iplocation を利用すると、接続先IP アドレスから、ロケーション情報を取得できます。
ロケーション情報を利用して、マップに結果を表示することができるようになるので、非常に便利な機能です。
ただ、ロケーション情報は、インストール後、定期的に更新をしないと情報が古くなります。
アップグレード時に更新されるのですが、そんなに頻繁にアップグレード作業は実施しないですよね。
社内のAWS コンソールアクセスをチェックするようなダッシュボードを作成していたら、
都内在住の社員が、栃木方面にいるような結果に。。。
現在は基本在宅勤務 OK なので、Goto でも利用してリモートで作業しているのかと思った次第でした。
で、確認してみたら、都内にいるようなので、こりゃデータが古いなということで、更新することにしました。
実は、ロケーション情報のデータは手動で更新が可能です。
手順は、下記に記載されています。
https://docs.splunk.com/Documentation/Splunk/8.1.0/SearchReference/Iplocation
Splunk は、 Maxmind Geolocation データベースを利用しています。
上記に記載しているリンクから、GeoLite2-City.mmdb ファイルをダウンロードし、
$SPLUNK_HOME/share/ にあるファイルを置き換えるだけです。
※有償版を利用すると定期的にダウンロードして置き換えることも可能となります。
で置き換えた結果がこちら。
無事都内に戻ってきました(笑)!
なんか、表示している位置がおかしいなと思ったら、このファイルを置き換えることも検討ください。
Happy Splunking!
補足:(※2020/12/10追記)
注意事項として、インストール時にシステムで提供しているファイルを更新すると、サービス再起動時後に、ファイルの整合性チェックでエラーになります。
更新したファイルのエラーであれば、このエラーは無視頂いて問題ありません。
通常バージョンアップすることで、これらのファイルのチェックサム値が記載されているマニフェストファイルとGeo情報が格納されたファイルも更新されるので、整合性エラーはでなくなります。
補足:(※ 2023/7/24 追記)
最新のバージョンでは、Web UI からロケーションファイルを追加、更新出来ます。
https://docs.splunk.com/Documentation/Splunk/9.1.0/SearchReference/Iplocation#Updating_the_IP_geolocation_database_file