Tags / Event Types どっちやねん問題に終止符を打つ【Splunk】

この記事は約5分で読めます。
sponsored link

タグ

タグとは「特定のフィールド値につける付加情報」のことです。

例えば、ログ内の clientip = 191.205.189.15というフィールド値に「自社オフィス」というタグをつければ、サーチを実行した際に [clientip = 191.205.189.15] のイベントのみ自社オフィスというタグが表示されます。


※上記画像では [clientip = 182.236.164.11] にも「Home, home」というタグをつけています。

作成方法

タグの作成方法:特定のフィールド値を含むイベントを展開 > [Actions] > [Edit Tags] > (タグを入力)


上記画像では [clientip] というフィールドの値が「91.205.189.15」というペアに対して「mainoffice」という1つのタグを付けましたが、タグは値をカンマ(,)で区切って同時に複数設定することも可能です

例えば、 clientip = 191.205.189.15というフィールド値に「home, Home」という2つのタグを設定すると以下のようになります。なお、タグは大文字/小文字の区別があるので注意してください。

使い方

タグの使い方は主に2種類あります。

  • 「tag=〇〇」・・全てのフィールドからタグを検索
  • 「tag::<field>=〇〇」・・特定のフィールドからタグを検索
index=web tag=main*   # 全てのフィールドで「main」から始まるタグを検索
index=web tag::clientip=Home   # 特定のフィールドで絞り込んだ検索

1つ目の例を見るとわかる通り、タグではワイルドカード(*)を利用することもできます

タグを上手く使うことで異なるシステム間のイベントを正規化*したり、同じコンピュータを参照している複数のホスト名を抽出したりすることが可能です。
※例えば、ログAの「clientip = 91.205.189.15」と ログBの「IPaddress = 91.205.189.15」に同じタグを設定すると、そのタグで検索をかけた際にこれらのイベントを同時に取得することができます。

削除/無効化/権限設定

タグは [Actions] > [Edit Tags] から削除することができ、作成済みのタグに関しては [Settings] > [Tags] から削除できます。(タグの無効化/権限設定なども同様です)

イベントタイプ

イベントタイプとは「検索に基づいてイベントを分類するタグ」のことです。
※ Splunkではイベントタイプを検索のショートカットとして利用することは推奨されていません。代わりにマクロ機能を用いることで、より柔軟かつ複数イベントタイプの役割を代替することができます。

例えば、膨大なログの中からsourcetype=”access_combined_wcookie” status=200 action=”purchase”にマッチするイベントを「successful_purchase」とし、sourcetype=”access_combined_wcookie” status>=500 action=”addtocart”にマッチするイベントを「cart_server_error」とすると以下のようになります。

作成方法

イベントタイプの作成方法は以下の2パターンです。

  • (サーチ) > [Save As] > [Event Type] > Name, Tags, Color, Priority の設定 (※ Priorityは 1=最高, 10=最低)
  • [Event Actions] > [Build Event Type] > フィールド値を選択

方法1:(サーチ) > [Save As] > [Event Type]

方法2:[Event Actions] > [Build Event Type]

使い方

イベントタイプは本来「イベントのタグ」として使われますが、検索で利用することも可能です。

index=web eventtype="cart_server_error"

削除/無効化/権限設定

イベントタイプは [Settings] > [Event types] から削除/無効化/権限設定を行うことができます。

イベントタイプ vs. 保存済みレポート

イベントタイプは「タグ」としての利用が推奨されているので、レポート機能とは区別する必要があります。

Event Types Saved Reports
主な用途 検索文字でイベントを分類したいとき
検索の一部として使いたいとき
他ユーザーと結果を共有したいとき
結果をダッシュボードに追加したいとき
分析の軸を変える予定がないとき
時間範囲 含まれない (検索時に設定) 含まれる (変更不可)

References

tags – Splunk Serch Reference

About tags and aliases – Splunk Knowledge Manager Manual

Tag field-value pairs inSearch – Splunk Knowledge Manager Manual

Define and manage tags in Settings – Splunk Getting Started Manual

About event types – Splunk Knowledge Manager Manual

Define event types in Splunk Web – Splunk Knowledge Manager Manual

About event type priorities – Splunk Getting Started Manual