Admin Manual-4.0.3 Japanese - Splunk · 2009. 10. 19. · *+,-./’012((((()! 3456789$((((()! =>?@a’345678bcdefgh(((((

"##"!

!

!" !

$%&' ((((( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ) !

*+,-./'012((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((()!

3456789$((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((()!

:; ((((( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( < !

=>?@A'345678BCDEFGH (((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((

345678!IJKL345678!MN7NOJPBQR(((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((S!

TUVWXYUWX?>/((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((S!

Z[\/?]Y^_(((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((`!

345678YCD((((( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( a !

I#7bcdeL345678BCD(((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((a!

fghiL345678BCD(((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((a!

345678!IJKYCD((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((()j!

345678!IJKklm345678!n44e'012 ((((( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( )) !

345678!IJK9$ (((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((())!

n449$o(((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((())!

n44Ypqr (((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((()s!

n44.>tuvwx9y=z{v?Y|}~(((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((()s!

n44y=z{v?Y (((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((()!

GHY' ((((( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ) !

GH((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((()!

345678!MN7NOJP'012 (((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((()a!

GH[U/'012(((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((

"###"!

?>v>?Y((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((S!

I#7bcdeUW?Z>B (((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((sj!

I#7bcdezX?Z>Y(((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((s

IMhZ>Y((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((s`!

.vu=Zv?Y(((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((sa!

[U/XuY^_B(((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((`)!

v>/LB ¡QR (((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((``!

3gM¢UW?B345678'£¤(((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((`¥!

¦X§Xv¨?©pYGH ((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((`¥!

ªU?X?«¬$=TvX?®Y¯¤Z>(((((((((((((((((((((((((((((((((((((((((((((((((((((((((((`a!

>u>°WY±((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((()!

UWZtW9UW?± ((((( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( S !

UW?9$²³ ((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((S!

UWZtWY´µ¶ (((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((S!

V·Wu>°W'lFZ>¸¹Yº»(((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((`!

ªX?[>/¼Y]YGH(((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((`!

p®'ªX?Y]BGH((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((!

UW?Z>'½¾12ªX?Y]BGH(((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((!

UW?'·Z>B¿UÀÁv'ÂÃÄ2F ((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((¥j!

ÅÆÇUW?YUWZvX(((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((¥j!

txTvV?ÈWÉ>¼YGH (((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((¥S!

eJb'lFZ>YÊËÌ (((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((¥S!

345678ÍÎÏÐBÑ>?EF¦XYGH((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((¥s!

UXW¨ ((((( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ¥` !

UXW¨Y´µ¶ (((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((¥`!

UXW¨ÒÓYGH((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((¥!

ÅÆYUXW¨BÔ0UW?YUXW¨ÕÖBGH(((((((((((((((((((((((((((((((((((((((((j!

UXW¨'U×>Wy[V?BØ®(((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((()!

>¦TUÙÚÛ¬UXW¨[\>+?§Ü>ÝÞß©YÒÓ (((((((((((((((((((((((((((((((

345678'UXW¨BÒÓEFlàáâ(((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((

UWZtWãäBº»ÚåFUXW¨ÕÖYæç((((((((((((((((((((((((((((((((((((((((((((((((((((!

è>é>9êÂ'012 (((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((!

è>é>Y9êÂYÂÃÄ2(((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((!

"#ë"!

345678'lFè>é>ÒìYGH(((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((a

íîn¢'lFè>é>ÒìYGH ((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((aS!

345678! L¢nM«¬$ïnîhfÒìBð®EF¬&YGH(((((((((((((((((((((((((((((((((((((((((((((((((((((((((()j)!

ñíhBð®´¬è>é.¦òW?Yóô(((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((()jS!

UWZvXY ((((( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( )j` !

UWZvXY'012 (((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((()j`!

ÅÆUWZvXYGH ((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((()j!

Ñ+>UWZtW'lF>?õöYº» (((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((()j!

ZXvð®÷YøùBGH (((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((()j!

ZXvð®BEFV·Wu>°WYGH (((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((()ja!

ªX?úû>Xúû>XU¨'EF¦XV·Wu>°WYGH((((((((((((((((((((((((())

UWZvXYüD((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((())S!

UWZvXZ>'ýYÝ>u°WBð®(((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((())s!

345678³þUWZvXÚÛ¬Z>Bóô((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((())`!

.T>?YHÿ ((((( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( )) !

.T>?Y´µ¶ (((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((())!

eNëJbeJNP!"Je(!c7#'lF.T>?YGH((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((())a!

Xv¨?.T>?YGH(((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((()3gM¢?T¨B$YXu'£¤ (((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((()

"ë"!

QR>.'EFì?@YAB ((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((()Sa!

[U/Xu'EF^_Y(((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((()sj!

.>¦U=CËYGH ((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((()ss!

DECËUW? ((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((()s!

345678! DFY (((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((()s¥!

[\>ZW9¯¤YGH ((((( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( )`j !

[\>ZW9¯¤'012((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((()`j!

¯¤YGH((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((()`S!

[\>ZWYGH ((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((()`s!

[\>¿9¯¤ªX?9YAL33íDEÌBð®((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((()`!

5D>¼*TWWYGH((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((()j!

TòW¼GWHZ>*TWWYGH ((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((()`!

ÉWuWI'½¾12JÞF|'Z>B/>uW ((((((((((((((((((((((((((((((((((((((((((((((((((((()`!

UW?YKHt->Y/>uW (((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((()!

UW?BKHYUWZvX'/>uW ((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((()¥j!

Z>BÑ>¼Ý>uXu'/>uW(((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((()¥

v>,WÚÛ¬Z>BÅÆY¯¤ªX?'L£((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((()¥s!

eMe5cO«¬$:;;¢[\>+?LYL£((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((()¥`!

$Y345678UWXWXYNO ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( )¥¥ !

ZÜ·W?Ñ>*>'012 ((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((()¥¥!

ZÜ·W?YPQ ((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((()¥¥!

Ñ>*>vTXYHÿ ((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((()¥!

ZÜ·W?vTU.W?YGH ((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((())!

+/wuÀW?RSYNO (((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((()S!

n44eklmGHYNO«¬$_T (((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((()s!

UVQRYGH ((((( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( )` !

UVQR9$²³o((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((()`!

UVQRYGH(((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((()`!

KHY345678Ñ>*BUVQR³þôWEF ((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((()a!

QRz°=Y ((((( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( )aj !

z°=klmz°='012((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((()aj!

345678!IJKLYz°=Y((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((()aj!

"ë#"!

X3LYz°=BEF(((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((()a)!

345678YÉ+W¼TUWUW[{>X§ñíh©Bð®EF ((((( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( ( )aS !

ñíh'012((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((()aS!

ñíhLY/¨34BZF ((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((()as!

GH[U/[WX(((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((()a`!

Nb[c7(!c7# ((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((()a`!

N5JP\]N!\#c7e(!c7# (((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((()a!

N44(!c7# (((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((()aa!

N6b#\(!c7# ((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((N6\"J7\#!N\#c7(!c7#((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((JëJ7\\M4Je(!c7#(((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((

"ë##"!

eJPëJP(!c7# ((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((SjS!

eJPëJP!5Nee(!c7# ((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((Sja!

eJPëJP!5Nee(eJJb(_[5(!c7#(((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((S)S!

ec6P!J"!5Nee###JP(!c7# ((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((S)`!

ec6P!J\M4Je(!c7#(((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((S)!

eMe[c7(!c7#((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((S)!

\NOe(!c7# (((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((S)a!

\J7N7\e(!c7# ((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((S

\PN7e#cP[e(!c7# (((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((S

")"!

!"#$ !

*+,-./'012!

+,-./Yj2 !

*@L$ú345678!Nb[ #7 #e \PN \cPY34klmð®Bk?´«Elm®n5o«¬$$Yè>é>YÑ>GX9

´2345678BGHúpÇúklm·WuÀWXBÇàqrnY¬&Y+,-./LElè>é>YúVt-uY

GHúZ>*v.¨úklmstYBk?´«El !

UW?U¨klmû>XU¨'uEF34$ßvLE³o !

T*>z°WY345678L$úJÞF.¨>wBw®´«´¬l345678Y34xÓByàzÄnY¬&{|'úýY+,

-./BF}´«´¬l~ÄEF$ú34xÓn+,-./Bµ{Ú1lvY+,-./'uEF¶ÞÚ«³

þYaHk´21«El !

345678QR'uEFY/¨B`´21FYLE8 !

QRu$úè>é>+,-./klmQR[WX+,-./Bµ{Ú1lK'úYX?B

k`´Yb'$úQRw>?>?Bµ{Ú1l !

3456789$!

3456789$!

345678$h;QRÈWzWLEl!

• 345678$ú.¨>°WúÑ>*>úklm?>vZ*UX³þ./ULh;Z>BQRkl

mÀG>?EFb'm®1¬{|«El !

• Z>û>X'$úúGHú·V>zú.T>?úXv¨?úÉ>¼ú·?vXÞß8«Û«El!

• 345678L$ú345678!IJKBm®´2ú./UL= h;Z>YQRúÀG>?ú.T>?ú>?8

äLEl!

"LáH´2¡Ev98L1«El

¢ú3456788úè>é>£=9´2CDEFbú/>?9´2¤¥Ylà'CD´«El !

$SPLUNK_HOME/bin/splunk enable boot-start -user bob

XuO¦@'345678YpÇB§¨´¬1b$ú¤¥BpÇ´«E !

$SPLUNK_HOME/bin/splunk disable boot-start

©3¢ífggª]:XMc«J\!«#7#\(b«ïcnîMcúklmÉ+W¼TUW'"J54!Kcc\"e\NP\BpEF9ú_ÞF34Bm®1¬

{|«El!

+vè>éY¬!

345678$ú/System/Library/StartupItems! Zv?'Xv¨?úklmRSGH[U/B5DF}´«El

vYXv¨?$XuCD@'pÇÚÛúXux?¿òW@' 345678B5D§¨´«El !

® MN!YX3Bkð1Ybú.¯/>?/Y~ù§«¬$e6bcYð®©8./LEle6bcYð®'$n.v

VX8./LEl !

!

MN!!X3LXuCD@'345678YCDB}õ'EF¬&'$¤¥Bm®´«El !

ñíhY¶!

./splunk enable boot-start

e6bc9ñíh!

sudo ./splunk enable boot-start

"S"!

!

I#7bcdeLCD@Y=>?Bõ'EF !

Z[\/?L$úI#7bcde+WCD@'34567885D°'CD´«El345678¨VX§345678IJKklm345678b©B

I#7bcdeÑ>GX+>zx>³þqDLCDEFlàGHL1«El !

345678!IJKL345678!MN7NOJPBQR!

345678!IJKL345678!MN7NOJPBQR!

345678!IJK$ú345678±FY²9ißBEF³mÞUW[{>Xú B´21«El'.vVXEF

'$ú345678!IJKY´»µ'¶FWvBµ{Ú1l !

·hg3cï;!¸ïn¢:hñ!:cïc¹!

Bð2345678BGHklmºÔEF'012 ´µk?´«El !

TUVWXYUWX?>/!

TUVWXYUWX?>/!

»&2345678B¿òW>¼EF9ú¼½EFlà¾&þÛ«El !

¼½EF9ú)¿'ÀÁ`jjMÂYUWZvXBm®1¬{|FÈW>¨TUÙÃYÄÅ®TUVWX §j¿A}õ©

BhZ´«ElvYTUVWX$¿òW>¼')Æ´21«El !

® 345678!s(jYÇÈÉTUVWX$¶Ã«åilÈTUVWX$ÊËY>XLm®1¬{|FÌHLEl!

ÈW>¨TUÙTUVWXL$ú¤¥YÍäBm®1¬{|«E !

• ÅÆè>é>.¦òW?klm.vVXøÎ!

• UVQRklmZ>/>uW !

• Z¨U·W?!

Ï/ %ÈW>¨TUÙTUVWX$ÅÆYÑ>*>Lð®L1«åil 345678YTUVWX§È«¬$ÈW>

¨TUÙ©'uÐÞµúÑUWXWX9 §[\>>¿>BÒ©'Ó}YTUVWX8./LElvÛ'$úÅÆY[

\>>ZWUWXWX'UWX?>/äÞú)¿)MÂY[\>>¼yW>TUVWX$WLEl !

TUVWXÃY.vVX !

ÈTUVWX(splunk-free.license)«¬$ÈW>¨TUÙTUVWX(splunk.license)'uÐÞµú=2Y

SplunkÑ>*>YTUVWX8ú$SPLUNK_HOME/etc/'+,ÚÛ«El

"s"!

!

345678TUVWXY !

[email protected];EQ/GQXW/J7u9VLJShPsW4m8yi+5a+geRrof4Bep70j32xsBpq

JItM5pdntRfl4auply366BAjTMnfTB6JyzJOZLplyBQijk02fQjgKjakl0ol4N5G6Wr

09ufnSe3iOXVAay24hzFfgDkaijOnkoGOPJqnHaVzaWC9dxIuKUvDPt3UcKTkDv0Gka

Q4EZxAvZKAFImvOF4PmDoNaMiBgLLkWibGhezFTTDh10PLl9kyeVThGzAyN23J512pVM

3xqNIg3pFcd2aJf31xspt1HRdSwofkfnuCVpzildy3qMbae4g85KpCfND+aJ6z2LoUu3

RQ4OV4SpxMXEZ4PgSGZ6dwA==

T´1TUVWX$ßvLE³o !

T´1TUVWXB/¾EF9ú345678³þJ·>/LTUVWXBhZL1«El«¬úYT´1TUVWX$ú

e45678(!c[YMM!XPbJPe§®Î©Ô>z³þ.vVXL1«ElT´1TUVWXBUWX?>/EF §«¬$Õ,YTUV

WXY^_klm_TBÇà©'$úÕ,YTUVWXBT´1TUVWX'ÃÖ¢«El !

345678!IJKY! × ! TUVWXÔ>z«¬$úñíhLTUVWXYUWX?>/klm_T8äLEl !

345678!IJK³þUWX?>/!

345678!IJKBð®´2TUVWXYUWX?>/«¬$_TBÇà'$ú!

)( 345678BCD´úÑ>?ÚÛ21F=TòéL345678!IJKBO1«El!

¼Y´»µ'¶FBvv´«E!

S( TUVWXBvv´«El!

!"#$%&$'(')&*+$Ô>z$úTUVWX/ú>>vð®÷úklmTUVWXØÙBÚâ´«El !

)( TUVWXY^_Bvv´«El!

TUVWXY^_Ô>z8O1úÕ,YTUVWXt>ú«¬$ e45678(5#!J7eJ[U/BÚâ´«El !

BÉ>>´2úÕ,YTUVWX'ÛÃ)| §»@1©´«El!

S( +,Bvv´«El !

s( 345678Ñ>*>BÜCD´2T´1TUVWXBØ®´«El !

® 345678!IJK³þÑ>*>BÜCDL1«El! × ! Ñ>*>ÉW?>/ Ô>zLú345678ÜCDBv

v´«El!

ñíh³þUWX?>/!

ñíhBð®´2TUVWXBUWX?>/«¬$_TEF'$ú!

