Splunk プラットフォームでログのパイプラインを完成する
Splunk Log Observer から Splunk Log Observer Connect に移行し、より多くのログを幅広いデータ ソースから取り込み、より高度なログパイプラインを使用して、セキュリティロギングに拡張する方法を確認してください。
Splunk Observability Cloud にログを取り込むすべてのお客様は、Splunk Observability Cloud と Splunk プラットフォーム間のブリッジである Log Observer Connect を使用できるようになりました。Splunk プラットフォームを使用すると、さまざまなデータソースからより多くのログを取り込み、より高度なログパイプラインを使用して、セキュリティユースケースに応じてロギングを使用できます。
以下のセクションでは、Splunkプラットフォームですべてのロギングパイプライン機能を実現する方法を説明します。
ログ処理ルール
以下の方法でSplunkプラットフォームのデータを処理できます:
|
処理方法 |
ドキュメント |
|---|---|
|
フィールド抽出 |
「フィールド抽出機能を使ったフィールド抽出の構築」を参照してください |
|
インジェストアクション |
「インジェストアクションを使用してデータ入力プロセスを改善する」を参照してください |
|
.conf 設定 |
「イベント処理の概要」を参照してください。 |
|
Edge プロセッサー |
「Edge プロセッサソリューションについて」を参照してください |
|
データストリームプロセッサー |
「データストリームプロセッサの使用」を参照してください。 |
Live Tail
Live Tail 機能を実現するには、Splunk プラットフォームの Search & Reporting アプリのタイムレンジピッカーを [All time (real-time)] または [30 second window] に調整します。ライブイベントはプロンプトなしではストリーミングされないため、[Search] を再度選択して検索を再実行し、最新のログイベントを表示する必要があります。詳細については、「検索に適用する時間範囲の選択 」を参照してください