Splunk
Splunk コネクタを使用すると、Splunk データベースに対して、挿入、削除、更新、読み取りオペレーションを実行できます。
始める前に
Splunk コネクタを使用する前に、次の作業を行います。
- Google Cloud プロジェクトで次の操作を行います。
- ネットワーク接続が設定されていることを確認します。ネットワーク パターンの詳細については、Network Connectivity をご覧ください。
- コネクタを構成するユーザーに roles/connectors.admin IAM ロールを付与します。
- コネクタに使用するサービス アカウントに、次の IAM ロールを付与します。
roles/secretmanager.viewer
roles/secretmanager.secretAccessor
サービス アカウントは特別なタイプの Google アカウントで、Google API のデータにアクセスするのに認証を受ける必要がある人間以外のユーザーを表します。サービス アカウントがない場合は、サービス アカウントを作成する必要があります。詳細については、サービス アカウントを作成するをご覧ください。
- 次のサービスを有効にします。
secretmanager.googleapis.com
(Secret Manager API)connectors.googleapis.com
(Connectors API)
サービスを有効にする方法については、サービスを有効にするをご覧ください。
以前にプロジェクトでこうしたサービスを有効にしていない場合は、コネクタを構成するときにそれを有効にすることを求められます。
コネクタを構成する
コネクタを構成するには、データソース(バックエンド システム)への接続を作成する必要があります。接続はデータソースに特有です。つまり、多数のデータソースがある場合は、データソースごとに別々の接続を作成する必要があります。接続を作成する手順は次のとおりです。
- Cloud コンソールで、[Integration Connectors] > [接続] ページに移動し、Google Cloud プロジェクトを選択または作成します。
- [+ 新規作成] をクリックして [接続の作成] ページを開きます。
- [ロケーション] セクションで、接続のロケーションを選択します。
- リージョン: プルダウン リストからロケーションを選択します
サポートされているすべてのリージョンの一覧については、ロケーションをご覧ください。
- [NEXT] をクリックします。
- リージョン: プルダウン リストからロケーションを選択します
- [接続の詳細] セクションで、次の操作を行います。
- コネクタ: 使用可能なコネクタのプルダウン リストから [Splunk] を選択します。
- コネクタのバージョン: 使用可能なバージョンのプルダウン リストからコネクタのバージョンを選択します。
- [接続名] フィールドに、接続インスタンスの名前を入力します。
接続名は次の条件を満たす必要があります。
- 接続名には英字、数字、ハイフンを使用できます。
- 文字は小文字のみを使用できます。
- 接続名の先頭には英字を設定し、末尾には英字または数字を設定する必要があります。
- 接続名は 49 文字以内で指定してください。
- 必要に応じて、接続インスタンスの [説明] を入力します。
- 必要に応じて、Cloud Logging を有効にして、ログレベルを選択します。デフォルトのログレベルは
Error
に設定されています。 - サービス アカウント: 必要なロールを持つサービス アカウントを選択します。
- 必要に応じて、接続ノードの設定を構成します。
- ノードの最小数: 接続ノードの最小数を入力します。
- ノードの最大数: 接続ノードの最大数を入力します。
ノードは、トランザクションを処理する接続の単位(またはレプリカ)です。1 つの接続でより多くのトランザクションを処理するには、より多くのノードが必要になります。逆に、より少ないトランザクションを処理するには、より少ないノードが必要になります。ノードがコネクタの料金に与える影響については、接続ノードの料金をご覧ください。値を入力しない場合は、デフォルトで最小ノード数は 2 に設定され(可用性を高めるため)、最大ノード数は 50 に設定されます。
- 必要に応じて、[+ ラベルを追加] をクリックして Key-Value ペアの形式でラベルを接続に追加します。
- [NEXT] をクリックします。
- [宛先] セクションに、接続するリモートホスト(バックエンド システム)の詳細を入力します。
- 宛先の種類: 宛先の種類を選択します。
- リストから [ホストアドレス] を選択し、宛先のホスト名または IP アドレスを指定します。
- バックエンド システムへのプライベート接続を確立する場合は、リストからエンドポイント アタッチメントを選択し、次にエンドポイント アタッチメントリストから必要なエンドポイント アタッチメントを選択します。
セキュリティをさらに強化してバックエンドシステムへのパブリック接続を確立する場合は、接続用の静的アウトバウンド IP アドレスの構成を検討してから、特定の静的 IP アドレスのみを許可リストに登録するようファイアウォール ルールを構成します。
他の宛先を入力するには、[+ 宛先を追加] をクリックします。
- [NEXT] をクリックします。
- 宛先の種類: 宛先の種類を選択します。
-
[認証] セクションで、認証の詳細を入力します。
- [認証タイプ] を選択し、関連する詳細を入力します。
Splunk 接続でサポートされる認証タイプは次のとおりです。
- ユーザー名とパスワード(基本認証)
- AccessToken
- HTTPEventCollectorToken
- [NEXT] をクリックします。
これらの認証タイプの構成方法については、認証を構成するをご覧ください。
- [認証タイプ] を選択し、関連する詳細を入力します。
- Review: 接続と認証の詳細を確認します。
- [作成] をクリックします。
認証を構成する
使用する認証に基づいて詳細を入力します。
-
ユーザー名とパスワード
- ユーザー名: 接続に使用する Splunk ユーザー名。
- パスワード: Splunk ユーザー名に関連付けられたパスワードを含む Secret Manager の Secret。
-
AccessToken -
AccessToken
プロパティを使用してトークンベースの認証を実行する場合に設定します。 -
HTTPEventCollectorToken -
HTTPEventCollectorToken
プロパティを使用してトークンベースの認証を実行する場合に設定します。
接続構成のサンプル
このセクションでは、Splunk 接続を作成するときに構成するさまざまなフィールドのサンプル値を示します。
HTTP Event Collector の接続タイプ
フィールド名 | 詳細 |
---|---|
場所 | us-central1 |
コネクタ | Splunk |
コネクタのバージョン | 1 |
接続名 | splunk-http-event-coll-conn |
Cloud Logging を有効にする | いいえ |
サービス アカウント | SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com |
ノードの最小数 | 2 |
ノードの最大数 | 50 |
SSL を有効にする | ○ |
トラストストア: 保護されていない接続 | ○ |
宛先タイプ(サーバー) | ホストアドレス |
ホストアドレス | 192.0.2.0 |
ポート | ポート |
HTTP Event Collector のトークンベースの認証 | ○ |
HTTPEventCollectorToken | HTTPEVENTCOLLECTOR_TOKEN |
シークレットのバージョン | 1 |
HTTP イベント コレクタ トークンの作成方法については、HTTP イベント コレクタを作成するをご覧ください。
SSL 接続タイプ
フィールド名 | 詳細 |
---|---|
場所 | us-central1 |
コネクタ | Splunk |
コネクタのバージョン | 1 |
接続名 | splunk-ssl-connection |
Cloud Logging を有効にする | ○ |
サービス アカウント | SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com |
