取り込み対象/除外するファイルを正規表現で指定する方法

公開日
2017-02-27
最終更新日
2023-12-01
バージョン
Splunk Enterprise 9.0.3
概要
取り込み対象/除外するファイルを正規表現で指定する方法について記載します。splunkへ取り込みたい/取り込み対象から除外したい場合、inputs.confのwhitelist/blacklistを設定することで、取り込み対象のファイルを正規表現により指定することが出来ます。
参考情報
内容

あるディレクトリ配下の複数のファイルをsplunkへ取り込みたい/取り込み対象から除外したい場合、inputs.confのwhitelist/blacklistを設定することで、取り込み対象のファイルを正規表現により指定することが出来ます。

※blacklistとwhitelistを併用した場合、blacklistの設定が優先して適用されます。

設定

[monitor://<監視ディレクトリのパス>]
whitelist = <取り込み対象ファイルを指定する正規表現>
blacklist = <取り込み対象から除外するファイルを指定する正規表現>

設定例1)

/mnt/logsディレクトリ配下のファイルの内、ファイル名の末尾が「.log」のファイルだけ取り込む場合

$SPLUNK_HOME/etc/system/local/inputs.conf

--------
[monitor:///mnt/logs]
whitelist = \.log$
--------

※$SPLUNK_HOMEはインストールディレクトリです。デフォルトでは以下です。

Linux :
Splunk Enterprise : /opt/splunk
Windows :
Splunk Enterprise : C:\Program Files\Splunk

設定例2)

/mnt/logsディレクトリ配下のファイルの内、ファイル名の末尾が「.txt」のファイルだけ取り込み対象から除外する場合

$SPLUNK_HOME/etc/system/local/inputs.conf

--------
[monitor:///mnt/logs]
blacklist = \.txt$
--------

また監視対象の複数のファイル/ディレクトリを指定する際、ワイルドカード「*」や「...」を使用してください。

ワイルドカード「*」を使用することで任意の複数の文字列を指定することが可能です。

ワイルドカード「...」を使用することで任意のサブディレクトリまで監視対象とすることが可能です。

設定例3)

/DATA/testディレクトリ配下の下記のファイルを取り込む場合

監視対象ファイル:
/DATA/test/EVT_file_a.log1
/DATA/test/TXT_file_b.log2

$SPLUNK_HOME/etc/system/local/inputs.conf

---
[monitor:///DATA/test/*_file_*.log*]
---
設定例4)

/DATA/配下の任意の「.log」ファイルを取り込む場合

監視対象ファイル:
/DATA/test/EVT_file_a.log1
/DATA/test/TXT_file_b.log2
/DATA/test/sample/text.log3

$SPLUNK_HOME/etc/system/local/inputs.conf

---
[monitor:///DATA/.../*.log*]
---

ワイルドカードの仕様やinputs.confの詳細につきましては参考情報もご参考ください。

以上