ITSI へのデータの取り込み
データを ITSI に取り込むには、エンティティとコンテンツパックの 2 つの方法があります。
エンティティとエンティティ統合
エンティティとエンティティ統合を使用してデータを収集し、Splunk ITSI に集約します。データはエンティティと呼ばれるものに収集されます。エンティティはニーズに合わせて自由に定義できますが、これには通常、サーバー、DNS グループ、ファイアウォール、その他のデバイスからのデータが含まれます。データには、指標、ログ、トレースなど、自分が担当しているサービスの状態をよりよく把握するのに役立つものなら何でもかまいません。データは、ネイティブシステムまたは次のような管理/監視ツールからストリーミングされ、収集されます。 Splunk Infrastructure Monitoring 。
すべてのエンティティはグローバルチーム内に存在し、いくつかの方法で作成できます。
ITSI で 1 つのエンティティを手動で作成する
ITSI で 1 つのエンティティを作成して、イベントを関連付けてください。 Splunk platform デプロイメントが受信します。
itoa_admin または itoa_team_admin ITSI ロールを持つユーザーとしてログインする必要があります。
詳細については、「」を参照してください。 ドキュメンテーション-ITSI で 1 つのエンティティを作成する 。
ITSI の Splunk 検索からエンティティを手動でインポートする
ITSI モジュール検索、保存済み検索、またはアドホック検索から取得したインデックス付きデータを使用してエンティティを作成します。 Splunk platform デプロイ。
ITSI が使用しているのは
itsiimportobjects
コマンドを使用して検索からエンティティをインポートします。
ITSI では、一度に最大 50,000 のエンティティをインポートできます。50,000 を超えるエンティティをインポートしようとすると、最初の 50,000 個だけがインポートされます。
前提条件:
- ITSI ロール:itoa_admin または itoa_team_admin ITSI ロールを持つユーザーとしてログインし、グローバルチームにアクセスする必要があります。
- 索引付けデータ:エンティティに関連付けるデータは既に索引付けされている必要があります。
詳細については、「」を参照してください。 ドキュメンテーション-ITSI の検索からエンティティをインポートする 。
ITSI の CSV ファイルからエンティティを手動でインポートする
CSV ファイルからのエンティティのインポートは、複数のエンティティを定義する効率的な方法です。変更管理データベース (CMDB) または資産インベントリデータベースから CSV ファイルにデータをダンプし、継続的な更新に備えてインポートを自動化できます。
ITSI が使用しているのは
itsiimportobjects
コマンドを使用して CSV ファイルからエンティティをインポートします。すべてのイベントは
Splunk platform
CSV ファイルから手動でエンティティをインポートしたデプロイメントインデックスは、に保存されます。
itsi_import_objects
インデックスと各イベントには
itsi_import_objects:csv
ソースタイプ。
ITSI では、一度に最大 50,000 のエンティティをインポートできます。50,000 を超えるエンティティをインポートしようとすると、最初の 50,000 個だけがインポートされます。
前提条件:
- ITSI ロール:itoa_admin ITSI ロールを持つユーザーとしてログインする必要があります。
- CSV ファイル:エンティティ定義を含む CSV ファイルが必要です。1 行目に列名を指定します。後続の各行で、エンティティタイトルとエンティティタイプ、1 つ以上のエンティティエイリアス、および 1 つ以上のエンティティ情報フィールドを指定します。エンティティをサービスに関連付けるには、サービスの名前を列に入力します。CSV ファイルからのインポートには、1 行につき 1 つのサービス、1 つのエンティティという制限があります。1 行あたりの従属サービス、エンティティエイリアス、またはエンティティルール値の数に制限はありません。CSV ファイルには複数の行を含めることができます。CSV ファイルからのインポートでは、カンマ (,)、セミコロン (;)、パイプ (|)、タブ (\ t)、キャレット (^) の 5 種類の区切り文字がサポートされます。
この例では、appserver-04 と appserver-05 という 2 つのエンティティを作成し、appserver-04 を Web A サービスに関連付け、appserver-05 を Web B サービスに関連付けます。Web A サービスはすでに ITSI に存在していますが、Web B サービスは存在しません。以下の画像は、インポートする CSV ファイルを示しています。
詳細については、を参照してください。 ドキュメンテーション-ITSI の CSV ファイルからエンティティをインポートする 。
単一のエンティティを作成するか、Splunk検索からエンティティをインポートしたら、既存のエンティティを更新して新しいエンティティを作成するように定期的なインポートを設定できます。ただし、CSV ファイルから定期的なエンティティインポートを設定することはできません。CSV ファイルに保存されているデータから定期的にエンティティをインポートするように設定するには、CSV ファイルを監視してデータを送信するようにユニバーサルフォワーダーを設定する必要があります。 Splunk platform デプロイ、Splunk 検索からのエンティティインポートの実行、Splunk 検索からの定期的なインポートの設定を行います。
詳細については、「」を参照してください。 CSV ファイルからの定期的なエンティティインポートの設定 。
ITSIエンティティ統合により、エンティティを自動的に作成し、定期的にデータを収集することもできます。利用できるインテグレーションは以下のとおりです。
- ITSI での Unix エンティティと Linux エンティティの統合
- Windows ITSI におけるエンティティ統合
- ITSI における VMware vSphere エンティティの統合
- Splunk Infrastructure Monitoring ITSI におけるエンティティ統合
詳細については、以下を参照してください。 ITSI におけるエンティティ統合の概要 。
コンテンツパックと Splunk App for Content Packs
コンテンツパックは、特定のユースケースに対応する機能を提供する個別の事前構成済みパックです。ITSI 内に直接インストールできます。多くのコンテンツパックにはサービステンプレートが含まれているため、既存のサービスのいずれかをあらかじめ決められた重要業績評価指標 (KPI) に簡単にリンクできるため、迅速かつ簡単に立ち上げて実行できます。
Splunk App for Content Packs はITSI(バージョン4.9以降)向けの無料アプリケーションで、一般的なITインフラストラクチャ監視ソースのコンテンツパックや、すぐに使える検索やダッシュボードをワンストップで提供します。このアプリがあれば、コンテンツパックをインストールするためにバックアップ/復元機能を使用する必要がなくなります。その代わり、アプリには簡単に更新できるコンテンツパックのライブラリが含まれており、これを使用してすべてのコンテンツパックを更新できます。コンテンツパックを個別に更新する必要はありません。
Splunk ITSIにデータを組み込む最も簡単な方法は、次のサイトから入手できるコンテンツパックを使用することです。 Splunk App for Content Packs .
前提条件:ITSI v4.9 以降のインスタンスへのコマンドラインアクセスと Splunk 管理者アクセスが必要です。
- をダウンロード Splunk App for Content Packs オン スプランクベース 。
- の指示に従ってアプリをインストールします Splunk ドキュメントページ 。
- に移動 [設定] > [データ統合] 利用可能なコンテンツパックを確認してください。
ダウンロードしたコンテンツパックに関連するアドオンを必ずインストールしてください!たとえば、対応するものがあります。 Unix と Linux のアドオン Unix および Linux のモニタリングコンテンツパックで動作します。
詳細については、インストール方法をご覧ください Splunk App for Content Packs Splunk Cloud Platform またはオンプレミス環境で ITSI バージョン 4.8.x 以前のコンテンツパックをインストールする方法、および利用可能なコンテンツパックのリストを確認するには、 Splunk コンテンツパックマニュアル 。
資源
- ランタン記事: 監視および警告コンテンツパックを使用する
- ブログ投稿: 監視と警告のためのコンテンツパックの新機能