詳細レベル | 5 |
ノードの最小数 | 2 |
ノードの最大数 | 50 |
SSL を有効にする | ○ |
保護されていない接続 | ○ |
宛先タイプ(サーバー) | ホストアドレス |
ホストアドレス | https://192.0.2.0 |
ポート | ポート |
ユーザー パスワード | ○ |
ユーザー名 | ユーザー |
パスワード | パスワード |
シークレットのバージョン | 1 |
基本認証では、ユーザーロールまたはパワーユーザー ロールが必要です。パワーユーザーを構成する方法については、パワーユーザー ロールを構成するをご覧ください。Splunk でロールを定義する方法については、Splunk プラットフォームでロールを定義するをご覧ください。
エンティティ、オペレーション、アクション
すべての Integration Connectors が、接続されたアプリケーションのオブジェクトを抽象化するレイヤを提供します。アプリケーションのオブジェクトには、この抽象化を通じてのみアクセスできます。抽象化は、エンティティ、オペレーション、アクションとして公開されます。
- エンティティ: エンティティは、接続されているアプリケーションやサービスのオブジェクト、またはプロパティのコレクションと考えることができます。エンティティの定義は、コネクタによって異なります。たとえば、データベース コネクタでは、テーブルがエンティティであり、ファイル サーバー コネクタでは、フォルダがエンティティです。また、メッセージング システム コネクタでは、キューがエンティティです。
ただし、コネクタでいずれのエンティティもサポートされていない、またはエンティティが存在しない可能性があります。その場合、
Entities
リストは空になります。 - オペレーション: エンティティに対して行うことができるアクティビティです。エンティティに対して次のいずれかのオペレーションを行うことができます。
使用可能なリストからエンティティを選択すると、そのエンティティで使用可能なオペレーションのリストが生成されます。オペレーションの詳細については、コネクタタスクのエンティティ オペレーションをご覧ください。ただし、コネクタがいずれかのエンティティ オペレーションをサポートしていない場合、サポートされていないオペレーションは
Operations
リストに含まれません。 - アクション: コネクタ インターフェースを介して統合で使用できる主要な関数の一つです。アクションを使用すると、1 つまたは複数のエンティティに対して変更を加えることができます。また、使用できるアクションはコネクタごとに異なります。通常、アクションには入力パラメータと出力パラメータがあります。ただし、コネクタがどのアクションもサポートしていない可能性があります。その場合は、
Actions
リストが空になります。
システムの上限
Splunk コネクタは、ノードごとに 1 秒あたり 5 件のトランザクションを処理することができ、この上限を超えるトランザクションはすべてthrottlesされます。ただし、このコネクタが処理できるトランザクションの数は、Splunk インスタンスによって課される制約によっても異なります。 デフォルトでは、Integration Connectors は、接続に 2 つのノードを割り当てます(可用性を高めるため)。
Integration Connectors に適用される上限の詳細については、上限をご覧ください。
アクション
このセクションには、コネクタでサポートされているアクションが一覧表示されます。アクションの構成方法については、アクションの例をご覧ください。
CreateHTTPEvent アクション
このアクションを使用すると、HTTP プロトコルと HTTPS プロトコルを介して Splunk デプロイメントにデータとアプリケーションのイベントを送信できます。
CreateHTTPEvent アクションの入力パラメータ
パラメータ名 | データ型 | 必須 | 説明 |
---|---|---|---|
EventContent | 文字列 | ○ | テーブルまたはビューの名前。 |
ContentType | 文字列 | いいえ | EventContent 入力に指定されたコンテンツのタイプ。サポートされている値は JSON と RAWTEXT です。 |
ChannelGUID | 整数 | いいえ | イベントに使用されるチャンネルの GUID。ContentType が RAWTEXT の場合は、この値を指定する必要があります。 |
CreateHTTPEvent アクションの出力パラメータ
このアクションは、作成されたイベントの成功ステータスを返します。
CreateIndex アクション
このアクションにより、インデックスを作成できます。
CreateIndex アクションの入力パラメータ
パラメータ名 | データ型 | 必須 | 説明 |
---|---|---|---|
MaxMetaEntries | 文字列 | いいえ | バケット内の .data ファイルの一意の行の最大数を設定します。これにより、メモリ消費量を削減できる場合があります。 |
FrozenTimePeriodInSecs | 文字列 | いいえ | インデックス登録されたデータがフリーズ状態になるまでの秒数。デフォルトは 188697600(6 年)です。 |
HomePath | 文字列 | いいえ | インデックスのホットバケットとウォームバケットを含む絶対パス。 |
MinRawFileSyncSecs | 文字列 | いいえ | このパラメータには整数(または disable )を指定します。このパラメータは、ジャーナル スライスの圧縮中に splunkd がファイル システムの同期を強制する頻度を設定します。 |
ProcessTrackerServiceInterval | 文字列 | いいえ | インデクサが起動した子 OS プロセスのステータスをチェックして、キューに入れられたリクエストに対して新しいプロセスを起動できるかどうかを確認する頻度を秒単位で指定します。 0 に設定すると、インデクサは子プロセスのステータスを 1 秒ごとにチェックします。 |
ServiceMetaPeriod | 文字列 | いいえ | メタデータをディスクに同期する頻度(秒単位)を定義します。 |
MaxHotSpanSecs | 文字列 | いいえ | ホット バケットまたはウォーム バケットのターゲット最大時間範囲の上限(秒単位)。 |
QuarantinePastSecs | 文字列 | いいえ | quarantinePastSecs のタイムスタンプが >now より古いイベントは、検疫バケットにドロップされます。 |
ColdToFrozenDir | 文字列 | いいえ | フリーズされたアーカイブの宛先パス。ColdToFrozenScript の代替として使用します。 |
ColdPath | 文字列 | いいえ | インデックスの colddb を含む絶対パス。パスは読み取り可能かつ書き込み可能である必要があります。 |
MaxHotIdleSecs | 文字列 | いいえ | ホット バケットの最大存続時間(秒単位) |
WarmToColdScript | 文字列 | いいえ | ウォームからコールドにデータを移動する際に実行するスクリプトへのパス。 |
ColdToFrozenScript | 文字列 | いいえ | アーカイブ スクリプトへのパス。 |
MaxHotBuckets | 文字列 | いいえ | インデックスごとに存在できるホット バケットの最大数。 |
TstatsHomePath | 文字列 | いいえ | このインデックスのデータモデル アクセラレーション TSIDX データを保存するロケーション。指定する場合は、ボリューム定義で定義する必要があります。パスは書き込み可能である必要があります |
RepFactor | 文字列 | いいえ | インデックスのレプリケーション制御。このパラメータは、クラスタ内のピアノードにのみ適用されます。
|
MaxDataSize | 文字列 | いいえ | ウォームへのロールがトリガーされる前にホット DB が到達する最大サイズ(MB)。
auto または auto_high_volume を指定すると、Splunk はこのパラメータを自動チューニングします(推奨)。 |
MaxBloomBackfillBucketAge | 文字列 | いいえ | 有効な値は、integer[m|s|h|d] です。ウォーム バケットまたはコールド バケットが指定した経過時間より古い場合、その bloomfilter を作成または再構築しないでください。bloomfilter を再ビルドしないようにするには、0 を指定します。 |
