splunk
Lookup Editor グラフィカルなユーザインタフェースでSplunkのルックアップを編集できるようにするAppです。 以前の記事でインストール方法をご紹介しました。 jnox.hatenablog.com メインの画面はこんな感じです。 ルックアップ一覧が並んでいて、様々な操…
この記事ではよく使うコマンドの一つ、statsを紹介します。 statsコマンド 出力結果を表にするコマンドです。 次のようなときに使います。 統計関数を使いたい 検索速度を上げたい 使い方 以下の画像の関数が利用できます(Splunk Docsより引用)。 この中から…
foreachコマンド WILDCARDマッチなどを使い特定のフィールドに対してEval式の適用など特定の処理をしてくれる便利なコマンドです。 Syntaxはこちら foreach <wc-field>... [fieldstr=<string>] [matchstr=<string>] [matchseg1=<string>] [matchseg2=<string>] [matchseg3=<string>] <subsearch> docs.splunk.com 例 timech</subsearch></string></string></string></string></string></wc-field>…
以前の記事でマルチバリューコマンドをご紹介しました。 jnox.hatenablog.com 今回はそれに関連したマルチバリューを扱う際に役立つeval関数コマンド11種類をご紹介します。 mvappend mvcount mvdedup mvfilter mvfind mvindex mvjoin mvrange mvsort mvzip …
きっかけ SquidでSSL-Bumpを設定し証明書情報をロギングできるようになったのですが、 以下のようにssl_cert_issuerとssl_cert_subjectのフィールド値に複数の属性が入っており、 値を検索しづらいため、 transformsのREGEXとFORMATを使い正規表現で各属性を…
Splunkを起動したら右上のメッセージに新しいバージョンの情報が出ていた。 現在のバージョンは7.3.0で新しいバージョンは7.3.1のようだ。 前回の記事でAppを作って設定をバックアップしたのでアップデートしてみることにしました。 ※アップデートに伴いイン…
前回Squidのアクセスログを取り込んだが、Requestフィールドにメソッド、URL、HTTPバージョンが含まれています。 今回はこれらの値を複数に分割していきます。 ※前記事の続きです。 GUIの設定からポチポチしてフィールド抽出が可能ですが、今回はrexコマンド…
以前の記事ではSearch AppやSystem Localに設定を記述していましたが、新規でAppを作成しそこで管理しようと思います。 新規App作成 Splunkのトップ画面の歯車(Appの管理)を選択します。 右上の「Appの作成」を選択します。 色々表示されるので適当に埋め…
今回はSplunk Appの追加方法をご紹介します。 splunkbaseというサイトに色々なAppやAdd-onが掲載されているので気になるものがあればインストールしてみましょう。 splunkbase.splunk.com 私は今回Lookup File Editorをインストールしようと思います。 Looku…
マルチバリューを扱うコマンド4種類をご紹介します。 マルチバリューコマンド makemv mvcombine mvexpand nomv この記事では解説しませんが、eval/stats/chart内で使える関数はこちらです。 マルチバリュー eval関数(Multivalue eval functions) 以下の記…
Splunkで正規表現を使って検索する方法をご紹介します。 大体以下のコマンドを使うことになると思います。 1. regexコマンド フィルタのみ行いたい場合 1. rexコマンド マッチした値をフィールド値として保持したい場合 1. erexコマンド 正規表現がわからな…
常にルックアップを実行したい場合に毎回コマンドを打つのは手間だと思います。 そのために用意されているのが自動ルックアップ(Autolookup)機能です。 今回は覚えにくいHTPPの応答コードを自動ルックアップし、どのような結果だったのか見やすくしたいと思…
SplunkでCSV Lookup Tableを使いログのフィルタリング(ブラックリスト/ホワイトリスト)をするためのルックアップの使い方をご紹介します。 前回の続きです。 lookupコマンド 以下はlookupコマンドの使用例です。 ...| lookup <ルックアップテーブル名> <ル…
SplunkでCSV Lookup Tableを使いログのフィルタリング(ブラックリスト/ホワイトリスト)をするためのルックアップ作成方法を記載します。 なお、WildCard(*)と CIDR(/)を使うにはオプション指定が必要になります。 csvファイルの文字コードはUTF-8、改行はL…
この記事ではよく使うコマンドの一つtimechartに関連したコマンドを紹介します。 SPL SplunkはSPLという言語でサーチ文を記述します。 大体以下のようにコマンド、オプション引数、フィールド名という使い方です。 パイプ(|)で複数のコマンドをつなげて所…
Squidのアクセスログを可視化するためにSplunkを導入します。 使い方は次回以降のブログでご紹介します。 Splunkとは 簡単に説明を。 あらゆるテキストデータを取り込み、 検索しやすくインデックス保存してくれるソフトウェアです。 独自の検索文 (SPL: Sp…