Splunk

Splunk コネクタを使用すると、Splunk データベースに対して、挿入、削除、更新、読み取りオペレーションを実行できます。

始める前に

Splunk コネクタを使用する前に、次の作業を行います。

  • Google Cloud プロジェクトで次の操作を行います。
    • ネットワーク接続が設定されていることを確認します。ネットワーク パターンの詳細については、Network Connectivity をご覧ください。
    • コネクタを構成するユーザーに roles/connectors.admin IAM ロールを付与します。
    • コネクタに使用するサービス アカウントに、次の IAM ロールを付与します。
      • roles/secretmanager.viewer
      • roles/secretmanager.secretAccessor

      サービス アカウントは特別なタイプの Google アカウントで、Google API のデータにアクセスするのに認証を受ける必要がある人間以外のユーザーを表します。サービス アカウントがない場合は、サービス アカウントを作成する必要があります。詳細については、サービス アカウントを作成するをご覧ください。

    • 次のサービスを有効にします。
      • secretmanager.googleapis.com(Secret Manager API)
      • connectors.googleapis.com(Connectors API)

      サービスを有効にする方法については、サービスを有効にするをご覧ください。

    以前にプロジェクトでこうしたサービスを有効にしていない場合は、コネクタを構成するときにそれを有効にすることを求められます。

コネクタを構成する

コネクタを構成するには、データソース(バックエンド システム)への接続を作成する必要があります。接続はデータソースに特有です。つまり、多数のデータソースがある場合は、データソースごとに別々の接続を作成する必要があります。接続を作成する手順は次のとおりです。

  1. Cloud コンソールで、[Integration Connectors] > [接続] ページに移動し、Google Cloud プロジェクトを選択または作成します。

    [接続] ページに移動

  2. [+ 新規作成] をクリックして [接続の作成] ページを開きます。
  3. [ロケーション] セクションで、接続のロケーションを選択します。
    1. リージョン: プルダウン リストからロケーションを選択します

      サポートされているすべてのリージョンの一覧については、ロケーションをご覧ください。

    2. [NEXT] をクリックします。
  4. [接続の詳細] セクションで、次の操作を行います。
    1. コネクタ: 使用可能なコネクタのプルダウン リストから [Splunk] を選択します。
    2. コネクタのバージョン: 使用可能なバージョンのプルダウン リストからコネクタのバージョンを選択します。
    3. [接続名] フィールドに、接続インスタンスの名前を入力します。

      接続名は次の条件を満たす必要があります。

      • 接続名には英字、数字、ハイフンを使用できます。
      • 文字は小文字のみを使用できます。
      • 接続名の先頭には英字を設定し、末尾には英字または数字を設定する必要があります。
      • 接続名は 49 文字以内で指定してください。
    4. 必要に応じて、接続インスタンスの [説明] を入力します。
    5. 必要に応じて、Cloud Logging を有効にして、ログレベルを選択します。デフォルトのログレベルは Error に設定されています。
    6. サービス アカウント: 必要なロールを持つサービス アカウントを選択します。
    7. 必要に応じて、接続ノードの設定を構成します。

      • ノードの最小数: 接続ノードの最小数を入力します。
      • ノードの最大数: 接続ノードの最大数を入力します。

      ノードは、トランザクションを処理する接続の単位(またはレプリカ)です。1 つの接続でより多くのトランザクションを処理するには、より多くのノードが必要になります。逆に、より少ないトランザクションを処理するには、より少ないノードが必要になります。ノードがコネクタの料金に与える影響については、接続ノードの料金をご覧ください。値を入力しない場合は、デフォルトで最小ノード数は 2 に設定され(可用性を高めるため)、最大ノード数は 50 に設定されます。

    8. 必要に応じて、[+ ラベルを追加] をクリックして Key-Value ペアの形式でラベルを接続に追加します。
    9. [NEXT] をクリックします。
  5. [宛先] セクションに、接続するリモートホスト(バックエンド システム)の詳細を入力します。
    1. 宛先の種類: 宛先の種類を選択します。
      • リストから [ホストアドレス] を選択し、宛先のホスト名または IP アドレスを指定します。
      • バックエンド システムへのプライベート接続を確立する場合は、リストからエンドポイント アタッチメントを選択し、次にエンドポイント アタッチメントリストから必要なエンドポイント アタッチメントを選択します。

      セキュリティをさらに強化してバックエンドシステムへのパブリック接続を確立する場合は、接続用の静的アウトバウンド IP アドレスの構成を検討してから、特定の静的 IP アドレスのみを許可リストに登録するようファイアウォール ルールを構成します。

      他の宛先を入力するには、[+ 宛先を追加] をクリックします。

    2. [NEXT] をクリックします。
  6. [認証] セクションで、認証の詳細を入力します。
    1. [認証タイプ] を選択し、関連する詳細を入力します。

      Splunk 接続でサポートされる認証タイプは次のとおりです。

      • ユーザー名とパスワード(基本認証)
      • AccessToken
      • HTTPEventCollectorToken
    2. これらの認証タイプの構成方法については、認証を構成するをご覧ください。

    3. [NEXT] をクリックします。
  7. Review: 接続と認証の詳細を確認します。
  8. [作成] をクリックします。

認証を構成する

使用する認証に基づいて詳細を入力します。

  • ユーザー名とパスワード                 
    • ユーザー名: 接続に使用する Splunk ユーザー名。
    • パスワード: Splunk ユーザー名に関連付けられたパスワードを含む Secret Manager の Secret。
  • AccessToken - AccessToken プロパティを使用してトークンベースの認証を実行する場合に設定します。
  • HTTPEventCollectorToken - HTTPEventCollectorToken プロパティを使用してトークンベースの認証を実行する場合に設定します。

接続構成のサンプル

このセクションでは、Splunk 接続を作成するときに構成するさまざまなフィールドのサンプル値を示します。

HTTP Event Collector の接続タイプ

フィールド名 詳細
場所 us-central1
コネクタ Splunk
コネクタのバージョン 1
接続名 splunk-http-event-coll-conn
Cloud Logging を有効にする いいえ
サービス アカウント SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com
ノードの最小数 2
ノードの最大数 50
SSL を有効にする
トラストストア: 保護されていない接続
宛先タイプ(サーバー) ホストアドレス
ホストアドレス 192.0.2.0
ポート ポート
HTTP Event Collector のトークンベースの認証
HTTPEventCollectorToken HTTPEVENTCOLLECTOR_TOKEN
シークレットのバージョン 1