BlockSignSize | 文字列 | いいえ | ブロック署名のブロックを構成するイベントの数を制御します。0 に設定すると、このインデックスでブロック署名が無効になります。推奨値は 100 です。 |
名前 | 文字列 | ○ | 作成するインデックスの名前 |
MaxTotalDataSizeMB | 文字列 | いいえ | インデックスの最大サイズ(MB)。インデックスが最大サイズを超えると、最も古いデータがフリーズされます。 |
MaxWarmDBCount | 文字列 | いいえ | ウォームバケットの最大数。この数を超えると、最新の値が最も低いウォームバケットがコールドに移動されます。 |
RawChunkSizeBytes | 文字列 | いいえ | インデックスの未加工データ ジャーナルに含まれる個々の未加工スライスの非圧縮サイズ(バイト単位)をターゲットにします。0 は有効な値ではありません。0 を指定すると、rawChunkSizeBytes はデフォルト値に設定されます。 |
DataType | 文字列 | いいえ | インデックスのタイプを指定します。 |
MaxConcurrentOptimizes | 文字列 | いいえ | ホットバケットに対して実行できる同時最適化プロセスの数。 |
ThrottleCheckPeriod | 文字列 | いいえ | Splunk がインデックス スロットリング条件を確認する頻度(秒単位)を定義します。 |
SyncMeta | 文字列 | いいえ | true の場合、メタデータ ファイルの更新時にファイル記述子が閉じられるまで、同期オペレーションが呼び出されます。この機能により、特にオペレーティング システムのクラッシュやマシンの障害に関してメタデータ ファイルの完全性が向上します。 |
RotatePeriodInSecs | 文字列 | いいえ | 新しいホットバケットを作成する必要があるかどうかを確認する頻度(秒単位)。また、ロールまたはフリーズする必要があるホットバケットまたはコールドバケットがあるかどうかを確認する頻度も指定します。 |
CreateIndex アクションの出力パラメータ
このアクションにより、CreateIndex アクションの確認メッセージが返されます
CreateIndex
アクションの構成方法の例については、アクションの例をご覧ください。
CreateSavedSearch アクション
このアクションにより、検索条件を保存できます
CreateSavedSearch アクションの入力パラメータ
パラメータ名 | データ型 | 必須 | 説明 |
---|---|---|---|
IsVisible | ブール値 | ○ | この保存済み検索が、表示される保存済み検索リストに表示されるかどうかを示します。 |
RealTimeSchedule | ブール値 | ○ | この値が 1 に設定されている場合、スケジューラは次のスケジュールされた検索実行時間を現在の時刻に基づいて決定します。この値が 0 に設定されている場合、最後の検索実行時間に基づいて決定されます。 |
検索 | 文字列 | ○ | 保存する検索クエリ |
説明 | 文字列 | いいえ | この保存済み検索の説明 |
SchedulePriority | 文字列 | ○ | 特定の検索のスケジューリング優先度を示します |
CronSchedule | 文字列 | ○ | この検索を実行する cron スケジュール。たとえば、*/5 * * * * を使用すると、検索は 5 分ごとに実行されます。 |
名前 | 文字列 | ○ | 検索の名前 |
UserContext | 文字列 | ○ | ユーザー コンテキストが指定されている場合は、servicesNS ノード(/servicesNS/[UserContext]/search)が使用されます。指定されていない場合は、デフォルトの一般的なエンドポイント /services が使用されます。 |
RunOnStartup | ブール値 | ○ | この検索が起動時に実行されるかどうかを示します。起動時に実行されない場合、次のスケジュールされた時刻に検索が実行されます。 |
無効 | ブール値 | いいえ | この保存済み検索が無効になっているかどうかを示します。 |
IsScheduled | ブール値 | ○ | この検索をスケジュールに従って実行するかどうかを示します。 |
CreateSavedSearch アクションの出力パラメータ
このアクションにより、CreateSavedSearch アクションの確認メッセージが返されます。
CreateSavedSearch
アクションの構成方法の例については、アクションの例をご覧ください。
UpdateSavedSearch アクション
このアクションにより、保存済み検索を更新できます。
UpdateSavedSearch アクションの入力パラメータ
パラメータ名 | データ型 | 必須 | 説明 |
---|---|---|---|
IsVisible | ブール値 | ○ | この保存済み検索が、表示される保存済み検索リストに表示されるかどうかを示します。 |
RealTimeSchedule | ブール値 | ○ | この値が 1 に設定されている場合、スケジューラは次のスケジュールされた検索実行時間を現在の時刻に基づいて決定します。この値が 0 に設定されている場合、最後の検索実行時間に基づいて決定されます。 |
検索 | 文字列 | ○ | 保存する検索クエリ |
説明 | 文字列 | いいえ | この保存済み検索の説明 |
SchedulePriority | 文字列 | ○ | 特定の検索のスケジューリング優先度を示します |
CronSchedule | 文字列 | ○ | この検索を実行する cron スケジュール。たとえば、*/5 * * * * と指定すると、検索は 5 分ごとに実行されます。 |
名前 | 文字列 | ○ | 検索の名前 |
UserContext | 文字列 | ○ | ユーザー コンテキストが指定されている場合は、servicesNS ノード(/servicesNS/[UserContext]/search)が使用されます。指定されていない場合は、デフォルトの一般的なエンドポイント /services が使用されます。 |
RunOnStartup | ブール値 | ○ | この検索が起動時に実行されるかどうかを示します。起動時に実行されない場合、次のスケジュールされた時刻に検索が実行されます。 |
無効 | ブール値 | いいえ | この保存済み検索が無効になっているかどうかを示します。 |
IsScheduled | ブール値 | ○ | この検索をスケジュールに従って実行するかどうかを示します。 |
UpdateSavedSearch アクションの出力パラメータ
このアクションにより、UpdateSavedSearch アクションの確認メッセージが返されます。
UpdateSavedSearch
アクションの構成方法の例については、アクションの例をご覧ください。
DeleteIndex アクション
このアクションにより、インデックスを削除できます。
DeleteIndex アクションの入力パラメータ
パラメータ名 | データ型 | 必須 | 説明 |
---|---|---|---|
名前 | 文字列 | ○ | 削除するインデックスの名前。 |
DeleteIndex アクションの出力パラメータ
このアクションにより、DeleteIndex アクションの確認メッセージが返されます
DeleteIndex
アクションの構成方法の例については、アクションの例をご覧ください。
UpdateIndex アクション
このアクションにより、インデックスを更新できます。
UpdateIndex アクションの入力パラメータ
パラメータ名 | データ型 | 必須 | 説明 |
---|---|---|---|
MaxMetaEntries | 文字列 | いいえ | バケット内の .data ファイルの一意の行の最大数を設定します。これにより、メモリ消費量を削減できる場合があります。 |
FrozenTimePeriodInSecs | 文字列 | いいえ | インデックス登録されたデータがフリーズ状態になるまでの秒数。デフォルトは 188697600(6 年)です。 |
HomePath | 文字列 | いいえ | インデックスのホットバケットとウォームバケットを含む絶対パス。 |
