Activity Feed
- Karma Re: About Lookup Table (outputlookup) for Suda. 06-05-2020 12:47 AM
- Karma Re: 正規表現を使用しない場合のカラム名変換について for MuS. 06-05-2020 12:46 AM
- Karma Re: How to get "duration" without use transaction for MuS. 06-05-2020 12:46 AM
- Posted Re: About Lookup Table (outputlookup) on Splunk Search. 12-03-2014 08:59 PM
- Posted Re: About Lookup Table (outputlookup) on Splunk Search. 12-03-2014 12:17 AM
- Posted About Lookup Table (outputlookup) on Splunk Search. 12-01-2014 12:58 AM
- Tagged About Lookup Table (outputlookup) on Splunk Search. 12-01-2014 12:58 AM
- Tagged About Lookup Table (outputlookup) on Splunk Search. 12-01-2014 12:58 AM
- Posted DB Connect App and CSV with header on All Apps and Add-ons. 10-02-2014 06:22 AM
- Tagged DB Connect App and CSV with header on All Apps and Add-ons. 10-02-2014 06:22 AM
- Tagged DB Connect App and CSV with header on All Apps and Add-ons. 10-02-2014 06:22 AM
- Tagged DB Connect App and CSV with header on All Apps and Add-ons. 10-02-2014 06:22 AM
- Posted Re: How to get "duration" without use transaction on Splunk Search. 06-10-2014 06:34 PM
- Posted How to get "duration" without use transaction on Splunk Search. 06-10-2014 12:40 AM
- Tagged How to get "duration" without use transaction on Splunk Search. 06-10-2014 12:40 AM
- Tagged How to get "duration" without use transaction on Splunk Search. 06-10-2014 12:40 AM
- Posted Re: 時間の計算方法を教えてください on Splunk Search. 06-08-2014 10:35 PM
- Posted 時間の計算方法を教えてください on Splunk Search. 06-06-2014 01:51 AM
- Tagged 時間の計算方法を教えてください on Splunk Search. 06-06-2014 01:51 AM
- Posted Django(HTML)で作成したダッシュボードからCSV出力を行いたい on Dashboards & Visualizations. 03-12-2014 12:19 AM
Topics I've Started
Subject | Karma | Author | Latest Post |
---|---|---|---|
0 | |||
0 | |||
0 | |||
0 | |||
0 | |||
0 | |||
0 | |||
0 | |||
0 |
12-01-2014
12:58 AM
ルックアップテーブルについて質問です。
outputlookup関数の引数において<tablename>がありますが、この場合「テーブルに書き込む」とのことですが、どこに持ちますでしょうか。
<filename>の場合は.csvファイルに書き込みますが、<tablename>でテーブルに書き込んだ場合はメモリ上に持つイメージになるのでしょうか?
人事データをログとして取り込み、outputlookupでルックアップテーブルに出力し、その結果を元にinputlookupを用いて特定のログと紐づけることを実現したいと考えています。
常に最新の人事データを取得していた場合、昔のログと紐づけると最新の人事データでは異動が発生していることが考えられ、ログの整合性が合わないことが考えられるためです。
また、この方法に関してベストな方法があれば教えてください。
※追記※
outputlookup関数で月の初めに人事データをcsvファイルで出力したとしても、その月に対応するlookupを手動で作成する必要があると考えています。
この部分(ルックアップテーブルファイル - ルックアップ定義 - 自動ルックアップ)を自動化する方法はありますでしょうか?
検索をしていても、「自動ルックアップ」に関する部分しか出てこず。。
I have a question about the look-up table.
<tablename> in argument of outputlookup function there are, but is that it is with this case, "write to the table", where you would either have.
<filename> writes to a .csv file, <tablename> If you have written to the table in either will become the image you have on memory?
Captures the personnel data as a log, output to the look-up table in outputlookup, we would like to realize that to characterize string and specific log using inputlookup the results to the original.
If you have always to get the latest HR data, when characterizing string and old log in the latest personnel data is considered that the change has occurred, it is because it is conceivable that the integrity of the log does not fit.
Also, please tell me if there is a best way for this method.
Postscript
even if output personnel data in csv file at the beginning of the month in outputlookup function, I believe that there is a need to create a lookup corresponding to the month manually.
This part (look-up table file - look up definitions - automatic lookup) or will there a way to automate?
And be in the search, not come out only part about the "automatic look-up". .
I thank you for reading it through.
... View more
10-02-2014
06:22 AM
DB Connect AppでMS SQL Serverからデータを取得しているのですが、SQLで選択するカラム数が変更になることが予測されるので、OutputをCSV with headerで取得し、ヘッダ行をフィールドに割り当てようと考えています。
実際のCSVファイルを直接読み込んだ際には、props.confにCHECK_FOR_HEADERの設定をして、1行目のヘッダ行をフィールドに割り当てることができているのですが、DB Connect AppでCSV with headerで取得した際に、思ったように動きません。
(1行目のヘッダ行もレコードとして取得されてしまう)
何か注意点などありますでしょうか?