)( e45678(5#!J7eJ91à[U/ËL[U/BF}´«El !

BÉ>>´2ú e45678(5#!J7eJ[U/j'ÛÃ)|«El !

S( TUVWX[U/e45678(5#!J7eJBú©3¢ífgª]:XMc«J\!«Zv?'üD´«El!

mv splunk.license $SPLUNK_HOME/etc/

"`"!

® vYZv?'Õ'e45678(5#!J7eJ[U/8,ÝEFb$ú[ë'lÃpÇYÞÒÞ´'[U/B»@1

´«ElvY91úÈTUVWXe45678"#PJJ(5#!J7eJ$»@1ÚÛ«åil¬{´úe45678(5#!J7eJ!8,ÝEFbúZ

[\/?L345678$ÈTUVWXB´«El!

)( 345678Ñ>*>BÜCD´2úT´1TUVWXBØ®´«El !

$SPLUNK_HOME/bin/splunk restart

T´1ÄÅ®«¬$ÈW>¨TUÙTUVWXBØ®´¬ßYÀ»YUW !

T´1ÄÅTUVWX«¬$ÈW>¨TUÙTUVWXBØ®´¬ßYÀ»YUWL$úZ[\/?è>é>Ë

àNb[#7áúklmÝX>¼à!"N7OJ[JáBð®´«ElßLè>é>Z>Bâã §V?©EF9úè>é>Ë9

ÝX>¼$vYZ[\/?'V?ÚÛ«El !

TUVWXØÙ !

TUVWXLäÚÛFUWZvXÀÁ2÷Bå¢F9ØÙ9ÞÃ«Elæ»Y)¿LTUVWXLäÚÛF)¿Yä

2÷Bå¢F9úØÙçèB¯|«ElY·V>z$éê¿AÔë´«Elìí¿îïLØÙÆ8 ¥Bå¢F9ú

QR8L1ÞµÞÃ«ElÛ¤Yìí¿AYØÙÆ8ð0¤¥ú«¬$lÃÁ1Þ2÷øùBÔ0T´1TUVWX

BØ®´¬b'úQRä8ÜmL1Flà'ÞÃ«El !

® TUVWXØÙïAñL345678$Z>YUWZvXB§¨´«åilTUVWXYä2÷Bå¢¬b'.

vVXB=vEFY¶LEl!

Z[\/?]Y^_!

Z[\/?]Y^_!

RS'bå2345678YGHB¦&F'ú¤¥YZ[\/?GHYñ'^_EFò8Þ1³ÞÒµ{Ú1l !

Z[\/?YnÝX>¼Y^_ !

ÈW>¨TUÙÃ345678'$úZ[\/?Yn.¦òW?9ÝX>¼8¶Ã«El345678L$úYZ[\/?

GHB^_EFv9Bóµkô&´«ElvÛ$ú 345678Yñíh«¬$345678!IJKL^_äLEl!

345678!IJKYb !

• 345678!IJK'Nb[#7è>é>9´2UW´«El!

• Qõ´»YBvv´«El!

• è>é>Bvv´«E!

• nè>é>Bvv´«E!

• ÝX>¼B_T´2ú+,Bvv´«El!

""!

!

345678!ñíhYb !

ÊY345678!ñíhÉ+W¼Bð1«El!

# splunk edit user

® ^_Y'Õ,YÝX>¼LÒìBÇà./8¶Ã«El ñíh³þ345678'UWEFú«¬$"authÝT·

>Bð®´2µ{Ú1l!

!

# splunk edit user admin -password foo -roles administrator -auth

admin:changeme

vYÉ+W¼LúnÝX>¼Bú #,*%+$-$³þ.//'^_´«El!

?>v>?Y^_!

345678$ö0Y>?Bð®´«ElÊY>?8Z[\/?GHÚÛ21«El !

• jjj!÷!345678!IJK®:;;¢«¬$:;;¢3û?l!

• ja!÷!345678b>?l&012%34Z>øW9Yù¤'ð®´«El345678!IJK$úúÉ+W¼TUWUW[

{>XúY$YÑ>*>³þYUVûë9'vY>? L&012%349ù¤´«El !

® UWX?>/@'vÛþY>?B^_L1«El !

345678!IJKYb !

• Nb[#7è>é>L345678!IJK'UW´«El!


• XuÉW[ü->°W=Bvv´«El !

• XuGHBvv´«El!

• ò{=>?Y]B^_´ú+,Bvv´«El!

345678!ñíhYb !

345678!ñíhL>?GHB^_EF'$úñíhÉ+W¼eJ\Bð®´«El!

# splunk set web-port 9000

vYÉ+W¼$ú345678!IJK>?Bajjj'GH´«El!

# splunk set splunkd-port 9089

vYÉ+W¼$úe45678b>?Baja'GH´«El!

"¥"!

!

Z[\/?Y345678Ñ>*>ËY^_ !

345678Ñ>*>ËYGH$ú345678!IJK'ÚâÚÛFËúklmUVGHLY$Y345678!3JPëJPe'£¤´¬ËY

ýBøÎ´«El !

Z[\/?Ë$ú345678Ñ>*>ªX?Yîg3«¬$h¢.¼X³þhZ´21«El !

345678!IJKYb !




• XuGHBvv´«El!

• 345678Ñ>*>ËY]B^_´ú+,Bvv´«El!

345678!ñíhYb !

ñíhLÑ>*>ËB^_EF'$ú¤¥Bp´«El !

# splunk set servername foo

vYÉ+W¼$úÑ>*>ËB #cc'GH´«El!

Z>+,þÿY^_ !

Z>+,$ú345678Ñ>*>8=2YUWZvXZ>úè>é.¦òW?úFs[U/B+,EF?¨/

Zv?LEl!

® vYZv?B^_EF9úÑ>*>$ú!1Z>+,[U/BüD´«åil"Ã'úT´1þÿL

T¬'¦&«El !

Z>B$YZv?'üDEF'$úUWZvXYüD'¶Fk?'#2µ{Ú1l !

345678!IJKYb !




• XuGHBvv´«El!

• UWZvXYÝXYÝXB^_´ú+,Bvv´«El!

345678!ñíhYb !


# splunk set datastore-dir /var/splunk/

""!

vYÉ+W¼$úZ>+,Zv?Bú /var/splunk/'GH´«El!

ZXvYÀ$012÷YGH !

ZXvYÀ$012÷GH$ú345678LUWZvXB§¨EF'Z>+,þÿYZXv012÷8ßv«L%

ÞµEF³BøÎ´«El!

012÷8Á1µÞF9ú345678$UWZvXBÜO´«El!

345678!IJKYb !




• XuGHBvv´«El!

• UWZvXB@§¨EF012÷Y¥ù !Y]B^_´ú+,Bvv´«El!

345678!ñíhYb !


# splunk set minfreemb 2000

vYÉ+W¼$úÀ$012÷B

"a"!

345678'() !

I#7bcdeL345678BCD!

I#7bcdeL345678BCD!

WindowsL$úSplunk$úZ[\/?LúC:&Program Files&Splunk'UWX?>/ÚÛ«ElSplunkuYÎ

@''ÚÛF(µYL$ú$SPLUNK_HOMEBSplunk*)«¬$ª>Zv?9´2â´21«ElSplunkBZ

[\/?Zv?'UWX?>/EFb$úÎ*+$SPLUNK_HOMEBC:¥Program Files¥Splunk'ÿ1,¢F

v98L1«El

WindowsÑ>GX+zx³þ¤¥Y345678¨VXBO¦H§¨´«El !

• Ñ>*>Z>øW splunkd

• ò{=UW[{>X splunkweb

«¬úO¦«¬$§¨ú«¬$ýY¨VXB@'pÇEF'$ú ¥Program Files¥Splunk¥bin'üD´2ú¤

¥Bp´«El

# splunk [start|stop|restart]

fghiL345678BCD!

fghiL345678BCD!

*-L$345678YCD'012./Þk?B´«El345678B»&2kð1'ÞF$úè>é>+,-./Br'0¶

µ{Ú1l!

345678YCD!

3465678Ñ>*>ªX?»Y{/¨W¨?³þúÊYÉ+W¼BpÇ´«El !

# splunk start

vÛ'lÃúsplunkd(UWZvX+WklmY$Y*vÈW¼± )klmsplunkweb (Splunk WebYUW

[{>X)YýBCD´«El1ý'CDEF'$ú¤¥BpÇ´«El

«¬$ú!

# splunk start splunkd

® e\NP\dJKeJPëJP8údJK(!c7#'GHÚÛ21Fb$úqDL345678dJKBCDEF9úYGH8õ'ÞÃ«

åilRSGH[U/Lõ'Þ21F9úCD´«åil !

345678§e45678b«¬$e45678dJK©BÜCDEF'$ú¤¥Bp´«El !

# splunk restart

# splunk restart splunkd

")j"!

# splunk restart splunkweb

345678Y§¨ !

345678Bx?¿òWEF'$ú¤¥YÉ+W¼BpÇ´«El !

# splunk stop

e45678bklm345678!IJKB1ý'§¨EF'$ú¤¥Bp´«El !

# splunk stop splunkd

«¬$ú!

# splunk stop splunk web

345678YpÇ23BÞÒEF !

3456788pÇñ³ßà³BÞÒEF'$úÑ>*>ªX?Y{/¨W¨?L¤¥YÉ+W¼Bp´«El !

# splunk status

ÊYÖ8ÚâÚÛ«El !

splunkd is running (PID: 3162).

splunk helpers are running (PIDs: 3164).

splunkweb is running (PID: 3216).

«¬$ú4eBð®´2úpÇñY 345678¨VXBÞÒ´«El !

# ps aux | grep splunk | grep -v grep

3c5NP#eè>é>$úN6_Y"Ã'"J#9p´«El!

# ps -ef | grep splunk | grep -v grep

345678!IJKYCD!

345678!IJKYCD!

¤¥'üD´«El !

http://mysplunkhost:8000

UWX?>/L45´¬ªX?klm>?Bð®´«El !

ÈW>¨TUÙTUVWXL345678'»&2UWEF91'$úè>é>Ë §*4-"%©klmÝX>¼§#,*%+$-$©

Bð®´«ElÈTUVWXY345678'$ú.vVXøÎ8¶Ã«åil !

"))"!

345678!IJK*+,345678!n44e$-./ !

345678!IJK9$!

345678!IJK9$!

345678!IJK$ú345678Y¿UÀÁvLUWTvu=ÞT[¦/Hè>éHUW[{>X6¸fh7LElIJK

=TòéBð®´2.vVXEF345678!IJK$ú8æú9:4èúklm)0«¬$ÅÆY345678Z¨U·W?Y

'ð®EF;/ÞUW[{>XLElÑ>?ÚÛ21FyÔ>uWXuklm=TòéY$úD

FRSBµ{Ú1l !

345678!IJKBCDEF'$ú¤¥'üD´«El !

http://:8000

UWX?>/L45´¬ªX?9>?Bð®´«ElZ[\/?>?$jjjLEl¬{´úvY>?BÕ'ð®´

21Fb'$úUWX?>T8ýY>?B4¨TUÙTUVWXL345678'»&2UWEF91'$úè>éË§*4-"%©klmÝX>¼§#,*%+$-$©B

ð®´«ElÈTUVWXY345678L$ú.vVXøÎ«¬$úÅÆè>é>.¦òW?BÑ>?´21«åil !

íN67!"JP!

»&2345678!IJKBCDEF9úíN67!"JP8ÚâÚÛ«ElvvLè>é>$=Ým®äÞ.¨>°WYX

?³þ)0Yn44B45L1«ElK'úÇ¸J\\#7O!3\NP\JbÉn44B>EbúpÇ´21FX3'l2úI#7bcde«¬$

fghi®Yn448ÚâÚÛ«El«¬ú345678!n44!3\cPJ\cL$úÚþ'ýYn44B=TòÙklm¿òW>¼EFv

98L1«El !

n44e'012 ´µk?´«El !

n449$o!

n449$o!

345678!n44$ú)0«¬$ÅÆYUW?U¨'EFHÿúQRúklm+,?¶QRB@&¬/AÞY³þú345678

YWBBC='ÜGHEFT´1G->ú¿-£>¼BÒYÞßúÚþ'$ú 345678Yïc3;!n¢hBð®´¬C

='T´1¨TYlàÞÅDÞY«LÚ«E«LEl !

345678Bð®EFv9$úF'.¨>°WBð®EFv9LElY23BùFú n44Çð®ñÉ9Gm«El!

n44Y®H$!

n44Bðà9ú)0Y345678UWXWX»'JÞFRSBÍIL1«ElJKYñLúJÞF345678è>é>YÉÁ-,

u®UW[{>Xú¢úc·>/Ñ>*>Y?T=/->uW®úIJKUÐ®Þß8F}L1«Elvà

EFv9'lÃúEL2Yè>é>8%345678UWXWXBð®´Þ8þúÑè>é>YuMY¶FUN'uÐ´¬

Z>Y¶BOL1«El !

")/ÚÛ

21F.¨>°WYBÚâ´«ElZ[\/?Y.¨>°WY)0$ú¸J\\#7O!3\NP\Jb!n44LElvY.

¨>°W$TPè>é>'345678YÍäBQREF¬&'OSÚÛ21«El 345678»MnY$úTUvY.¨

>°WBm®µ{Ú1l«¬úaÞßE1«´¬þkVåµ{Ú1l !

!

íN67!"JPBWËEF !

345678YUWLíN67!"JPBÚâ´¬µÞ1b$úÑè>é>ý'Z[\/?.¨>°WBCDEFlà'

GHB^_L1«E!

• ¤¥Yè>é>®>¦/Zv?' user-prefs.conf91àËY[U/BF}´«El !

etc/users//user-prefs/local/user-prefs.conf

• 6eJP"4PJ#e(!c7#[U/'¤¥YTUWBp´«El !

default_namespace = search

!

• Nb[#7è>é>Y[U/$¤¥Y9kÃLEl !

etc/users/admin/user-prefs/local/user-prefs.conf

• \Je\è>é>Y[U/$¤¥Y9kÃLEl !

etc/users/test/user-prefs/local/user-prefs.conf

")S"!

Y$YZ[\/?GH'012 !

345678'$úZ[\/?LQR.¨>°W§3JNP!"!n44©klmX3BÑ>?EF.¨>°W8X;ÚÛ21

«El!

• 3JNP!"!n44$ú345678YÉ.ÍäBEFUW[{>XLú(ò°ð®L1FlàGPÚÛ21«ElvÛ

«L'345678Bkð11¬{1¬$ú3JNP!"!n44¤Y*>z°WY345678!IJKY·UWÍä9%9kY

¢µ{Ú1l3JNP!"!n44L$úQR*>9T[B(µðà¿-£>¼8ÚâÚÛ«El 3JNP!"!n44Bð

®ñúòW¼òZ»YîNe"KcNPb! klm! [ #Jde¼¨¿òW·,->³þT´µ45EF9ú¿-

£>¼«¬$G->B^_L1«El !

• X3®Yn44§I#7bcde®345678«¬$\ghi®345678©$úð®Y¨T?[\>L345678BÀÁù]®L1F

là'EF¿-£>¼klm¨G/¼QRB´«ElvÛþ$úZ[\/?Lõ'ÚÛ21«E8ú

345678!MN7NOJPYn44eVv°W³þ}õ'EFv98L1«El !

