独自に作成するのではなく、Splukbaseでビルド済みのアドインを使用する頻度はどのくらいですか? 彼らはいつもあなたが見たいものを持っていますか? 指示どおりにインストールされていても、すべてが正常に機能しますか? 今日は、Splunkアプリケーションを操作する機能について説明します。
つまり、アプリケーションでリクエストがどのように生成されるかを理解する方法を学び、将来、それらに基づいて、タスクに固有の何かを実行できるようにします。 また、いくつかの理由を考慮してください。これは、多くの場合、アプリケーションが正しく動作しなくなるか、まったく動作しなくなるためです。
なぜこれについて話しているのですか? 多くのアプリケーションは、通常のユーザーが独自のアプリケーションを作成するときに使用するよりも複雑なクエリ構造を持っているためです。 しかし同時に、特定のテーブルをどのように構築するかを自分で調整するために把握する必要がしばしばあります。
高度なアプリケーション開発者が使用するチップ:
- イベントタイプ
- マクロ
- アラート
- ルックアップ
次に、いくつかのクエリの例を使用して、それが何であるか、どのようにそれを把握するかを示します。
例1
Windowsインフラストラクチャ向けSplunkアプリからクエリを実行すると、Active Directoryの新しいユーザーの数がわかります。 結果として次の表が得られます。
このテーブルの内容に満足できないと仮定します。別のフィールドを追加するか、サブジェクトユーザーによる追加のフィルタリングを行うか、または他の何かを行う必要があります。 複雑に思えますか? 検索クエリを開き、すべてを編集してください!
しかし... ...何かがうまくいかなかった。
標準の明確なクエリの代わりに、奇妙なデザインが一重引用符で囲まれています。 よく知ろう、これはマクロです。
Splunk のマクロは、再利用可能な検索クエリです。 マクロは、1つのアプリケーションのフレームワーク内で、同じタイプの変換を頻繁に行う必要があり、各リクエストでマクロを繰り返さないために、別々に保存するときに作成されます。 リクエスト内のマクロは、そのような構造 `macros_name`によって認識できます。 また、マクロは何らかの種類の入力変数を必要とする場合があり、リクエスト内のそのようなマクロの構造は `macros_name(value)`です。
次に、マクロテキストを開きます。これは、 [設定]-[高度な検索]-[マクロの検索]にあります 。
一般に、そのようなリクエストはより一般的に見えるので、すでにリクエストを処理できます。 ただし、1つの注意点があります。ログでeventtypeなどのフィールドを見つけようとしても、何も見つかりません。 これは別のSplunkツールです。
Eventtypeはフィルタリングツールです。 さまざまな基準に従って必要なイベントが選択される場合に使用されます。 したがって、eventtypeを使用して、このタイプに属するイベントを一度構成し、適切な名前を付けて、将来のクエリで使用できます。
イベントタイプは、 設定-イベントタイプにあります。
「eventtype = wineventlog_security」の下に次の検索があります。
したがって、アプリケーションのリクエストの1つを「巻き戻し」ます。 結果を取得するために実行されたデータと変換に基づいて、必要に応じて調整したり、独自の類似したデータを作成したりできるようになりました。 アプリケーションに組み込まれているマクロやイベントタイプを編集しないでください。 それらは他のダッシュボードから参照でき、結果も変わります。 これを防ぐには、1回の検索ですべてのフラグメントを収集するか、新しいマクロとイベントタイプを作成することをお勧めします。
これは最も複雑で複雑な話とはほど遠いことをすぐに指摘します。 イベントタイプは他のイベントタイプを参照でき、これは3番目のイベントタイプなどを参照できます。 一部のマクロは、他のマクロなどを使用して形成されるディレクトリを参照する場合があります。
例2
別の例を考えてみましょう:ドメインのリストを作成します。
このリストが作成するリクエストを見てみましょう。
また、リクエスト全体をほぼ置き換えるマクロがあります。
マクロのあるメニュー( [設定]-[高度な検索]-[マクロの検索] )に移動し、マクロがドメインのあるディレクトリからベースを取得することを確認します。
質問:インターネットからアプリケーションをダウンロードし、参照情報が提供されなかった場合、これはどのような参照で、どのように、どこからデータを取得したのでしょうか。
ダウンロードしたファイルからだけでなく、検索またはアラートを使用してディレクトリを作成できることを思い出してください。 適切なセクション( [設定]-[検索]、[レポート]、および[アラート] )に移動し、名前で必要なものに似たオブジェクトを実際に見つけます。 (DomainSelector_Lookup)
これは、スケジュールに従って実行され、特定の周期で動作し、ディレクトリを更新するアラートです。
しかし、彼がドメイン名を取得する場所を確認し、そのために検索クエリを開きます。 そしてその中で...再びマクロ。
再びeventtypeへのリンクがあります。
そして、eventtypeへの別のリンクがあります
そして、この複雑な連鎖の終わりにたどり着いたのは今だけです。
2つの例では、Windowsインフラストラクチャ向けSplunkアプリなどのアプリケーションのタブレットとグラフの背後に隠れているものを調べました。 このようなアーキテクチャは、データモデルの高度な精緻化を示しており、これはアプリケーションの品質を意味しますが、そこで何が起こっているのかを理解したいユーザーに多大な苦痛をもたらします。
トラブルシューティング
記事の冒頭で述べたように、アプリケーションが期待どおりに動作しない理由について少し説明しましょう。
この例を考えてみましょう。Windowsインフラストラクチャ用のSplunkアプリをインストールし、それに必要なアドオンをインストールし、splankにデータの読み込みを設定しました。 しかし、アプリケーションに入ると、まさにそのような画像が表示されます。
なぜこれができるのでしょうか? 正直に言うと、多くの理由がありますが、ここでは最も可能性が高く一般的な2つを検討します。
1.デフォルトのインデックス
ご覧のとおり、記事の最初の部分にあったすべての検索クエリで、index = ...の古典的な部分が欠落しています。 クエリで検索が実行されるインデックスが示されない場合、検索は[デフォルトインデックス]リストにあるインデックスに対してのみ実行されます。 デフォルトでは、メインインデックスのみが含まれているため、このグループに必要なインデックスを追加する必要があります。
これは次のように実行できます。
設定-ユーザーと認証-アクセス制御-役割-<このアプリケーションで動作する役割>-デフォルトで検索されるインデックス
次に、選択したインデックスに目的のインデックスを追加します。
2.スケジュールされたアラート
多くのフィルターはディレクトリに基づいており、ディレクトリはアラートに基づいています。 おそらく、これらのアラートはまだ機能しておらず、必要な情報をディレクトリに入力していません。 それらがいつ機能するかを確認し、必要に応じて、ディレクトリの更新の時間と間隔を変更する必要があります。 ( 設定-検索、レポート、アラート )
この記事では、Windowsインフラストラクチャアプリケーションを例にすべてを検証しましたが、経験豊富なスプランカーによって開発された多くのアプリケーションでも同じことがわかります。
それらをよりよく理解するために、これがあなたにとってブラックボックスではないように、このデータに基づいて高品質の分析を作成するために情報を変換する場合は、 マクロとイベントタイプをより詳細に調べる必要があります。
Splunk Fundamentalsの Splunkコース2 。