設定のサンプル等教えて頂けると助かります。
... View more
06-10-2014
06:34 PM
Thank you for your comments.
..Sorry for not explaining enough.
"STATUS" column is included "Timeout" log.
DATE | ID | HOSTNAME | STATUS
14/05/31 23:35 | user03 | PC02 | Start
14/05/31 23:50 | | PC02 | Timeout
14/05/31 23:55 | user04 | PC02 | Start
14/05/31 23:59 | user04 | PC02 | End
ID is not included in the log "Timeout".
in this case, the use of time user03, until 23:50 there is a Timeout log from "STRAT" 23:35.
I want to measure the PC usage time of each user in this case.
I'm sorry for my clumsy English.
It would be extremely helpful if you could tell me that.
pisc
... View more
06-10-2014
12:40 AM
transaction関数を使用すれば、グルーピングしたログの間隔(duration)を取得出来ますが、transactionを使用しない場合のduration取得方法をご教授頂けますでしょうか。
下記のログを用いてPCの操作時間のユーザごとの総計を取得したいと思っています。
user01の場合は23:00~23:30で使用時間が30minになりますが、user02の場合、Startの次はuser03によるPC02の使用ということで、23:10~23:35で25minになります。
transactionを使用し、startswith=Start、endswith=Endとした場合は、上記のuser02のEndがない為、グルーピングがうまくいきません。
この場合のdurationの取得方法、またはtransactionをうまく活用できないか、ご教授頂けますでしょうか。
DATE | ID | HOSTNAME | STATUS
14/05/31 23:00 | user01 | PC01 | Start
14/05/31 23:10 | user02 | PC02 | Start
14/05/31 23:30 | user01 | PC01 | End
14/05/31 23:35 | user03 | PC02 | Start
14/05/31 23:50 | user03 | PC02 | End
以下、情報が不足してましたので追記します。
STATUSカラムには「Timeout」というログが存在します。
DATE | ID | HOSTNAME | STATUS
14/05/31 23:35 | user03 | PC02 | Start
14/05/31 23:50 | | PC02 | Timeout
14/05/31 23:55 | user04 | PC02 | Start
14/05/31 23:59 | user04 | PC02 | End
Timeoutログがある場合は、IDは空欄です。
この場合、user03は23:35~23:50の使用時間になります。
こういったログを1か月分集計し、HOSTNAMEごとの使用時間、IDごとの使用時間を集計したいと考えています。
... View more
- Tags:
- duration
- transaction
06-06-2014
01:51 AM
時間の計算を行い、各端末がどれぐらいの時間使用しているか調査したいと考えています。
このような例のログになります。
時間 , 端末名 , ステータス
2014/6/5 12:00:00 , PC01 , ログイン
2014/6/5 12:10:00 , PC02 , ログイン
2014/6/5 12:40:00 , PC02 , ログアウト
2014/6/5 13:00:00 , PC01 , ログアウト
transaction関数を使用して各PCごとにまとめてから時間の計算を行おうと思うのですが、
そもそもそのようなことは可能でしょうか。
... View more
03-12-2014
12:19 AM
サーチバーで検索した結果を出力したものをCSV出力する方法を教えてください。
Django(HTML + JavaScript)にてAppを作成してダッシュボードを作成しました。
サーチバーに入力したものをテーブルビューで出力するシンプルなダッシュボードです。
Advanced XMLであれば を使用して結果を出力するボタンを作成することが出来ますが、Django(html)では作成することは可能でしょうか。
イメージはデフォルトで付属しているSearch.appで検索後、「スマートモード」の左隣にあるボタン群のようなものです。
Advanced XMLは「?showsource=true」でソースを確認してもXMLしか表示されず、
ブラウザ付属の「ソースを表示」を使用しても検索前(ボタン群が表示されていない)のソースしか表示されません。
以上、よろしくお願いします。
... View more
03-02-2014
04:29 PM
ご回答ありがとうございます。
「サーチ」のrename関数を使用するわけではなく、Splunkにデータが取り込まれた際に決定するカラム自体を変更したいです。
調べたところ、props.confにエイリアスを入力すれば目的としていることが出来ました。
... View more
02-23-2014
11:38 PM
カラム名の変換方法について教えてください。
正規表現を使用せずにSplunk側で処理が出来て読み込めたデータがありますが、カラム名を変更したいと思います。
Splunk側で読み込んだデータに対してカラム名を変更することは可能ですか?
... View more
07-03-2013
09:47 PM
ありがとうございます。
確認したところ、表示させたいフィールドのみが表示されました。
質問ばかりになってしまい申し訳ございませんが、chartでグラフを作るために同じようにする場合はどのようにすればいいでしょうか?
