Zenn
🥰

Splunk - フィールド抽出(Field Extractions :FX)

2025/01/23に公開
Splunk
siem
サイバーセキュリティ
自学習
poweruser
tech

公式を参考にフィールド抽出機能(Field Extractions :FX)の使用方法について確認します。

https://docs.splunk.com/Documentation/Splunk/9.4.0/Knowledge/ExtractfieldsinteractivelywithIFX

フィールド抽出

フィールド抽出機能を使用して、新しいフィールドを作成します。 フィールド抽出には、2つのフィールド抽出方法があります。正規表現メソッドと区切り記号メソッドです。

正規表現メソッド

正規表現メソッドは構造化されていないイベントデータに最適です。サンプルイベントを選択し、そのイベントから抽出する1つまたは複数のフィールドをハイライトすると、フィールド抽出機能がデータセット内の類似したイベントに一致する正規表現を生成し、そのイベントからフィールドを抽出します。正規表現では正規表現の精度をテストおよび向上させるために複数のツールを使用できます。また、正規表現を手動で編集することも可能です。

区切り文字メソッド

区切り記号メソッドは構造化されたイベントデータ用に設計されています。ヘッダー付きのファイルのデータで、イベント内のすべてのフィールドがカンマやスペースなど共通の区切り記号で区切られています。サンプルイベントを選択し、区切り記号を特定することでフィールド抽出機能が検出したフィールドの名前を変更します。ヘッダーとフィールドが特定の文字で区切られているファイルに存在するデータの使用に最適です。

フィールド抽出の概要

フィールド抽出機能の一連の流れを確認します。フィールド抽出のワークフローは、「抽出方法の選択」で分岐し、使用するフィールド抽出方法を選択します。


次の表は、必要なステップの概要を示しています。詳細については、ステップタイトルの列にあるリンクをクリックしてください。

ステップタイトル 説明 フィールド抽出方法
サンプルの選択 抽出したいフィールド、またはフィールドを持つイベントに関連付けられているソースタイプまたはソースを選択します。次に、そのフィールド、またはフィールドを持つサンプルイベントを選択します。 両方
抽出方法の選択 フィールドの抽出方法を選択します。フィールド抽出で正規表現メソッドを使用するか、または区切り文字メソッドを使用することができます。選択は、非構造化/構造化イベントデータからフィールドを抽出しようとしているかによって異なります。 両方
フィールドの選択 イベント内の1つまたは複数のフィールド値をハイライトして、フィールドとして識別します。 フィールド抽出機能は、イベントに一致する正規表現を生成し、フィールドを抽出します。オプションとして、以下の操作が可能です。

- 抽出精度を向上させるために、追加のサンプルイベントを使用します。
- 必要なテキストを識別し、そのテキストを含むイベントに対してフィールド抽出を行います。
- フィールド抽出結果を検証します。
- 正規表現を手動で更新します。
 正規表現メソッド
フィールド名の変更 イベント内のすべてのフィールドを区切る区切り文字を特定し、1つ以上のフィールド名を変更します。 区切り記号メソッド
値の検証 フィールド抽出結果を検証します。抽出が正しく行われなかったフィールドは、抽出精度を向上させるための反例として特定します。 正規表現メソッド
保存 新しいフィールド抽出に命名、権限を設定して保存します。 両方

フィールド抽出機能の使用方法

フィールド抽出機能を使用するには、いくつかの方法があります。使用方法によって、フィールド抽出機能のワークフローのどのステップから開始するかが決まります。

すべてのユーザーは、サーチを実行した後、フィールド抽出機能にアクセスできます。サーチ後のフィールド抽出機能へのエントリポイントは次の3つです。

  • フィールドサイドバー下部
  • 「すべてのフィールド」ダイアログボックス
  • サーチ結果の任意のイベント

また、次の方法でもフィールド抽出機能にアクセスできます。

  • [設定] の [フィールド抽出] からアクセス
  • 固定ソースタイプのデータ追加時
  • Splunk Web (管理者ロール権限のみ)からアクセス

フィールドサイドバー下部

この方法でフィールド抽出機能にアクセスすると、サーチで返されたイベントに対してのみ実行されます。Splunk ソースタイプの完全な組を取得するには、[設定] の [フィールド抽出] に移動します。

  1. サーチを実行します。
    フィールドサイドバーの下部までスクロールして、[新しいフィールドの抽出] をクリックします。
    フィールド抽出機能では、[サンプルの選択] ステップから開始します。

「すべてのフィールド」ダイアログボックス

この方法でフィールド抽出機能にアクセスすると、サーチで返されたデータからフィールドのみを抽出できます。

  1. サーチを実行します。
  2. フィールドサイドバーの上部で、[すべてのフィールド] をクリックします。
  3. [すべてのフィールド] ダイアログボックスで、[新しいフィールドを抽出] をクリックします。
    フィールド抽出機能では、[サンプルの選択] ステップから開始します。

サーチ結果の任意のイベント

この方法を使用するとサーチ結果のイベントを選択して次のフィールド抽出を作成することができます。

  • そのイベントで見つかった1つ以上のフィールドを抽出する。
  • そのイベントのソースタイプに関連付けられている。

この方法を使用してフィールド抽出機能にアクセスすると、サーチによって返されたイベントに対してフィールド抽出機能が実行されます。

  1. サーチを実行します。
  2. フィールド抽出を行いたいイベントを見つけ、タイムスタンプの左にある矢印記号をクリックして開きます。
  3. [イベントアクション]をクリックし、フィールド抽出を選択します。
    フィールド抽出機能を起動、新しいブラウザタブが開き、[抽出方法の選択]ステップから開始できます。

[設定] の [フィールド抽出]からアクセス

フィールド抽出ページにアクセスするには、[設定]の[フィールド抽出]ページを開きます。
この入力方法はすべてのユーザーが利用できます。

[設定] > [フィールド] > [フィールド抽出] を選択します。
[フィールド抽出を開く] ボタンをクリックします。
フィールド抽出機能により、[サンプルの選択]ステップが開始されます。

Splunk Web (管理者ロール権限のみ)からアクセス

この設定方法は、権限ロールにedit_monitor機能を持つユーザーのみが利用できます。
Splunk Web で、[データの追加]アイコンの下にある抽出フィールドリンクをクリックします。
フィールド抽出機能は、「サンプルの選択」ステップから開始します。

カスタムソースタイプのデータ追加時

この設定方法は、権限ロールにedit_monitor機能を持つユーザーのみが利用できます。
Splunk にデータを追加した後、ユーザーが任意に作成したカスタムソースタイプを設定することで、イベントからフィールドを抽出を行います。

Discussion