実施環境: Splunk Free 8.2.2
0. 概要
Splunk には、ワークフローという機能があります。
これは stats コマンド等を使用しない単純な検索時に使用できる機能で、フィールドの値を Splunk の内部/外部に受け渡すことができます。
この機能を利用すると、例えば発見したエラーメッセージをそのまま検索したり、問題のありそうなホストに絞ってログを調査したりすることが可能です。
今回はこのワークフローという機能について紹介します。
1. ワークフローの種類
ワークフローには大きくわけて3つの種類があります。
- 外部への受け渡し
- GET : URL の末尾にパラメータを入れる
- POST : 「メッセージボディ」にパラメータを入れる
- 内部への受け渡し
- Search : SPL にパラメータを入れる
GET / POST の細かい説明はここでは省きます。
詳しく知りたい方は、「 HTTPリクエスト」等のキーワードで検索してください。
今回は、 GET と Search について作成してみます。
2. 外部への受け渡し
まずは、外部への受け渡しを行うワークフローを作成してみます。
今回は GET で作成してみましょう。
「設定」⇒「フィールド」を選択します。
「ワークフローアクション」を選択します。
ワークフローの一覧が開くので、右上の「新しいワークフローアクション」を押します。
すると、ワークフローの作成画面が開きます。
今回は、以下のように指定して作成してみます。
なお、$で囲っている箇所には、そこで指定したフィールドの値が代入されます。
| 項目 | 値 |
|---|---|
| 宛先App | search |
| 名前 | test_post |
| ラベル | Google Search for : $reason$ |
| アクションの表示先 | イベントメニュー |
| アクションタイプ | リンク |
| URL | https://www.google.co.jp/search?q=$reason$ |
| リンクの表示先 | 新規ウィンドウ |
| リンク方法 | GET |
一覧に先ほど作成したワークフローが表示されます。
さて、実際に作成したワークフローを使用してみましょう。
App 「 Search & Reporting 」で以下の SPL を実行します。
index="_internal" source="*splunkd.log"
| where isnotnull(reason)
検索されたデータの1つを開いてみます。
「イベントアクション」を選択すると、先ほど作成したワークフローのラベルが表示されていることがわかります。
これをクリックすると、以下のように Google でエラーメッセージを検索できました。
POST の場合は、「リンク方法」を「 POST 」に変えるだけであとはほぼ同様に作成、利用可能です。
3. 内部への受け渡し
次に、内部への受け渡しを行うワークフローを作成してみます。
以下のように指定してワークフローを作成します。
| 項目 | 値 |
|---|---|
| 宛先App | search |
| 名前 | test_search |
| ラベル | Splunk Search for : $host$ |
| アクションの表示先 | イベントメニュー |
| アクションタイプ | サーチ |
| サーチ文字列 | index="_internal" source="*metrics.log" host="$host$" |
| サーチの実行 | 新規ウィンドウ |
先ほどと同じ SPL を実行して「イベントアクション」を開くと、以下のように先ほど作成したラベルが表示されます。
これをクリックすると、以下のように該当ホストの metrics.log を検索することができました。
4. 表示場所の変更
ちなみに上記では「イベントアクション」からワークフローを実行していますが、「アクションの表示先」を「フィールドメニュー」に変更すると「アクション」から実行することができます。