ð®EFn44B^_EFb'$úZ»Yn44¼¨¿òW·,->³þT´1YB45´«El !

!

íN67!"JP'^2³þýYn44B45EFv9L1«El !

$Yn44Bpq!

íN67!"JP«¬$n44e·,->Yn44'úýYn44BL1«El¢úZ>±FFsYÁ_U8úú ¢ñh

ÉW¨TU.WXY^_Þß'uEFstB`àbú345678'$ú®Yn448¶Ã«El!

¿òW>¼äÞn44Ba0|F'$úíN67!"JPYÂPcdeJ!McPJ!n44e=Bvv´«El!

n44uY345678!87cd5JbOJY+,9a} !

345678! Àz$ú+,?¶QRúUW?U¨úÞßY 345678Z>YbcB%&ú./Þ34YQRB./

'EFYLEl345678L$úvÛþYÀzò$y=z{v?9GÛ21«El !

345678!IJK'UW´¬EL2Yè>é>8úð®´21Fn44Y*dYè>é>Zv?'vÛþYy=z{v

?BF}klm+,L1«E§è>é>'eeÞ~ù8¶Fv98 ©l!

è>é>'eeÞ~ù8¶Fv9B'úè>é>8n44®'y=z{v?B+,EF9ú!¤¥Y1¯Û³Y±B´

Þ1ùÃY[U/$Yè>é>8 n44Bð®´21FAY¶m®äLEl !

• %n44Lúy=z{v?B$YKHYêÂ«¬$è>é9a}EF !

• ~ÄEFn44Y.vVX~8¶FEL2Yè>é>8m®L1Flày=z{v?Bm®ä'EF !

")s"!

• EL2Yn44§klmè>é>©8m®L1Flà'y=z{v?Bm®ä'EF !

*@Yn44.>tuvwxklmy=z{v?|}~'012k0¶µ{Ú1l !

n44Ypqr!

n44Ypqr!

T´1n44$n45678(!c[³þpqL1«El«¬ú345678(!c[LpqäÞEL2Yn44$íN67!"JP'ÚâÚÛF¬&ú

345678³þfûn44B¿òW>¼klmUWX?>/L1«El!

345678!IJK'UWEF9ún44!íN67!"JP8Z[\/?LÚâÚÛ«ElvÛ8^_ÚÛ21Fb$ú 3456788

EFEL2Yn44Y·UWÔ>zY´»'¶Fn44·,->³þíN67!"JP'^Fv98L1«El !

UW>?'ûë´21Fb !

345678Ñ>*>«¬$vTU.W?+W8úUW>?'ûëÚÛ21Fb$ú345678YíN67!"JP³þn44Bf

û¿òW>¼L1«El !

)( íN67!"JPYÂPcdeJ!n44e=Bvv´«El345678!n44!3\cPJ'ûë´úvY*>z°WY345678Lm®ä

Þ$Yn44BQRklm¿òW>¼L1«El!

/BEFb'$ú îcd75cNb!n44B45´«

El!

S( 345678(!c[Yè>é>ËklmÝX>¼LUWEFlàiÚÛ«E§vÛ$ú345678Yè>é>ËklmÝX

>¼L$¶Ã«åi©l!

s( vÛLn44YUWX?>/8Cj´«Eln44'IJK!¸fhÉW>W?8«Û21Fb §n44'l2$UW

?U¨HÿYlàÞÀzy=z{v?Y¶LÍ}ÚÛ21FY8¶F ©úíN67!"JP³þn44BklL1«El!

UW>?'ûë´21Þ1b !

345678Ñ>*>úvTU.W?'UW>?ûë8Þ1b'$ú 345678ÂNeJ³þn44B¿òW>¼´2úÑ>*

>'É>>EF./8¶Ã«El !

)( UW>?'ûëÚÛ21FÉW>->Bð1ú 345678!n44!3\cPJLghEFn44BQR´«El!

¼´«El!

S( vYn44B345678Ñ>*>'É>>´«El !

s( n44Bú©3¢ífgª]:XMcmJ\!mN44eZv?'np´«El !

`( n44BÏo´«E§"_ë#ÏoBpÇEFú«¬$\NPklm67O^#4[U/BÏoEFI>/Bð®EF©l345678!n44$ú

\NPklmO^#4L¸¹ÚÛ21«E8ú(3¢íYpqrLElI>/8óø°'vYpqrBÒÓEFlàGH´Þ|Û

1|Þ1b8¶Ã«El !

( n44Yj2'l2$ú345678BÜCDÚåF./8¶Ã«El !

¥( vÛLn44$UWX?>/8Cj´úíN67!"JP³þm®L1«E§IJK!¸fhÉW>W?BÒb©l!

n44.>tuvwx9y=z{v?Y|}~!

")`"!

345678! Àz$úùF345678ÀzLÍ}ÚÛ21«El345678Àz9$ú+,?¶QRúUW?U¨ú

Þßú345678Z>YbcB%&ú./Þ34YQRB./'EF¬&YYLEl345678L$úvÛþYÀz

òBy=z{v?9GiL1«El !

345678!IJK'UW´¬EL2Yè>é>8úð®´21Fn44Yè>é>Zv?'vÛþYy=z{v?BF

}klm+,L1«E§è>é>'eeÞ~ù8¶Fv98 ©lvÛ$Z[\/?YDFLúè>é>8y=z{v?

B+,EF9F'Yn44Yè>é>Zv?Bð®´«Elè>é>Zv?$ú

$Splunk_HOME/ect/users///local'¶Ã«Elè>é>'eeÞ~ù8¶Fv9B

'úè>é>8KHYn44®'y=z{v?B+,EF9ú¤¥Y1¯Û³Y±B´Þ1ùÃú+,ÚÛ¬y=z{

v?$úYè>é>8~Än44Bð®´21FAY¶m®äLEl !

• ~Än44Y.vVX~8¶FEL2Yè>é>8m®L1Flày=z{v?Bm®ä'EF !

• y=z{v?BKHYêÂ«¬$è>é>'ùHEF §~Än44YÉWutX?stj©!

• EL2Yn44§klmè>é>©8m®L1Fy=z{v?BáHEF §êÂ«¬$è>é>LøùEFb$ô

µ©!

345678! ÀzYm®9a} !

è>é>$ú¢JP[#ee#c7e¿U.Bð2$Yè>é>9345678! Àzy=z{v?Ba}L1«El0«Ãún44

Y0¶u¶~ùBÔ0è>é>$úa}y=z{v?YO9ð®8ä'ÞÃ«El¢úè>é>8+,?¶QR

Ba}EFbú$Yè>é>$úYQRBpÇ´¬n44Bð®EFb'ùÃ+,?¶QRBOL1«El0«Ãú

n44!v#5N7bNL+,?¶QRBF}´2a}´¬bún44!v#5N7bNBðà$Yè>é>L0¶u¶~ùBÔ0è>é>8ú

Y+,?¶QRBOL1«El !

_Yè>é>'$úy=z{v?B n44/Lm®ä'EF~ù8¶Ã«El0«Ãúy=z{v?$úYè>

é>YZv?³þYn44Zv?'É>>ÚÛ«El !

É>>w!

$SPLUNK_HOME/etc/users///local/

É>>r!

$SPLUNK_HOME/etc/apps//local/

vY±F$ún44Y@1u¶~ùBÔ0è>é>Y¶8pÇäLEl !

345678! ÀzBxLð¢Flà'EF !

À°'úè>é>$y=z{v?B>*/Þm®ú0«ÃEL2Yn44LOä'EF³ßà³ByHL1«El

vYbúè>é>'$wYn44'@1u¶L1F~ù8./LEl !

Ø®ÚÛFy=z{v?!

vYbYy=z{v?$ú.vVXøÎ'uFy=z{v?'øùÚÛ«ElvÛþYy=z{v?$ú n44/

y=z{v?9GÛú345678!MN7NOJPYn44!ñc7 # #O6PN \ #c7=LGHL1«ElvYÔ>z$úF}klma}

")"!

´¬y=z{v?BEFEL2Yè>é8m®äLEl !

«ÛFy=z{v?!

• +,?¶QRklm>?!

• UW?U¨!

• G->klm¿-£>¼ !

• [>/¼YÕÖ!

Xu/Yy=z{v?$úL´«ElvÛ$ún~ù§«¬$úy=z{v?'´20¶u¶«@

1u¶~ùY¶Fè>é>©Y¶Fè>é>8Ç¢«El !

«ÛFy=z{v?!

• è>é!

• êÂ!

• Òì!

• UVQR!

• p!

• Ö!

• Z¨U·W?!

• TUVWX!

• Ñ>*>GH§ ªX?Ëú>?©!

Ï/ pB´¬bú345678$Y@ð®´21F n44'zEF #746 \e(!c7 #YÉ>>'YpB´

«El0«Ãú345678!MN7NOJP'ÀG>?´¬búp$úíN67!"JP³þfûú¤¥'ÚÛ«El !

$SPLUNK_HOME/ect/apps/launcher/local/inputs.cof.

n44YGH9ÀzY{r|þ !

345678'ÀzBEF9úY@'ð®´21Fn44YÉWutX?'ÚÛ«El3456788GHklmÀ

zBÄÅEF91úKHY{r|þ'#2ÄÅBÇ1úÉWutX?'´2ð®EFÀzHÿklmGHBøÎ

L1«El3456788ð®EFGH[U/klm{r|þ'012Y ´134$úàGH[U/'012áBµ

{Ú1l!

n44y=z{v?Y!

n44y=z{v?Y!

345678è>é>8n44BF}EF9úYn44BÍ}EFy=z{v?YÉv°W8F}ÚÛ«ElvÛþYy=z

{v?'$úG->úÉ+W¼úÀG>°WòúUW?U¨ú+,?¶QRú>?ÞßB¶«ElÑy

=z{v?'$úOklm^_äÞè>é>ByHEFä8¶Ã«ElZ[\/?L$únè>é>'ú345678

XuYEL2Yy=z{v?B^_L1F~ù8}¢þÛ21«El !

• n44Y~/$ú*@YÇn449$ÉBµ{Ú1l!

")¥"!

• n44~ù'012Y ´134$ú*@YÇn44.>tuvwx9y=z{v?Y|}~ÉBµ{Ú1l!

• 5Yn44BF}EF'012$úZÝ>+,-./Bµ{Ú1l !

MN7NOJP'lFn44y=z{v?Y!

Xu'¶FEL2Yn44y=z{v?BOklmøÎEF'$ú345678!IJKY345678!MN7NOJPBð®´«El!

• 3cP \ #7O!NPPcdeBð®´2úEL2YÔ>zYy=z{v?BOklm±F´«El !

• G->B[/W´2úKHYè>é>8|}EF n44ú«¬$n44ÉWutX?*>Bð®´2KH

YÎ*+BÒKHYn44Yy=z{v?Y¶BO´«El !

!

n44y=z{v?YO !

MN7NOJPBð®´2ú345678Z¨U·W?Ln44y=z{v?BOEF'$¤¥YBð1«El !

• Xu»YEL2Yn44YEL2Yy=z{v?B&'OEF ! × ! EL2YGH !

• EL2Y+,?¶QRklm>?y=z{v?BOEF ! × !+,?¶QR9>? !

• EL2YUW?U¨BOEF ! × ! UW?U¨!

• EL2Y[>/¼ÕÖBOEF ! × ! [>/¼ÕÖ!

• EL2Y¢M\"c7QRÉ+W¼Xv¨?BOEF ú! × ! QRÉ+W¼!

® QRÉ+W¼Ô>zYÑQRÉ+W¼'012Y34$úQR[WXBµ{Ú1l !

")"!

01'2$ !

GH!

GH!

345678$¤¥YLGHL1«El !

• GH[U/B@EF!

• 345678!IJKY345678!MN7NOJPBð®EF!

• 345678!ñíhBð®EF!

vYS0Y$ú¤¥'k?EFGH[U/Yj2BÀ°'^_´«El !

GH[U/!

345678YGH34Y(µ$ú(!c7#[U/'+,ÚÛ21«ElvÛþY[U/$ú /etc/systemY¥'¶F345678

UWX?>/Zv?§ùFúk?@L$$SPLUNK_HOMEBáE©'+ÚÛ21«El:YutX?ÈZBð

®´2úvÛþY[U/B^_L1«ElGH[U/Y@B¦&F'úàGH[U/'012á9GÛF?>

vYj2Bk0¶µ{Ú1l !

345678!MN7NOJP!

ùFYGHXvY(µ$ú 345678'X;ÚÛ21FIJK!fhú345678!IJKY345678!MN7NOJP³þÇàv98L1«El

345678!IJK$úZ[\/?LúUWX?>/ÚÛ¬ªX?Y>?jjj»LpÇ´«El !

• >¦/+WL345678BpÇ´21Fbú345678!IJK'.vVXEFfïí$ú"\\4d««5c!N5"ce\djjj!

• ýY+WL345678BpÇ´21Fbú345678!IJK'.vVXEFfïí$ú"\\4d««"ce\7N[J×djjj!

"ceJ7N[J×'$345678BpÇ´21F+WYËBpÛ«El !

345678!MN7NOJP'.vVXEF'$ú345678!IJK'UW´2ú´»YBvv´«El!

345678!ñíh!

ñíhBð2(µYGHy¨°W8m®L1«ElvÛþYy¨°W'012$úk?@YÑ?>vB´2µ

{Ú1l«¬ú"J54É+W¼Bð®´2úC=ÞñíhY/¨[WXBpqL1«El345678pÇñ'ú¤¥BÉ+W

¼TUW'p´2úZ[\/?YñíhY/¨Ô>z'.vVX´«El !

./splunk help

ñíh'012Y ¡$ú*@Yàñíh'012áBµ{Ú1l !

GH^_ßYÜCD !

(µYGH[U/Y^_'$ú345678YÜCD8./LElGH[U/klmk?@Y?>vBa2ú^_'

345678YÜCD8./³ßà³ÞÒ´2µ{Ú1l !

")a"!

MN7NOJPL^_EF9úÜCD8./³ßà³kxþå´«El !

¤¥Y^_$ú}õ'ÞF'«¬$JÞF.v °W8./LEl !

! Transforms.confYGH^_B}õ'EF'$úSplunk WebL¤¥YQRBp´«El!

|extract reload= ]

• 345678!IJKY! × ! ÒìVv°W³þauthentication.confB*òWX´«El!

345678!MN7NOJP'012!

345678!MN7NOJP'012!

345678!IJKL345678BGHEFy¨°W$345678!MN7NOJP'X;ÚÛ21«El345678!MN7NOJP'.vVXEF'$ú

345678!IJK'UW´2ú´»YBvv´«El!

!

n~ùBÔ0è>é>$úMN7NOJPY=È.'.vVXL1«El !

XuGH!

XuGHYÈ.L$ú¤¥B´«El !

• XuGH \345678!IJK>?úªX?ËúUWZvXÝXBÒ345678UWXWX'uEFGH

B´«El!

• Ñ>*> 345678BÜCD´«El !