HTTP イベント コレクタ トークンの作成方法については、HTTP イベント コレクタを作成するをご覧ください。

SSL 接続タイプ

フィールド名 詳細
場所 us-central1
コネクタ Splunk
コネクタのバージョン 1
接続名 splunk-ssl-connection
Cloud Logging を有効にする
サービス アカウント SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com
詳細レベル 5
ノードの最小数 2
ノードの最大数 50
SSL を有効にする
保護されていない接続
宛先タイプ(サーバー) ホストアドレス
ホストアドレス https://192.0.2.0
ポート ポート
ユーザー パスワード
ユーザー名 ユーザー
パスワード パスワード
シークレットのバージョン 1

基本認証では、ユーザーロールまたはパワーユーザー ロールが必要です。パワーユーザーを構成する方法については、パワーユーザー ロールを構成するをご覧ください。Splunk でロールを定義する方法については、Splunk プラットフォームでロールを定義するをご覧ください。

エンティティ、オペレーション、アクション

すべての Integration Connectors が、接続されたアプリケーションのオブジェクトを抽象化するレイヤを提供します。アプリケーションのオブジェクトには、この抽象化を通じてのみアクセスできます。抽象化は、エンティティ、オペレーション、アクションとして公開されます。

  • エンティティ: エンティティは、接続されているアプリケーションやサービスのオブジェクト、またはプロパティのコレクションと考えることができます。エンティティの定義は、コネクタによって異なります。たとえば、データベース コネクタでは、テーブルがエンティティであり、ファイル サーバー コネクタでは、フォルダがエンティティです。また、メッセージング システム コネクタでは、キューがエンティティです。

    ただし、コネクタでいずれのエンティティもサポートされていない、またはエンティティが存在しない可能性があります。その場合、Entities リストは空になります。

  • オペレーション: エンティティに対して行うことができるアクティビティです。エンティティに対して次のいずれかのオペレーションを行うことができます。

    使用可能なリストからエンティティを選択すると、そのエンティティで使用可能なオペレーションのリストが生成されます。オペレーションの詳細については、コネクタタスクのエンティティ オペレーションをご覧ください。ただし、コネクタがいずれかのエンティティ オペレーションをサポートしていない場合、サポートされていないオペレーションは Operations リストに含まれません。

  • アクション: コネクタ インターフェースを介して統合で使用できる主要な関数の一つです。アクションを使用すると、1 つまたは複数のエンティティに対して変更を加えることができます。また、使用できるアクションはコネクタごとに異なります。通常、アクションには入力パラメータと出力パラメータがあります。ただし、コネクタがどのアクションもサポートしていない可能性があります。その場合は、Actions リストが空になります。

システムの上限

Splunk コネクタは、ノードごとに 1 秒あたり 5 件のトランザクションを処理することができ、この上限を超えるトランザクションはすべてthrottlesされます。ただし、このコネクタが処理できるトランザクションの数は、Splunk インスタンスによって課される制約によっても異なります。 デフォルトでは、Integration Connectors は、接続に 2 つのノードを割り当てます(可用性を高めるため)。

Integration Connectors に適用される上限の詳細については、上限をご覧ください。

アクション

このセクションには、コネクタでサポートされているアクションが一覧表示されます。アクションの構成方法については、アクションの例をご覧ください。

CreateHTTPEvent アクション

このアクションを使用すると、HTTP プロトコルと HTTPS プロトコルを介して Splunk デプロイメントにデータとアプリケーションのイベントを送信できます。

CreateHTTPEvent アクションの入力パラメータ

パラメータ名 データ型 必須 説明
EventContent 文字列 テーブルまたはビューの名前。
ContentType 文字列 いいえ EventContent 入力に指定されたコンテンツのタイプ。サポートされている値は JSONRAWTEXT です。
ChannelGUID 整数 いいえ イベントに使用されるチャンネルの GUID。ContentTypeRAWTEXT の場合は、この値を指定する必要があります。

