製品
サービス
- 簡易セキュリティコンサルティング【コンサルティング】
- Splunk SOAR 自動化アセスメントサービス【コンサルティング】
- ダッシュボード/SPL作成パック【実装・構築支援】
- バージョンアップサービス【実装・構築支援】
- Splunk Premium Apps 構築サポートサービス【実装・構築支援】
- Splunkセキュリティログ分析スタートパッケージ【独自App/サービス】
- Splunk × CrowdStrike Falcon Insight, Macnica Original App【独自App/サービス】
- 政府統一基準対応App【独自App/サービス】
- Smart Security Monitoring App【独自App/サービス】
- Splunk × LANSCOPE Original App 【独自App/サービス】
- Security Monitoring App for Box【独自App/サービス】
- Cloud Security Monitoring App【独自App/サービス】
- SIEM運用監視サービス【独自App/サービス】
- サービス一覧
- Macnica Premium Support for Splunk(利活用支援、バージョンアップ見守り)
- Macnica Premium Support for Splunk スキルアップパッケージ
仕様・技術情報
ローテートするログの取り込み設定方法
Splunkは監視対象であるデータが取り込み済みかどうか、データのハッシュ値を見て判断しています。 ログがローテートされ圧縮形式に変換されるとハッシュ値が変わるため、Splunkは既に取り込み済みのデータでも新しいデータであると認識し、再度取り込みを行います。 ローテートしたファイルが圧縮形式になり、またローテートされたファイルが監視対象ディレクトリに含まれている場合、イベントの重複取り込みが発生する恐れがあります。 この場合、whitelistやblacklistの設定を行い、ローテートされたファイルを監視対象から除外することが可能です。 ※whitelistとblacklist設定について 特定のファイルを検索対象から除外する設定について 【whitelistにて特定のファイルのみ取り込み対象とする設定手順】 ※whitelistに取り込み対象を指定する正規表現を設定します。 【blacklistにて特定のファイルのみ取り込み対象から除外する設定手順】 ※blacklistに取り込み除外対象を指定する正規表現を設定します。 以上
$SPLUNK_HOME/etc/<任意のapp>/local/inputs.conf
[monitor://<監視対象ディレクトリおよびファイルのパス等>]
whitelist = \.log$
$SPLUNK_HOME/etc/<任意のapp>/local/inputs.conf
[monitor://<監視対象ディレクトリおよびファイルのパス等>]
blacklist = \.gz$
"
株式会社マクニカ Splunk 担当
- TEL:045-476-2010
- E-mail:splunk-sales@macnica.co.jp
月~金 8:45~17:30