MinRawFileSyncSecs | 文字列 | いいえ | このパラメータには整数(または disable )を指定します。このパラメータは、ジャーナル スライスの圧縮中に splunkd がファイル システムの同期を強制する頻度を設定します。 |
ProcessTrackerServiceInterval | 文字列 | いいえ | インデクサが起動した子 OS プロセスのステータスをチェックして、キューに入れられたリクエストに対して新しいプロセスを起動できるかどうかを確認する頻度を秒単位で指定します。0 に設定すると、インデクサは子プロセスのステータスを 1 秒ごとにチェックします。 |
ServiceMetaPeriod | 文字列 | いいえ | メタデータをディスクに同期する頻度(秒単位)を定義します。 |
MaxHotSpanSecs | 文字列 | いいえ | ホット バケットまたはウォーム バケットのターゲット最大時間範囲の上限(秒単位)。 |
QuarantinePastSecs | 文字列 | いいえ | quarantinePastSecs のタイムスタンプが now より古いイベントは、検疫バケットにドロップされます。 |
ColdToFrozenDir | 文字列 | いいえ | フリーズされたアーカイブの宛先パス。ColdToFrozenScript の代替として使用します。 |
ColdPath | 文字列 | いいえ | インデックスの colddb を含む絶対パス。パスは読み取り可能かつ書き込み可能である必要があります。 |
MaxHotIdleSecs | 文字列 | いいえ | ホット バケットの最大存続時間(秒単位)。 |
WarmToColdScript | 文字列 | いいえ | ウォームからコールドにデータを移動する際に実行するスクリプトへのパス。 |
ColdToFrozenScript | 文字列 | いいえ | アーカイブ スクリプトへのパス。 |
MaxHotBuckets | 文字列 | いいえ | インデックスごとに存在できるホット バケットの最大数。 |
TstatsHomePath | 文字列 | いいえ | このインデックスのデータモデル アクセラレーション TSIDX データを保存するロケーション。指定する場合は、ボリューム定義で定義する必要があります。パスは書き込み可能である必要があります |
RepFactor | 文字列 | いいえ | インデックスのレプリケーション制御。このパラメータは、クラスタ内のピアノードにのみ適用されます。
|
MaxDataSize | 文字列 | いいえ | ウォームへのロールがトリガーされる前にホット DB が到達する最大サイズ(MB)。
auto または auto_high_volume を指定すると、Splunk はこのパラメータを自動チューニングします(推奨)。 |
MaxBloomBackfillBucketAge | 文字列 | いいえ | 有効な値は、integer[m|s|h|d] です。ウォーム バケットまたはコールド バケットが指定した経過時間より古い場合、その bloomfilter を作成または再構築しないでください。bloomfilter を再ビルドしないようにするには、0 を指定します。 |
BlockSignSize | 文字列 | いいえ | ブロック署名のブロックを構成するイベントの数を制御します。0 に設定すると、このインデックスでブロック署名が無効になります。推奨値は 100 です。 |
名前 | 文字列 | ○ | 作成するインデックスの名前 |
MaxTotalDataSizeMB | 文字列 | ○ | インデックスの最大サイズ(MB)。インデックスが最大サイズを超えると、最も古いデータがフリーズされます。 |
MaxWarmDBCount | 文字列 | いいえ | ウォームバケットの最大数。この数を超えると、最新の値が最も低いウォームバケットがコールドに移動されます。 |
RawChunkSizeBytes | 文字列 | いいえ | インデックスの未加工データ ジャーナルに含まれる個々の未加工スライスの非圧縮サイズ(バイト単位)をターゲットにします。 0 は有効な値ではありません。0 を指定すると、rawChunkSizeBytes はデフォルト値に設定されます。 |
DataType | 文字列 | いいえ | インデックスのタイプを指定します。 |
MaxConcurrentOptimizes | 文字列 | いいえ | ホットバケットに対して実行できる同時最適化プロセスの数。 |
ThrottleCheckPeriod | 文字列 | いいえ | Splunk がインデックス スロットリング条件を確認する頻度(秒単位)を定義します。 |
SyncMeta | 文字列 | いいえ | true の場合、メタデータ ファイルの更新時にファイル記述子が閉じられるまで、同期オペレーションが呼び出されます。この機能により、特にオペレーティング システムのクラッシュやマシンの障害に関してメタデータ ファイルの完全性が向上します。 |
RotatePeriodInSecs | 文字列 | いいえ | 新しいホットバケットを作成する必要があるかどうかを確認する頻度(秒単位)。また、ロールまたはフリーズする必要があるウォームバケットまたはコールドバケットがあるかどうかをチェックする頻度も設定します。 |
UpdateIndex アクションの出力パラメータ
このアクションにより、DeleteIndex アクションの確認メッセージが返されます。
UpdateIndex
アクションの構成方法の例については、アクションの例をご覧ください。
アクションの例
例 - HTTP イベントを作成する
この例では、HTTP イベントを作成します。
- [
Configure connector task
] ダイアログで、[Actions
] をクリックします。 - [
CreateHTTPEvent
] アクションを選択してから、[完了] をクリックします。 - [コネクタ] タスクの [タスク入力] セクションで、
connectorInputPayload
をクリックし、Default Value
フィールドに次のような値を入力します。{ "EventContent": "Testing Task", "ContentType": "RAWTEXT", "ChannelGUID": "ContentType=RAWTEXT" }
アクションが成功すると、CreateHTTPEvent
タスクの connectorOutputPayload
レスポンス パラメータの値は次のようになります。
[{ "Success": "Success" }]
例 - インデックスを作成する
この例では、インデックスを作成します。
- [
Configure connector task
] ダイアログで、[Actions
] をクリックします。 - [
CreateIndex
] アクションを選択してから、[完了] をクリックします。 - [コネクタ] タスクの [タスク入力] セクションで、
connectorInputPayload
をクリックし、Default Value
フィールドに次のような値を入力します。{ "Name": "http_testing" }
アクションが成功すると、CreateIndex
タスクの connectorOutputPayload
レスポンス パラメータの値は次のようになります。
[{ "AssureUTF8": null, "BlockSignSize": null, "BlockSignatureDatabase": null, "BucketRebuildMemoryHint": null, "ColdPath": null, "FrozenTimePeriodInSecs": null, "HomePath": null, "HomePathExpanded": null, "IndexThreads": null, "IsInternal": null, "MaxConcurrentOptimizes": null, "MaxDataSize": null, "MaxHotBuckets": null, "SuppressBannerList": null, "Sync": null, "SyncMeta": null, "ThawedPath": null, "ThawedPathExpanded": null, "TstatsHomePath": null, "WarmToColdScript": null, }]
