ソースルールの作成

  1. コントローラの上部のナビゲーションバーから、[] をクリックします。
  2. 左側のナビゲーション パネルから、[Configuration] > [Log Analytics]をクリックします。2 つのタブが表示されます。1 つはソースルール用で、もう 1 つはエージェントスコープ用です。
  3. [Source Rules] タブで、次をクリックします。 [Add Source Rule] パネルが表示されます。
  4. [] パネルで、ソースルールの開始点を選択します。ソースルールの開始点としてジョブファイルを使用することもできます。ソースルールへのログ分析ジョブファイルの移行 ソースルールへのログ分析ジョブファイルの移行
  5. [] を使用して、ソースログファイルがローカルファイルシステムに存在するか、またはネットワーク接続から収集されるのかを示します。
    注: ネットワーク接続からの収集は、TCP を介して {{syslog}} メッセージからログ分析フィールドを抽出する TCP ソースルールにのみ使用されます。Syslog メッセージからのログ分析データの収集Syslog メッセージからのログ分析データの収集
  6. [] ボタンを使用して、設定の結果をプレビューするサンプルログファイルを特定して指定します。また、サンプルファイルは後でフィールド抽出手順の設定プロセスで指定することもできます。
  7. [] をクリックして、[Add Source Configuration] ウィザードを表示します。Splunk AppDynamics テンプレートまたは既存のソースルールのいずれかを開始点として選択した場合、一部のフィールドにデータが事前入力されていることがあります。次の 4 つのタブがあります。
    • 一般
    • Field Extraction
    • Field Customization
    • Agent Mapping
  8. [General] タブで、ルールに名前を付け、その場所、タイムスタンプ処理、およびその他の一般的な特性を指定します。「一般的な設定」を参照してください。
  9. [Field Extraction] タブで、ログファイルからキャプチャするフィールドを設定します。このサブタブのフィールドの詳細については、Field Extraction を参照してください。自動または手動でのフィールド抽出の使用に関する詳細な手順については、「 ソースルールのフィールド抽出」を参照してください。
    注: 最も単純な正規表現と grok の一致パターンを使用してください。コントローラ UI の応答が遅くなる可能性があるため、ワイルドカードや量指定子の過剰な使用は避けてください。高コストな過度の量指定子の例については、https://docs.oracle.com/javase/7/docs/api/java/util/regex/Pattern.html を参照してください。
  10. [Field Management] タブでは、機密データのマスク、フィールドの名前変更、データ型の変更など、さまざまな方法でフィールドの処理をカスタマイズできます。「フィールド管理」を参照してください。 Mask Value:社会保障番号のクレジットカード番号などの機密データの値をマスクするには、このオプションを使用します。[Mask Value] を選択し、開始インデックスと終了インデックス(以下の例ではそれぞれ 1 と 4)、表示でマスクに使用する文字(* アスタリスクなど)を入力します。 Replace Value:データフィールド全体を静的文字列に置き換えるには、このオプションを使用します。[Replace Value] を選択し、使用する文字列を入力します。 
  11. [Agent Mapping] タブで、ソースルールを特定のエージェントスコープに割り当てます。
  12. 完了したら [保存(Save)] をクリックします。ソースルールは無効な状態で保存されます。