実施環境: Splunk Free 8.2.2
Splunk での検索において、特定のフィールド値を持つイベントを分類、抽出したい場合があります。
その方法には様々なものがありますが、今回はイベントタイプという機能で抽出を行ってみようと思います。
1. 概要
例えば、以下のようなフィールド値を持つイベントがあるとします。
sourcetype="send_report" type="error" message="connection error"
このイベントを大量のデータから探索するのに最も単純なのは、サーチ文に上の条件を含めて該当のイベントのみを表示することです。
では、他のイベントも一緒に見たい場合はどうすればよいでしょうか。
そのようなときに使用できるのが、今回紹介するイベントタイプという機能です。
2. 設定方法
「設定」⇒「イベントタイプ」を選択します。
イベントタイプの一覧画面が開くので、右上の「新しいイベントタイプ」を選択します。
イベントタイプの設定を入力します。
ここでは以下の設定を入力します。
タグ、色、優先度については後程紹介するので、ここではデフォルトのままにしておきます。
| 項目名 | 値 |
|---|---|
| 宛先 App | search |
| 名前 | test_eventtype |
| サーチ文字列 | sourcetype="scheduler" status="success" |
| タグ | (設定なし) |
| 色 | なし |
| 優先度 | 1(最高) |
これでイベントタイプが作成できました。
3. 使用方法
試しに、以下の SPL を詳細モードで実行してみましょう。
index="_internal" source="*scheduler.log"
条件に合致するイベントについて、イベントタイプが適用されていることがわかります。
イベントタイプを検索に加えることもできます。
index="_internal" source="*scheduler.log" eventtype="test_eventtype"
4. 色
先ほどの設定について、「色」を「マゼンタ」に変更してみます。
そして、先ほどの SPL を再度詳細モードで実行してみましょう。
index="_internal" source="*scheduler.log"
すると、以下のようにイベントタイプに合致するサーチだけ「>」の部分に色が付き、わかりやすくなります。
5. 優先度
イベントタイプには、優先度が付けられます。
優先度は数字が小さいほど優先され、最も優先される値が1、最も優先されない値が10となります。
試しに、以下のイベントタイプを追加で作成してみます。
| 項目名 | 値 |
|---|---|
| 宛先 App | search |
| 名前 | test_eventtype2 |
| サーチ文字列 | sourcetype IN ("scheduler", "splunkd") |
| タグ | (設定なし) |
| 色 | ティール |
| 優先度 | 10(最低) |
そして、先ほどの SPL を再度詳細モードで実行します。
index="_internal" source="*scheduler.log"
すると以下の通り、優先度1の設定のほうが優先度10の設定より先に適用されました。
6. タグ
イベントタイプにはタグを付与し、検索等に使用することができます。
試しに1つ目のイベントタイプについて、「タグ」に「 event_tag 」を指定してみます。
そして、指定したタグを使用して SPL を実行してみます。
index="_internal" tag="event_tag"
すると以下の通り、タグに紐づけられたイベントタイプのイベントが抽出できました。
