Splunk エンタープライズでのデータのオンボーディングと管理
Splunk Enterpriseのオンボーディングとデータ処理を開始するには、次の手順を確認してください。
- Splunk Enterprise を使用して達成したい目標を決めてください。
- その目標を達成するのに役立つ、Splunk Enterprise で必要なデータを特定してください。
- Splunk Lanternのユースケースエクスプローラーは以下の用途にお使いください セキュリティー 、 オブザーバビリティ そして プラットフォーム お客様のデータを活用する新しい用途を発見します。
データオンボーディングに関するご質問は、以下をご覧ください。 データを取り込む コミュニティのセクションをご覧になるか、アカウントチームにお問い合わせください。
基本を学ぶ
これらのスクリプト化された学習パスを使って基本をマスターしましょう。これらはサンプルデータセットを使用するため、すぐに学習を開始できます。
プロセスでのデータ取得について
データをオンボーディングする前に、以下のリソースを確認してください。
- データを取り込む主な4つの方法 。このテックトークを見て、任意の Linux や Linux からデータを取り込む方法について学んでください。 Windows ホスト、任意のカスタムアプリケーションまたはユースケースから任意のポートでロスレスの Syslog 入力または TCP データ入力を作成する方法、および API を使用してデータを送受信する方法。
- どのデータをインデックス化できますか? ザ・ロック Splunk platform IT、ストリーミング、マシン、および履歴データのすべてにインデックスを付けることができます。これを設定するには、次の点を指します。 Splunk platform データソースで、そのソースに関する情報を入力すると、そのソースがデータ入力になります。は Splunk platform データストリームにインデックスを付けて一連のイベントに変換し、すぐに表示、検索できます。構造化は不要です。
- データの取り込みを始める 。このドキュメントをデータオンボーディングプロセスのガイドとしてご利用ください。
データのオンボーディング
データオンボーディングの指針となるよう、Splunk のデータオンボーディングのベストプラクティスを構築するための 5 段階のプロセスをご覧ください。 ワークフロー 。これらのガイドラインは、データリクエストの効率化、ユースケースの定義、データの検証、新しいデータの可用性の適切な伝達に役立ちます。
フォワーダーを使用してデータを取得する
ユニバーサルフォワーダー マシンからデータレシーバーにデータをストリーミングして、データを取り込む最も一般的な方法です。リモートソースから信頼性が高く安全にデータを収集し、そのデータを Splunk ソフトウェアに転送してインデックス作成と統合を行います。ユニバーサルフォワーダーは、数万台のリモートシステムにまで拡張でき、テラバイト単位のデータを収集できます。
ユニバーサルフォワーダーの導入方法:
- Splunk ユニバーサルフォワーダーをダウンロード .
- のユニバーサルフォワーダーをインストールしてください Windows または リナックス 。
- 受信機を有効にする Splunk エンタープライズにデータを送信します。
- ユニバーサルフォワーダーを起動する 。
データを取り込む- Windows
入手方法については、以下のビデオをご覧ください Windows データを Splunk エンタープライズに送信。開始するには、次のいずれかを実行してください。 をインストールします。 Windows ユニバーサル・フォワーダー インストーラーまたはコマンドラインを使用する。インストーラーは大規模なデプロイメントに推奨され、コマンドラインは小規模なデプロイメントに推奨されます。
データを取り込む-Linux
Linux データを Splunk エンタープライズに取り込む方法については、以下のビデオをご覧ください。始めるには、 *nix ユニバーサルフォワーダーをインストールします。 Linux、Solaris、Mac OS X などの*nix ホスト上のソフトウェア。ドキュメントリンクは、デプロイツールを使用するのではなく、ホストに直接インストールすることを想定しています。このタイプのデプロイメントは、小規模デプロイメント、概念実証テストデプロイ、および最終的なクローン作成のためのシステムイメージまたは仮想マシンに最適です。
インジェストアクション
インジェストアクションは、お客様がデータフローを迅速かつ簡単に設定し、データの量、形式、送信先を制御できるユーザーインターフェイスです。Splunk EnterpriseおよびSplunk Cloud Platformの検索およびレポート作成UIから、管理ドロップダウンのオプションとしてアクセスできます。
使用 インジェストアクション 簡単なクリック操作で、取り込み時とエッジでデータをフィルタリング、マスキング、ルーティングできます。設定ファイルにコマンドラインを書いたり、スタンザを手書きしたりする必要はありません。この機能により、ノイズをカットして、ミッションクリティカルなデータとアーカイブする必要のあるデータを切り離すことができます。
インジェストアクションページは、Splunk Webの次の場所にあります。 [設定] > [データ] > [インジェストアクション] 。この機能により、サンプルデータを使用してルールセットを動的にプレビューおよび作成できます。クリックするだけで、新しいルールを追加し、編集が必要な内容とそれをマスクする式を指定することができます。
一般的な使用例: アーカイブや監査を目的とした外部S3準拠の宛先へのデータ転送、機密情報 (PIIデータ、ユーザー名など) の削除、IPアドレスの削除、DEBUGログのフィルタリングなどを行います。
その他のリソース
- テックトーク: Splunk へのデータの取り込み
- .conf23 トーク: 「すべてのデータをオンボーディングしました。さあ、どうしますか?」という恐ろしい話は避けましょう。
- .conf23 トーク: データ管理エクスペリエンス (DMX) を備えた GDI-データの取り込み、処理、フィルタリング、マスキング、ルーティング、管理
- .Conf トーク: Splunk ジャーニーを始めよう-データを取り込む | スライドデッキ
- ドキュメント: Splunk エンタープライズにデータを転送する方法