例 - 保存済み検索を作成する
この例では、保存済み検索を作成します。
- [
Configure connector task
] ダイアログで、[Actions
] をクリックします。 - [
CreateSavedSearch
] アクションを選択してから、[完了] をクリックします。 - [コネクタ] タスクの [タスク入力] セクションで、
connectorInputPayload
をクリックし、Default Value
フィールドに次のような値を入力します。{ "Name": "test_created_g", "Search": "index=\"http_testing\"", "CronSchedule": "*/1 * * * *", "IsVisible": true, "RealTimeSchedule": true, "RunOnStartup": true, "IsScheduled": true, "SchedulePriority": "highest", "UserContext": "nobody" }
アクションが成功すると、CreateSavedSearch
タスクの connectorOutputPayload
レスポンス パラメータの値は次のようになります。
[{ "Success": true, "Message": null }]
例 - 保存済み検索を更新する
この例では、保存済み検索を更新します。
- [
Configure connector task
] ダイアログで、[Actions
] をクリックします。 - [
UpdateSavedSearch
] アクションを選択してから、[完了] をクリックします。 - [コネクタ] タスクの [タスク入力] セクションで、
connectorInputPayload
をクリックし、Default Value
フィールドに次のような値を入力します。{ "Name": "test_created_g", "Search": "index=\"december_test_data\"", "CronSchedule": "*/1 * * * *", "IsVisible": true, "RealTimeSchedule": true, "RunOnStartup": true, "IsScheduled": true, "SchedulePriority": "highest" }
アクションが成功すると、UpdateSavedSearch
タスクの connectorOutputPayload
レスポンス パラメータの値は次のようになります。
[{ "Success": true, "Message": null }]
例 - インデックスを削除する
この例では、インデックスを削除します。
- [
Configure connector task
] ダイアログで、[Actions
] をクリックします。 - [
DeleteIndex
] アクションを選択してから、[完了] をクリックします。 - [コネクタ] タスクの [タスク入力] セクションで、
connectorInputPayload
をクリックし、Default Value
フィールドに次のような値を入力します。{ "Name": "g_http_testing" }
アクションが成功すると、DeleteIndex
タスクの connectorOutputPayload
レスポンス パラメータの値は次のようになります。
[{ "Success": true, "ErrorCode": null, "ErrorMessage": null }]
例 - インデックスを更新する
この例では、インデックスを更新します。
- [
Configure connector task
] ダイアログで、[Actions
] をクリックします。 - [
UpdateIndex
] アクションを選択してから、[完了] をクリックします。 - [コネクタ] タスクの [タスク入力] セクションで、
connectorInputPayload
をクリックし、Default Value
フィールドに次のような値を入力します。{ "MaxTotalDataSizeMB": "400000", "Name": "g_http_testing" }
アクションが成功すると、UpdateIndex
タスクの connectorOutputPayload
レスポンス パラメータの値は次のようになります。
[{ "AssureUTF8": false, "BlockSignSize": null, "BlockSignatureDatabase": null, "BucketRebuildMemoryHint": "auto", "ColdPath": "$SPLUNK_DB\\g_http_testing\\colddb", "ColdPathExpanded": "C:\\Program Files\\Splunk\\var\\lib\\splunk\\g_http_testing\\colddb", "ColdToFrozenDir": "", "ColdToFrozenScript": "", "CurrentDBSizeMB": 1.0, "DefaultDatabase": "main", "EnableOnlineBucketRepair": true, "EnableRealtimeSearch": true, "FrozenTimePeriodInSecs": 1.886976E8, "HomePath": "$SPLUNK_DB\\g_http_testing\\db", "HomePathExpanded": "C:\\Program Files\\Splunk\\var\\lib\\splunk\\g_http_testing\\db", "IndexThreads": "auto", "IsInternal": false, "LastInitTime": "2024-01-08 05:15:28.0", "MaxBloomBackfillBucketAge": "30d", "ThawedPath": "$SPLUNK_DB\\g_http_testing\\thaweddb", "ThawedPathExpanded": "C:\\Program Files\\Splunk\\var\\lib\\splunk\\g_http_testing\\thaweddb", "ThrottleCheckPeriod": 15.0, "TotalEventCount": 0.0, "TsidxDedupPostingsListMaxTermsLimit": 8388608.0, "TstatsHomePath": "volume:_splunk_summaries\\$_index_name\\datamodel_summary", "WarmToColdScript": "", "Success": true, "ErrorCode": null, "ErrorMessage": null }]
エンティティ オペレーションの例
このセクションでは、このコネクタでエンティティ オペレーションの一部を実行する方法について説明します。
例 - すべてのレコードを一覧表示する
この例では、SearchJobs
エンティティ内のすべてのレコードを一覧表示します。
- [
Configure connector task
] ダイアログで、[Entities
] をクリックします。 Entity
からSearchJobs
を選択します。- [
List
] オペレーションを選択し、[完了] をクリックします。 - 必要に応じて、コネクタタスクの [タスク入力] セクションでフィルタ句を指定して、結果セットをフィルタリングできます。 フィルタ句の値は、常に単一引用符(')内で指定します。
例 - エンティティからレコードを取得する
この例では、SearchJobs
エンティティから、指定した ID のレコードを取得します。
- [
Configure connector task
] ダイアログで、[Entities
] をクリックします。 Entity
からSearchJobs
を選択します。- [
Get
] オペレーションを選択し、[完了] をクリックします。 - [コネクタ] タスクの [タスク入力] セクションで [EntityId] をクリックし、[デフォルト値] フィールドに
1698309163.1300
を入力します。ここで、
1698309163.1300
はSearchJobs
エンティティ内の一意のレコード ID です。
例 - エンティティにレコードを作成する
