Splunk Appの追加 (Lookup Editor)
今回はSplunk Appの追加方法をご紹介します。
splunkbaseというサイトに色々なAppやAdd-onが掲載されているので気になるものがあればインストールしてみましょう。
splunkbase.splunk.com
私は今回Lookup File Editorをインストールしようと思います。
Lookup File EditorはLuke Murpheyさんが作成したAppで、AppInspectをパスしています。
Not supportedですが執筆時点で約1ヶ月前に更新があります。
また、GitHubでAppを公開していますので透明性が高いです。
Luke Murpheyさん素晴らしいAppをありがとうございます!!
App/Add-onとは
おそらくナレッジオブジェクト(saved searches, event types, tags, field extractions, lookups, reports, alerts, data models, transactions, workflow actions, and fields)や、
ダッシュボード(dashboard)、可視化(visualization)などを提供する設定ファイル群(パッケージ)のことを指します。
ファイルでいうと「$SPLUNK_HOME/etc/apps/」以下のフォルダが一つのApp/Add-onです。
splunk AppとAdd-onの違いは複雑(専門性が高い)か単純(汎用性がある)かというくらいです。
AppはWebユーザインタフェースや設定画面、ダッシュボードを持ちます。
Add-onは設定のみの提供となり、私が以前の記事で書いたsquidのフィールド定義や取り込み設定は配布する場合、Add-onになります。
呼び方が異なりますが、Splunkのシステム上はどちらもAppとして「etc/apps」以下で管理します。
参考: what-are-splunk-apps-and-add-ons
サポートの種類
3種類あります。
Splunk supported
Splunk社が開発し、サポート及びメンテナンスを行います。
例)Splunk Machine Learning ToolkitなどDeveloper supported
Splunk社以外が開発し、サポート及びメンテナンスを行います。
SplunkがバージョンアップしAppの互換性がなくなるなど、
問題発覚した際に90日間アップデートがない場合はNot supportedに変更されます。
例)SentinelOne Application for SplunkなどNot supported
サポートがないので自分で責任を持つ必要があります。
有名なAppであればSplunk Answerなどのユーザコミュニティで情報交換されているのでキャッチアップすることが大切です。
例) Lookup File Editorなど
Splunk AppInspect Passedについて
Splunkが定義した品質とロバスト性に問題がないかチェックされます。
詳しくは記載がなかったのですが、チェックが入る分このマークがないAppより安全という程度でしょうか。
Appの追加
実際に Appを追加する手順をご紹介します。
※インストール時に作成したと思いますが、Splunkのアカウントが必要です。
まずSplunkのTop画面へ移動し、「Search & Reporting」の下の「他のAppのサーチ」を選択します。
Appの一覧が表示されます。
今回は「Lookup File Editor」をインストールすると決めているので、左上の検索ボックスに「Lookup File Editor」と入力します。
Lookup File Editorが表示されますので、
インストールを選択します。
アカウント情報と規約に同意し、右下の「ログインとインストール」を選択します。
Appによってはインストール後に再起動が必要です。
再起動しましょう。
するとSplunkのTop画面に Lookup Editorが表示されています。
これでインストールは完了です。
使い方は次回の記事で紹介予定です。
