowsイベントログが取り込まれなくなります。

c. 上記4.5.の手順の際に、Windowsイベントログの取りこぼしが発生する可能性があります。

d. current_only はWindowsイベントログの取り込み設定（[WinEventLog://<name>]）にのみ有効なパラメータです。