CreateHTTPEvent アクションの出力パラメータ

このアクションは、作成されたイベントの成功ステータスを返します。

CreateIndex アクション

このアクションにより、インデックスを作成できます。

CreateIndex アクションの入力パラメータ

パラメータ名 データ型 必須 説明
MaxMetaEntries 文字列 いいえ バケット内の .data ファイルの一意の行の最大数を設定します。これにより、メモリ消費量を削減できる場合があります。
FrozenTimePeriodInSecs 文字列 いいえ インデックス登録されたデータがフリーズ状態になるまでの秒数。デフォルトは 188697600(6 年)です。
HomePath 文字列 いいえ インデックスのホットバケットとウォームバケットを含む絶対パス。
MinRawFileSyncSecs 文字列 いいえ このパラメータには整数(または disable)を指定します。このパラメータは、ジャーナル スライスの圧縮中に splunkd がファイル システムの同期を強制する頻度を設定します。
ProcessTrackerServiceInterval 文字列 いいえ インデクサが起動した子 OS プロセスのステータスをチェックして、キューに入れられたリクエストに対して新しいプロセスを起動できるかどうかを確認する頻度を秒単位で指定します。 0 に設定すると、インデクサは子プロセスのステータスを 1 秒ごとにチェックします。
ServiceMetaPeriod 文字列 いいえ メタデータをディスクに同期する頻度(秒単位)を定義します。
MaxHotSpanSecs 文字列 いいえ ホット バケットまたはウォーム バケットのターゲット最大時間範囲の上限(秒単位)。
QuarantinePastSecs 文字列 いいえ quarantinePastSecs のタイムスタンプが >now より古いイベントは、検疫バケットにドロップされます。
ColdToFrozenDir 文字列 いいえ フリーズされたアーカイブの宛先パス。ColdToFrozenScript の代替として使用します。
ColdPath 文字列 いいえ インデックスの colddb を含む絶対パス。パスは読み取り可能かつ書き込み可能である必要があります。
MaxHotIdleSecs 文字列 いいえ ホット バケットの最大存続時間(秒単位)
WarmToColdScript 文字列 いいえ ウォームからコールドにデータを移動する際に実行するスクリプトへのパス。
ColdToFrozenScript 文字列 いいえ アーカイブ スクリプトへのパス。
MaxHotBuckets 文字列 いいえ インデックスごとに存在できるホット バケットの最大数。
TstatsHomePath 文字列 いいえ このインデックスのデータモデル アクセラレーション TSIDX データを保存するロケーション。指定する場合は、ボリューム定義で定義する必要があります。パスは書き込み可能である必要があります
RepFactor 文字列 いいえ インデックスのレプリケーション制御。このパラメータは、クラスタ内のピアノードにのみ適用されます。
  • auto - マスター インデックス レプリケーション構成値を使用します。
  • 0 - このインデックスのレプリケーションをオフにします。
MaxDataSize 文字列 いいえ ウォームへのロールがトリガーされる前にホット DB が到達する最大サイズ(MB)。 auto または auto_high_volume を指定すると、Splunk はこのパラメータを自動チューニングします(推奨)。
MaxBloomBackfillBucketAge 文字列 いいえ 有効な値は、integer[m|s|h|d] です。ウォーム バケットまたはコールド バケットが指定した経過時間より古い場合、その bloomfilter を作成または再構築しないでください。bloomfilter を再ビルドしないようにするには、0 を指定します。
BlockSignSize 文字列 いいえ ブロック署名のブロックを構成するイベントの数を制御します。0 に設定すると、このインデックスでブロック署名が無効になります。推奨値は 100 です。
名前 文字列 作成するインデックスの名前
MaxTotalDataSizeMB 文字列 いいえ インデックスの最大サイズ(MB)。インデックスが最大サイズを超えると、最も古いデータがフリーズされます。
MaxWarmDBCount 文字列 いいえ ウォームバケットの最大数。この数を超えると、最新の値が最も低いウォームバケットがコールドに移動されます。
RawChunkSizeBytes 文字列 いいえ インデックスの未加工データ ジャーナルに含まれる個々の未加工スライスの非圧縮サイズ(バイト単位)をターゲットにします。0 は有効な値ではありません。0 を指定すると、rawChunkSizeBytes はデフォルト値に設定されます。
DataType 文字列 いいえ インデックスのタイプを指定します。
MaxConcurrentOptimizes 文字列 いいえ ホットバケットに対して実行できる同時最適化プロセスの数。
ThrottleCheckPeriod 文字列 いいえ Splunk がインデックス スロットリング条件を確認する頻度(秒単位)を定義します。
SyncMeta 文字列 いいえ true の場合、メタデータ ファイルの更新時にファイル記述子が閉じられるまで、同期オペレーションが呼び出されます。この機能により、特にオペレーティング システムのクラッシュやマシンの障害に関してメタデータ ファイルの完全性が向上します。
RotatePeriodInSecs 文字列 いいえ 新しいホットバケットを作成する必要があるかどうかを確認する頻度(秒単位)。また、ロールまたはフリーズする必要があるホットバケットまたはコールドバケットがあるかどうかを確認する頻度も指定します。

CreateIndex アクションの出力パラメータ

このアクションにより、CreateIndex アクションの確認メッセージが返されます

CreateIndex アクションの構成方法の例については、アクションの例をご覧ください。

CreateSavedSearch アクション

このアクションにより、検索条件を保存できます

CreateSavedSearch アクションの入力パラメータ

パラメータ名 データ型 必須 説明
IsVisible ブール値 この保存済み検索が、表示される保存済み検索リストに表示されるかどうかを示します。
RealTimeSchedule ブール値 この値が 1 に設定されている場合、スケジューラは次のスケジュールされた検索実行時間を現在の時刻に基づいて決定します。この値が 0 に設定されている場合、最後の検索実行時間に基づいて決定されます。
検索 文字列 保存する検索クエリ
説明 文字列 いいえ この保存済み検索の説明
SchedulePriority 文字列 特定の検索のスケジューリング優先度を示します
CronSchedule 文字列 この検索を実行する cron スケジュール。たとえば、*/5 * * * * を使用すると、検索は 5 分ごとに実行されます。
名前 文字列 検索の名前
UserContext 文字列 ユーザー コンテキストが指定されている場合は、servicesNS ノード(/servicesNS/[UserContext]/search)が使用されます。指定されていない場合は、デフォルトの一般的なエンドポイント /services が使用されます。
RunOnStartup ブール値 この検索が起動時に実行されるかどうかを示します。起動時に実行されない場合、次のスケジュールされた時刻に検索が実行されます。
無効 ブール値 いいえ この保存済み検索が無効になっているかどうかを示します。
IsScheduled ブール値 この検索をスケジュールに従って実行するかどうかを示します。

CreateSavedSearch アクションの出力パラメータ

このアクションにより、CreateSavedSearch アクションの確認メッセージが返されます。

CreateSavedSearch アクションの構成方法の例については、アクションの例をご覧ください。

UpdateSavedSearch アクション

このアクションにより、保存済み検索を更新できます。

UpdateSavedSearch アクションの入力パラメータ

パラメータ名 データ型 必須 説明
IsVisible ブール値 この保存済み検索が、表示される保存済み検索リストに表示されるかどうかを示します。
RealTimeSchedule ブール値 この値が 1 に設定されている場合、スケジューラは次のスケジュールされた検索実行時間を現在の時刻に基づいて決定します。この値が 0 に設定されている場合、最後の検索実行時間に基づいて決定されます。
検索 文字列 保存する検索クエリ
説明 文字列 いいえ この保存済み検索の説明
SchedulePriority 文字列 特定の検索のスケジューリング優先度を示します
CronSchedule 文字列 この検索を実行する cron スケジュール。たとえば、*/5 * * * * と指定すると、検索は 5 分ごとに実行されます。
名前 文字列 検索の名前
UserContext 文字列 ユーザー コンテキストが指定されている場合は、servicesNS ノード(/servicesNS/[UserContext]/search)が使用されます。指定されていない場合は、デフォルトの一般的なエンドポイント /services が使用されます。
RunOnStartup ブール値 この検索が起動時に実行されるかどうかを示します。起動時に実行されない場合、次のスケジュールされた時刻に検索が実行されます。
無効 ブール値 いいえ この保存済み検索が無効になっているかどうかを示します。
IsScheduled ブール値 この検索をスケジュールに従って実行するかどうかを示します。