• TUVWX TUVWXYð®PBO´úT´1TUVWXBØ®´«El !

• UVQR ÅÆY345678UWXWXBù´2UVQRBGH´«El!

• XuüW 345678YÖYæçB´«El!

• ·>/.T>?YGH ·>/Ñ>*>ú[\>+?ÞßY·>/.T>?YGHBáH´«El !

• UWZvX T´1UWZvXBF}´úUWZvXÑUÙYGHB´«El !

• Z>p Xv¨?ú[U/úZv?úklm?>v>?³þ345678Z>B´«

El!

• L£9¯¤ Z>B£¤ú¯¤EF¬&'ªX?BGH´«El !

• Òì ÒìBáH´«E§345678ú«¬$íîn¢©(!

• è>é> ÝX>¼ú·>/.¼XÞßYè>éGHB´«El!

• êÂ êÂYúÑ~ùGHúQR@YøùYGHB´«El !

n449Àz!

• n44 UWX?>/?¶Yn44Y~ùB@´«ElT´1n44YF}ú«¬$ÉÁ-,u8F}´¬ n44Y

345678KNeJBO´«El !

"XYQRÉ+W¼Y~ùBGH´«El!

• =2YGH =2Yn44YGHBO´«El !

GH[U/'012!

GH[U/'012!

345678YGH[U/Y34$ú(conf[U/'+,ÚÛ21«ElvÛþY[U/$ú /etc/systemY¥'¶F

SplunkUWX?>/Zv?(ùFúk?@L$$SPLUNK_HOME9´2?')'¶Ã«El¤¥$ú

$SPLUNK_HOME/etc/systemY¥',ÝEFuZv?ÍLEl

• $SPLUNK_HOME/etc/system/default

! ¶þ³%&GHÚÛ¬GH[U/B¶«ElZ[\/?Y[U/$^_ ´Þ1Lµ{Ú1l!

• $SPLUNK_HOME/etc/system/local

! default«YGHY»@1BÒúEL2Y¦X@BÇ1«El !

• $SPLUNK_HOME/etc/system/README

! Ñ>?ÈlvYZv?'$úè>é>F}YGH[U/BF }EF91'EFÑW¨/k

lmGH[U/B¶«El²9ißYGH[U/®'ú(e4J!9(J_N[45J! Y

"Y!

4Pc4e(!c7#! U×>Wy[V?klm¦Xû>XU¨/>/BÒúUWZvX¨Ý

uGHYGHlUW?¨Ýu^,Y+>Wl !

46Ke6K(!c7#! ZÜ·W?Ñ>*>Y¦XvTU.W?YHÿ !

PJO[c7##5\JPe(!c7#! òW¼òÙzX?>®Y[/YF}!

PJe\[N4(!c7#! ïc3;ÈW¼UW?YGH!

eNëJbeJNP!"Je(!c7#! +,?¶QRklmÛ'u´¬Xz->/9.T>?YHÿ !

eJO[J7\JPe(!c7#! UWZvXUW?®YV·Wu>°W/>/Y¦X+UÙ!

eJPëJP(!c7#! 345678Y*vÈW¼®Y33íY}õÌklmì?@34Y+,|YáH !

eJPëJP!5Nee(!c7#! ZÜ·W?Ñ>*>Lð®EFZÜ·W?Ñ>*>vTXYHÿ !

ec6P!J!5Nee###JP(!c7#! û>XU¨F}@'L1F'( §Z>Þß©!

ec6P!J\M4Je(!c7#! û>XU¨?>,WLF}ÚÛ¬û>XU¨ ¡/>/B+,EF5D¢}[

U/!

eMe[c7(!c7#! I#7bcdezX?>YGH!

\NOe(!c7#! [>/¼®YGH!

\J7N7\e(!c7#! +/wuÀW?RSLYZÜ·W?YGH !

\#[Je(!c7#! 3JNP!"!n44Lð®EF¦X@AstYHÿ!

\PN7eN!\#c7\M4Je(!c7#! ?TWév°WQR®Y?TWév°WUŸ!

\PN7e#cP[e(!c7#! Z>pLpÇEF¬&YePÚ=^,YGHl 4Pc4e(!c7#B`àWZLð®!

6eJP]eJJb(!c7#! Z[\/?è>é>klmÝX>¼YGH!

dJK(!c7#! 345678!IJKYGHú:;;¢eY}õÌ!

d[#(!c7#! IMh§I#7bcde!MN7NOJ[J7\!h7e\P6[J7\N\#c7©pYGH!

"BhÃuÒ !

¤¥YLúZ>pBáH´«El !

• 345678!IJK!

• 345678Yñíh!

• #746\e(!c7#GH[U/!

• $YXu³þY[\>>ZW !

²9ißYZ>û>X$345678!IJKBð®´2L1«EllÃ ¡ÞGHy¨°W'$ú inputs.confBð®

´«El345678!IJK«¬$3456578!ñíhBð®´2Ç¬^_$ú$SPLUNK_HOME/etc/system/local/inputs.conf

'@1u«Û«El !

"¨TUÙTUVWXÃY345678$ú¶þ£F;ñ¢>?³þZ>B¯¤L1F¬&ú345678LeMe5cO"7Oklm;ñ¢

¬LL£EFY$Y.¨>°W³þø>?Z>B¯¤L1Flà'´«El !

;ñ¢¬YZ>BEF'$úÇ?>v>?YÉBµ{Ú1l!

345678$úfî¢»YBÑ>?´21«E8úäÞùÃ;ñ¢Bð®EFv9Bkô&´«Elfî¢$ú¤¥Y

LúùFYL£'$Ø´21«åil !

• A¤Bóø´Þ1!

• DEÌÚÛ21Þ1!

• ®Û¬Z>TY¯°8Þ1 !

fî¢Bð®EF./8¶Fb$ú.¯345678!ñc[[67#\M!I#8#Yàfî¢ûëLFsEFáB´2µ{Ú1l!

I#7bcdeû>X!

I#7bcde®Y345678'$úI#7bcde.¨>°W8«Û21«ElvY.¨>°W$úI#7bcde®Yp

klmÉWuWIB´«El«¬úI#7bcde®Y345678$ú¤¥'X?.¨ÚÛ21FI#7bcde®YpU

¨BHÿEFÔ>zB3456578!MN7NOJP'´«El¤¥YWvr?>vYk?'±2inputs.confB@EF

9ú¶þ£F¨T?[\>LI#7bcdeYpBL1«ElL1Fò$¤¥YùÃLEl !

• I#7bcdeUW?Z>!

• I#7bcdezX?>Z>!

• IMhZ>!

"*>B

ÜCDEF./8¶Ã«El !

® =Ýú%Zv?«¬$[U/Y'úklm[U/Xu^_Yý$ð®L1«åil

Zv?Y^_BaFb$ú[U/Xu^_Bð®´«ElZv?YT´ 1UW?BUWZ

vXEFb'$úBð®´«El!

® pXWéY$ÏÅ´«åil/a/path/subdirB´Þ8þ«a/pathBEF9úe´19:8Z

þÛ«åil'ú%Zv?BJÞFªU?X?ú=TvX?úklmU/¼¦>¼ÉW>W

?LEFpXWéY$úÑ>?ÚÛ21«åil!

.¨>¼!

>¦/[U/B.¨>¼ú«¬$345678Ñ>*>»'¶F[U/BUWZvX Yy¨°WBð®´

2úËXuv[U/BUWZvX´«El[U/$ú·ë°'ÚÛ«åil !

*w!

*wpU¨Binputs.confLð®´2ú&[U/B>ZW´úóô´«ElZ[\/?Lú 345678Y

*w¨VÑ$ú$SPLUNK_HOME/var/spool/splunk'¶Ã«El[U/BvYZv?'üDEF9ú

345678$UWZvXB´2³þúóô´«El!

® [U/Y>ZWBØ'pÇEF'$úÇÑUÙYJÞF.>¦U=BUWZvXEFÉBµ{

Ú1l!

345678!IJKY[U/9Zv?BEF!

345678!IJKL[U/9Zv?'lFpB´«El!

)( 345678!IJKY´»'¶FBvv´«El!

8ÚÛF¬m'3456788UWZvX´«El !

"Sj"!

• >¦/[U/B.¨>¼$ú>¦/+W³þ345678.¨>¼´«El!

• 345678Ñ>*>»L[U/BUWZvX$ú*wZv?Bù%2345678'Ñ>*>»Y[U

/BÉ>>´«El !

( [U/«¬$Zv?YÝXBáH´«Elf45cNb!N!5c!N5!# # 5JB45´¬b$úÂPcdeJº£WBð

®´«El!

a}?>v¼TU=BEF'$ú¤¥Bp´«El !

5-6,/&78[M4N\"×!§«¬$úI#7bcde»L$¥¥¥/¼Y¶BGH´«El?>v»YKHYªX?BEFlà 345678

'áâ´«åil!

(!vvLúû>XU¨BGH´«Elû>XU¨$úUW?'ÚÛ¬Z[\/?[>/¼LElû>X

U¨$úUXW¨úUW?S¼ÞßY±KãByHEFY'ð®´«El !

a(! û>XúªX?úklmû>XU¨BáH´2³þúpÇBvv´«El!

ñíh!

345678YÉ+W¼TUWUW[{>X§ñíh©³þ[U/9Zv?B´«El345678YñíhBð®EF'$ú

$SPLUNK_HOME/bin/Zv?'üD´úfghi«¬$I#7bcdeÉ+W¼¨W¨?³þú./splunkÉ+W¼Bð®

´«El!

½?Þ8¶Fb';¢2ú345678Yñíh'$Y/¨8j¾ÚÛ21«Elsplunk help9pEF9úñíhY/¨Y

·UWÔ>z'.vVX´«ElÑÉ+W¼'ÛÛYY/¨Ô>z8¶Ã«ElSplunk help 9p

´«El!

ñíh³þpGH8äÞÉ+W¼B¤¥'â´«El !

É+W¼! É+W¼ÍÎ! DF!

! Nbb![c7#\cP!©3Xfïñc!·"4NPN[J\JP!ëN56J¹!(((! ©3Xfïñc³þpBl!

@! Jb#\![c7#\cP!©3Xfïñc!·"4NPN[J\JP!ëN56J¹!(((! ¤'©3Xfïñc®'ÚÛ¬pY@l!

óô! PJ[cëJ![c7#\cP!©3Xfïñc! ¤'ÚÛ¬¿3XfïñcYóôl!

X?! 5#e\![c7#\cP! =ÝGHÚÛ21Fø,BÚâl !

X¨>/! e4cc5!ec6P!J! Wvª>/Zv?³þ[U/B

345678'É>>l!

YÝT·>BGH´2úÑZ>pU¨YGHB^_´«ElÝT·>$ÍÎ -parameter valueLGH

´«El!

® É+W¼ý'ú)0Y""ce\7N[Jú""ce\PJOJ_ú«¬$""ce\eJO[J7\76[BGHL1«El!

ÝT·>! ./ã! k?!

"S)"!

!

ñíhBð®´2ú «ëNP « 5cO «BEF!

¤¥YL$ú/var/log/'¶F[U/BEFBkaå´«El

Z>p9´2ú/var/log/B´«El!

./splunk add monitor /var/log/

ñíhBð®´2úd#7bcde64bN \J(5cOBEF!

¤¥YL$úI#7bcde.¨Z>?§I#7bcÀÁY5D.¨Z>?©BEFBkaå´«El !

Z>p9´2úC:&Windows&windowsupdate.logB´«El

./splunk add monitor C:¥Windows¥windowsupdate.log

ñíhBð®´2úhh3üWBEF !

vYL$úI#7bcde!hh3YZ[\/?Y+,|BEFBkaå´«ElZ>p9´2úC:&windows

&system32&LogFiles&W3SVCB´«El

./splunk add monitor c:¥windows¥system32¥LogFiles¥W3SVC

h746 \e(!c7 # !

pBEF'$úYXWéBú$SPLUNK_HOME/etc/system/local/'¶Finputs.conf'EFú«¬

$$SPLUNK_HOME/etc/apps/'¶Fè>é>Y¦X.¨>°WZv?'´«El 345678YGH[

U/LFs¬ÂY1$ú¦&F'*@YàGH[U/'012áBk0¶µ{Ú1l !

pU¨'uEFzãklm]YÆBGHL1«El )0¤»YzãY]BáH´Þ1bú 345678$ú

$SPLUNK_HOME/etc/system/default/'Ì&V?ÚÛ21FZ[\/?Bð®´«E6¤¥7l!

ø,!

[monitor://]

=

=

ec6P!J! .Ã! T´1pYY¬&Y[U/«¬$Zv?YÝX!

ec6P!J\M4J! r! pû>X³þUW?®Yû>XU¨[>/¼]BáH!

#7bJ_! r! pû>X³þUW?®YÄrUWZvXBáHl !

"ce\7N[J! r! pû>X³þUW?®YªX?[>/¼]9´2GHEFªX

?ËBáH!

"ce\PJOJ_! r! pû>X³þUW?®YªX?[>/¼]9´2GHEFû>

X[U/ÝXYePÚ=BáH!

"ce\eJO[J7\76[! r! pû>X³þUW?®YªX?[>/¼]9´2GHEFû>

X[U/ÝXYV·W?ÆBáH!

#c55cd"c75M! r! §;«v©!;6PJ«¬$vN5eJlZ[\/?L$vN5eJl;6PJ'GHEF9ú

345678$úû>XYÃ³þ0¶uÒ §Å\N#5!"#Æ!fghiÉ+W¼©l!

"SS"!

• áHEF9úePÚ=$ÑpY[U/Ë³þªX?BÕÖ´«El

• Ê)°'úePÚ=YÀ»Y/>¨BªX?9´2ð®´«El

• ePÚ=8Ë'®ÌEF9úZ[\/? host=zãBZ[\/?'´«El

host_segment =

• áHEF9úÝXYà/áLýÛ¬V·W?8ªX?9´2GHÚÛ«El

• ]8çÆLÞ1ú«¬$1¤¥Yb$úZ[\/?host::zãBZ[\/?'´«El

crcSalt =

• GHEF9úvYÎ*+BCRC'´«El

• vYGHBð2úSplunk8ËEFCRCBÔ0[U/BhÃuÒlàóø´«El

• crcSalt = 8GH´2¶Fb(® vYGH$úÁÎ*9ÍÎ*BÎýEF )úû>XÝX=)

8CRC'ÚÛ«El

followTail = 0|1

• 1'GHÚÛ21Fbú[U/YÃ³þ8¦«Ã«E (tail –f)l

• vÛ$ú[U/8À»'45ÚÛ¬91'Y¶ØfÚÛ«El

• Yß$úSplunkYj_[U/þÿ'½8[U/B´«El

_whitelist =

• GHEF9úáHePÚ='ËEFb'ùÃúYYÝXY[U/8ÚÛ«El

_blacklist =!ePÚ=×!

• GHEF9úáHePÚ='ËEFbúvYÝXY[U/B´«åil !

U/¼¦>¼!

U/¼¦>¼Bð®´2úÚÛFpYpÝXBáHL1«ElÝX'$úºBú[U/'$\Bð®´«El!

