セキュリティ事業メニュー
セキュリティ事業
HOME
選ばれる
理由
サービス
取扱メーカー
事例・レポート・
ブログ・用語集
セミナー・
オンデマンド動画
TOP
製品・サービス
仕様・技術情報
ソリューション
ユーザー事例
サポート
セミナー・コンテンツ
評価機申込・FAQ
資料請求
お問い合わせ
イベント・セミナー
オンデマンド動画

ローテートするログの取り込み設定方法

公開日
2015-05-07
最終更新日
2015-05-07
バージョン
Splunk Enterprise 6.0.1
概要
ローテーションするログの取り込み設定方法について
参考情報
内容

Splunkは監視対象であるデータが取り込み済みかどうか、データのハッシュ値を見て判断しています。

ログがローテートされ圧縮形式に変換されるとハッシュ値が変わるため、Splunkは既に取り込み済みのデータでも新しいデータであると認識し、再度取り込みを行います。

ローテートしたファイルが圧縮形式になり、またローテートされたファイルが監視対象ディレクトリに含まれている場合、イベントの重複取り込みが発生する恐れがあります。

この場合、whitelistやblacklistの設定を行い、ローテートされたファイルを監視対象から除外することが可能です。

※whitelistとblacklist設定について

  • whitelist:指定した文字列を含むファイル名のみ取り込みを行う
  • blacklist:指定した文字列を含まないファイル名のみ取り込みを行う

特定のファイルを検索対象から除外する設定について

【whitelistにて特定のファイルのみ取り込み対象とする設定手順】

  • 以下の設定ファイルを編集します。
$SPLUNK_HOME/etc/<任意のapp>/local/inputs.conf
 [monitor://<監視対象ディレクトリおよびファイルのパス等>]
 whitelist = \.log$

※whitelistに取り込み対象を指定する正規表現を設定します。

  • Splunkサービスを再起動します。

【blacklistにて特定のファイルのみ取り込み対象から除外する設定手順】

  • 以下の設定ファイルを編集します。
$SPLUNK_HOME/etc/<任意のapp>/local/inputs.conf
 [monitor://<監視対象ディレクトリおよびファイルのパス等>]
  blacklist = \.gz$

※blacklistに取り込み除外対象を指定する正規表現を設定します。

  • Splunkサービスを再起動します。

以上

"

前のページへ