この例では、SearchJobs
エンティティに レコードを作成します。
- [
Configure connector task
] ダイアログで、[Entities
] をクリックします。 Entity
からSearchJobs
を選択します。- [
Create
] オペレーションを選択し、[完了] をクリックします。 - [データ マッピング] タスクの [データ マッパー] セクションで、
Open Data Mapping Editor
をクリックし、[Input Value
] フィールドに次のような値を入力し、EntityId/ConnectorInputPayload をローカル変数として選択します。{ "EventSearch": "search (index=\"antivirus_logs\") sourcetype=access_combined | rex \"(?\\d{1,3}\\.\\d{1,3}\\.\\d{1,3}\\.\\d{1,3})\" | iplocation IP_address| table IP_address, City, Country" }
アクションが成功すると、
SearchJobs
タスクのconnectorOutputPayload
レスポンス パラメータの値は次のようになります。{ "Sid": "1699336785.1919" }
例 - エンティティにレコードを作成する
この例では、DataModels
エンティティに レコードを作成します。
- [
Configure connector task
] ダイアログで、[Entities
] をクリックします。 Entity
からDataModels
を選択します。- [
Create
] オペレーションを選択してから、[完了] をクリックします。 - [コネクタ] タスクの [タスク入力] セクションで、
connectorInputPayload
をクリックし、Default Value
フィールドに次のような値を入力します。{ "Id": "Test1", "Acceleration": "{\"enabled\":false,\"earliest_time\":\"\", \"max_time\":3600,\"backfill_time\":\"\",\"source_guid\":\"\", \"manual_rebuilds\":false,\"poll_buckets_until_maxtime\":false, \"max_concurrent\":3,\"allow_skew\":\"0\",\"schedule_priority\":\"default\" ,\"allow_old_summaries\":false,\"hunk.file_format\":\"\",\"hunk.dfs_block_size\":0, \"hunk.compression_codec\":\"\",\"workload_pool\":\"\"}" }
統合に成功すると、コネクタタスクの
connectorOutputPayload
フィールドの値は次のようになります。[{ "Id": "Test1" }]
例 - エンティティからレコードを削除する
この例では、DataModels
エンティティ内の指定された ID のレコードを削除します。
- [
Configure connector task
] ダイアログで、[Entities
] をクリックします。 Entity
からDataModels
を選択します。- [
Delete
] オペレーションを選択してから、[完了] をクリックします。 - [コネクタタスクの [タスク入力 セクションで [entityId] をクリックし、[デフォルト値] フィールドに
Test1
を入力します。
例 - エンティティ内のレコードを更新する
この例では、DataModels
エンティティに レコードを作成します。
- [
Configure connector task
] ダイアログで、[Entities
] をクリックします。 Entity
からDataModels
を選択します。- [
Update
] オペレーションを選択してから、[完了] をクリックします。 - [コネクタ] タスクの [タスク入力] セクションで、
connectorInputPayload
をクリックし、Default Value
フィールドに次のような値を入力します。{ "Acceleration": "{\"enabled\":true,\"earliest_time\":\"-3mon\", \"cron_schedule\":\"*/5 * * * *\",\"max_time\":60, \"backfill_time\":\"\",\"source_guid\":\"\",\"manual_rebuilds\":false, \"poll_buckets_until_maxtime\":false,\"max_concurrent\":3, \"allow_skew\":\"0\",\"schedule_priority\":\"default\", \"allow_old_summaries\":false,\"hunk.file_format\":\"\",\"hunk.dfs_block_size\":0, \"hunk.compression_codec\":\"\",\"workload_pool\":\"\"}" }
- [エンティティ ID] をクリックし、[デフォルト値] フィールドに「
/servicesNS/nobody/search/datamodel/model/Testing
」と入力します。統合に成功すると、コネクタタスクの
connectorOutputPayload
フィールドの値は次のようになります。[{ "Id": "/servicesNS/nobody/search/datamodel/model/Testing" }]
例 - インデックスを使用した検索フロー
このセクションでは、単一のインデックスと複数のインデックスを使用するすべての検索フローを説明します。
単一のインデックスを使用して検索を作成する
- [
Configure connector task
] ダイアログで、[Entities
] をクリックします。 Entity
からSearchJobs
を選択します。- [
Create
] オペレーションを選択し、[完了] をクリックします。 - [データ マッピング] タスクの [データ マッパー] セクションで、
Open Data Mapping Editor
をクリックし、[Input Value
] フィールドに次のような値を入力し、EntityId/ConnectorInputPayload をローカル変数として選択します。{ "EventSearch": "search (index=\"http_testing\" sourcetype=\"googlecloud-testing\") " }
アクションが成功すると、
SearchJobs
タスクのconnectorOutputPayload
レスポンス パラメータの値は次のようになります。{ "Sid": "1726051471.76" }
検索クエリで使用されたインデックス名を使用してリスト オペレーションを実行する
- [
Configure connector task
] ダイアログで、[Entities
] をクリックします。 Entity
からIndex Name
を選択します。- [
List
] オペレーションを選択し、[完了] をクリックします。 - [コネクタ] タスクの [タスク入力] セクションで、filterClause(Sid= '1726051471.76' など)を設定できます。
アクションが成功すると、Index Name
タスクの connectorOutputPayload
レスポンス パラメータの値は次のようになります。
