Tips
REST API を用いた設定ファイルの更新
Appsの更新
curl -k -u admin:<password> https://localhost:8089/sercicesNS/nobody/system/apps/local/<app>/_reload
フィールド抽出に関する設定の更新
curl -k -u admin:<password> https://localhost:8089/sercicesNS/nobody/<app>/data/props/extractions/_reload
ファイルモニターに関する設定の更新
curl -k -u admin:<password> https://localhost:8089/sercicesNS/nobody/<app>/data/inputs/monitor/_reload
Bucketの命名規則
db_<latest_event_time><earliest_event_time><id_num>
latest_event_time : ログの最新のタイムスタンプ
earliest_event_time : ログの最古のタイムスタンプ
dbinspect コマンド
バケツの状態によって、タイムレンジピッカーの当たるフィールドが違う。
Hot : modTime
Warm,Cold,Frozen : endEpoch
ログ取り込み量を確認するサーチ
index=_internal component=LicenseUsage | timechart sum(b) as bytes
Splunkの取込みログ確認について
予想である�が、Splunkはログ取込みの際に以下の項目によって監視していると思われる。
- inputs.confのiniCecLength
- props.confのcheck_method
- 読み込み部分を記録するSeekPointer
Index時の動作について
https://wiki.splunk.com/Community:HowIndexingWorks
Splunk上での名前解決
| makeresults
| eval clienthost=""
| lookup dnslookup clienthost
| makeresults
| eval clientip=""
| lookup dnslookup clientip
Splunkのショートカット
-
マクロの展開 Ctrl+Shift+E
-
SPLの整形 Ctrl+|