過去のデータに処理ルールを適用する 🔗
注釈
Splunk Observability Cloud の Splunk Log Observer エンタイトルメントをお持ちのお客様は、2023年12月までに Log Observer から Log Observer Connect に移行する必要があります。Log Observer Connect を使用すると、より多様なデータソースからより多くのログをインジェストし、より高度なログパイプラインを利用し、セキュリティロギングに拡張できます。その方法については、Splunk Log Observer の移行 を参照してください。
Splunk Observability Cloud で Splunk Log Observer 権限を持つお客様のみが、検索時間ルールを使用して履歴データ全体に処理ルールを適用できます。これらのお客様は Log observer Connect に移行する必要があります。
Log Observer Connectへの移行後 🔗
Log Observer Connect UIでは、検索時間処理ルールを使用できません。
今後、Splunk プラットフォームで検索時にデータを処理するには、以下の方法を利用できます:
検索時処理方法 |
ドキュメント |
|---|---|
フィールドエクストラクター |
フィールド抽出器を使ったフィールド抽出の構築 を参照してください。 |
フィールドエイリアス |
Splunk Web でフィールドエイリアスを作成する を参照してください。 |
検索時間ルールとは? 🔗
検索時間ルールとは、履歴データ全体にログ処理ルールを適用することです。ログ処理ルールはインデックス時または検索時に発生します。インデックス時間ルールは、インデックス時間ルールが作成された後に流入するデータにのみ適用できます。インデックス時間ルールの詳細については、ログ処理ルールでデータを変換する を参照してください。インデックス時間ルールが存在する前に流れ込んできたデータに対して、 インデックス時間ルールを適用すると便利なことがあります。そのためには、検索時間ルールを作成します。
次の表は、検索時間ルールとインデックス時間ルールの比較です。
検索時間ルール |
インデックスタイムルール |
|---|---|
データまたはデータのサブセットを変換します |
データまたはデータのサブセットを変換します |
任意の期間のデータに適用します |
ルールが作成され、有効化された後に流入したデータのみに適用します。 |
クエリの一部 |
過去ログのパイプラインの一部 |
Saved Queries または Active search-time rules でLog Observerをアクティブまたは非アクティブにします。 |
Data Configuration > Logs Pipeline Management でアクティブまたは非アクティブにします。 |
意図的に過去のデータにインデックス時間ルールを適用する場合を除き、検索時間ルールを有効にしないでください。サーチタイムルールを適用しても、サブスクリプションの使用量には影響しませんが、パフォーマンスには影響します。検索時間ルールは、検索を完了するのにかかる時間を増加させる変換です。インデックスタイムルールを適用すると、インデックスサブスクリプションの使用量に影響することがありますが、パフォーマンスには影響しません。
検索時間ルールを適用するユースケース 🔗
事後的に問題を発見した場合、検索時間ルールを適用することができます。例えば、昨夜午前2時から午前5時の間にエラーが発生し、その原因を突き止めるために誰も勤務していなかったとします。今朝9時にエラーが発生したことを発見し、何が問題だったのかを突き止めようとします。フィルタリングを簡単にするために、フィールド抽出を作成し、いくつかのフィールドを定義します。インデックス時間ルールで作成した新しいフィールドは、午前9時にフィールドを作成した後に流れてきたログにのみ適用できます。午前2時から午前5時の間に流れ込んできたログに新しく作成したフィールドを適用するには、午前9時に作成したインデックス時間ルールに基づいて検索時間ルールを作成し、それを検索時間ルールとして有効化し、午前2時から午前5時の間に流れ込んできたログに適用します。
検索時間ルールを作成および有効化する 🔗
検索時間ルールを作成するには、以下の手順に従います:
個々のログから、またはログパイプライン管理で、インデックス時間ルールを作成します。方法については ログ処理ルールでデータを変換する の Field extraction processors セクションを参照してください。Note: 検索時に正規表現処理ルールだけを適用することができます。
Log Observerの Active Search-time rules をクリックします。Search-time rules パネルが表示されます。
Search-time rules パネルで、Index-time rules タブをクリックします。
検索時に有効化するインデックス時間ルールをリストで見つけて選択し、Apply 1 rule at search time をクリックします。
Search-time rules タブをクリックします。
アクティブな検索時間ルールをドラッグして、ルールを適用する順番を決めます。
Log Observer の時間ピッカーで時間を調整し、必要な履歴データにルールを適用します。
検索時間ルールを無効にする 🔗
検索時間ルールを無効にするには、以下の手順に従います:
Log Observer で、Active search-time rules をクリックします。
Search-time rules パネルで、Active search-time rules タブをクリックします。
無効にしたいルールを見つけて選択し、Deactivate 1 rule をクリックします。
検索時間ルールを保存する 🔗
検索時間ルールを作成すると、そのルールは自動的に現在のクエリの一部になります。ルールを保存するには、クエリを保存します。方法については、Log Observerクエリを保存および共有する を参照してください。