UpdateSavedSearch アクションの出力パラメータ

このアクションにより、UpdateSavedSearch アクションの確認メッセージが返されます。

UpdateSavedSearch アクションの構成方法の例については、アクションの例をご覧ください。

DeleteIndex アクション

このアクションにより、インデックスを削除できます。

DeleteIndex アクションの入力パラメータ

パラメータ名 データ型 必須 説明
名前 文字列 削除するインデックスの名前。

DeleteIndex アクションの出力パラメータ

このアクションにより、DeleteIndex アクションの確認メッセージが返されます

DeleteIndex アクションの構成方法の例については、アクションの例をご覧ください。

UpdateIndex アクション

このアクションにより、インデックスを更新できます。

UpdateIndex アクションの入力パラメータ

パラメータ名 データ型 必須 説明
MaxMetaEntries 文字列 いいえ バケット内の .data ファイルの一意の行の最大数を設定します。これにより、メモリ消費量を削減できる場合があります。
FrozenTimePeriodInSecs 文字列 いいえ インデックス登録されたデータがフリーズ状態になるまでの秒数。デフォルトは 188697600(6 年)です。
HomePath 文字列 いいえ インデックスのホットバケットとウォームバケットを含む絶対パス。
MinRawFileSyncSecs 文字列 いいえ このパラメータには整数(または disable)を指定します。このパラメータは、ジャーナル スライスの圧縮中に splunkd がファイル システムの同期を強制する頻度を設定します。
ProcessTrackerServiceInterval 文字列 いいえ インデクサが起動した子 OS プロセスのステータスをチェックして、キューに入れられたリクエストに対して新しいプロセスを起動できるかどうかを確認する頻度を秒単位で指定します。0 に設定すると、インデクサは子プロセスのステータスを 1 秒ごとにチェックします。
ServiceMetaPeriod 文字列 いいえ メタデータをディスクに同期する頻度(秒単位)を定義します。
MaxHotSpanSecs 文字列 いいえ ホット バケットまたはウォーム バケットのターゲット最大時間範囲の上限(秒単位)。
QuarantinePastSecs 文字列 いいえ quarantinePastSecs のタイムスタンプが now より古いイベントは、検疫バケットにドロップされます。
ColdToFrozenDir 文字列 いいえ フリーズされたアーカイブの宛先パス。ColdToFrozenScript の代替として使用します。
ColdPath 文字列 いいえ インデックスの colddb を含む絶対パス。パスは読み取り可能かつ書き込み可能である必要があります。
MaxHotIdleSecs 文字列 いいえ ホット バケットの最大存続時間(秒単位)。
WarmToColdScript 文字列 いいえ ウォームからコールドにデータを移動する際に実行するスクリプトへのパス。
ColdToFrozenScript 文字列 いいえ アーカイブ スクリプトへのパス。
MaxHotBuckets 文字列 いいえ インデックスごとに存在できるホット バケットの最大数。
TstatsHomePath 文字列 いいえ このインデックスのデータモデル アクセラレーション TSIDX データを保存するロケーション。指定する場合は、ボリューム定義で定義する必要があります。パスは書き込み可能である必要があります
RepFactor 文字列 いいえ インデックスのレプリケーション制御。このパラメータは、クラスタ内のピアノードにのみ適用されます。
  • auto - マスター インデックス レプリケーション構成値を使用します。
  • 0 - このインデックスのレプリケーションをオフにします。
MaxDataSize 文字列 いいえ ウォームへのロールがトリガーされる前にホット DB が到達する最大サイズ(MB)。 auto または auto_high_volume を指定すると、Splunk はこのパラメータを自動チューニングします(推奨)。
MaxBloomBackfillBucketAge 文字列 いいえ 有効な値は、integer[m|s|h|d] です。ウォーム バケットまたはコールド バケットが指定した経過時間より古い場合、その bloomfilter を作成または再構築しないでください。bloomfilter を再ビルドしないようにするには、0 を指定します。
BlockSignSize 文字列 いいえ ブロック署名のブロックを構成するイベントの数を制御します。0 に設定すると、このインデックスでブロック署名が無効になります。推奨値は 100 です。
名前 文字列 作成するインデックスの名前
MaxTotalDataSizeMB 文字列 インデックスの最大サイズ(MB)。インデックスが最大サイズを超えると、最も古いデータがフリーズされます。
MaxWarmDBCount 文字列 いいえ ウォームバケットの最大数。この数を超えると、最新の値が最も低いウォームバケットがコールドに移動されます。
RawChunkSizeBytes 文字列 いいえ インデックスの未加工データ ジャーナルに含まれる個々の未加工スライスの非圧縮サイズ(バイト単位)をターゲットにします。 0 は有効な値ではありません。0 を指定すると、rawChunkSizeBytes はデフォルト値に設定されます。
DataType 文字列 いいえ インデックスのタイプを指定します。
MaxConcurrentOptimizes 文字列 いいえ ホットバケットに対して実行できる同時最適化プロセスの数。
ThrottleCheckPeriod 文字列 いいえ Splunk がインデックス スロットリング条件を確認する頻度(秒単位)を定義します。
SyncMeta 文字列 いいえ true の場合、メタデータ ファイルの更新時にファイル記述子が閉じられるまで、同期オペレーションが呼び出されます。この機能により、特にオペレーティング システムのクラッシュやマシンの障害に関してメタデータ ファイルの完全性が向上します。
RotatePeriodInSecs 文字列 いいえ 新しいホットバケットを作成する必要があるかどうかを確認する頻度(秒単位)。また、ロールまたはフリーズする必要があるウォームバケットまたはコールドバケットがあるかどうかをチェックする頻度も設定します。

UpdateIndex アクションの出力パラメータ

このアクションにより、DeleteIndex アクションの確認メッセージが返されます。

UpdateIndex アクションの構成方法の例については、アクションの例をご覧ください。

アクションの例

例 - HTTP イベントを作成する

この例では、HTTP イベントを作成します。

  1. [Configure connector task] ダイアログで、[Actions] をクリックします。
  2. [CreateHTTPEvent] アクションを選択してから、[完了] をクリックします。
  3. [コネクタ] タスクの [タスク入力] セクションで、connectorInputPayload をクリックし、Default Valueフィールドに次のような値を入力します。
    {
    "EventContent": "Testing Task",
    "ContentType": "RAWTEXT",
    "ChannelGUID": "ContentType=RAWTEXT"
    }
  4. アクションが成功すると、CreateHTTPEvent タスクの connectorOutputPayload レスポンス パラメータの値は次のようになります。

