Splunkには時間ベースの独自のデータベースが実装されています。
そのため、導入時に別途データベースをご準備頂く必要はありません。
データを取り込む際、Splunkがログに含まれる時間(タイムスタンプ)をベースに、このデータベースを自動作成します。
また、検索時にはこのデータベースを参照することで、時間を切り口にした検索が可能になります。
要件に合わせて様々なしきい値監視が可能です。以下、一例となります。
・ログサイズ監視
Splunkで1日に取り込むログ量が500MBを超過したらライセンス違反状態とする。
・認証系アプリケーション監視
特定時間帯に5回以上ログイン失敗したユーザーをメールアラートで管理者へ通知する。
検索結果を条件にリアルタイムでのアラート通知を行うことが可能です。
メールでのアラート通知はもちろん、PDFファイル、CSVファイルの添付も可能です。
また、RSS・SNMP・スクリプト実行等にも対応しています。
よく使われる検索コマンドの一例になります。
chart:チャート用に結果を表示
timechart:時系列チャート用に結果を表示
eval:式の計算
top:最も頻出しているフィールド値
rename:特定フィールドの名称を変更
stats:統計値を表示
他、コマンドの詳細については以下のリンクを参照下さい。
■ List of search commands ■
http://docs.splunk.com/Documentation/Splunk/latest/SearchReference/ListOfSearchComm
