Splunk
Splunkは、リアルタイムデータの監視、レポート作成、分析を可能にし、セキュリティ、IT、ビジネスの運用インテリジェンスを提供するソフトウェアです。
Splunkコネクターの操作
クエリ実行アクション
このアクションを使用すると、WorkatoレシピからSplunkインスタンスでアドホッククエリを実行できます。 このアクションの入力フィールドについて、次のセグメントで説明します。
出力フィールドリスト
すべてのSplunkクエリには想定される応答があります。 WorkatoでSplunkクエリを操作する場合、呼び出される関数の出力スキーマとしてこの応答を定義する必要があります。 定義したこの出力スキーマは、アクションの出力データツリーを構築するために使用されます。 このデータツリーを使用すると、Splunkクエリから返された変数を後続のレシピアクションにマッピングできます。
応答本文入力フィールド
この出力スキーマを定義する方法は2つあります。
- 個別のフィールドを追加する
- サンプルJSONを使用する
1) 個別のフィールドを追加する
+ Add new fieldを選択して、次のスキーマデザイナーウィジェットを表示します。
スキーマデザイナーウィジェット(単一フィールド)
この検索から返される各フィールドのフィールド名とタイプを定義します。 Add fieldを選択して、この新しいフィールドで出力スキーマを更新します。
2. サンプルJSONを使用する
generate from JSON sampleを選択して、次のスキーマデザイナーウィジェットを表示します。
スキーマデザイナーウィジェット(JSON)
クエリのサンプルJSON応答がある場合は、それをウィジェットに貼り付けるだけで出力データツリーを生成できます。 スキーマはWorkatoスキーマ定義構造に自動的に生成されます。 JSONの例は次のとおりです。
{
"category": "sales",
"count": 63,
"percent": 29.71
}検索クエリ
ここに実行するSplunkクエリを指定します。 詳細については、SplunkのSearch Tutorialを参照してください。
最も早い/最も遅い時刻
Splunkに保存されるイベントは、デフォルトフィールド_timeとして、そのタイムスタンプ(イベントが発生した時刻)とともにUNIX時刻表記で保存されます。 検索クエリには通常、タイムスタンプの開始/終了、または指定したタイムスタンプ間のイベントを検索するために、期間earliestまたはlatestが含まれます。
詳細については、SplunkのTime Modifiers Documentationを参照してください。
Last updated: