Splunkの基本的なコンセプトは、ログデータをありのままの状態で検索、分析することができるプラットフォームです。 そのため、不必要にログデータに対してフィルタをかけることはお勧めしません。
しかし、お客様の環境によっては、冗長なログが大量に存在する場合があるのも事実です。
そういった場合には、正規表現やイベントID情報などで、本当に必要なログデータだけをSplunkに取り込むことが可能です。
Splunkはテキストデータならどんなデータでもインデックス、検索することが可能です。
例として以下の様なログデータを収集可能です。
Splunkはデフォルトで50種類以上のログフォーマットに対応し、収集したログデータから必要な箇所だけを容易に抽出できます。
対応ログフォーマットは以下のリンクをご参照下さい。
■List of pretrained source types■
また、独自に開発したアプリ、オリジナルのログフォーマットであっても、Splunkの「フィールド抽出」機能を使えば、必要な箇所だけを抽出することが可能です。
Splunkはスケーラビリティ(拡張性)の高いソフトウェアであり、性能のボトルネックとなる処理に応じて、システムを拡張することが可能です。
