😘
Splunk - ワークフローアクション(Workflow Action)
公式を参考にワークフローアクションの使用方法について確認します。
ワークフローアクション
ワークフローアクションを使用して、フィールドとその他のWebリソースとの間で、リソースを授受する事ができます。 例えば、以下のようなワークフローアクションを定義できます。
- イベントで検出されたIPアドレスに基づいて、外部WHOIS検索を実行する。
- HTTPエラーイベントのフィールド値を使用して、外部の課題管理システムに新しいエントリを作成する。
- 選択したイベントから1つまたは複数のフィールド値を使用する二次検索を開始する。
- イベントで特定のフィールドの値に対して外部検索(Googleまたは同様のウェブ検索アプリケーション)を実行する。
ワークフローアクションの種類
設定できるワークフローアクションには3つの種類があります。
| 種類 | 説明 |
|---|---|
| GET ワークフローアクション | GET ワークフローアクションは、HTTP GET リクエストを生成し、指定したリソースしその結果を取得します。 |
| POST ワークフローアクション | POST ワークフローアクションは、指定された URI へ HTTP POST リクエストを生成し、指定したリソースを転送します。 |
| Search ワークフローアクション | イベントから特定のフィールド値を使用した二次検索を起動します。 |
設定方法
ワークフローアクションが正しく設定されると、search 結果のフィールドおよびイベントに関連付けられてメニューに表示されます。ワークフローアクションは、イベントレベル(イベント全体に適用)、フィールドレベル(イベント内の特定のフィールドに適用)、またはその両方として設定できます。
イベントレベルのワークフローアクション
search を実行します。
[イベント] タブに移動します。
検索結果でイベントを展開し、[イベントアクション]をクリックします。
「ソースの表示」の例を以下に示します。これは、クリックすると、イベントのソースがrawデータで表示されるイベントレベルのワークフローアクションです。
フィールドレベルのワークフローアクション
[設定]から[フィールド]を選択して開きます。
[ワークフローアクション]の項目で[新規追加]をクリックします。
今回はGoogleサーチを行うワークフローアクションを設定します。
| 項目 | 値 |
|---|---|
| 宛先App | search |
| 名前 | |
| ラベル | Google Search for : $referer_domain$ |
| アクションの表示先 | イベントメニュー |
| アクションタイプ | リンク |
| URL | https://www.google.co.jp/search?q=$referer_domain$ |
| リンクの表示先 | 新規ウィンドウ |
| リンク方法 | GET |
search を実行します。
[イベント] タブに移動します。
検索結果でイベントを展開し、referer_domainフィールドの横の[アクション]の展開を開くと先ほど設定したワークフローアクションが表示されます。
ワークフローアクションを実行すると選択したreferer_domainフィールドの値を指定したGoogle検索が実行されます。
Discussion