• $úË8a0³F«LZv?BÜµ´«El0«Ãú /foo/…/bar$úfoo/barúfoo/1/barú

foo/1/2/barÞß9Ë´«El¬{´ú*>8[ U/L¶Fb'ùÃ«El

! Ñ=Zv?BÜµEFb'$úà0Y …Bð®´«El /foo/…/bar/…

• *$úKHYÝXV·W?'¶F=2BË´«ElvÛ$úZv?ÝXYHñ'$ð®L1«åil

ÝXYÀßYV·W?Lð®´Þ|Û1|«åil¢ú/foo/*.log$ú/foo/bar.log'Ë´«E

8ú/foo/bar.txtú/foo/bar/test.log'$Ë´«åil

• lÃÊ)°ÞË$ú*klm…BJ¶bå«El

! foo/…/bar/*$úáHÝXj'¶FbarZv?'¶F[U/=29Ë´«El

® I#7bcdeL$úÏ0Y*vXT-ÐÐBð2U/¼¦>¼BË¹´Þ|Û1|«åil*vXT

-Y01¬ePÚ=$ú=ÝI#7bcdeY]d"#\J5#e\klm]K5N!85#e\LÑ>?ÚÛ21«åil!

U/¼¦>¼BáHEF9úXWé'´2Aû°Þ_whitelist8FþÛ«ElÀ§1C='ÞÒÚÛ¬ÝX8ú

XWé9´2ð®ÚÛúU/¼¦>¼$ú¤¥Y+¨Bð2ePÚ=BÉ>¼^,´«El !

"Ss"!

U/¼¦>¼! ePÚ=! ¦!

\! ·Ñ«¹\! «¤WYEL2!

º! (\! EL2§À§+w©!

(! Ð(! uT/§fHÆ©!

Úþ'úÝX=)BËÚåF¬&ú[U/ÝXY´ÒÀß'^,ÚÛ¬Ú=8ÓHÚÛ«El !

¢ú¤¥Ylà'áH´¬bú !

[monitor:///foo/bar*.log]

345678$úÛB¤¥Ylà'É>¼^,´«El !

[monitor:///foo/]

_whitelist = bar[^/]*¥.log$

9:9´2ú%ZvY[U/®YU/¼¦>¼B`àÅÆX WéBÔ2«åil

«¬úU/¼¦>¼9a'ú_whitelistÓBð®L1«åil

¢ú!

[monitor:///foo/bar_baz*]

[monitor:///foo/bar_qux*]

vÛ$úZv?/foo/BUWZvXEFXWé9ÏÅ´«ElSplunk$À»Yé0Y¶Bð®EF¬&ú

/foo/bar_bazL¦«F[U/Y¶BUWZvX´«Elýû>XB&F'$úàoráYePÚ=ÍÎBð2q

DL_whitelistBáH´«El

[monitor:///foo]

_whitelist = (bar_baz[^/]*|bar_qux[^/]*)$

® JÞFzãBÔ0ÅÆYªU?X? «=TvX?pYzã§û>XU¨Þß©BGHEF'$ú

props.confBð®´«El

!

/apache/foo/logs«¬$/apache/bar/logs'¶F=2B>¼EF'$ú

[monitor:///apache/.../logs]

.logLF/apache'¶F=2B>¼EF'$ú

[monitor:///apache/*.log]

"S`"!

!

*w!

[batch://]

move_policy = sinkhole

=

=

...

*wBð®´2úû>X³þhÃu¶ß'óôÚÛF 1Ëð®YZ>YpBGH´«ElhÃu¶ß'óôÚÛÞ

1·ë°Þp'$úø,Bð®´«El±8F9[U/8óôÚÛFv9BÔÛÞ1Lµ{Ú1l

® move_policy = sinkhole$.¯GH´2µ{Ú1lvÛ$ú[U/B>¼´¬ß'óô´«Elóô Bg

h´Þ1[U/'$vYpU¨Bð®´Þ1Lµ{Ú1l !

host =

• ÓH]'pYªX?]BGH´«El

• host =$ú°>?¦?Bð®EF95D°']YrÇ'ÚÛ«El

• Z>wL¶FªX?YFQDN(C=6È¼·UWË)YIP.¼XBZ[\/?'´«El

index =

• p'lÃUW?8+,ÚÛFUWZvXBGH´«El

• index =$ú°>?¦?Bð®EF95D°']YrÇ'ÚÛ«El

• main8Z[\/?LE(«¬$úZ[\/?UWZvXBGH´¬b$Û8Z[\/?9ÞF)l

• UWZvX[>/¼'uEF ¡$ú*@YàUWZtWYÍäáBµ{Ú1l

sourcetype =

• vYp'lFUW?Yû>XU¨ËBGH´«El

• sourcetype=$ú°>?¦?Bð®EF95D°']YrÇ'ÚÛ«El

• Splunk$úZ>YÞ/É'½¾125D°'û>XU¨B4m«El>¼É>¼ÚÛFZ[\/?

$¶Ã«åil

• û>XU¨[>/¼'uEF ¡$úû>XU¨YBµ{Ú1l

source =

• vYp'lFUW?Yû>XËBGH´«El

• [U/ÝX8Z[\/?LEl

• source=$ú°>?¦?Bð®EF95D°']YrÇ'ÚÛ«El

queue = (parsingQueueúindexQueueÞß)

• p¨VÑ80¶ui{UW?B+,EF|BáH´«El

• ÝU¨TUW'¶F}õÞÕ,Yt->8ð®L1«E

"S"!

• parsingQueue8Z[\/?LEl

host_regex =

• áHEF9úePÚ=$ÑpY[U/Ë³þªX? BÕÖ´«El

• Ê)°'úePÚ=YÀ»Y/>¨BªX?9´2ð®´«El

• ePÚ=8Ë'®ÌEF9úZ[\/? host=zã8Z[\/?'ÞÃ«El

host_segment =

• áHEF9úÝXYà/áLýÛ¬V·W?8ªX?9´2GHÚÛ«El

• ]8çÆLÞ1ú«¬$1¤¥L¶F9úZ[\/?host::zã8Z[\/?9ÞÃ«El

® source = klm = $*wL$ð®ÚÛ«åil !

!

vYL$ú*w8úZv? /system/flight815/³þ=2Y[U/B>¼´«El

[batch://system/flight815/*]

move_policy = sinkhole

?>v>?Y!

?>v>?Y!

3456788ú;ñ¢«¬$fî¢>?»YpBÒ&FlàGHL1«El345678$úvÛþY>?»'£þÛ¬Z>=

2BhÃpÛ«El3Me5cO§Z[\/?>?$fî¢`)s©®'vYBð®«¬$ú?tx?BGH´ú>?'

*UW¼´2µ{Ú1l !

;ñ¢$ú345678YZ>UBYÕÖ'ÞF¨?É/L¶Ãúø>?+W³þ345678Ñ>*>Z>B£¤EF

'×ØÚÛFLEl345678BpÇEFè>é>'$ú>?Y.vVX8./LEl fghiXuLú)j?'.vVXEF'$/>?9´2pÇ´Þ|Û1|«åil !

345678!IJKBð®´2?>vpB!

345678!IJKBð®´2?>vpB´«El!

)( 345678!IJKY´»'¶FBvv´«El!

°WYZ>pBvv´«El!

S( ;ñ¢«¬$fî¢B45´«El !

s( TPBvv´2úpB´«El!

`( >?ÀW*>Bp´«El !

( 45´¬>?8ú=2YªX?«¬$0YªX?³þYûëB¯|pÛF³ßà³BáH´«El0YªX?

BáHEFb$úªX?Yh¢.¼XBp´«El!

¥( vvLúû>XU¨BGH´«El!

"S¥"!

û>XU¨$úUW?'ÚÛ¬Z[\/?[>/¼LElû>XU¨$úUXW¨úUW?S¼Þ

ßY±KãByHEF¬&'ð®´«El¤¥³þ45´«El !

• X?³þ!

! ¼¨¿òWX?³þúÌ&HÿÚÛ¬û>XUŸ0B45´«El !

• qD!

! utX?£vX'ú5Yû>XU¨BË)|«El !

( û>XúªX?úû>XU¨BáH´¬þúpÇBvv´«El!

ñíhBð®´2?>vpB!

34568YÉ+W¼TUWUW[{>X§ñíh©Bð2[U/9Zv?B´«El345678YñíhBð®EF'$ú

©3¢ífgª]:XMc«K#7Zv?'üD´2ú./splunkÉ+W¼Bð®´«El!

½?Þ8¶Fb';¢2ú345678Yñíh'$Y/¨8j¾ÚÛ21«ElñíhY/Ÿ·UWÔ>z'.vVXEF'

$úsplunk help9p´«ElÑÉ+W¼'ÛÛYY/¨Ô>z8¶Ã«El Splunk help 9p

´«El!

¤¥YÉ+W¼Lúñíh'lFpGH8äLEl !

É+W¼! É+W¼ÍÎ! DF!

! Nbb!\!4!Ù!6b4!©3Xfïñc!·"4NPN[J\JP!ëN56J¹!(((! ©3Xfïñc³þpB!

@! Jb#\!\!4!Ù!6b4!©3Xfïñc!·"4NPN[J\JP!ëN56J¹!(((! ¤'©3Xfïñc®'ÚÛ¬pB@!

óô! PJ[cëJ!\!4!Ù!6b4!©3Xfïñc! ¤'ÚÛ¬¿3XfïñcBóô!

X?! 5#e\!\!4!Ù!6b4! =ÝGHÚÛ21Fø,BÚâ !

YÝT·>BGH´2úÑZ>pUŸGHB^_´«ElÝT·>$ "4NPN[J\JP!ëN56JÍÎLGH´«

El!

ÝT·>! ./ã! k?!

©3Xfïñc! .Ã! UWZvEFZ>BÚµ¬&Y>?E !

ec6P!J\M4J! r! pû>XYUW?®Yû>XU¨[>/¼]BáH!

#7bJ_! r! pû>XYUW?®YÄrUWZvXYáH!

"ce\7N[J! r! pû>XYUW?®YªX?[>/¼]9´2GHEFªX?ËBáHl!

PJ[c\J"ce\! r! Û°'Z>BÒ&Fh¢.¼XwBáH!

#c55cd"c75M! r! §;«v©! ;P6J! «¬$vN5eJlZ[\/?L$vN5eJl;P6J'GH´2îg3Bð1úp

û>XYUW?®YªX?[>/¼]BGHl!

!

?>vpBGH´2³þúû>XU¨BGH´«El!

• fî¢pBGH´2ú>?`)sB´úû>XU¨BàeMe5cOá'GH´«El !

X?¨TvuXI#8#Lú3Me5cOpGH@'fî¢BðàÀÜY'012Y34BÞÒ´2µ{Ú1l !

"S"!

./splunk add udp 514 -sourcetype syslog

• îg3³þfî¢pYªX?]BGH´«Elè>é>Ë9ÝX>¼' authBð®´«El!

./splunk edit udp 514 -resolvehost true -auth admin:changeme

® >?B)j?¦?Bð®EF95D°']YrÇ'ÚÛ«El


index =


• index::$ú°>?¦?Bð®EF95D°']YrÇ'ÚÛ«El

• main8Z[\/?LE(«¬$úZ[\/?UWZvXBGH´¬b$Û8Z[\/?9ÞF )l


sourcetype =

• p'lFUW?Yû>XU¨ËBGH´«El

• sourcetype::$ú°>?¦?Bð®EF95D°']YrÇ'ÚÛ«El

• Splunk$úZ>YÞ/É'½¾125D°'û>XU¨B4m«El>¼É> ¼ÚÛFZ[\/?

$¶Ã«åil

• û>XU¨[>/¼'uEF ¡$úÀz+zx+,-./Yû>XU¨'012Bµ{Ú1l

source =

"Sa"!

• p³'lFUW?Yû>XËBGH´«El

• [U/ÝX8Z[\/?LEl

• source::$ú°>?¦?Bð®EF95D°']YrÇ'ÚÛ«El



• ÝU¨TUW'¶F}õÞÕ,Yt->Bð®L1«El


connection_host = [ip | dns]

• ip:BGHEF9úTCPp¨VÑ8úø>?Ñ>*>Y ip.¼XBÔ0ªX?B@1,¢«El

• dns:'GHEF9úø>?Ñ>*>YDNSÈW?>YªX?$@1,¢þÛ«El

• ip8Z[\/?LEl

fî¢!

Ï/ *>z°W3.3.3.YSplunkL$úUDP'lFZ[\/?syslog±$úÝÇBeÞ'y1«åilvY8B

Ë¹EF'$ú$SPLUNK_HOME/etc/system/loca/inputs.conf'¶FUDPXWé'ú_linebreaker =

_linebreakerB´«El

[udp://]

=

=

...

pXWéYvYU¨$úfî¢>?»LXWEFv9Bô1;ñ¢U¨9LEl!

host =

• ÓH]'pYªX?]BGH´«El

• host =$ú°>?¦?Bð®EF95D°']YrÇ'ÚÛ«El


index =


• index =$ú°>?¦?Bð®EF95D°']YrÇ'ÚÛ«El

• main8Z[\/?LE(«¬$úZ[\/?UWZvXBGH´¬b$Û8Z[\/?9ÞF )l


sourcetype =

• p'lFUW?Yû>XU¨ËBGH´«El

• sourcetype =$ú°>?¦?Bð®EF95D°']YrÇ'ÚÛ«El

• Splunk$úZ>YÞ/É'½¾125D°'û>XU¨B4m«El>¼É>¼ÚÛFZ[\/?

"sj"!

$¶Ã«åil

• û>XU¨[>/¼'uEF ¡$úÀz+zx+,-./Yû>XU¨'012Bµ{Ú1l

source =

• p'lFUW?Yû>XËBGH´«El

• [U/ÝX8Z[\/?LEl

• source =$ú°>?¦?Bð®EF95D°']YrÇ'ÚÛ«El



• ÝU¨TUW'¶F}õÞÕ,Yt->Bð®L1«E


_rcvbuf =

• UDP>?®Y¯¤*[BáH´«El

• ]80«¬$ÞYb$úÚÛ«El

• SplunkYZ[\/?Y]$éMBLE(OS'lÃZ[\/?8JÞF)l

No_priority_stripping = true | false

• zã8True'GHÚÛF9úSplunk$ú¯¤´¬UW?³þ syslog[>/¼BX?¨

´«åil

• Û¤WYbúSplunk$úUW?³þsyslog{r|þBX?¨´«El

No_appending_timestamp = true

• vYzã8True'GHÚÛF9úSplunk$ú̄ ¤´¬UW?'UXW¨klmªX?B´«åil

• ® ̄ ¤´¬UW?'UXW¨klmªX?B´¬1b'$úvYt>B&Þ1Lµ{Ú1l

I#7bcdeUW?Z>B!

I#7bcdeUW?Z>B!

vY?>vL$úI#7bcdeYUW?úzX?>úklmIMhZ>BEF¬&Y345678YGHY'

012k?´«El !

® ýYwxW/B´2>¦/ªX?BEF'$úÕ,YpB@´«Elø>?+WB

EF'$úT´1pB´«El !

vÛ$ú345678!IJK«¬$GH[U/Bð2GHL1«El !

