メインコンテンツへスキップ
Splunk Lanternは、CXoneカスタマー・レコグニション・アワードのナレッジ・イノベーションとナレッジ・マネジメント部門にノミネートされました。クリックしてください。 投票するにはこちら 俺たちのために!
ランタンホーム

Splunk Lantern

Splunk エンタープライズでのデータのオンボーディングと管理

  1. 最後の更新
  2. PDFとして保存

Splunk Enterpriseのオンボーディングとデータ処理を開始するには、次の手順を確認してください。

  1. Splunk Enterprise を使用して達成したい目標を決めてください。
  2. その目標を達成するのに役立つ、Splunk Enterprise で必要なデータを特定してください。
  3. Splunk Lanternのユースケースエクスプローラーは次のような用途に使用できます セキュリティ オブザーバビリティ そして プラットフォーム お客様のデータを活用する新しい用途を発見するため。

データオンボーディングに関するご質問は、以下をご覧ください。 データを取り込む コミュニティのセクションをご覧になるか、アカウントチームにお問い合わせください。

基本を学ぶ

これらのスクリプト化された学習パスを使って基本をマスターしましょう。これらはサンプルデータセットを使用するため、すぐに学習を開始できます。

プロセスでのデータ取得について

データをオンボーディングする前に、以下のリソースを確認してください。

  • データを取り込む主な4つの方法 。このテックトークを視聴して、任意の Linux または Windows ホストからデータを取得する方法、任意のポートで任意のカスタムアプリケーションやユースケースから任意のポートでロスレスな syslog 入力または TCP データ入力を作成する方法、API を使用してデータを送受信する方法について学んでください。
  • どのデータをインデックス化できますか? Splunkプラットフォームは、あらゆるIT、ストリーミング、マシン、履歴データのインデックスを作成できます。これを設定するには、Splunk プラットフォームにデータソースを指定し、そのソースに関する情報を入力すると、そのソースがデータ入力になります。Splunk プラットフォームはデータストリームにインデックスを付け、それを一連のイベントに変換して、すぐに表示、検索できます。構造化は不要です。
  • データの取り込みを始める 。このドキュメントをデータオンボーディングプロセスのガイドとしてご利用ください。
  • データ管理戦略の構築 。この記事を参考に、データソースのオンボーディングと最適化のための強固な基盤を確立してください。

データのオンボーディング

データオンボーディングの指針となるよう、Splunk のデータオンボーディングのベストプラクティスを構築するための 5 段階のプロセスをご覧ください。 ワークフロー 。これらのガイドラインは、データリクエストの効率化、ユースケースの定義、データの検証、新しいデータの可用性の適切な伝達に役立ちます。

フォワーダーを使用してデータを取得する

ユニバーサルフォワーダー マシンからデータレシーバーにデータをストリーミングして、データを取り込む最も一般的な方法です。リモートソースから信頼性が高く安全にデータを収集し、そのデータを Splunk ソフトウェアに転送してインデックス作成と統合を行います。ユニバーサルフォワーダーは、数万台のリモートシステムにまで拡張でき、テラバイト単位のデータを収集できます。

ユニバーサルフォワーダーの導入方法:

  1. Splunk ユニバーサルフォワーダーをダウンロード .
  2. のユニバーサルフォワーダーをインストールしてください Windows または Linux
  3. 受信機を有効にする Splunk エンタープライズにデータを送信します。
  4. ユニバーサルフォワーダーを起動する

データを取り込む-Windows

Windows データを Splunk エンタープライズに取り込む方法については、以下のビデオをご覧ください。開始するには、次のいずれかを実行してください。 Windows ユニバーサルフォワーダーをインストールします。 インストーラーまたはコマンドラインを使用する。インストーラーは大規模なデプロイメントに推奨され、コマンドラインは小規模なデプロイメントに推奨されます。

データを取り込む-Linux

Linux データを Splunk エンタープライズに取り込む方法については、以下のビデオをご覧ください。始めるには、 *nix ユニバーサルフォワーダーをインストールします。 Linux、Solaris、Mac OS X などの*nix ホスト上のソフトウェア。ドキュメントリンクは、デプロイツールを使用するのではなく、ホストに直接インストールすることを想定しています。このタイプのデプロイメントは、小規模デプロイメント、概念実証テストデプロイ、および最終的なクローン作成のためのシステムイメージまたは仮想マシンに最適です。

インジェストアクション

インジェストアクションは、お客様がデータフローを迅速かつ簡単に設定し、データの量、形式、送信先を制御できるユーザーインターフェイスです。Splunk EnterpriseおよびSplunk Cloud Platformの検索およびレポート作成UIから、管理ドロップダウンのオプションとしてアクセスできます。

使用 インジェストアクション 簡単なクリック操作で、取り込み時とエッジでデータをフィルタリング、マスキング、ルーティングできます。設定ファイルにコマンドラインを書いたり、スタンザを手書きしたりする必要はありません。この機能により、ノイズをカットして、ミッションクリティカルなデータとアーカイブする必要のあるデータを切り離すことができます。

clipboard_ed3c9687-8f10-4827-93c3-91d4a2266c12.png

インジェストアクションページは、Splunk Webの次の場所にあります。 [設定] > [データ] > [インジェストアクション] 。この機能により、サンプルデータを使用してルールセットを動的にプレビューおよび作成できます。クリックするだけで、新しいルールを追加し、編集が必要な内容とそれをマスクする式を指定することができます。

clipboard_f95c241c-e932-4a6f-a91e-460c438664a6.png

一般的な使用例: アーカイブや監査を目的とした外部S3準拠の宛先へのデータ転送、機密情報 (PIIデータ、ユーザー名など) の削除、IPアドレスの削除、DEBUGログのフィルタリングなどを行います。

その他のリソース

前のステップ

次のステップ