じゅのぶろ

社内SEが自宅でSOC/CSIRTするために色々頑張っていきたいブログ 画像が見れない場合はjavascriptを有効にするかデスクトップからご覧下さい。

トップ > splunk

splunk

Lookup Editorの使い方

splunk

Lookup Editor グラフィカルなユーザインタフェースでSplunkのルックアップを編集できるようにするAppです。 以前の記事でインストール方法をご紹介しました。 jnox.hatenablog.com メインの画面はこんな感じです。 ルックアップ一覧が並んでいて、様々な操…

Splunkでログを調べる(stats編)

splunk

この記事ではよく使うコマンドの一つ、statsを紹介します。 statsコマンド 出力結果を表にするコマンドです。 次のようなときに使います。 統計関数を使いたい 検索速度を上げたい 使い方 以下の画像の関数が利用できます(Splunk Docsより引用)。 この中から…

Splunkでforeachコマンドを使ってみる

splunk

foreachコマンド WILDCARDマッチなどを使い特定のフィールドに対してEval式の適用など特定の処理をしてくれる便利なコマンドです。 Syntaxはこちら foreach <wc-field>... [fieldstr=<string>] [matchstr=<string>] [matchseg1=<string>] [matchseg2=<string>] [matchseg3=<string>] <subsearch> docs.splunk.com 例 timech</subsearch></string></string></string></string></string></wc-field>…

Splunkでマルチバリューフィールドを扱う (eval関数編)

splunk

以前の記事でマルチバリューコマンドをご紹介しました。 jnox.hatenablog.com 今回はそれに関連したマルチバリューを扱う際に役立つeval関数コマンド11種類をご紹介します。 mvappend mvcount mvdedup mvfilter mvfind mvindex mvjoin mvrange mvsort mvzip …

SplunkでREGEXとFORMATを使ったフィールド抽出

splunk

きっかけ SquidでSSL-Bumpを設定し証明書情報をロギングできるようになったのですが、 以下のようにssl_cert_issuerとssl_cert_subjectのフィールド値に複数の属性が入っており、 値を検索しづらいため、 transformsのREGEXとFORMATを使い正規表現で各属性を…

Splunk Upgradeしてみた

splunk

Splunkを起動したら右上のメッセージに新しいバージョンの情報が出ていた。 現在のバージョンは7.3.0で新しいバージョンは7.3.1のようだ。 前回の記事でAppを作って設定をバックアップしたのでアップデートしてみることにしました。 ※アップデートに伴いイン…

Splunkで正規表現を使ったフィールド抽出

splunk

前回Squidのアクセスログを取り込んだが、Requestフィールドにメソッド、URL、HTTPバージョンが含まれています。 今回はこれらの値を複数に分割していきます。 ※前記事の続きです。 GUIの設定からポチポチしてフィールド抽出が可能ですが、今回はrexコマンド…

Splunk App作成してみた

splunk

以前の記事ではSearch AppやSystem Localに設定を記述していましたが、新規でAppを作成しそこで管理しようと思います。 新規App作成 Splunkのトップ画面の歯車(Appの管理)を選択します。 右上の「Appの作成」を選択します。 色々表示されるので適当に埋め…

Splunk Appの追加 (Lookup Editor)

splunk

今回はSplunk Appの追加方法をご紹介します。 splunkbaseというサイトに色々なAppやAdd-onが掲載されているので気になるものがあればインストールしてみましょう。 splunkbase.splunk.com 私は今回Lookup File Editorをインストールしようと思います。 Looku…

Splunkでマルチバリューのフィールドを扱う makemv他

splunk

マルチバリューを扱うコマンド4種類をご紹介します。 マルチバリューコマンド makemv mvcombine mvexpand nomv この記事では解説しませんが、eval/stats/chart内で使える関数はこちらです。 マルチバリュー eval関数(Multivalue eval functions) 以下の記…

Splunkでログを調べる(正規表現編)

splunk

Splunkで正規表現を使って検索する方法をご紹介します。 大体以下のコマンドを使うことになると思います。 1. regexコマンド フィルタのみ行いたい場合 1. rexコマンド マッチした値をフィールド値として保持したい場合 1. erexコマンド 正規表現がわからな…

Splunk自動ルックアップの設定

splunk

常にルックアップを実行したい場合に毎回コマンドを打つのは手間だと思います。 そのために用意されているのが自動ルックアップ(Autolookup)機能です。 今回は覚えにくいHTPPの応答コードを自動ルックアップし、どのような結果だったのか見やすくしたいと思…

Splunk CSV Lookup Tableを使ったログのフィルタリング(ルックアップ活用編)

splunk

SplunkでCSV Lookup Tableを使いログのフィルタリング(ブラックリスト/ホワイトリスト)をするためのルックアップの使い方をご紹介します。 前回の続きです。 lookupコマンド 以下はlookupコマンドの使用例です。 ...| lookup <ルックアップテーブル名> <ル…

Splunk CSV Lookup Tableを使ったログのフィルタリング(ルックアップ作成編)

splunk

SplunkでCSV Lookup Tableを使いログのフィルタリング(ブラックリスト/ホワイトリスト)をするためのルックアップ作成方法を記載します。 なお、WildCard(*)と CIDR(/)を使うにはオプション指定が必要になります。 csvファイルの文字コードはUTF-8、改行はL…

Splunkでログを調べる(timechart編)

splunk

この記事ではよく使うコマンドの一つtimechartに関連したコマンドを紹介します。 SPL SplunkはSPLという言語でサーチ文を記述します。 大体以下のようにコマンド、オプション引数、フィールド名という使い方です。 パイプ(|)で複数のコマンドをつなげて所…

Splunk Freeインストールしてみた

splunk

Squidのアクセスログを可視化するためにSplunkを導入します。 使い方は次回以降のブログでご紹介します。 Splunkとは 簡単に説明を。 あらゆるテキストデータを取り込み、 検索しやすくインデックス保存してくれるソフトウェアです。 独自の検索文 (SPL: Sp…