製品
サービス
- 簡易セキュリティコンサルティング【コンサルティング】
- Splunk SOAR 自動化アセスメントサービス【コンサルティング】
- ダッシュボード/SPL作成パック【実装・構築支援】
- バージョンアップサービス【実装・構築支援】
- Splunk Premium Apps 構築サポートサービス【実装・構築支援】
- Splunkセキュリティログ分析スタートパッケージ【独自App/サービス】
- Splunk × CrowdStrike Falcon Insight, Macnica Original App【独自App/サービス】
- 政府統一基準対応App【独自App/サービス】
- Smart Security Monitoring App【独自App/サービス】
- Splunk × LANSCOPE Original App 【独自App/サービス】
- Security Monitoring App for Box【独自App/サービス】
- Cloud Security Monitoring App【独自App/サービス】
- SIEM運用監視サービス【独自App/サービス】
- サービス一覧
- Macnica Premium Support for Splunk(利活用支援、バージョンアップ見守り)
- Macnica Premium Support for Splunk スキルアップパッケージ
仕様・技術情報
JSON形式のログ検索時フィールドが2重に表示されてしまう場合の回避方法
JSON形式のログを取り込むためのソースタイプにてカスタムでフィールドを定義した場合、取り込んだログファイルを検索した際にフィールドが2重に表示される場合があります。 これはインデックス処理時(データ取り込み時)にフィールドが抽出され、なおかつ、データ検索時にもフィールドが抽出されたために同じフィールドが2重に表示される事が原因として考えられます。 対処方法として、サーチを実行するSplunkサーバーのprops.confファイルに、以下のパラメーターを追記する事で事象の回避が可能です。 設定ファイル サーチを実行するSplunkサーバーのprops.conf (設定ファイル例) ※注:デフォルトインストールの場合の$SPLUNK_HOME 設定内容 [<フィールドが重複しているデータのソースタイプ名>] <設定例> [SourcetypeA] 設定ファイル編集後、下記のURLへアクセスし「refresh」ボタンをクリックすることで再起動せずに設定内容を反映させることができます。 以上
$SPLUNK_HOME/etc/system/local/props.conf
$SPLUNK_HOME/etc/apps/<App名>/local/props.confLinux:/opt/splunk
Windows:C:\Program Files\splunkKV_MODE = none
KV_MODE = none
http://<SplunkサーバーのIPアドレス>:8000/debug/refresh
株式会社マクニカ Splunk 担当
- TEL:045-476-2010
- E-mail:splunk-sales@macnica.co.jp
月~金 8:45~17:30