以前にディレクトリからログをSplunkにアップロードする方法、またはsyslogを使用してログをアップロードする方法、標準のWindowsイベントとLinuxイベントを取得する方法について説明しましたが、システムの操作に関するより詳細な情報を取得する必要がある場合はどうでしょうか?
この場合、スクリプトが助けになります!
いつ、何を、どのようにSplunkのスクリプトを使用してデータを受信できますか?
典型的なユースケース
スクリプトは、次の場合によく使用されます。
- ログに書き込まれていない情報にアクセスする必要があります 。
- たとえば、vmstatまたはiostatを使用して、コマンドラインから生成されたデータが必要です。
- データベース、Webサービス、またはAPIの特定のデータまたは結果が必要です。
- イベントとフィールドの解析を容易にするために、データには前処理が必要です。
- 低速でリソースを大量に消費する起動手順を持つデータソースが使用されます。
- その他
スクリプトの場合、再生する
間隔を設定し、データをSplunkに転送できます。
スクリプトとして、
シェルスクリプト、Pythonスクリプト、Windowsバッチファイル、PowerShell、またはデータを生成および送信できるその他のユーティリティを使用できます。
例
この記事では、スクリプトを使用してデータをロードする例を検討します。
何らかの理由でサイズを監視する必要があるファイルサーバーとディレクトリがあり、しきい値(45 mbのテスト用)を超えないようにしたいとします。 このディレクトリのサイズを30秒の間隔で計算し、しきい値を超えたときに通知するアラートを作成するスクリプトを作成しましょう。
フォルダーのサイズは、以下のスクリプトを使用して読み取られます。このスクリプトは、出力時に、タイムスタンプ、フォルダーへのパス、およびバイト単位のサイズを提供します。
import os import time from datetime import datetime dir_path="///for_script" def get_size(start_path = '.'): total_size = 0 for dirpath, dirnames, filenames in os.walk(start_path): for f in filenames: fp = os.path.join(dirpath, f) total_size += os.path.getsize(fp) return total_size time_of_event=datetime.strftime(datetime.now(), "%Y.%m.%d %H:%M:%S") print time_of_event, dir_path, get_size(dir_path)
より詳細には、以前の記事(
こちらと
こちら )でリモートソースからのデータの読み込みを分析しました。 したがって、これについて簡単に説明します。
必要なもの:•
Splunk Universal Forwarderがインストールされているリモートマシン
•Splunk-indexer。インデクサー
への
送信アプリケーションを作成し、それを
deployment-appsに 転送し、フォワーダー管理を構成します。
また、Splunkインデクサーに
monitor_scriptsアプリケーションを
作成し、
deployment-appsフォルダーに転送します。 アプリケーションで、
ローカルフォルダーを作成し、その中に次の内容の
inputs.confファイルを作成します。
[script://./bin/scripts/foldersize.py] disabled = false index = test_script interval = 30.0 sourcetype = test_script
また、スクリプトを
/ binディレクトリに追加します
展開サーバーの再起動
.../splunk/bin/splunk reload deploy-serverそして...データを取得します!
データ処理とアラート作成
Splunkはタイムスタンプを自動的に選択しましたが、残りの情報は未加工データの形式のままであったため、フィールドを選択する必要があります(これについて
は前の記事で書き
ました )。この場合、フォルダーパス(folder_path)とサイズ(サイズ)の2つのフィールドを選択しました
フォルダーのサイズはバイト単位です。この数値をMBに変換しましょう。 (これはスクリプトで行うことができますが、Splunkで行う方法を示します)
新しい計算フィールドを作成します
(設定-フィールド-計算フィールド-新規)データのソースタイプ、新しいフィールドの名前、計算式を示します。 これで、この計算フィールドは、指定されたソースタイプのデータに追加されます。
興味のあるすべてのフィールドを取得しました。フォルダーのサイズを変更するダイナミクスと、しきい値に達するかどうかを示す
グラフを
作成しましょう。
アラートを作成します。 フォルダーサイズが45 MBを超えると、Splunkからメールが送信されます。 メールアラートの送信方法については、
こちらとSlackで詳しく説明しました。
アラートは新しいリクエストに基づいているため、リクエストのフィールドをメッセージに挿入できます。
リクエストをアラートとして保存し、その条件を規定します:
そして、私たちは手紙を受け取ります:
アラートの設定では、フォルダーサイズが15分以内に減少しない場合、通知が再度送信されることがわかりました。
おわりに
この簡単な例では、スクリプトを介してデータをSplunkにロードする原理を示しました。 問題を解決するスクリプトを作成できます。必要な情報をSplunkにアップロードして、すぐに結果を取得します。
この情報がお役に立てば幸いです。
このトピックに関するすべての質問とコメントに回答させていただきます。 また、この分野、または一般的なマシンデータ分析の分野に特に興味がある場合は、特定のタスクのために既存のソリューションを完成させる準備ができています。 これを行うには、コメントにそれについて書くか、当社の
ウェブサイトのフォームからリクエストを送信してください。