345678!IJKLEFI#7bcdeUW?YGH!

)( 345678!IJKY´»µ'¶FBvv´«El!

°WYZ>pBvv´«El!

"s)"!

S( UW?Yß@Bvv´«El!


`( vYß@'EFÓ}YËBp´«El !

( BÚ1ÖEªX?YªX?Ë«¬$ h¢.¼XBáH´úYQR(((Bvv´2ú45EFYX?

Bpq´«El!

® I#7bcde![#e\N'$ú¬µÚiYwxW/8¶Ã«El 345678Lm®äÞñ¢f'lÃú=2«¬$(µYwx

W/B4.>'UW>?´2³þúinputs.confY>¦/É>>(ùFú$SPLUNK_HOME&etc&system&local

&inputs.conf)'ú¤¥Ylà'EF./8¶Ã«El

[WinEventLog:DNS Server]

disabled = 0

[WinEventLog:Directory Service]

disabled = 0

[WinEventLog:File Replication Service]

disabled = 0

"s³þUWZvX´«ElvYGHB^_EF9âF'â

õö°ÞUWZtW±'0Þ8F¬&kô&´«åil !

• !6PPJ7\]c75M vYy¨°WBðà9ú3456788CD´¬ãA³þT´1UW?Y¶BUWZvXL1«

El[U/Yä_Ylà'Íä´«El !

ÈvX>?´¬I#7bcdeUW?§(Jë \«¬$(Jë \_©[U/YUWZvX!

ÈvX>?´¬I#7bcdeUW?[U/BUWZvXEF'$ú[U/9Zv?YYBð®

´«El!

çè!

• >¦/[U/Y.¨>¼ÍäBð®´Þ1Lµ{Ú1l=ÝvYÍä$úvY[U/U¨BhÃ

y1«åil!

• [U/$ú345678Y>¦/9´2.vVX8äLÞ|Û1|«åil !

• @1u¶ñY(Jë\«¬$(Jë\_[U/YB>¶Þ1Lµ{Ú1ld#7bcde$ú[U/YvBÏô´«

åilÀÜY$ú[U/8+,ÚÛ21FZv?Bø,EFv9LElÛ'lÃúTP[U

/85D°'UWZvXÚÛ«El !

I#7bcdezX?Z>Y!

I#7bcdezX?Z>Y!

345678$úI#7bcdezX?GHYtx¨wx>BÑ>?´21F¬&úzX?Y^_BL1«ElzX

?'ÈW?>8ú_TúóôÚÛ¬@A8U³Ã«ElzX?YÈW?>8^_ÚÛF9ú345678$ú^

_B´¬¨VXËklmú^_ÚÛ¬ÈW?>YU=³þYt>ÝXBtx¨wx>´«El !

I#7bcdezX?pø,.¨>°W$ú splunk-regmon.exe9GÛF¨VX9´2pÇ´«El !

çè splunk-regmon.J_JBqDL§¨«¬$ñ¨´Þ1Lµ{Ú1lXu8½zx«¬$ú345678!IJK³þ345678Ñ>*>±B§¨´«El !

3465678!IJKLzX?B}õ'EF!

I#7bcdeY345678L$úzX?8GHÚÛ21«E8úZ[\/?L$õ'Þ21«El )ËpÇY>X

TUWUWZvXBÇ1ú+W«¬$è>é>t>Y·ë°ÞBý'}õÌL1«ElvÛ$ú¤¥Yq|LÇ

"sS"!

1«El!

)( 345678!IJKL´»µ'¶FBvv´«El!

pzX?>ø,WBvv´«El!

s( +Wt>«¬$è>é>t>B45´2úghEF>XTUWklm·ë°B}õÌ´«El !

`( +,Bvv´«El!

´µ¶Y ¡!

I#7bcdezX?$å&'D°L¶Fv98¶Ã«E §Y¬&Á÷UW?BF}´«E ©l345678L$ú'ØfÚÛF[/YéæçBÇ1«El !

345678YI#7bcdezX?ø,W$úÝ>V?(deleteúsetúcreateúrenameúopenú

closeúqueryÞß)

• active_filters SplunkLEF±klmU=ÝXBeÞ'áHEF regmon-filters.confLH

ÿ´¬ePÚ=[/YX?lvÛ$úregmon-filters.confYXWéBÉW+ÎÃ´¬X?L

ElêËPë'½¾12u«¬$ìEF[/Y/>¨'ËB)|2GmÖ´¬1b'³mÞU

/¼¦>¼8ð®L1«ElvYX?Y[/'Ë8)121Þ1b$úY[/8

regmon-filters.conf',Ý´212ð®ÚÛ«åil0«ÃúÚ«E«Þ[/klm[//

>¨YYyW/y[85'Ç¢«El

• disabled zX?GH^_BEF³´Þ1³ByHlvÛB 0'GHEF9úI#7bcdezX?ø

,W8C='õ'´«El !

regmon-filters.confYÑXWé$ú¤¥YHÿBÔ0KHY[/Bâ´«El

• proc EF¨VX(10«¬$ÅÆ)YÝXBÒePÚ=

• hive EFÈW?>(10«¬$ÅÆ)YU=ÝXBÒePÚ=lSplunk$úWindowsLÌ&Hÿ

ÚÛ¬/>?t>]+>WBÑ>?´21«El

! &&REGISTRY&&USER&&$úHKEY_USERS«¬$HKU'ÂÃÄ2

! &&REGISTRY&&USER&&$úHKEY_CURRENT«¬$HKCU'ÂÃÄ2

! &&REGISTRY&&USER&&_Classes$úHKEY_CLASSES_ROOT«¬$HKCR'ÂÃÄ2

"ss"!

! &&REGISTRY&&MACHINE&&$úHKEY_LOCAL_MACHINE«¬${{HKLM'ÂÃÄ2

! &&REGISTRY&&MACHINE&&SOFTWARE&&Classes$úHKEY_CLASSES_ROOT«¬$HKCR'ÂÃÄ2

! &&REGISTRY&&MACHINE&&SYSTEM&&CurrentControlSet&&Hardware Profiles&&

Current$úHKEY_CURRENT_CONFIG«¬$HKCC'ÂÃÄ2

• type EFUW?U¨YÑ=V?l deleteúsetúcreateúrenameúopenúcloseúquery8

~Ä´«ElvY]$úsysmon.confLGHEFevent_typesY]YÑ=V?LÞ|Û1|«åil

• baseline KHYU=ÝX'EF>XTUWXÀ¨°?Btx¨wx>EF³ßà³yHl 0í

âpÇú1ípÇl

• baseline interval Splunk8ÊYXÀ¨°?BîF«LY§¨@ABï/þLáHlZ[\/?]

$24@Al

>XTUWXÀ¨°?Bî !

zX?ø,WB}õ'EF9úÊË345678BCDEF@'úzX?U=Y>XTUWXÀ¨°

?B'½EFy¨°W8}¢þÛ«ElZ[\/?L$úXÀ¨°?$úè>é>t>klm+Wt>U=

=)B'½´«El«¬úXÀ¨°?BÜîEF@ïBGH´«El3456788úËYw{vUW?³þXTUWXÀ¨°?BÜî´«Elregmon-filters.conf'¶FÑ[/

Y]Búbaseline intervalY]BGHEF9ú¦X+UÙL1«El!

® splunk clean all –fBpÇEF9úY@Y>XTUWXÀ¨°?Bóô´«El !

Y!

I#7bcde+W'345678BUWX?>/´2úzX?ø,WB}õ'EF91$ú;/ÞU=ÝXL¶Fß

Yt>è>é>§:ªcð©klm««¬$t>>¦/+W§:ªíM©BEF³áH´«ElY+WLÌñÚÛFz

X?YD°&'lÃúýBáHEFv9'lÃú345678LEFZ>÷8òÁ'ÞFb8¶Ã«El(µY

zX?UW?BÌñEFb$ú345678BUWX?>/´2zX?UW?ø,WB}õ'´¬ßLú

345678BCDEF'úregmon-filters.conf'¶F[/Y_BáH´2¨©'YstBó&2µ{Ú1l!

'ú345678B»&2CDEF91úklmáHY@A8ôõF9'úI#7bcdeYzX?Y23B>XTUW

XÀ¨°?9´2tx¨wx>EFy¨°W8¶Ã«El>XTUW±$ú¨VÑ@ñ«L¶F¬&Æ

U³³Ã«Elregmon-filters.confB@´úK'345678LEFzX?ÈW?>YstBó&F«Lú

>XTUWYXÀ¨°?YîBr£Ã'EFv98L1«El !

I#7bcdezX?pYGH!

inputs.confYWindowszX?pYZ[\/?]BÞÒ´2µ{Ú1l]$¤¥'ö÷ÚÛ21«ElZ[\

/?]B^_EFb$ú$SPLUNK_HOME&etc&system&local&Yinputs.confYÉ>>B@´«ElXWé

'^_EFÝT·>Y]Y¶BpEF./8¶Ã«El345678GH[U/Yð®'012Y ¡$úàGH[

U/'012áBµ{Ú1l !

[script://$SPLUNK_HOME¥bin¥scripts¥splunk-regmon.py]

interval = 60

sourcetype = WinRegistry

"s`"!

source = WinRegistry

disabled = 0

• source zX?YUW?'T/B)|«El

• sourcetype vÛþYUW?BzX?UW?9´2ÂÃÄ2«El

• interval zX?Y^_B>WEFø&Bï/þLáH´«El

• disabled Íä8}õL¶F³BÚâ´«El)'GHEF9vYÍä8õ'ÞÃ«El !

® 345678zX?pø,WXv¨?§splunk-regmon.py©$úXv¨?p9´2GHÚÛ21«

ElvY]$^_´Þ1Lµ{Ú1l !

® inputs.conf'¶FXWéËYU/¼¦>¼BË¹EF'$ú.¯z{W?Þ´L.vVXEFIMh§I#7bcdeUW[{

>X©Z>pBÑ>?´21«El0«Ãúð®RS'²UWX?>/EF./ÞµúEL2YI#7bdceÑ>*>

klmZXv?¨³þUW?BÚ1ÖEv98L1«El !

345678YIMhZ>p$úÅÆYIMh¨*U¿'ûë´úZ>BÚ1ÖEv98L1«El IMhZ>p$ú

345678Ñ>*>»LJÞF±(splunk-wmi.exe)9´2pÇ´«El$SPLUNK_HOME&etc&system&default&

inputs.confYXv¨?p9´2GHÚÛ21«ElvY[U/$@´Þ1Lµ{Ú1l !

® vYÍä$úI#7bcde®345678LY¶m®äL¶ÃúZ[\/?L$õ'Þ21«El}õ'EF'$ú

¤¥YTUWB©3¢ífgª]:XMc&J\!&eMe\J[&bJ#N65\˪\e(!c7#'´2µ{Ú1l!

©3¢ífgª]:XMcÐJ\!ÐeMe\J[Ð5c!N5Ð#746\e(!c7#d!

[script://$SPLUNK_HOME¥bin¥scripts¥splunk-wmi.py]

disabled = 0

"s"!

!

Vt-uklmø>?.vVX'k|FY !

345678$úIMhúUW?úklmzX?BÒ(µYI#7bcdeYZ>û>XBUWZvXEF¬&'K~

Y¶F.vVX8./LElvÛ'$ú£vX'ûëEFäklmúûëß'ØÞZ>B0¶uÒ~ùYý8

«Û«ElIMhZ>'.vVXEF'$ú345678Bø>?IMhûëäÞ~ùBÔ0è>é>LpÇEF./8¶

Ã«ElvYè>é>Ë$ú.vu=Zv?¼·UWY·W*>L¶ÃúIMhBvÈEFØÞ~ùBÔ0.

/8¶Ã«ElvÈBF}EF345678Ñ>*>klmvÈÚÛF>?XuYý8ú.vu=Zv

?¼·UWY_LÞ|Û1|«åil !

® 345678BíXñní!3ð3;cMè>é>9´2UWX?>/´¬búIMhø>?Òì$Íä´«åilYè>é

>$ÒìBõ'EF¬&úI7bcdeÑ>*>$ùFYlàÞûëBÒ&«åil !

¤¥YBY´2µ{Ú1l !

• IMh'lFø>?Z>ß@'$ú>WEF IMhû>X'.vVXEFY'ùUÞX3~ùBÔ0è

>é>9´2ú345678Ñ>GXBpÇ´Þ|Û1|«åil%Þµ9ú345678'$ú>WEFEL2

Y+W'´2¤¥Y.vVX~ù8./LEl !

! XuÝ[\>+WXP!

! ?>v¬YÉW>->.vVX !

! 345678'vÛþYû>XY.vVX~BÞp'}¢FÀ./Þ$ú 345678Yè>é>Bú

¢JP#cP[N7!J!ícO!feJPeklmî#e\P#K6\Jb!ñXM!feJPeY¼·UW/>¨'EFv9LEl´2

ùUÞ~ù8ZþÛÞ1b$ú345678Yè>é>Búø>?+WYn/>¨'´«El !

• ø>?+W.vVX®'îñXMB}õ'´2ú345678è>é>Y.vVXB}õ'´«El ¡$úø>

?IMhûëYÞ+'012ö÷ÚÛ21FM#!Pcec#\Y?>vXBµ{Ú1l345678Yè>é>B

î#e \P #K6 \Jb!ñXM!feJPeY>¦//>¨'EF8úvY~ùB}õ'EFÀúYLEl

´2ùUÞ~ù8}¢þÛÞ1b$ú 345678Yè>é>Búø>?+WYn/>¨'´«

El!

• 3456788.vVXEFIMhY>XÔ>X§À°Þroot&cimv2©'$úØÞY~ù8./8¶Ã

«El345678è>é>Y/>?'¶FIMhI>»L¤¥Y~ùB}õ'´«El !

! pÇú.¦òW?Y}õÌúø>?Y}õÌúklmVt-uY0¶hÃl!

! ¡$úM#!Pcec#\!"cd"\c!:XI!;Xd!3J\!IMh!gN[Je4N!J!3J!6P#\M!#7!I#7bcde!3JPëJP!/8}õYb$ú.¯IMhY.vVXB}õ'´2µ{Ú1lI#7bcde[U.ò\>/B

ð®´21Fb$úWX?'IMh8?Þ'÷21«ElvYWGH$·UWklmø>?+WY

ýLÇà./8¶Ã«El ´µ$ú [#e\NLû¶CD´¬IMhYûë'012YM#!Pcec#\?>vXB

µ{Ú1l!

IMhY.vVXuX?!

¤¥Yq|'#2ú345678Ñ>*>klmø>?+WYGHBuX?´«El !

)( 3456788è>é>9´2pÇ´21F+W'UW´«El !

"s¥"!

?"×[U/ËBáH´2pÇBvv´úwbemtest9p´«ElWbemtest.¨>°W8C

D´«El!