よろしくお願いします。
... View more
07-01-2013
11:35 PM
ダッシュボードでのXML作成について質問です。
<table>
<searchString>source="WinEventLog:Security" | regex EventCode="53[0-9]"</searchString>
<fields>Eventtime,ComputerName,Username</fields>
</table>
上記のXMLを使用することで、サーチ内容の結果についてEventtime,ComputerName,Usernameのテーブルリストが表示されるという認識でおりますが、テーブルの結果には何も表示されませんでした。
fieldsタグに常にインデックスされる「_time」や「sourcetype」等であればfieldsタグに記述して結果が表示されることを確認しております。
source="WinEventLog:Security"はWindowsイベントログのセキュリティログになり、フィールドとしては「Eventtime」や「ComputerName」が存在し、インデックスされています。
どのようにすれば、「常にインデックスされるフィールド」以外もダッシュボードで表示することができるでしょうか。
また、tableタグだけではなく、chartタグを使用してグラフを作成しても同様です。
以上、お願いします。
... View more
05-23-2013
10:09 PM
フォーマットの変更不可の件、理解しました。
グラフレポートを外すことは出来ないでしょうか?
サーチ文字列でtable関数を使わない場合は、グラフが付いて来ませんでしたので
外せそうな気はしているのですが、サーチ文字列の方で工夫がいるのでしょうか?
(table関数でフィールドを指定しないと、タイムスタンプと_Rawのみになります)
... View more
05-21-2013
09:52 PM
「サーチとレポート」から1日に1回PDFでレポートをメール送付する設定をしているのですが
表形式のレポートとグラフ形式のレポートが1つのPDFファイルに含まれています。
表形式のレポートのみが欲しいため、サーチ文字列には、「 | table columnA, columnB, ・・・」として
表形式での出力にしています。
グラフレポートをPDFから外す設定はどのようにすればよいでしょうか?
また、表形式レポートに出力しているカラム数が多いため、1つ1つのセル幅が小さくなり、
非常に読みづらいレポートになっています。(長いファイル名などのカラムが途中で改行されてしまう等)
例:
c:\program fi
les\aaaaaaa\
bin\xxxxxxx
.exe
印刷を前提としていないため、それぞれのカラム幅を指定して、もう少し横長のPDFレポートに
したいのですが、この辺りの出力フォーマットも設定で指定できないでしょうか?
よろしくお願いします。
... View more
05-21-2013
08:35 PM
なるほど、現状ではこの方法しかないのですね。
やはりターゲットのサーバが複数台ありますので、ターゲットのサーバ台数分のSplunkサーバを用意することになりますので、それぞれ別のSplunkサーバで収集というのは難しそうです。
ユニバーサルフォワーダーをインストールしてもらえるように主幹部署に調整をお願いするか、もしくはVBScript等で独自にWMIで取得するか、別の方法を検討してみます。
... View more
05-19-2013
07:41 PM
教えて頂いた方法を試してみると、確かに接続できるようにはなりました。
(1)ターゲットサーバ上に専用アカウントを作成
(2)splunkサーバ上に同じ名前、パスワードのアカウントを作成
(3)splunkサーバ上のsplunkdサービスの実行ユーザを変更
しかし、splunkdのサービス実行ユーザをターゲットのサーバのアカウントと揃える必要がありました。
ターゲットのサーバが複数台あり、ドメイン/非ドメイン環境が混在しているので、この方法だと全台からログを取得するのは難しそうです。
vbscript等をタスクスケジューラで実行して、WMIを個別に叩く方法なら出来そうな気がしますが、
あまりスマートではないので、splunkの標準機能(もしくはApp)で実現出来る方法はないものでしょうか?
... View more
05-17-2013
04:12 AM
情報をありがとうございます。
まだ内容の確認が出来ていませんが、週明けに職場で確認してみます。
結果はまた改めてフィードバックさせて頂きます。
... View more
05-17-2013
03:13 AM
WMIでのWindowsイベントログ取得について教えてください。
[データ入力] - [リモートイベントログの収集]から設定をしていますが、
対象マシンのIPアドレスを入力し、[ログのサーチ]ボタンをクリックすると、以下のエラーが発生します。
データ取得に失敗しました: In handler 'win-wmi-enum-eventlogs': Unable to get wmi classes from host 'xxx.xxx.xxx.xxx'. This host may not be reachable or WMI may be misconfigured.
Universal Forwarderをインストールすると、イベントログ自体は取得出来ますが、対象マシンにインストールをすることが許可されていないため、WMIでのリモート取得をする必要があります。
上記のリモートイベントログでログを取得する場合の留意点は何かございますでしょうか?
対象マシンの構成として、ドメインには参加しておらずワークグループのコンピュータです。
当然ネットワーク上の問題はなくpingも通りますし、WMIMGMT.msc等を利用してWMI接続が出来るかを確認しても、問題なくWMIでの接続は可能です。
以上、よろしくお願いします。
... View more