Workflow Action 解説【Splunk】

この記事は約3分で読めます。
sponsored link

Workflow Action (GET, POST, Search) とは

Workflow Action とは「特定のフィールドと外部のwebリソースを連携させる機能」のことで『GET』『POST』『Search』の3種類があります。

  • GET:外部リソースからデータを取得。
  • POST:フィールド値を外部リソースへ送信。
  • Search:フィールド値を次の検索に再利用。

GET

GET は「フィールド値をHTMLリンクに埋め込む」という機能で、Google検索やWHOISなどに用いられます。

URIsに渡された変数はURLエンコードされるため、単語間にスペースや句読点を入れることができます。

ただし、フィールド値全体をURIsとして渡したい場合、Splunkがフィールド値をエスケープしないように「$!<field>$」を使う必要があります。(詳細)

作成方法

  1. [Setting] > [Fields] > [Workflow Actions](+ Add new)
  2. 各種項目 (e.g., Name, Label, Action type) を入力
  3. 完成

Google 検索

今回は、tutorialdata[ProductName] を使って GET を試してみたいと思います。

設定が済んだら次は適当なサーチをかけて、イベントメニューに表示されているかを確認します。今回は [Show action in] でイベントメニューに表示させる設定をしました。

成功です。上記赤枠をクリックすると別ウィンドウが開き画面が遷移します。

IP 検索サービス

今回は IP 検索サービスで有名なWHOIS*を使います。こちらは IP アドレスの値から通信の詳細を表示するというサービスで、簡単にそのアドレスの詳細が分かるのでとても便利です。
※ WHOIS検索:https://who.is/whois-ip/ip-address/<ip_address>

今回は [clientip] が IPアドレスを示すので、以下のような設定となります。

設定が済んだら次は適当なサーチをかけ、イベントメニューに表示されているかを確認します。

設定が確認できたので、先程同様、赤枠をクリックします。

POST・Search

『POST』『Search』の基本的な流れは『GET』と同様なため、ここでは割愛させていただきます。

https://docs.splunk.com/Documentation/Splunk/8.2.1/Knowledge/SetupaPOSTworkflowaction
Set up a search workflow action - Splunk Documentation

References

About workflow actions in Splunk Web – Splunk Knowledge Manager Manual

Set up a search workflow action – Splunk Knowledge Manager Manual

Set up a GET workflow action – Splunk Knowledge Manager Manual

Set up a POST workflow action – Splunk Knowledge Manager Manual

workflow action – Splunk Documentation