S( ûëBvv´ú¥¥¥root¥cimv2(< server>'ø>?Ñ>*>YËBp ©9p´«Elûë

Bvv´«ElûëL1Þ1b$ú+WAYÒì'88¶Ã«El !

s( ûëL1¬þúvÈBvv´2úselect * from win32_service9p´«ElØ®Bvv´«El

%´09úpÇñYÑ>GXYX?B1¬{|«ElvÛ8Íä´Þ1búÒì'8¶Ã«åi8ú345678

BpÇ´21Fè>é>'Y±FBpÇEFY'ùUÞ~ù8¶Ã«åil !

IMhpYGH!

IMhYp$ú345678!IJKBðàú«¬$GH[U/B@´2GHL1«ElGH[U/Yy¨°WBð®EF

9úlÃ(µYy¨°WBm®L1«El !

345678!IJK'lFIMhYGH!

)( 345678!IJKY´»µ'¶FBvv´«El!

°WY¥YZ>pBvv´«El!

S( IMhZ>ß@Bvv´«El!


`( vYß@®'Ó}YËBp´«El !

( >?ªX?BpEF³vÈ…Bvv´2úm®äÞ45EF¨ÝuYvTXYX?Bpq´

«El!

¥( rLúZ>B0¶ÖEÑ>*>YX?BÉW+ÎÃLáH´«El !

( >WYA¶Bï/þLáH´«El!

a( }õÌoTzy£W8$1'GHÚÛ21Fv9BÞÒ´2³þú+,Bvv´«El!

p$ÚÛ}õÌÚÛ«´¬l!

GH[U/'lFIMhYGH!

wmi.conf³þWMIpYZ[\/?]BÞÒ´2µ{Ú1lZ[\/?]B^_EFb$ú $SPLUNK_HOME&etc&

system&local&'¶Fwmi.confYÉ>>B@´«ElZ>pYU¨'´2^_EFzãY]Y¶GH´«

ElSplunkLGH[U/Bð®EF'012Y ¡$úàGH[U/'012áBµ{Ú1l

[settings]

initial_backoff = 5

max_backoff = 20

max_retries_at_max_backoff = 2

result_queue_size = 1000

checkpoint_sync_interval = 2

heartbeat_interval = 500

[WMI:AppAndSys]

server = foo, bar

"s"!

interval = 10

event_log_file = Application, System, Directory Service

disabled = 0

[WMI:LocalSplunkWmiProcess]

interval = 5

wql = select * from Win32_PerfFormattedData_PerfProc_Process where Name = "splunk-wmi"

disabled = 0

[settings]XWé$úTWUÝT·>BáH´«ElYEL2YXWéklmÑÝT·>$y¨°W

LElXWé81bú345678$úXuZ[\/?Bw®´«El!

• ¤¥Yzã$úÈT>S¢@'È>z{W?8áHÚÛ¬ WMI¨*U¿'ÜûëEFBøÎ´«El=2

Y@A$ï/þLEl

! initial_backoff À»YÈT>S¢ßúÜûëB>¶F«LY@AlYßúÈT>8ÜSEF9ú

@A$úmax_backoff'üýEF«L2þ'ÞÃ«El

! max_backoff max_retries_at_max_backoffBGmÖE«LYÀÁ@A

! max_retries_at_max_backoff @A8max_backoff'üý´¬bú@A'vÛB²Ë>

¶«ElÈT>8ÜSEF9úSplunkÑ>GX8ÜCDÚÛF«Lú8Y¶FWMI¨*U¿'Üûë´

«åil

• result_queue_size Z>8Ö'@1u«Û21FYB0A'WMI¨*U¿8=v´Þ1là'

EFt->YÑUÙlWMI¨*U¿³þ¯|hF9:$úvYt->''½ÚÛ«El

• checkpoint_sync_interval ZXv'23Z>(UW?w{vUW?)8@1u«ÛFÀÿ

@Alï/þl

• heartbeat_interval WMI¨*U¿YûëBEFX¼8A¶LpÇlÁï/þl

Z>p'$úUW?9!"WQL(WMIvÈ)Y28áHL1«ElUW?pXWé'$ú

event_log_fileÝT·>8¶ÃúWQLpXWé'$úwql8¶Ã«El

¤¥YÝT·>$ýU¨LaùLEl !

• server Z>BÚ1ÖEÑ>*>Y §ÉW+ÎÃ©lvYÝT·>81bú345678$ú>¦/

+WBH´«El !

• interval T´1Z>B>WEFø& (ï/þ)l.Ãl

• disabled vYÍäY}õ«¬$õBÚâlvYÝT·>B )'GHEF9ú345678YIMhpBõ

'´«El!

I#í®ÝT·> !

• namespace IMh¨*U¿YÝXBáH´«El>¦/+W$ú$rÒìBð®´2ø>?+W

'ûëL1F./8¶Ã«ElvYzã$y¨°WLElø>?+WYÝXBáH´Þ1bú345678

$úvÈBÇà²9ißY¨*U¿8¶FúZ[\/?>¦/>XÔ>X§&Pcc\&!#[ë

"sa"!

>W´«El!

UW?®ÝT·> event_log_file [U/YÉW+ÎÃX?BáH´2ú event_log_file

ÝT·>L>W´«ElLâÚÛ21FùÃú0BÒ[U/ËBÑ>?´21«El !

IMhZ>Y[>/¼!

IMh³þ¯¤´¬=2YUW?'úd[#'GHÚÛ¬û>X8¶Ã«El !

• UW?Z>Ybúû>XU¨$úI#7cëJ7\ícOd7N[J!c#!5cO!##5J×'GHÚÛ21«E§

I#7cëJ7\ícOdn445#!N\#c7©l!

• I#íZ>Ybúû>XU¨$úGHXWéYË'GHÚÛ21«E§ ·IMhdíc!N5345678b¢Pc!Jee¹

9Ë¾|þÛ¬XWé'$ú[>/¼$ú IMhdíc!N5345678¢Pc!Jee'GHÚÛ21«E©l!

ªX?$ú¯¤´¬Z>³þ5D°'KHÚÛ«El !

.vu=Zv?Y!

.vu=Zv?Y!

.vu=Zv?Bp9´2GH´únî[\X?Y_«¬$=2Y^_B´úè>é>klm+

W·Z>Bß@´«El !

vYÍäB}õ'´2345678BÜCDEF9únîZ>klmnîXt>+Y>XTUWXÀ¨°?Bî´«

ElvYZ>Bð®´2úò'EFO¦BZ«ElvY±$X?/Y¬&úø>?nîUWXWX

B´212ûë'ÞzB³|«åi8úCj«L'%´@A8³³Ã«El !

x2kµL 1!

• vYÍä$úI#7bcdeY¨T?[\>LY¶m®äÞ¬&úÍäEF'$I#7bcdeY.¨>°WB

}õ'EF./8¶Ã«El !

• 345678BpÇ´21F+W$úEF¼·UW'z´21F./8¶Ã«El !

• 345678BpÇ´21Fè>é>ú¼·UWY_L¶F./8¶Ã«Elkþµú>¦/Xuè>é

>¤WBáHEF./8¶Ã«El !

• nîBGHEFú345678$úpÇ´21Fè>é>ËBð®´2áHÚÛ¬nîUWXWX'üD´2v

È´«ElvY´µ¶Bm®´2ú345678Y.vVX/klmOäBøÎ´«El !

• I#7bcdeYè>é>~m>'lÃú.vu=Zv?YXt>+BC='UWZvXL1Þ1v

98¶Ã«El !

#746 \e(!c7 #klmNb[c7(!c7 #'lFnîYGH!

vYÍä$I#7bcde.¨>°W'«Û21F¬&úY.¨>°WYZv?ÍjYu[U/

BGHEF./8¶Ã«ElY¬&úe´1þÿ'¶F[U/B@´21Fv9BÞÒ´2µ{Ú1l !

)( ©3¢ífgª]:XMc&J\!&N44e&d#7bcde&bJ#N65\˪\e(!c7#YÉ>>BF}´ú©3¢ífgª]:XMc&J\!&N44e&

d#7bcde&5c!N5˪\e(!c7#'+,´«El !

"`j"!

>B@´úb#eNK5JbY]Bj'GH´2úXv¨?p·e!P#4\d««©3¢ífgª]:XMc&K#7&e!P#4\e&

e45678"Nb[c7(4M¹B}õ'´«El!

S( Ê'ú©3¢ífgª]:XMc&J\!&N44e&d#7bcde&bJ#N65\&Nb[c7(!c7#9ìYÉ>>BF}´ú ©3¢ífgª]:XMc

&J\!&N44e&d#7bcde&5c!N5&Nb[c7(!c7#'+,´«El !

s( vY?>vXYß&'¶Fk?'#2@´«ElZ[\/?L}õÞb$ú 345678BpÇ´21Fè>é>

8z´21FZ[\/?¼·UWÉW?>TBUWZvX´«El88Þ1b$úÛ¤»YGH$./Þ

µúeF'DF´«El !

Nb[c7(!c7 #YGH!

monitorSubtree = 0$úSplunk'>?ÉWuÀY¶UWZvXEFlàáâ´«El1(Z[\/?)Y]$ú

.vVXY¶F=2YÉWuÀklm¼·UWB+'EFlàáâ´«El

targetDC = '$úEF¼·UWÉW?>TªX?YÓ}YËBáH´«El¤¥Yb'Ó}YËBáH

´«El

• Á÷YAD8¶ÃúKHY=TWw(ou)úÑ=¼·UWY34{|BEFl !

• I>YKHYÑ=Y·UWY¶'stBùHEFl !

• %1Vt-uRSLYò°®'ÚÛ¬KHY §0¶u¶®©¼·UWÉW?>T8¶Fl!

• ¤®GH'ÅÆY¼·UW[\X?8¶FbúvÛBð®´2ú3456788¶F|9$JÞFI>B>

?'L1«El!

ÅÆYîñB>?'´¬1b$úYI>Y>?®'ýY [TargetDC]XWéB

´«El!

startingNode =! '$ú3456788UWZvWB¦&FC='ÞÒÚÛ¬ íîn¢Ë§

"LDAP://OU=Computers,DC=ad,DC=splunk,DC=com”)BáH´«ElSplunk$v³þ¦&ú»Y

monitorSubtreeYGH'#2úÑ=ÉWuÀ+'´«El²áH´Þ19ú.vVXL1FI>YÀ%1/

>?¼·UW³þ¦&«El!

startingNode$ú>?'´21FîñYstjLÞ19}(´«åil !

nîø,WGHY !

>?'EFXflÃ%1/>?/Y>?îñBL1«El¢ú!

OU = '$eng.ad.aplunk.comÑ=¼·UWYÉW>->BáH´«El !

îñ8Nb(e45678(!c[YÉW?>TY)09ÞFlà'>?´«ElvÛBÇàY$úÑ=¼·UW{|LÞµI

>=)'Xt>+BZ¬1bLElO¦)>¼BúJ7O(Nb(e45678(!c[YXf'GH´úYXfLklmóôÚÛF

+WB´«El!

[default]

monitorSubtree = 1

disabled = 0

DefaultTargetDC]

"`)"!

targetDC = pri01.ad.splunk.com

startingNode = OU=Computers,DC=eng,DC=ad,DC=splunk,DC=com

nîZ>BðàóÞ/v.¨ !

vYÍä9¿UÀÁvX?/v.¨9J¶bå2ð®EF9únîLm®äÞ34LUW?B6È«¬^_

L1«El345678!ñc[[67#\M!I#8#'¶FvY?>vXY~/Bk0¶µ{Ú1l !

[U/XuY^_B!

[U/XuY^_B!

345678Y[U/Xu^_ø,$ú[U/XuY^_Y'³mLEl[U/Xu^_ø,$ú

áH´¬Zv?B´úZv?'^_8¶Fb'$ú§345678'©UW?B¢}´«ElvÛ$úC=

'GHäLúXu»YßY[U/8@úóôú«¬$ÚÛ2Qx´«E§345678®[U/{|L$¶

Ã«åi©l¢ú[U/Xu^_ø,L/etc/sysconfig/B´úXuGH8^_ÚÛF9.T>?

B£FlàáâL1«El!

inputs.confL[U/Xu^_ø,BGH´«El !

® I#7bcde80¶uÒ[U/BEFb$ú 345678!ñc[[67#\MX?¨TvuXI#8#'¶FvY?>v

XBÞÒµ{Ú1lè>é>Yñ'$úI#7bcde®YI>/Bðà8./{9*à1«El !

[U/Xu^_ø,YÍä !

[U/Xu^_ø,$ú¤¥Bm®´2^_BQx´«El !

• ^_! ¿«@!

• />¨hî!

• è>éhî!

• [U/ø>¼§0¶u¶«@1u¶zãÞß©!

• [U/j2Yy¨°WY3:nÑ/BÒ !

! ÛÛY>Wø&8¶FÅÆYZv?YXtxW !

• DEÌCË!

! [U/Xu^_YUVB+ìBF}!

• «^_Lú[U/=)BUW?9´2UWZvX !

"`S"!

• TrueYbú[fschange]LáHÚÛ¬Zv?jYZv?BÜµ°'0¶u¶«El

• True8Z[\/?LEl

followLinks=

• TrueYbú[U/Xu^_ø,$úW£vWvB´«El

• False8Z[\/?LEl

® followLinks$-Ï'GH´Þ19ú[U/Xu/>¨8CvFv98¶Ã«El

pollPeriod=N

• Nï9'vYZv?'^_8Þ1³ÞÒ´«El

• 36008Z[\/?LEl

! ^_EF9ú[U/XuUW?8¢}ÚÛúQRLm®L1Flà'ÞF«L1ï³þ3600

ï³³Ã«El

pollPeriod=N

• *U?ÑUÙ8N¤¥«¬$Y[U/=2Y SHA1-BP.´«El

• vY-$ú[U//Zv?Y^_BQxEF¬&Y9´2ð®L1«El

• -18Z[\/?LE(^_Qx'WBðÞ1 )l

signedaudit=

• DEÌCËL/_T/óô´¬UW?B£¤´«El

• False8Z[\/?LEl

• True'GHEF9ú_auditUWZvX'UW?B¢}´«El

UWZvXYGHBghYbú/'False'GHEFL1LEl

® signedauditBTrue'GHEF91ú$úaudit.confL}õ'Þ21Fv9BÞÒ´2µ{Ú1l

fullEvent=

• «¬$_TY^_8QxÚÛ¬b'C=ÞUW?B£¤´«El

• sendEventMaxSizezã'lÃ_'ÞÒÚÛ«El

• False8Z[\/?LEl

sendEventMaxSize=N

• UW?YÑUÙ8g*U?lÃÍÚ1³«¬$Yb'C=ÞUW?Y¶£¤´«El !

• UWZvXÚÛF[U/Z>Bøù´«El!

• Z[\/?$øùBâE")LEl!

sourcetype =

• vYp'lFUW?Yû>XU¨BGH´«El

• “soucetype=”$ú5D°'YrÇ'ÚÛ«El

"`s"!

• Z[\/?$úsourcetype = fs_notificationLEl

filesPerDelay =

• [U/±ßú'delayInMills' 'l2áHÚÛ¬0ÛB1p´«El

• CPUBâ2´EõÞ1làú[U/Xuø,WYX ?/'ð®ÚÛ«El

delayInMills =

• ‘filesPerDelay’LáHÚÛ¬=2Y[U/Y±ß'ð®EFY0Û(Áï)LEl

• CPUBâ2´EõÞ1làú[U/Xuø,WYX?/'ð®ÚÛ«El

filters=,,...

