特定のフィールド値と外部リソースを連携させる方法【Splunk】

この記事は約3分で読めます。
sponsored link

Workflow Action (GET, POST, Search) とは

Workflow Action とは「特定のフィールドと外部のwebリソースを連携させる機能」のことで『GET』『POST』『Search』の3種類があります。

  • GET:外部リソースからデータを取得。
  • POST:フィールド値を外部リソースへ送信。
  • Search:フィールド値を次の検索に再利用。

GET

GET は「フィールド値を HTML リンクに埋め込む」という機能で、Google検索やIP検索サービス(WHOIS)などに用いられます。

URIs に渡された変数はURLエンコードされるため、単語間にスペース/句読点を入れることができます。ただし、フィールド値全体を URIs として渡したい場合、Splunkがフィールド値をエスケープしないように「$!<field>$」を使う必要があります。(詳細)

作成方法

  1. [Setting] > [Fields] > [Workflow Actions](+ Add new)
  2. Name, Label, Action type などを入力
  3. 完成

Google 検索

今回は私の環境にあった [ProductName] を使って GET を試してみたいと思います。
※ Splunk が提供するダミーデータを使用しています。

設定が済んだら次は適当なサーチをかけて、イベントメニューに表示されているかを確認します。
※上記画像の [Show action in] でイベントメニューに表示させる設定をしました。

成功です。上記赤枠をクリックすると別ウィンドウが開き画面が遷移します。

IP 検索サービス

今回は IP 検索サービスで有名な「WHOIS」を使います。こちらは IP アドレスの値から通信の詳細を表示するというサービスで、簡単にそのアドレスの詳細が分かるのでとても便利です。

私の環境では [clientip] が IP を示すフィールドなので、以下のような設定となります。
※ WHOIS検索:https://who.is/whois-ip/ip-address/<ip_address>

設定が済んだら次は適当なサーチをかけ、イベントメニューに表示されているかを確認します。

設定が確認できたので、先程同様、赤枠をクリックします。

POST・Search

『POST』『Search』の基本的な流れは『GET』と同様なため、ここでは割愛させていただきます。

Set up a POST workflow action - Splunk Documentation
Set up a search workflow action - Splunk Documentation

References

About workflow actions in Splunk Web – Splunk Knowledge Manager Manual

Set up a search workflow action – Splunk Knowledge Manager Manual

Set up a GET workflow action – Splunk Knowledge Manager Manual

Set up a POST workflow action – Splunk Knowledge Manager Manual

workflow action – Splunk Documentation