Splunk 拡張機能の概要

最終更新日: 2025年2月19日
  • トピック:

作成対象:

  • 開発者

Splunk は、データに関する実用的なインサイトの検索、分析、ビジュアライゼーションを提供する観察プラットフォームです。 Splunk イベント転送拡張機能は、Splunk HTT Event Collector REST API を活用して、Adobe Experience Platform Edge Network から Splunk HTTP イベントコレクターにイベントを送信します。

Splunk は、Splunk Event Collector API と通信するための認証メカニズムとして bearer トークンを使用します。

ユースケース

マーケティングチームは、次のユーズケースで拡張機能を使用できます。

ユースケース説明
顧客行動分析組織は、web サイトから顧客インタラクションイベントデータを取り込み、関連するイベントを Splunk に転送できます。その後、マーケティングチームと分析チームは、Splunk プラットフォーム内で後続の分析を実行して、主要ユーザーのインタラクションと行動を把握できます。 Splunk プラットフォームを使用して、グラフ、ダッシュボード、その他のビジュアライゼーションを生成し、ビジネス関係者に情報を提供できます。
大規模なデータセットでの拡張性の高い検索組織は、web サイトからイベントデータとしてトランザクション入力や会話入力を取り込み、イベントを Splunk に転送できます。 その後、分析チームは、Splunk の拡張性の高いインデックス付け機能を活用して、大規模なデータセットをフィルタリングおよび処理し、ビジネスインサイトを導き出し、十分な情報に基づいた意思決定を行うことができます。

前提条件

この拡張機能を使用するには、Splunk アカウントが必要です。 Splunk アカウントは、Splunk ホームページで登録できます。

NOTE
Splunk 拡張機能は、Splunk Cloud と Splunk Enterprise の両方のインスタンスをサポートします。このガイドは、Splunk Cloud を使用した実装を参照してドキュメント化したものです。Splunk Enterprise の設定プロセスは似ていますが、Splunk Enterprise 管理者からの具体的なガイダンスが必要です。

また、拡張機能を設定するには、次の技術的な値が必要です。

  • イベントコレクタートークン。トークンは通常、12345678-1234-1234-1234-1234567890AB のような UUIDv4 形式です。

  • 組織の Splunk プラットフォームインスタンスのアドレスとポート。通常、プラットフォームインスタンスのアドレスとポートの形式は、mysplunkserver.example.com:443 です。

    IMPORTANT
    イベント転送内で参照される Splunk エンドポイントは、ポート 443 のみを使用する必要があります 。非標準ポートは、現在、イベント転送の実装ではサポートされていません。

Splunk 拡張機能のインストール

UI に Splunk イベントコレクター拡張機能をインストールするには、イベント転送 ​に移動し、拡張機能を追加するプロパティを選択するか、代わりに新しいプロパティを作成します。

目的のプロパティを選択または作成したら、拡張機能カタログ ​に移動します。「Splunk」を検索し、Splunk 拡張機能の Install を選択します。

UI で選択されている Splunk 拡張機能のインストールボタン

Splunk 拡張機能の設定

IMPORTANT
実装のニーズに応じて、拡張機能を設定する前に、スキーマ、データ要素、データセットの作成が必要になる場合があります。ユースケースに合わせて設定する必要のあるエンティティを判断するには、開始する前にすべての設定手順を確認してください。

左側のナビゲーションの「拡張機能」をクリックします。インストール済み ​で、Splunk 拡張機能の「設定」を選択します。

UI で選択されている Splunk 拡張機能の設定ボタン

HTTP イベントコレクター URL 用に、Splunk プラットフォームインスタンスのアドレスとポートを入力します。 アクセストークン ​の下に、Event Collector Token の値を入力します。終了したら「保存」を選択します。

UI に入力された設定オプション

イベント転送ルールの設定

新しいイベント転送ルールのルールの作成を開始し、 必要に応じて条件を設定します。 ルールのアクションを選択する場合、Splunk 拡張機能を選択してから、イベントを作成アクションタイプを選択します。 追加のコントロールが表示され、Splunk イベントをさらに設定できます。

アクション設定の定義

次の手順では、Splunk イベントプロパティを、以前に作成したデータ要素にマッピングします。設定可能な入力イベントデータに基づいて、サポートされているオプションのマッピングを以下に示します。 詳しくは、Splunk のドキュメントを参照してください。

フィールド名説明
イベント​

(必須)		イベントデータの提供方法を指定します。 イベントデータは、HTTP リクエストの JSON オブジェクト内の event キーに割り当てることも、生のテキストにすることもできます。この event キーは、JSON イベントパケット内のメタデータキーと同じレベルにあります。 event キーと値の中括弧内では、データを必要なあらゆる形式(文字列、数値、他の JSON オブジェクトなど)にすることができます。
ホストデータを送信するクライアントのホスト名。
ソースタイプイベントデータに割り当てるソースタイプ。
ソースイベントデータに割り当てるソース値。 例えば、開発中のアプリからデータを送信する場合は、このキーをアプリの名前に設定します。
インデックスイベントデータのインデックスの名前。 トークンにインデックスパラメーターが設定されている場合、ここで指定するインデックスは、許可されたインデックスのリスト内にある必要があります。
時間イベント時間。 デフォルトの時間形式は UNIX 時間(<sec>.<ms> 形式)で、ローカルタイムゾーンによって異なります。例: 1433188255.500 は、エポックから 1433188255 秒と 500 ミリ秒後、すなわち 2015年6月1日(月)の午後 7 時:50: 55 分(GMT)を示します。
フィールドインデックス時間に定義する明示的なカスタムフィールドを含む、生の JSON オブジェクトまたはキーと値のペアのセットを指定します。 この fields キーは、生データには適用されません。

fields プロパティを含むリクエストは、/collector/event エンドポイントに送信する必要があります。送信しない場合、インデックスが作成されません。詳しくは、インデックス付きフィールド抽出に関する Splunk のドキュメントを参照してください。