    [{
    "Success": "Success"
    }] 
    

例 - インデックスを作成する

この例では、インデックスを作成します。

  1. [Configure connector task] ダイアログで、[Actions] をクリックします。
  2. [CreateIndex] アクションを選択してから、[完了] をクリックします。
  3. [コネクタ] タスクの [タスク入力] セクションで、connectorInputPayload をクリックし、Default Valueフィールドに次のような値を入力します。
    {
    "Name": "http_testing"
    }
  4. アクションが成功すると、CreateIndex タスクの connectorOutputPayload レスポンス パラメータの値は次のようになります。

    [{
    "AssureUTF8": null,
    "BlockSignSize": null,
    "BlockSignatureDatabase": null,
    "BucketRebuildMemoryHint": null,
    "ColdPath": null,
    "FrozenTimePeriodInSecs": null,
    "HomePath": null,
    "HomePathExpanded": null,
    "IndexThreads": null,
    "IsInternal": null,
    "MaxConcurrentOptimizes": null,
    "MaxDataSize": null,
    "MaxHotBuckets": null,
    "SuppressBannerList": null,
    "Sync": null,
    "SyncMeta": null,
    "ThawedPath": null,
    "ThawedPathExpanded": null,
    "TstatsHomePath": null,
    "WarmToColdScript": null,
    }]

この例では、保存済み検索を作成します。

  1. [Configure connector task] ダイアログで、[Actions] をクリックします。
  2. [CreateSavedSearch] アクションを選択してから、[完了] をクリックします。
  3. [コネクタ] タスクの [タスク入力] セクションで、connectorInputPayload をクリックし、Default Valueフィールドに次のような値を入力します。
    {
    "Name": "test_created_g",
    "Search": "index=\"http_testing\"",
    "CronSchedule": "*/1 * * * *",
    "IsVisible": true,
    "RealTimeSchedule": true,
    "RunOnStartup": true,
    "IsScheduled": true,
    "SchedulePriority": "highest",
    "UserContext": "nobody"
    }
  4. アクションが成功すると、CreateSavedSearch タスクの connectorOutputPayload レスポンス パラメータの値は次のようになります。

    [{
    "Success": true,
    "Message": null
    }]

この例では、保存済み検索を更新します。

  1. [Configure connector task] ダイアログで、[Actions] をクリックします。
  2. [UpdateSavedSearch] アクションを選択してから、[完了] をクリックします。
  3. [コネクタ] タスクの [タスク入力] セクションで、connectorInputPayload をクリックし、Default Valueフィールドに次のような値を入力します。
    {
    "Name": "test_created_g",
    "Search": "index=\"december_test_data\"",
    "CronSchedule": "*/1 * * * *",
    "IsVisible": true,
    "RealTimeSchedule": true,
    "RunOnStartup": true,
    "IsScheduled": true,
    "SchedulePriority": "highest"
    }
  4. アクションが成功すると、UpdateSavedSearch タスクの connectorOutputPayload レスポンス パラメータの値は次のようになります。

    [{
    "Success": true,
    "Message": null
    }]

例 - インデックスを削除する

この例では、インデックスを削除します。

  1. [Configure connector task] ダイアログで、[Actions] をクリックします。
  2. [DeleteIndex] アクションを選択してから、[完了] をクリックします。
  3. [コネクタ] タスクの [タスク入力] セクションで、connectorInputPayload をクリックし、Default Valueフィールドに次のような値を入力します。
    {
    "Name": "g_http_testing"
    }
  4. アクションが成功すると、DeleteIndex タスクの connectorOutputPayload レスポンス パラメータの値は次のようになります。

    [{
    "Success": true,
    "ErrorCode": null,
    "ErrorMessage": null
    }]

例 - インデックスを更新する

この例では、インデックスを更新します。

  1. [Configure connector task] ダイアログで、[Actions] をクリックします。
  2. [UpdateIndex] アクションを選択してから、[完了] をクリックします。
  3. [コネクタ] タスクの [タスク入力] セクションで、connectorInputPayload をクリックし、Default Valueフィールドに次のような値を入力します。
    {
    "MaxTotalDataSizeMB": "400000",
    "Name": "g_http_testing"
    }
  4. アクションが成功すると、UpdateIndex タスクの connectorOutputPayload レスポンス パラメータの値は次のようになります。

    [{
    "AssureUTF8": false,
    "BlockSignSize": null,
    "BlockSignatureDatabase": null,
    "BucketRebuildMemoryHint": "auto",
    "ColdPath": "$SPLUNK_DB\\g_http_testing\\colddb",
    "ColdPathExpanded": "C:\\Program Files\\Splunk\\var\\lib\\splunk\\g_http_testing\\colddb",
    "ColdToFrozenDir": "",
    "ColdToFrozenScript": "",
    "CurrentDBSizeMB": 1.0,
    "DefaultDatabase": "main",
    "EnableOnlineBucketRepair": true,
    "EnableRealtimeSearch": true,
    "FrozenTimePeriodInSecs": 1.886976E8,
    "HomePath": "$SPLUNK_DB\\g_http_testing\\db",
    "HomePathExpanded": "C:\\Program Files\\Splunk\\var\\lib\\splunk\\g_http_testing\\db",
    "IndexThreads": "auto",
    "IsInternal": false,
    "LastInitTime": "2024-01-08 05:15:28.0",
    "MaxBloomBackfillBucketAge": "30d",
    "ThawedPath": "$SPLUNK_DB\\g_http_testing\\thaweddb",
    "ThawedPathExpanded": "C:\\Program Files\\Splunk\\var\\lib\\splunk\\g_http_testing\\thaweddb",
    "ThrottleCheckPeriod": 15.0,
    "TotalEventCount": 0.0,
    "TsidxDedupPostingsListMaxTermsLimit": 8388608.0,
    "TstatsHomePath": "volume:_splunk_summaries\\$_index_name\\datamodel_summary",
    "WarmToColdScript": "",
    "Success": true,
    "ErrorCode": null,
    "ErrorMessage": null
    }]

