Splunk 拡張機能のインストール
UI に Splunk イベントコレクター拡張機能をインストールするには、イベント転送 に移動し、拡張機能を追加するプロパティを選択するか、代わりに新しいプロパティを作成します。
目的のプロパティを選択または作成したら、拡張機能/カタログ に移動します。「Splunk」を検索し、Splunk 拡張機能の Install を選択します。
Splunk 拡張機能の設定
左側のナビゲーションの「拡張機能」をクリックします。インストール済み で、Splunk 拡張機能の「設定」を選択します。
HTTP イベントコレクター URL 用に、Splunk プラットフォームインスタンスのアドレスとポートを入力します。 アクセストークン の下に、Event Collector Token の値を入力します。終了したら「保存」を選択します。
イベント転送ルールの設定
新しいイベント転送ルールのルールの作成を開始し、 必要に応じて条件を設定します。 ルールのアクションを選択する場合、Splunk 拡張機能を選択してから、イベントを作成アクションタイプを選択します。 追加のコントロールが表示され、Splunk イベントをさらに設定できます。
次の手順では、Splunk イベントプロパティを、以前に作成したデータ要素にマッピングします。設定可能な入力イベントデータに基づいて、サポートされているオプションのマッピングを以下に示します。 詳しくは、Splunk のドキュメントを参照してください。
フィールド名 | 説明 |
---|---|
イベント (必須) | イベントデータの提供方法を指定します。 イベントデータは、HTTP リクエストの JSON オブジェクト内の event キーに割り当てることも、生のテキストにすることもできます。この event キーは、JSON イベントパケット内のメタデータキーと同じレベルにあります。 event キーと値の中括弧内では、データを必要なあらゆる形式(文字列、数値、他の JSON オブジェクトなど)にすることができます。 |
ホスト | データを送信するクライアントのホスト名。 |
ソースタイプ | イベントデータに割り当てるソースタイプ。 |
ソース | イベントデータに割り当てるソース値。 例えば、開発中のアプリからデータを送信する場合は、このキーをアプリの名前に設定します。 |
インデックス | イベントデータのインデックスの名前。 トークンにインデックスパラメーターが設定されている場合、ここで指定するインデックスは、許可されたインデックスのリスト内にある必要があります。 |
時間 | イベント時間。 デフォルトの時間形式は UNIX 時間(<sec>.<ms> 形式)で、ローカルタイムゾーンによって異なります。例: 1433188255.500 は、エポックから 1433188255 秒と 500 ミリ秒後、すなわち 2015年6月1日(月)の午後 7 時:50: 55 分(GMT)を示します。 |
フィールド | インデックス時間に定義する明示的なカスタムフィールドを含む、生の JSON オブジェクトまたはキーと値のペアのセットを指定します。 この fields キーは、生データには適用されません。fields プロパティを含むリクエストは、/collector/event エンドポイントに送信する必要があります。送信しない場合、インデックスが作成されません。詳しくは、インデックス付きフィールド抽出に関する Splunk のドキュメントを参照してください。 |