SplunkのLookupは読み込んだイベントの値に対して、別の値を紐づけるためのテーブルを設定する方法です。例えば6や17のプロトコル番号をTCP・UDPといった文字に変換するのに使用します。
スポンサーリンク
Lookupファイルの登録
はじめにテーブルのもとになるcsvファイルをUploadします。今回はプロトコル番号とプロトコル名を紐づける以下のcsvファイルを使います。
まず[設定]→[ルックアップ]を選択。
[ルックアップテーブルファイル]の新規作成をクリック。
Appsやファイルを指定して[保存]をクリック。これでLookupファイルの登録が完了です。
Lookup定義の設定
アップロードしたファイルに対して、Lookup定義を行います。今度は[ルックアップ定義]の新規追加をクリック。
以下のように設定を行い、[保存]をクリックします。これでLookup定義の設定ができます。
Lookup定義の確認
正常に設定されているか確認するためには、以下のサーチ文を実行します。そうすると、設定したLookup定義のテーブルが表示されるはずです。
| inputlookup tcpudp
サーチ文での使い方
サーチ文で使用する際には以下のように、Lookupの入力フィールドとイベントのフィールドを関連付けて、それをlookup出力フィールドに変換するようなイメージです。変換後のイベント名はイベント出力フィールドで指定します。
…| lookup (lookupテーブル名) (lookup入力フィールド1) AS (イベント入力フィールド1) OUTPUTNEW (lookup出力フィールド1) AS (イベント出力フィールド1)
スポンサーリンク