過去のWindowsイベントログを取り込まない方法

公開日
2017-09-01
最終更新日
2017-09-01
バージョン
Splunk Enterprise 6.4.4
概要
過去のWindowsイベントログを取り込まない方法
参考情報
内容

Windowsイベントログ取り込み時のデフォルトの動作

Windowsイベントログはinputs.confに[WinEventLog://<name>]の設定を追加することで取得することができます。

例:
アプリケーションログの場合
[WinEventLog://Application]
disabled = 0

Windowsイベントログを取り込む場合、Splunkは過去のイベントログから順次読み込みを開始します。

※1年前のWindowsイベントログがあれば、1年前のものから読み込みを開始します。

「current_only」パラメーターの仕様とデータ取り込み状況の管理方法

inputs.confには、「current_only」というパラメーターがあります。デフォルトでは0(無効)と設定されていますが、こちらを1(有効)にすることにより「Splunkが起動している間に生成されたWindowsイベントログのみ」取得します。

例えば、「current_only = 1」の設定をしてWindowsイベントログの取り込みを 7/1 12:00 に開始したとします。

この場合、 7/1 12:00以降でSpklukサービスが起動している間に出力されたWindowsイベントログが取り込みの対象となります。

※7/1 12:00 より前に出力されていた過去のWindowsイベントログは取り込みの対象となりません。

また、Windowsイベントログを取り込む場合、[monitor://<path>]などのデータ取り込みとは別に、[WinEventLog://<name>] 固有で取り込み状況を管理しており、Splunkは取り込み済みイベントログより過去のイベントログを取り込み対象から除外する仕様となっています。

※[WinEventLog://<name>] ではレコードナンバーで取り込み状況を管理しています。

過去のWindowsイベントログを取り込まない方法

上述した仕様を利用して、取り込み設定を追加した後に出力されたWindowsイベントログのみを取得するように動作させることが可能です。

【操作手順】
  • Windowsイベントログ出力元のSplunkサーバーにて以下のような設定を追記します。

例:初回取り込み時

$SPLUNK_HOME/etc/<任意のapp>/local/inputs.conf
[WinEventLog://<name>]
index = test
...(省略)
current_only = 1

※Windowsイベントログの場合、Splunkが自動でソースタイプを認識する為、「sourcetype = 」の設定は不要です。

※デフォルトインストールの場合
$SPLUNK_HOME(Linux) : /opt/splunk
$SPLUNK_HOME(Windows) : C:\Program Files\splunk

  • Splunkサービスの再起動をします。
$SPLUNK_HOME/bin/splunk restart
  • Windowsイベントログが取り込まれたことをサーチから確認します。

ここでWindowsイベントログを取り込むことで、Splunkは取り込み済みのイベントログより過去のWindowsイベントログを、取り込み対象から除外させます。

  • 上記1.で追加した設定例から「current_only = 1」の設定を除外します。

例:current_onlyの除外

$SPLUNK_HOME/etc/<任意のapp>/local/inputs.conf
[WinEventLog://<name>]
index = test
...(省略)
  • Splunkサービスの再起動をします。

注意事項

a. 必ず上記3.の手順の際に、Windowsイベントログが取り込まれたことを確認してください。

b. 上記4.の手順で、「current_only = 1」の設定を除外しなかった場合、Splunkが停止している間に出力されたWindowsイベントログが取り込まれなくなります。

c. 上記4.5.の手順の際に、Windowsイベントログの取りこぼしが発生する可能性があります。

d. current_only はWindowsイベントログの取り込み設定([WinEventLog://<name>])にのみ有効なパラメータです。

以上