サイティング検索設定レコードの作成

  • リリースバージョン: Yokohama
  • 更新日 2025年01月30日
  • 所要時間:3分

    • 複数のサイティング検索設定レコードを作成し、複数のログストアを照会したり、検索パラメーターを変更したりするときに使用します。

    始める前に

    必要なロール:sn_si.admin

    • CIM アドオンが Splunk インスタンスにインストールされている必要があります。
    • 保存された検索とインプレースクエリは、Splunk Integration でのみサポートされています。

    このタスクについて

    サイティング検索設定レコードを作成して、Splunk エンタープライズログストアで保存済みの検索を呼び出すこともできます。
    注:
    検索構成クエリは、Splunk 共通情報モデル (CIM) に準拠するために Splunk ログデータに依存しています。
    保存済みの検索構成を使用して、次のことができます。
    • 複数のイベントレコードを組み合わせたカスタム検索の作成
    • 設計効率に優れ、効果的な検索
    • Splunk の保存済みの検索でパラメーター化された入力を使用

    ベースシステムには、次の画像に示すサンプル構成が含まれています。

    図 : 1. 保存済みの検索の構成
    検索構成
    この保存済みの検索とインプレース構成クエリはサンプルクエリです。パラメーターは、お使いの環境に合わせて適宜置き換えてください。必要に応じて、保存済みの検索構成を追加で作成します。保存済みの検索構成を定義するときに、検索クエリの名前とパラメーターは、Splunk インスタンスで定義した保存済みの構成と一致させる必要があります。名前とパラメーターが同じでない場合、サイティング検索を実行しても正確な結果が表示されない可能性があります。
    注:
    Splunk インスタンスで、[検索、レポート、およびアラート (Searches, Reports, and Alerts)] ページに移動し、保存済みの検索クエリを見つけます。[権限 (Permissions)] リンクをクリックして [権限 (Permissions)] ページに移動します。[すべてのアプリ (All Apps)] ラジオボタンを選択し、[全員 (Everyone)][読み取り権限 (Read Permission)] オプションを有効にします。これにより、保存済みの検索クエリの [共有 (Sharing)] 列の値が [プライベート (Private)] から [アプリ (App)] に変更されます。これが設定されていない場合、保存済みの検索クエリが何も結果を返さない可能性があります。

    保存済みの検索構成が Splunk インスタンスで定義した構成と一致するかどうかを確認するには、次の手順を実行します。

    1. 次のように移動する。 設定 > 検索、レポート、およびアラート.
    2. [アプリコンテキスト][すべて] に変更します。

      検索レポートのリストが表示されます。

    3. 保存済みの検索クエリがリストに存在することを確認します。
    たとえば、[サイティング検索構成] フォームには、メールアドレスとメール送信者が検索パラメーターとして含まれています。
    図 : 2. [サイティング検索構成] フォーム
    保存済みの構成

    Splunk インスタンスで、同じ「Default Saved Search - Emails (デフォルトの保存済みの検索 - メール)」という名前で、同じ検索パラメーター (メールアドレスとメールの件名) の保存済みの検索を定義します。名前と検索パラメーターが同じでない場合、サイティング検索で正確な結果が生成されない可能性があります。

    手順

    1. 次のように移動する。 セキュリティオペレーション > 統合 > サイティング検索構成 をクリックし、新しいレコードを作成します (フィールドの説明についてはテーブルを参照)。
      表 : 1. [サイティング検索構成] フォーム
      フィールド 説明
      名前 構成の名前。
      保存された検索 このオプションを選択すると、保存された検索構成が作成されます。
      サイティング検索ソース サイティング検索のソース。ソースとして Splunk ログストアを選択します。
      有効 保存済みの検索ステータスのオプション。サイティング検索に使用できるのは、アクティブな検索構成だけです。
      観測可能タイプ [観測事象タイプ] には、IP、ハッシュ値、URL、ドメイン名などの任意の観測事象タイプを指定できます。
      検索あたりの最大観測事象の数 検索から返される観測事象の最大数。
      検索 デフォルトの検索文字列は $(observable) ですが、Splunk ログストアでサポートされているパラメーターを指定することで、独自の検索クエリを定義できます。
    2. [Submit] をクリックします。

    タスクの結果

    これでサイティング検索設定レコードを作成できました。

    次のタスク

    検索クエリを定義した後、[サイティング検索テストクエリを生成] をクリックし、観測事象値のリストを指定して、この保存済みの検索構成に基づいてテストクエリを生成します。