略式ですが。。。
SplunkのGUIで、settings -> Licensingを選択
CSVファイルをアップロードする
下記を入力
Destination filename: My_CSV_File
/splunk/etc/apps/search/default# more transforms.conf
[geo_us_states]
external_type = geo
filename = geo_us_states.kmz
[geo_countries]
external_type = geo
filename = geo_countries.kmz
[geo_attr_us_states]
filename = geo_attr_us_states.csv
[geo_attr_countries]
filename = geo_attr_countries.csv
[ip_address_lookup]
filename = My_CSV
match_type = CIDR(CIDR)
max_matches = 1
このようにして使う。CIDRMATCHは、lookupの定義ファイルでなく、transforms.confを修正するのがポイント。
lookup ip_address_lookup CIDR as source_ip