エンティティ オペレーションの例

このセクションでは、このコネクタでエンティティ オペレーションの一部を実行する方法について説明します。

例 - すべてのレコードを一覧表示する

この例では、SearchJobs エンティティ内のすべてのレコードを一覧表示します。

  1. [Configure connector task] ダイアログで、[Entities] をクリックします。
  2. Entity から SearchJobs を選択します。
  3. [List] オペレーションを選択し、[完了] をクリックします。
  4. 必要に応じて、コネクタタスクの [タスク入力] セクションでフィルタ句を指定して、結果セットをフィルタリングできます。 フィルタ句の値は、常に単一引用符(')内で指定します。

例 - エンティティからレコードを取得する

この例では、SearchJobs エンティティから、指定した ID のレコードを取得します。

  1. [Configure connector task] ダイアログで、[Entities] をクリックします。
  2. Entity から SearchJobs を選択します。
  3. [Get] オペレーションを選択し、[完了] をクリックします。
  4. [コネクタ] タスクの [タスク入力] セクションで [EntityId] をクリックし、[デフォルト値] フィールドに 1698309163.1300 を入力します。

    ここで、1698309163.1300SearchJobs エンティティ内の一意のレコード ID です。

例 - エンティティにレコードを作成する

この例では、SearchJobs エンティティに レコードを作成します。

  1. [Configure connector task] ダイアログで、[Entities] をクリックします。
  2. Entity から SearchJobs を選択します。
  3. [Create] オペレーションを選択し、[完了] をクリックします。
  4. [データ マッピング] タスクの [データ マッパー] セクションで、Open Data Mapping Editor をクリックし、[Input Value] フィールドに次のような値を入力し、EntityId/ConnectorInputPayload をローカル変数として選択します。
    { 
    "EventSearch": "search (index=\"antivirus_logs\") sourcetype=access_combined | rex  \"(?\\d{1,3}\\.\\d{1,3}\\.\\d{1,3}\\.\\d{1,3})\" | iplocation IP_address| table IP_address, City, Country" 
    } 
    

    アクションが成功すると、SearchJobs タスクの connectorOutputPayload レスポンス パラメータの値は次のようになります。

    {
    "Sid": "1699336785.1919"
    } 
    

例 - エンティティにレコードを作成する

この例では、DataModels エンティティに レコードを作成します。

  1. [Configure connector task] ダイアログで、[Entities] をクリックします。
  2. Entity から DataModels を選択します。
  3. [Create] オペレーションを選択してから、[完了] をクリックします。
  4. [コネクタ] タスクの [タスク入力] セクションで、connectorInputPayload をクリックし、Default Valueフィールドに次のような値を入力します。
    {
    "Id": "Test1",
    "Acceleration": "{\"enabled\":false,\"earliest_time\":\"\",
    \"max_time\":3600,\"backfill_time\":\"\",\"source_guid\":\"\",
    \"manual_rebuilds\":false,\"poll_buckets_until_maxtime\":false,
    \"max_concurrent\":3,\"allow_skew\":\"0\",\"schedule_priority\":\"default\"
    ,\"allow_old_summaries\":false,\"hunk.file_format\":\"\",\"hunk.dfs_block_size\":0,
    \"hunk.compression_codec\":\"\",\"workload_pool\":\"\"}"
    }

    統合に成功すると、コネクタタスクの connectorOutputPayload フィールドの値は次のようになります。

    [{
    "Id": "Test1"
    }]

例 - エンティティからレコードを削除する

この例では、DataModels エンティティ内の指定された ID のレコードを削除します。

  1. [Configure connector task] ダイアログで、[Entities] をクリックします。
  2. Entity から DataModels を選択します。
  3. [Delete] オペレーションを選択してから、[完了] をクリックします。
  4. [コネクタタスクの [タスク入力 セクションで [entityId] をクリックし、[デフォルト値] フィールドに Test1 を入力します。

例 - エンティティ内のレコードを更新する

この例では、DataModels エンティティに レコードを作成します。

  1. [Configure connector task] ダイアログで、[Entities] をクリックします。
  2. Entity から DataModels を選択します。
  3. [Update] オペレーションを選択してから、[完了] をクリックします。
  4. [コネクタ] タスクの [タスク入力] セクションで、connectorInputPayload をクリックし、Default Valueフィールドに次のような値を入力します。
    {
    "Acceleration": "{\"enabled\":true,\"earliest_time\":\"-3mon\",
    \"cron_schedule\":\"*/5 * * * *\",\"max_time\":60,
    \"backfill_time\":\"\",\"source_guid\":\"\",\"manual_rebuilds\":false,
    \"poll_buckets_until_maxtime\":false,\"max_concurrent\":3,
    \"allow_skew\":\"0\",\"schedule_priority\":\"default\",
    \"allow_old_summaries\":false,\"hunk.file_format\":\"\",\"hunk.dfs_block_size\":0,
    \"hunk.compression_codec\":\"\",\"workload_pool\":\"\"}"
    }
  5. [エンティティ ID] をクリックし、[デフォルト値] フィールドに「/servicesNS/nobody/search/datamodel/model/Testing」と入力します。

    統合に成功すると、コネクタタスクの connectorOutputPayload フィールドの値は次のようになります。

    [{
    "Id": "/servicesNS/nobody/search/datamodel/model/Testing"
    }]

例 - インデックスを使用した検索フロー

このセクションでは、単一のインデックスと複数のインデックスを使用するすべての検索フローを説明します。

単一のインデックスを使用して検索を作成する

  1. [Configure connector task] ダイアログで、[Entities] をクリックします。
  2. Entity から SearchJobs を選択します。
  3. [Create] オペレーションを選択し、[完了] をクリックします。
  4. [データ マッピング] タスクの [データ マッパー] セクションで、Open Data Mapping Editor をクリックし、[Input Value] フィールドに次のような値を入力し、EntityId/ConnectorInputPayload をローカル変数として選択します。
    {
    "EventSearch": "search (index=\"http_testing\" sourcetype=\"googlecloud-testing\") "
    }
    

    アクションが成功すると、SearchJobs タスクの connectorOutputPayload レスポンス パラメータの値は次のようになります。

    {
    "Sid": "1726051471.76"
    } 
    

検索クエリで使用されたインデックス名を使用してリスト オペレーションを実行する

  1. [Configure connector task] ダイアログで、[Entities] をクリックします。
  2. Entity から Index Name を選択します。
  3. [List] オペレーションを選択し、[完了] をクリックします。
  4. [コネクタ] タスクの [タスク入力] セクションで、filterClause(Sid= '1726051471.76' など)を設定できます。

