SPLとは
Splunk社独自のサーチ言語。
SPL⇒Search Proccessing Languageの略。
ルールは簡単で下記2点
・コマンドの間はパイプ(|)で繋ぐ。
・先頭から順番に処理される。
140種類以上有り。オプションコマンドもあるので、適宜使用していく。
最も基本的なSPL
▼searchコマンド
特定のワードを含むイベントをサーチすることができる。
さらにフィールド値を条件付きでサーチも可能。
例1:search index="log_server" name="Tanaka"
例2:search index="FW_server" src_ip="192.168.10.9"
※「“”」内の文字は可変。各々が作成した時に設定した値となる。
※ちなみに「search」は省略して使用可能です。
実際は大半が省略してるので、省略した方を見慣れておくと良いです。
例3:index="log_server" name="Tanaka"
例4:index="FW_server" src_ip="192.168.10.9"
※省略されているだけなので、例1=例3、例2=例4は同等の意味になる。
▼index(インデックス)
収集したログデータを保存しているリポジトリ(保管場所)。
難しくいうと、収集した機器のログをどのインデックス値と紐づけるかを表す項目。
対象機器のindex名を指定することで、分析したい機器のログを抽出してくれる。
SQLで例えると、テーブル名みたいなもの。
例1:search index ="web_server"
例2:search index ="paloalto_ips"
例3:search index ="impreva_waf"
▼sourcetype(ソースタイプ)
ログの種類を指定できる。
取り込むログがどのようなログかを定義してくれる項目。
例:アクセス成功ログ、アクセス失敗ログ
例1:search index ="paloalto_ips" sourcetype="secure"
例2:search index ="web_server" sourcetype="message"
サーチ文に取り入れることで、ログ絞り込みが効率よくできる。
さいごに
簡単に言うと、
・「search」は大半が省略して使用。コマンド入れなきゃ自動的に「search」扱いになってると認識しておく。
・「index」でログを検索したいデータを指定。
・「sourcetype」は更に絞り込むためにログの種類で絞り込めます。