[{ "_bkt": "http_testing~0~D043151E-5A2D-4FAB-8647-4D5DA2F288AF", "_cd": "00:04:00", "_eventtype_color": null, "_indextime": 1.720702012E9, "_kv": null, "_raw": "hi How r yo\nplease\nfind \nmy notes", "_serial": 0.0, "_si": "googlecloud-bcone-splunk-vm\nhttp_testing", "_sourcetype": "googlecloud-testing", "_time": "2024-07-11 12:46:52.0", "eventtype": null, "host": "googlecloud-bcone-splunk-vm", "index": "http_testing", "linecount": 4.0, "punct": null, "source": "Testing.txt", "sourcetype": "googlecloud-testing", "splunk_server": "googlecloud-bcone-splunk-vm", "splunk_server_group": null, "timestamp": null, "JobId": "1726051471.76" }]
複数のインデックスを使用して検索を作成する
- [
Configure connector task
] ダイアログで、[Entities
] をクリックします。 Entity
からSearchJobs
を選択します。- [
Create
] オペレーションを選択し、[完了] をクリックします。 - [データ マッピング] タスクの [データ マッパー] セクションで、
Open Data Mapping Editor
をクリックし、[Input Value
] フィールドに次のような値を入力し、EntityId/ConnectorInputPayload をローカル変数として選択します。{ "EventSearch": "search (index=\"http_testing\" OR index= \"googlecloud-demo\" sourcetype=\"googlecloud-testing\" OR sourcetype=\"Demo_Text\")" }
アクションが成功すると、
SearchJobs
タスクのconnectorOutputPayload
レスポンス パラメータの値は次のようになります。{ "Sid": "1727261971.4007" }
検索クエリで使用されるインデックス名を使用してリスト オペレーションを実行する
- [
Configure connector task
] ダイアログで、[Entities
] をクリックします。 Entity
リストから [Index Name
名] を選択します。- [
List
] オペレーションを選択し、[完了] をクリックします。 - [コネクタ] タスクの [タスク入力] セクションで、filterClause(Sid= '1727261971.4007' など)を設定できます。
アクションが成功すると、Index
タスクの connectorOutputPayload
レスポンス パラメータの値は次のようになります。
[{ "_bkt": "googlecloud-demo~0~D043151E-5A2D-4FAB-8647-4D5DA2F288AF", "_cd": "00:04:00", "_eventtype_color": null, "_indextime": 1.727155516E9, "_kv": null, "_raw": "Hi team\nwe have a demo please plan accordingly\nwith Google team", "_serial": 0.0, "_si": "googlecloud-bcone-splunk-vm\ngooglecloud-demo", "_sourcetype": "Demo_Text", "_time": "2024-09-24 05:25:16.0", "eventtype": null, "host": "googlecloud-bcone-splunk-vm", "index": "googlecloud-demo", "linecount": 3.0, "punct": null, "source": "Splunk_Demo.txt", "sourcetype": "Demo_Text", "splunk_server": "googlecloud-bcone-splunk-vm", "splunk_server_group": null, "timestamp": null, "JobId": "1727261971.4007" }, { "_bkt": "http_testing~0~D043151E-5A2D-4FAB-8647-4D5DA2F288AF", "_cd": "00:04:00", "_eventtype_color": null, "_indextime": 1.720702012E9, "_kv": null, "_raw": "hi How r yo\nplease\nfind \nmy notes", "_serial": 1.0, "_si": "googlecloud-bcone-splunk-vm\nhttp_testing", "_sourcetype": "googlecloud-testing", "_time": "2024-07-11 12:46:52.0", "eventtype": null, "host": "googlecloud-bcone-splunk-vm", "index": "http_testing", "linecount": 4.0, "punct": null, "source": "Testing.txt", "sourcetype": "googlecloud-testing", "splunk_server": "googlecloud-bcone-splunk-vm", "splunk_server_group": null, "timestamp": null, "JobId": "1727261971.4007" }]
例 - ReadJobResults を使用した検索フロー
このセクションでは、Splunk 接続でサポートされている単一インデックスと複数インデックスの両方を使用するすべての検索フローについて説明します。現在、サポートされているログ結果の最大ペイロード サイズは 150 MB です。
単一インデックスを使用した検索を作成する
- [
Configure connector task
] ダイアログで、[Entities
] をクリックします。 Entity
からSearchJobs
を選択します。- [
Create
] オペレーションを選択し、[完了] をクリックします。 - [データ マッピング] タスクの [データ マッパー] セクションで、
Open Data Mapping Editor
をクリックし、[Input Value
] フィールドに次のような値を入力し、EntityId/ConnectorInputPayload をローカル変数として選択します。{ "EventSearch": "search (index=\"http_testing\" sourcetype=\"googlecloud-testing\") " }
この例では検索を作成します。統合が成功すると、
SearchJobs
タスクのconnectorOutputPayload
レスポンス パラメータの値は次のようになります。{ "Sid": "1732775755.24612" }
検索結果を取得するには、ReadJobResults アクションで作成オペレーションを実行します。Sid に基づいて結果をフィルタするには、Sid をパラメータとしてアクションに渡します。
ReadJobResults アクションを使用して結果ログを取得する
- [
Configure connector task
] ダイアログで、[Actions
] をクリックします。 - [
ReadJobResults
] アクションを選択してから、[完了] をクリックします。 - [データ マッピング] タスクの [データ マッパー] セクションで、
Open Data Mapping Editor
をクリックし、[Input Value
] フィールドに次のような値を入力し、EntityId/ConnectorInputPayload をローカル変数として選択します。{ "Sid": "1732775755.24612" }
アクションが成功すると、
ReadJobResults
タスクの connectorOutputPayload
レスポンス パラメータの値は次のようになります。