  5. アクションが成功すると、Index Name タスクの connectorOutputPayload レスポンス パラメータの値は次のようになります。

    [{
      "_bkt": "http_testing~0~D043151E-5A2D-4FAB-8647-4D5DA2F288AF",
      "_cd": "00:04:00",
      "_eventtype_color": null,
      "_indextime": 1.720702012E9,
      "_kv": null,
      "_raw": "hi How r yo\nplease\nfind \nmy notes",
      "_serial": 0.0,
      "_si": "googlecloud-bcone-splunk-vm\nhttp_testing",
      "_sourcetype": "googlecloud-testing",
      "_time": "2024-07-11 12:46:52.0",
      "eventtype": null,
      "host": "googlecloud-bcone-splunk-vm",
      "index": "http_testing",
      "linecount": 4.0,
      "punct": null,
      "source": "Testing.txt",
      "sourcetype": "googlecloud-testing",
      "splunk_server": "googlecloud-bcone-splunk-vm",
      "splunk_server_group": null,
      "timestamp": null,
      "JobId": "1726051471.76"
    }]
    

複数のインデックスを使用して検索を作成する

  1. [Configure connector task] ダイアログで、[Entities] をクリックします。
  2. Entity から SearchJobs を選択します。
  3. [Create] オペレーションを選択し、[完了] をクリックします。
  4. [データ マッピング] タスクの [データ マッパー] セクションで、Open Data Mapping Editor をクリックし、[Input Value] フィールドに次のような値を入力し、EntityId/ConnectorInputPayload をローカル変数として選択します。
    {
    "EventSearch": "search (index=\"http_testing\" OR index= \"googlecloud-demo\" sourcetype=\"googlecloud-testing\"  OR sourcetype=\"Demo_Text\")"
    }
    

    アクションが成功すると、SearchJobs タスクの connectorOutputPayload レスポンス パラメータの値は次のようになります。

    {
    "Sid": "1727261971.4007"
    } 
    

検索クエリで使用されるインデックス名を使用してリスト オペレーションを実行する

  1. [Configure connector task] ダイアログで、[Entities] をクリックします。
  2. Entity リストから [Index Name 名] を選択します。
  3. [List] オペレーションを選択し、[完了] をクリックします。
  4. [コネクタ] タスクの [タスク入力] セクションで、filterClause(Sid= '1727261971.4007' など)を設定できます。

  5. アクションが成功すると、Index タスクの connectorOutputPayload レスポンス パラメータの値は次のようになります。

     [{
      "_bkt": "googlecloud-demo~0~D043151E-5A2D-4FAB-8647-4D5DA2F288AF",
      "_cd": "00:04:00",
      "_eventtype_color": null,
      "_indextime": 1.727155516E9,
      "_kv": null,
      "_raw": "Hi team\nwe have a demo please plan accordingly\nwith Google team",
      "_serial": 0.0,
      "_si": "googlecloud-bcone-splunk-vm\ngooglecloud-demo",
      "_sourcetype": "Demo_Text",
      "_time": "2024-09-24 05:25:16.0",
      "eventtype": null,
      "host": "googlecloud-bcone-splunk-vm",
      "index": "googlecloud-demo",
      "linecount": 3.0,
      "punct": null,
      "source": "Splunk_Demo.txt",
      "sourcetype": "Demo_Text",
      "splunk_server": "googlecloud-bcone-splunk-vm",
      "splunk_server_group": null,
      "timestamp": null,
      "JobId": "1727261971.4007"
    }, {
      "_bkt": "http_testing~0~D043151E-5A2D-4FAB-8647-4D5DA2F288AF",
      "_cd": "00:04:00",
      "_eventtype_color": null,
      "_indextime": 1.720702012E9,
      "_kv": null,
      "_raw": "hi How r yo\nplease\nfind \nmy notes",
      "_serial": 1.0,
      "_si": "googlecloud-bcone-splunk-vm\nhttp_testing",
      "_sourcetype": "googlecloud-testing",
      "_time": "2024-07-11 12:46:52.0",
      "eventtype": null,
      "host": "googlecloud-bcone-splunk-vm",
      "index": "http_testing",
      "linecount": 4.0,
      "punct": null,
      "source": "Testing.txt",
      "sourcetype": "googlecloud-testing",
      "splunk_server": "googlecloud-bcone-splunk-vm",
      "splunk_server_group": null,
      "timestamp": null,
      "JobId": "1727261971.4007"
    }]
    

例 - ReadJobResults を使用した検索フロー

このセクションでは、Splunk 接続でサポートされている単一インデックスと複数インデックスの両方を使用するすべての検索フローについて説明します。現在、サポートされているログ結果の最大ペイロード サイズは 150 MB です。

単一インデックスを使用した検索を作成する

  1. [Configure connector task] ダイアログで、[Entities] をクリックします。
  2. Entity から SearchJobs を選択します。
  3. [Create] オペレーションを選択し、[完了] をクリックします。
  4. [データ マッピング] タスクの [データ マッパー] セクションで、Open Data Mapping Editor をクリックし、[Input Value] フィールドに次のような値を入力し、EntityId/ConnectorInputPayload をローカル変数として選択します。
    {
    "EventSearch": "search (index=\"http_testing\" sourcetype=\"googlecloud-testing\") "
    }
    

    この例では検索を作成します。統合が成功すると、SearchJobs タスクの connectorOutputPayload レスポンス パラメータの値は次のようになります。

    {
    "Sid": "1732775755.24612"
    } 
    

検索結果を取得するには、ReadJobResults アクションで作成オペレーションを実行します。Sid に基づいて結果をフィルタするには、Sid をパラメータとしてアクションに渡します。

ReadJobResults アクションを使用して結果ログを取得する

  1. [Configure connector task] ダイアログで、[Actions] をクリックします。
  2. [ReadJobResults] アクションを選択してから、[完了] をクリックします。
  3. [データ マッピング] タスクの [データ マッパー] セクションで、Open Data Mapping Editor をクリックし、[Input Value] フィールドに次のような値を入力し、EntityId/ConnectorInputPayload をローカル変数として選択します。
    {
    "Sid": "1732775755.24612"
    }
    
