6
6

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 3 years have passed since last update.

Splunk Advent Calendar 2019Advent Calendar 2019

Day 12

Splunk REST APIの玄関を叩いてみる

Last updated at Posted at 2019-12-11

はじめに

  • SplunkにはREST APIコマンドリファレンスが用意されている
    • 検索を実行。
    • オブジェクトと構成を管理。
  • GUIで出来ることはなるべくAPIでプログラマティックに実装したい人向け
  • RESTを調べたきっかけは、「あるトリガーをきっかけに”特定のログファイルの監視を有効化”させる方法」を探していてたどり着きました

REST APIで何ができるか

  1. サーチして結果をcsvで出力する
スクリーンショット 2019-12-10 13.31.55.png スクリーンショット 2019-12-10 13.32.11.png

2.inputs設定を変更する(詳細は以下で)

手順

  • やりたいこと

    • あらかじめ用意したsecureログ監視の設定(無効)を、REST APIで有効(呼び起こす)
    • 監視スクリプトなどでトリガー検知後のスクリプト実行に本REST APIをあわせる利用を想定
  • まずはsecureログの監視設定を用意しておく(無効)
    スクリーンショット 2019-12-10 13.44.20.png

  • REST APIを実行

monitor有効化
curl -k -u admin:(password) https://13.xx.xx.xx:8089/servicesNS/nobody/Splunk_TA_nix/data/inputs/monitor/%2Fvar%2Flog%2Fsecure -d disabled=false
  • point

    • -k :SSL証明書のチェック無視
    • -u :User/Pass認証
    • /Splunk_TA_nix :設定内容の保存先appを指定
    • %2Fvar%2Flog%2Fsecure →:監視対象ファイルpath(/)は「%2F」または「%252F」のURI-Encodingで指定(https://docs.splunk.com/Documentation/Splunk/8.0.0/RESTUM/RESTusing)
    • -d disabled=false →: 有効化の設定
  • 設定変更を確認(有効)
    スクリーンショット 2019-12-10 13.41.07.png

  • 他にもindexの保存先のパラメータ変更なども可能

indexの変更(secure→windows)
curl -k -u admin:(password) https://13.xx.xx.xx:8089/servicesNS/nobody/Splunk_TA_nix/data/inputs/monitor/%252Fvar%252Flog%252Fsecure -d index=windows

参考

6
6
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
6
6

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?