inputs.conf 解説【Splunk】

この記事は約4分で読めます。
sponsored link

inputs.conf とは

inputs.conf とは「データの収集に関する構成ファイル」のことで、メタデータ (e.g., host, source, index) の追加/編集/削除などを定義することができます。←編集後はインスタンスの再起動が必要です。
※ Web, CLIで定義したデータ収集に関する構成は全てinputs.confに書き込まれます。

Conf files (概要 / 処理の優先度 / btool )【Splunk】
Conf files Conf files とは「Splunkの構成ファイル (e.g., inputs.conf, outputs.conf)」の総称で、システム設定、認証情報、KOs* などが含...

代表的なコマンド

wildcards (… vs. *)

ワイルドカードとして『… (ディレクトリ全体)』『* (単一ディレクトリ内)』を用いると、Splunkで監視するファイルを効率的に指定することができます。

[monitor:///tutorialdata/.../access.*]   # tutorialdataフォルダ内の全てのaccessデータ
○: /tutorialdata/www1/access.log
○: /tutorialdata/www1/logs/access.log
○: /tutorialdata/www2/access.log
○: /tutorialdata/www2/logs/access.log

[monitor:///tutorialdata/www*/access.log]   # tutorialdataのwwwで始まるフォルダのaccess.log
○: /tutorialdata/www1/access.log
×: /tutorialdata/www1/logs/access.log
○: /tutorialdata/www2/access.log
×: /tutorialdata/www2/logs/access.log

whitelist vs. blacklist

『whitelist』『blacklist』では、正規表現に一致したファイルのフィルタリング(包含/除外)を行います。

なお、whitelist, blacklist の両方にマッチした場合は blacklist (拒否) が優先されます

[monitor:///tutorialdata/.../access.*]   # tutorialdataフォルダ内の全てのaccessデータ
whitelist = \.log$                       # ファイル名が「.log」で終わるもの
○: /tutorialdata/www1/access.log
×: /tutorialdata/www1/logs/access.logs
○: /tutorialdata/www2/access.log
×: /tutorialdata/www2/logs/db.logs

ingnorOlderThan

『ingnorOlderThan = n[s|m|h|d]』で期間(時間)を指定することで、指定した条件よりも古いファイルが ignore list に登録されます。これによりSplunkが古いファイルを監視しなくなり、パフォーマンスの向上につながります。

なお、一度 ignore list に登録されたファイルは 再度アップロードしても監視されない ので注意が必要です。

[monitor:///tutorialdata/www1/access.log]
ignoreOlderThan = 14d   # 14日が経過したら削除

followTail

『followTail = 1(有効化)』を有効化したファイルは、Splunkによりインデックス化されません。これにより不要なファイルがスキャンされライセンスが消費されることを防ぐことができます。

ただし、この設定は新規のイベントのみに適用され、既存のイベントには適用されません。

[monitor:///tutorialdata/www1/access.log]
followTail=1   # インデックス時にスキップ

host_regex

『host_regex』では、正規表現に一致したパスの一部を Host として抽出することができます。

ただし、一致するものがなければデフォルトの Host が採用されます。

[monitor:///tutorialdata/www1/access2.log]
host_regex = (\w+ (access.+) \.log$   # Host="access2"

host_segment

『host_segment=n』では、ディレクトリパスのn番目を Host に設定することができます。

なお、host_regex, host_segment の両方がセットされている場合は host_segment が優先されます

[monitor:///tutorialdata/www1/access2.log]
host_segment = 3   # Host="www1"

Reference

inputs.conf – Splunk Documentation