  4. アクションが成功すると、ReadJobResults タスクの connectorOutputPayload レスポンス パラメータの値は次のようになります。

    [{
    "_bkt": "http_testing~0~D043151E-5A2D-4FAB-8647-4D5DA2F288AF",
    "_cd": "0:4",
    "_indextime": "1720702012",
    "_raw": "hi How r yo\nplease\nfind \nmy notes",
    "_serial": "1",
    "_si": "googlecloud-bcone-splunk-vm\nhttp_testing",
    "_sourcetype": "googlecloud-testing",
    "_time": "2024-07-11T12:46:52.000+00:00",
    "host": "googlecloud-bcone-splunk-vm",
    "index": "http_testing",
    "linecount": "4",
    "source": "Testing.txt",
    "sourcetype": "googlecloud-testing",
    "splunk_server": "googlecloud-bcone-splunk-vm",
    "jobid": "1732775755.24612",
    "sid": "1732775755.24612"
    }]
    

複数のインデックスを含む検索を作成する

  1. [Configure connector task] ダイアログで、[Entities] をクリックします。
  2. Entity から SearchJobs を選択します。
  3. [Create] オペレーションを選択し、[完了] をクリックします。
  4. [データ マッピング] タスクの [データ マッパー] セクションで、Open Data Mapping Editor をクリックし、[Input Value] フィールドに次のような値を入力し、EntityId/ConnectorInputPayload をローカル変数として選択します。
    {
    "EventSearch": "search (index=\"http_testing\" OR index= \"googlecloud-demo\" sourcetype=\"googlecloud-testing\"  OR sourcetype=\"Demo_Text\")"
    }
    

    アクションが成功すると、SearchJobs タスクの connectorOutputPayload レスポンス パラメータの値は次のようになります。

    {
    "Sid": "1732776556.24634"
    } 
    

検索結果を取得するには、ReadJobResults アクションで作成オペレーションを実行します。Sid に基づいて結果をフィルタするには、Sid をパラメータとしてアクションに渡します。

ReadJobResults アクションを使用した ResultsLogs

  1. [Configure connector task] ダイアログで、[Actions] をクリックします。
  2. [ReadJobResults] アクションを選択してから、[完了] をクリックします。
  3. [データ マッピング] タスクの [データ マッパー] セクションで、Open Data Mapping Editor をクリックし、[Input Value] フィールドに次のような値を入力し、EntityId/ConnectorInputPayload をローカル変数として選択します。
    {
    "Sid": "1732776556.24634"
    }
    
  4. アクションが成功すると、ReadJobResults タスクの connectorOutputPayload レスポンス パラメータの値は次のようになります。

    [{
    "_bkt": "googlecloud-demo~0~D043151E-5A2D-4FAB-8647-4D5DA2F288AF",
    "_cd": "0:4",
    "_indextime": "1727155516",
    "_raw": "Hi team\nwe have a demo please plan accordingly\nwith Google team",
    "_serial": "0",
    "_si": "googlecloud-bcone-splunk-vm\googlecloud-demo",
    "_sourcetype": "Demo_Text",
    "_time": "2024-09-24T05:25:16.000+00:00",
    "host": "googlecloud-bcone-splunk-vm",
    "index": "googlecloud-demo",
    "linecount": "3",
    "source": "Splunk_Demo.txt",
    "sourcetype": "Demo_Text",
    "splunk_server": "googlecloud-bcone-splunk-vm",
    "jobid": "1732776556.24634",
    "sid": "1732776556.24634"
    },{
    "_bkt": "http_testing~0~D043151E-5A2D-4FAB-8647-4D5DA2F288AF",
    "_cd": "0:4",
    "_indextime": "1720702012",
    "_raw": "hi How r yo\nplease\nfind \nmy notes",
    "_serial": "1",
    "_si": "googlecloud-bcone-splunk-vm\nhttp_testing",
    "_sourcetype": "googlecloud-testing",
    "_time": "2024-07-11T12:46:52.000+00:00",
    "host": "googlecloud-bcone-splunk-vm",
    "index": "http_testing",
    "linecount": "4",
    "source": "Testing.txt",
    "sourcetype": "googlecloud-testing",
    "splunk_server": "googlecloud-bcone-splunk-vm",
    "jobid": "1732776556.24634",
    "sid": "1732776556.24634"
    }]
    

    Terraform を使用して接続を作成する

    Terraform リソースを使用して、新しい接続を作成できます。

    Terraform 構成を適用または削除する方法については、基本的な Terraform コマンドをご覧ください。

    接続作成用の Terraform テンプレートのサンプルを表示するには、サンプル テンプレートをご覧ください。

    Terraform を使用してこの接続を作成する場合は、Terraform 構成ファイルで次の変数を設定する必要があります。

    パラメータ名 データ型 必須 説明
    詳細度 STRING False 接続の詳細レベルは 1~5 です。詳細レベルが高いと、すべての通信の詳細(リクエスト、レスポンス、SSL 証明書)がログに記録されます。
    proxy_enabled BOOLEAN False 接続用のプロキシ サーバーを構成するには、このチェックボックスをオンにします。
    proxy_auth_scheme ENUM False ProxyServer プロキシへの認証に使用する認証タイプです。サポートされている値は、BASIC、DIGEST、NONE です。
    proxy_user STRING False ProxyServer プロキシへの認証に使用されるユーザー名です。
    proxy_password SECRET False ProxyServer プロキシの認証に使用されるパスワード。
    proxy_ssltype ENUM False ProxyServer プロキシへの接続時に使用する SSL のタイプです。サポートされている値は AUTO、ALWAYS、NEVER、TUNNEL です。

    インテグレーションで Splunk 接続を使用する

    接続を作成すると、Apigee Integration と Application Integration の両方で使用できるようになります。この接続は、コネクタタスクを介して統合で使用できます。

    • Apigee Integration で Connectors タスクを作成して使用する方法については、Connectors タスクをご覧ください。
    • Application Integration で Connectors タスクを作成して使用する方法については、Connectors タスクをご覧ください。

    Google Cloud コミュニティの助けを借りる

    Google Cloud コミュニティの Cloud フォーラムで質問を投稿したり、このコネクタについてディスカッションしたりできます。

    次のステップ