Splunk App作成してみた
以前の記事ではSearch AppやSystem Localに設定を記述していましたが、新規でAppを作成しそこで管理しようと思います。
新規App作成
Splunkのトップ画面の歯車(Appの管理)を選択します。
右上の「Appの作成」を選択します。
色々表示されるので適当に埋めます。
右下の「保存」を選択すればAppが作成されます。
表示
はいを選択すると一覧に表示されるようになります。
ビューをもたない場合(Add-on)は「いいえ」を選択したほうが良いと思います。
私は今後ビューを追加する予定なので「はい」にしました(後から変更できます)。
テンプレート
barebonesの方が作成されるファイル数が少ないです。
sample_appを選択するとサンプルのレポートやダッシュボードが作成されます。
Add-onを作成予定、余計なファイルが不要であれば「barebones」、
Appを作成予定かつサンプルを修正しつつ勧めたいのであれば「sample_app」とすると良さそうです。
barebones
以下のファイル/フォルダが作成されます。
./bin ./bin/README ./default ./default/app.conf ./default/data ./default/data/ui ./default/data/ui/views ./default/data/ui/views/README ./default/data/ui/nav ./default/data/ui/nav/default.xml ./local ./local/app.conf ./metadata ./metadata/default.meta ./metadata/local.meta
sample_app
以下のファイル/フォルダが作成されます。
./appserver ./appserver/static ./appserver/static/splIcons.gif ./appserver/static/appLogo_allblack.png ./appserver/static/overlay_white_28.png ./appserver/static/application.css ./appserver/static/overlay_bottomgradient_soft.png ./appserver/static/overlay_gradient_28.png ./appserver/static/overlay_topgradient_soft.png ./appserver/static/overlay_innerleftshadow.png ./appserver/static/overlay_bottomgradient_large.png ./appserver/static/overlay_softgradient_28.png ./appserver/static/appLogo_allwhite.png ./appserver/static/overlay_reversegradient_4.png ./appserver/static/overlay_gradient_25.png ./appserver/static/overlay_whiteridge_28.png ./appserver/static/appLogo_white.png ./appserver/static/overlay_topgradient.png ./appserver/static/overlay_gradient_50.png ./appserver/static/overlay_reversegradient_28.png ./appserver/static/appLogo_black.png ./appserver/static/overlay_topInnerShadow_35.png ./appserver/static/overlay_reversegradient_light_28.png ./appserver/static/overlay_gradient.png ./appserver/static/overlay_glass_28.png ./appserver/static/appLogo_white.gif ./appserver/static/overlay_innershadow_4.png ./appserver/static/overlay_bottomgradient_18.png ./appserver/static/loader.gif ./appserver/static/overlay_gradient_4.png ./appserver/static/bg_hash_grey.gif ./appserver/static/appLogo_black.gif ./appserver/static/overlay_gloss_28.png ./appserver/static/overlay_togradient_large.png ./appserver/static/overlay_reversegradientridge_28.png ./appserver/static/overlay_bottomgradient_10.png ./appserver/static/overlay_topgradient_beige_soft.png ./bin ./bin/readme.txt ./default ./default/savedsearches.conf ./default/app.conf ./default/viewstates.conf ./local ./local/readme.txt ./local/app.conf ./local/data ./local/data/ui ./local/data/ui/views ./local/data/ui/views/sample_formsearch.xml ./local/data/ui/views/sample_notimeline.xml ./local/data/ui/views/sample_search.xml ./local/data/ui/views/sample_simple_dashboard.xml ./local/data/ui/views/sample_dashboard.xml ./local/data/ui/views/sample_radio.xml ./local/data/ui/views/sample_dropdown.xml ./local/data/ui/nav ./local/data/ui/nav/default.xml ./metadata ./metadata/default.meta ./metadata/local.meta
設定の移動
設定等を新規作成する場合、この作業は不要になります。
私は以前confやルックアップの設定をsystemやsearch appで作成したので、
それらを「jnox_app」の下に移動する必要があります。
各種設定の移動は右上の設定メニューから実施できます。
フィールド抽出
右上の設定からフィールドを選択します。
フィールド抽出に「mysquid」の設定がありますのでアクションカラムの移動を選択します。
Appが変更されればOKです。
フィールド変換
右上の設定からフィールド→フィールド変換を選択します。
フィールド抽出のときと同様に設定を移動します。
ルックアップ
右上の設定からルックアップ→ルックアップテーブルファイルを選択します。
アクションカラムの移動を選択し、Appを変更します。
ルックアップ定義、自動ルックアップについても同様に移動します。
作成したapp
最終的にできあがったAppをgithubにアップロードしてみました。
参考になれば幸いです。
github.com