[{ "_bkt": "http_testing~0~D043151E-5A2D-4FAB-8647-4D5DA2F288AF", "_cd": "0:4", "_indextime": "1720702012", "_raw": "hi How r yo\nplease\nfind \nmy notes", "_serial": "1", "_si": "googlecloud-bcone-splunk-vm\nhttp_testing", "_sourcetype": "googlecloud-testing", "_time": "2024-07-11T12:46:52.000+00:00", "host": "googlecloud-bcone-splunk-vm", "index": "http_testing", "linecount": "4", "source": "Testing.txt", "sourcetype": "googlecloud-testing", "splunk_server": "googlecloud-bcone-splunk-vm", "jobid": "1732775755.24612", "sid": "1732775755.24612" }]
複数のインデックスを含む検索を作成する
- [
Configure connector task
] ダイアログで、[Entities
] をクリックします。 Entity
からSearchJobs
を選択します。- [
Create
] オペレーションを選択し、[完了] をクリックします。 - [データ マッピング] タスクの [データ マッパー] セクションで、
Open Data Mapping Editor
をクリックし、[Input Value
] フィールドに次のような値を入力し、EntityId/ConnectorInputPayload をローカル変数として選択します。{ "EventSearch": "search (index=\"http_testing\" OR index= \"googlecloud-demo\" sourcetype=\"googlecloud-testing\" OR sourcetype=\"Demo_Text\")" }
アクションが成功すると、
SearchJobs
タスクのconnectorOutputPayload
レスポンス パラメータの値は次のようになります。{ "Sid": "1732776556.24634" }
検索結果を取得するには、ReadJobResults アクションで作成オペレーションを実行します。Sid に基づいて結果をフィルタするには、Sid をパラメータとしてアクションに渡します。
ReadJobResults アクションを使用した ResultsLogs
- [
Configure connector task
] ダイアログで、[Actions
] をクリックします。 - [
ReadJobResults
] アクションを選択してから、[完了] をクリックします。 - [データ マッピング] タスクの [データ マッパー] セクションで、
Open Data Mapping Editor
をクリックし、[Input Value
] フィールドに次のような値を入力し、EntityId/ConnectorInputPayload をローカル変数として選択します。{ "Sid": "1732776556.24634" }
- Apigee Integration で Connectors タスクを作成して使用する方法については、Connectors タスクをご覧ください。
- Application Integration で Connectors タスクを作成して使用する方法については、Connectors タスクをご覧ください。
- 接続を一時停止して再開する方法を確認する。
- コネクタの使用状況をモニタリングする方法を確認する。
- コネクタログを表示する方法を確認する。
アクションが成功すると、ReadJobResults
タスクの connectorOutputPayload
レスポンス パラメータの値は次のようになります。
[{ "_bkt": "googlecloud-demo~0~D043151E-5A2D-4FAB-8647-4D5DA2F288AF", "_cd": "0:4", "_indextime": "1727155516", "_raw": "Hi team\nwe have a demo please plan accordingly\nwith Google team", "_serial": "0", "_si": "googlecloud-bcone-splunk-vm\googlecloud-demo", "_sourcetype": "Demo_Text", "_time": "2024-09-24T05:25:16.000+00:00", "host": "googlecloud-bcone-splunk-vm", "index": "googlecloud-demo", "linecount": "3", "source": "Splunk_Demo.txt", "sourcetype": "Demo_Text", "splunk_server": "googlecloud-bcone-splunk-vm", "jobid": "1732776556.24634", "sid": "1732776556.24634" },{ "_bkt": "http_testing~0~D043151E-5A2D-4FAB-8647-4D5DA2F288AF", "_cd": "0:4", "_indextime": "1720702012", "_raw": "hi How r yo\nplease\nfind \nmy notes", "_serial": "1", "_si": "googlecloud-bcone-splunk-vm\nhttp_testing", "_sourcetype": "googlecloud-testing", "_time": "2024-07-11T12:46:52.000+00:00", "host": "googlecloud-bcone-splunk-vm", "index": "http_testing", "linecount": "4", "source": "Testing.txt", "sourcetype": "googlecloud-testing", "splunk_server": "googlecloud-bcone-splunk-vm", "jobid": "1732776556.24634", "sid": "1732776556.24634" }]
Terraform を使用して接続を作成する
Terraform リソースを使用して、新しい接続を作成できます。Terraform 構成を適用または削除する方法については、基本的な Terraform コマンドをご覧ください。
接続作成用の Terraform テンプレートのサンプルを表示するには、サンプル テンプレートをご覧ください。
Terraform を使用してこの接続を作成する場合は、Terraform 構成ファイルで次の変数を設定する必要があります。
パラメータ名 | データ型 | 必須 | 説明 |
---|---|---|---|
詳細度 | STRING | False | 接続の詳細レベルは 1~5 です。詳細レベルが高いと、すべての通信の詳細(リクエスト、レスポンス、SSL 証明書)がログに記録されます。 |
proxy_enabled | BOOLEAN | False | 接続用のプロキシ サーバーを構成するには、このチェックボックスをオンにします。 |
proxy_auth_scheme | ENUM | False | ProxyServer プロキシへの認証に使用する認証タイプです。サポートされている値は、BASIC、DIGEST、NONE です。 |
proxy_user | STRING | False | ProxyServer プロキシへの認証に使用されるユーザー名です。 |
proxy_password | SECRET | False | ProxyServer プロキシの認証に使用されるパスワード。 |
proxy_ssltype | ENUM | False | ProxyServer プロキシへの接続時に使用する SSL のタイプです。サポートされている値は AUTO、ALWAYS、NEVER、TUNNEL です。 |
インテグレーションで Splunk 接続を使用する
接続を作成すると、Apigee Integration と Application Integration の両方で使用できるようになります。この接続は、コネクタタスクを介して統合で使用できます。