Ñ[/$úø,>WÑUv/LQRÚÛ¬Ñ[U/«¬$Zv?'´2Z³þ´Ø®´«El

[/BHÿEF'$ú¤¥YùÃú[filter…]B´«El

[filter:blacklist:backups]

regex1 = .*bak

regex2 = .*bk

[filter:blacklist:code]

regex1 = .*Ð.c

regex2 = .*Ð.h

[fschange:/etc]

filters = backups,code

ve!"N7OJªU?X?«=TvX?zv$ú3«°Þ[U.ò\>/9'¡ÚÛ«ElUW?$úÀ

»YË'üýEF«L[/YX?B¡´«ElUW?BËÚåFÀ»Y[/8ªU? X?L¶F

búUW?8UWZvXÚÛ«ElUW?BËÚåFÀ»Y[/8=TvX?L¶FbúUW?$

UWZvXÚÛ«åilUW?8úË´Þ1««w{>WYÀß«Lüý´¬búYUW?8UWZvX

ÚÛ«ElUWZvX´Þ1Z[\/?BF}EF'$ú=2YUW?Y=TvX?w{>WBþå«El

¢ú!

...

filters = , , ... terminal-blacklist

[filter:blacklist:terminal-blacklist]

regex1 = .

"``"!

v>/LB ¡QR!

v>/LB ¡QR!

v>/Bð®´2úUWZvX'EFTPYZ>>û>XY[U/XuBQR´«E lcrawl.conf'

)¤»Yv>TYU¨BGH´ú9:'&F §«¬$ôWEF©Z>û>XYU¨BHÿ´«El!

GH!

$SPLUNK_HOME/etc/system/local/crawl.confB@´2úcrawlÉ+W¼pÇ@'Z>û>XB=TòÙEF

1¤»Yv>TBGH´«ElÑv>TzãY]BáH´2úÑv>TBHÿ´«Elv>TBcrawlers_list

'´2}õ'´«El!

v>TüW !

crawlÉ+W¼$ú$SPLUNK_HOME/var/log/splunk/crawl.log'+,ÚÛ21Fv>TY]DBF}´«El

üW/Búcrawl.confY[default]XWé'¶Floggingt>LGH´«El

[default]

logging =

v>TB}õÌ!

[crawlers]XWéYcrawlers_listt>'¶Fv>TXWéËBX?.¨´2úv>TB}õ'´

«El

ÉW+ÎÃYX?Bð®´2úÅÆYv>TBáH´«El

XWé[file_crawler]ú[port_crawler]úklm[db_crawler]LHÿÚÛ¬v>TB}õ'´«El

[crawlers]

crawlers_list = file_crawler, port_crawler, db_crawler

v>TYHÿ!

crawl.conf'HÿXWéB´2úv>TBHÿ´«ElYXWéB´2úYv>THÿB

´«El

Crawl.confYv>TXWéY !

[Example_crawler_name]

....

[Another_crawler_name]

....

t>«]Ô.Bv>THÿXWé'´2úv>TYDFBGH´«El¤¥Yt>$úfile_crawlerYHÿ'

"`"!

m®L1«El !

ÚÆ! k?!

KNb]b#PJ!\cP#Je]5#e\! ôWEFZv?BáH !

KNb]J_\J7e#c7e]5#e\! ôWEF[U/pqrBáH!

KNb]##5J][N\!"Je]5#e\! Î*+ú«¬$[U/Ë8ôWÚÛFÎ*+BÒÉW+ÎÃ

X?BáHlU/¼¦>¼Yð®ä § #cc\(\ú#cc\KNPú

\KN^\©l!

4N!8Jb]J_\J7e#c7e]5#e\! &Fa}.>¦U=[U/U¨YpqrBáHl 345678$ú

0¶uÒ'¸¹[U/BÏo´«El\NPúO^úK^X8Zv?9aÞÚÛF¬&'./ÞÀÍ[U/ÆB

áHl!

bNMe]e#^J8]4N#Pe]5#e\! v>TÚÛF[U/Bø4EFá" §¿Æ©klmÑUÙ§8K©8

Ô.YÉW+ÎÃX?BáHl¢úbNMe]e#^J8]4N#Pe]5#e\!5!

¥"j6! Sj")jjj$ú¥¿¤j'^_ÚÛ¬ÑUÙj8K¤»Y[U/ú

«¬$úSj¿¤j'^_ÚÛ¬ÑUÙ)jjj8K¤»Y[U/Y¶B

v>TEFlà345678'áâ´«El!

K#O]b#P]##5J!c67\! v>TÚÛF¬&'Zv?8Ô2FÀÁ[U/ÆBG

Hlv>T$úáH´¬ÀÁÆBå¢F[U/BÒZv

?BôW´«El!

#7bJ_! v>TÚÛ¬[U/klmZv?Yj2BEFUW

ZvXYËBáHl!

[N_]KNb##5Je]4JP]b#P! v>TEF[U/YZv?Y7ÚBáHl3456788Z

v?Bv>T´úáH´¬[N_]KNb##5Je]4JP]b#PjL}õÞ[

U/8a0³þÞ1bú345678$Y[U/BôW´«El !

Pcc\! v>T8v>TEF[U/BáHl !

!

simple_file_crawler9GÛFv>TYLEl !

[simple_file_crawler]

bad_directories_list= bin, sbin, boot, mnt, proc, tmp, temp, home, mail, .thumbnails, cache, old

bad_extensions_list= mp3, mpg, jpeg, jpg, m4, mcp, mid

bad_file_matches_list= *example*, *makefile, core.*

packed_extensions_list= gz, tgz, tar, zip

collapse_threshold= 10

days_sizek_pairs_list= 3-0,7-1000, 30-10000

"`¥"!

big_dir_filecount= 100

index=main

max_badfiles_per_dir=100

3gM¢UW?B345678'£¤!

3gM¢UW?B345678'£¤!

3gM¢UW?BUWZvXEFÀõ:°Þ$úsnmptrapdBð®´2[U/'@1uÒv9LEl !

À»'úZXv»Y[U/'@1uÒlà e7[4\PN4bBGH´«El!

# touch /var/run/snmp-traps

# snmptrapd -Lf /var/run/snmp-traps

Ê'ú345678Ñ>*>L[U/Bp9´2EFlàGH´«El !

¦X§Xv¨?©pYGH!

¦X§Xv¨?©pYGH!

Splunk$úè>é>YXv¨?³þYUW?B¯|pÛ«ElXv¨?p$úvmstatúiostatúnetstatú

topÞßYÉ+W¼TUWI>/Bðà9³mLEl API³þYZ>úklmÍä>ÂXuú$Yø>?Z>

UW[{>Xú·V>zt->BZ2úvmstatúiostatÞßYapp23É+W¼³þ·?vXklm23Z>

B¢}´«ElSplunk AppX?.Y(µY.¨>°WúKHY.¨>°WYXv¨?pB´«

ElApp$úLauncherYAppYLQRL1«El

345678!IJKY345678!MN7NOJPBðàú«¬$inputs.confB@´2¦XXv¨?pBGHL1«El!

® I#7bcdeY¨T?[\>L$úÝ>/úÝUûWÞßYutX?>XXv¨?BúñAòW¼òÙ*

w§(KN\©[U/L}õ'L1«El!

çè Xv¨?pCDXv¨?$ú345678YRSB¯|·8¬&úXv¨?±F'B9:EäãY¶FR

S^Æ$.¯v.´2µ{Ú1lRS^ÆL8BCvEäã8%1;YY$úTU=TÝX

(linux/solaris/freebsdLLD_LIBRARY_PATH9´29°'xþÛ21«E )LEl

345678!IJK'Xv¨?pB!

345678!IJK'Xv¨?pBEF'$ú!

)( 345678!IJKY´»µ'¶FBvv´«El!

pBvv´«El!

S( Xv¨?Bvv´«El!


`( Xv¨?YÝXklmXv¨?TWUYA¶Bï/þLp´«El !

( rLúû>XU¨BGH´«Elû>XU¨$úUW?'ÚÛFZ[\/?[>/¼LElû>X

U¨$úUXW¨úUW?S¼ÞßY±KãYyH'ð®´«ElvÛB5D'GHEF9ú 345678$ú

"`"!

5D°'û>XU¨BU´ÂÃÄ2«El½?Þû>XU¨'$ú"ÖYË8}¢þÛ«El !

¥( rLúvYû>X³þZ>YÄrUWZvXBGH´«ElvÛBZ[\/?'GHEF9úZ>$·UW

UWZvX'£¤ÚÛ«El!

#746 \e(!c7 #'lFXv¨?pY!

¤¥YzãBð®´2inputs.confBGH´«El!

[script://$SCRIPT]

interval = X

index =

sourcetype = OPTIONAL

source = OPTIONAL

disabled =

• script$úXv¨?Y|YC='ÞÒÚÛ¬ÝXLEl

! ÀÜY9´2úXv¨?8áHÚÛ21F inputs.conf'À°WYFsB´21Fbú $SPLUNK_HOME/etc/ apps/$APPLICATION/bin/'Xv¨?B

+,´«El

• interval$úï/þLEl

! Splunk$úUWXWX9'Xv¨?B1ËGmÖ´«ElA¶$Xv¨?Cj@B½'´21«El

Y¬&úXv¨?B10U9'pÇEFlàGH´úÑXv¨?YCj'20U³³F9úÊYpÇ$ú

À»YpÇY30Uß9ÞÃ«El

! ·ë´¬Z>>X?>'$ú 1Bp´«E(«¬$Xv¨?YA¶lÃÍÚÞ])l

! W°?Z>X?>'$ú-1Bp´«El

! ® A¶B-1'GHEF9úsplunkZ>øW8ÜCDEF¬m'Xv¨?BÜpÇ´«El

• index$SplunkUWXWX'¶FrYUWZvXLEl

! Z[\/?$mainLEl

• disabled$úpBõ'EFb'True'GHL1F=>.W]LEl

! Z[\/?$TrueLE

• sourcetypeklmsource$ú5Þ]LEl

! áHEF]$úsourcetype=«¬$source=[>/¼YXv¨?'lFZ>'ÚÛ«El

! vÛþ$y¨°WYGHLEl !

Xv¨?B·ë°'pÇEFb$új´Þ1làÞXv¨?B@1úÿ1A¶LGH´«ElvÛ'lÃú8

8¶Fb'$Xv¨?8ÜCDÚÛ«El 345678$ú¢}´¬Xv¨?B´új@'Xv¨?B§¨´«

El!

"`a"!

!

#746 \e(!c7 #Bð®´¬ !

vY$úfghiY\c4É+W¼BZ>pû>X9´2ð®´El!

• TPY.¨>°WZv?BF}´2¦&«ElvYL$ú e!P#4\e«dBð®´«El!

$ mkdir $SPLUNK_HOME/etc/apps/scripts

• .¨>°WZv?Yñ'¶F K#7«Zv?³þ=2YXv¨?BpÇ´«El !

$ mkdir $SPLUNK_HOME/etc/apps/scripts/bin

• vYL$úÍÚÞ{/Xv¨? \c4(e"Bð®´«El!

$ #!/bin/sh

top -bn 1 # linux only - different OSes have different paramaters

• Xv¨?8pÇäL¶Fv9BÞ³&«El !

chmod +x $SPLUNK_HOME/etc/apps/scripts/bin/top.sh

• {/LXv¨?BpÇ´2ÍäEFv9BuX?´«El !

$SPLUNK_HOME/etc/apps/scripts/bin/top.sh

• Xv¨?$ú)0Y\c4ÖB£¤´«El!

• Xv¨?ÈW?>B©3¢ífgª]:XMc«J\!«N44e«e!P#4\e«bJ#N65\«dY#746\e(!c7#'´«El!

[script:///opt/splunk/etc/apps/scripts/bin/top.sh]

interval = 5 # run every 5 seconds

sourcetype = top # set sourcetype to top

source = script://./bin/top.sh # set source to name of script

props.conf

4Pc4e(!c7#B^_EF./8¶Fv98¶Ã«El !

• Z[\/?Lú345678$ú)0YtopÈW?>BÅÆYUW?'U|«El !

• vY8BÏyEFÀ./Þ$úÖÚÛF'Y¶U|Flà 345678Ñ>*>'úáâ´«El !

¢ú¤¥B$SPLUNK_HOME/etc/apps/scripts/default/props.conf'EF9ú=2YTUW8óø°')

0YUW?'ÞÃ«El!

[top]

BREAK_ONLY_BEFORE =

?¨Ö'UXW¨8Þ1¬&ú345678'=ÝY@AB=¢F./8¶Ã«EúvÛ'$props.conf'¤¥B

GH´«El!

DATETIME_CONFIG = CURRENT

ªU?X?«¬$=TvX?®Y¯¤Z>!

ªU?X?«¬$=TvX?®Y¯¤Z>!

"j"!

ªU?X?klm=TvX?/>/Bð®´2úZv?@'hÃuÒ[U/B345678'áâ´«El

ªU?X?BHÿEF9ú345678$YX?Y[U/Y¶UWZvX´«El>'ú=TvX?BHÿE

F9ú345678$YX?Y[U/B´úY$=_BhÃu¶«ElªU?X?9=TvX?YýB

HÿEF./$¶Ã«åilvÛþ$´¬GHLElýGH´úý'ËEF[U/8¶FbúY[U

/$UWZvXÚÛ«åil¢ú]blacklist$ú_whitelistBõ'´«El !

® º«¬$\U/¼¦>¼Bð®´2pBHÿEF9úAû°ÞªU?X?BF}´«ElYßY?]d"#\J5#e\@

GH8ÚÛ«El !

ªU?X?klm=TvX?/>/$úePÚ=ÍÎBð®´2ú[U/Ë «ÝXYËBHÿ´«El«¬ú

/>/$úGHXWéj'«Û21F./8¶Ã«El¢ú[monitor://]L$úvYXWé¤W§

>*/ÈW?>©$ÚÛ«El !

Z>pBªU?X?«¬$=TvX?''÷EF"Ã'úKHYUW?B[/´úJÞFt->«

¬$UWZvX'£¤L1«ElJÞFt->YUW?Y[/W9/>uWklmUW?Y"ÖY

UWZvXY/>uW'012 ´µk0¶µ{Ú1ú«¬úv>TÍäBð®´2ú[U/Xu'

ÚÛ¬91'345678'5D°'UWZvXEF[U/9UWZvX´Þ1[U/BÌ&HÿL1«El !

ªU?X?klm=TvX?YÈW?>BúeÞÞePÚ=ÍÎLHÿ´«El! ÅºÆU/¼¦>¼$Ñ>

?ÚÛ21«åil!

ªU?X?§ä©[U/!

345678LÛ°'UWZvXEF[U/BHÿEF'$ú¤¥YTUWBú /local/inputs.conf[U/Y

monitorXWé'´«El!

_whitelist = $YOUR_CUSTOM_REGEX

¢ú345678'(5cOpqrY[U/Y¶Úå¬1bú !

[monitor:///mnt/logs]

_whitelist = ¥.log$

! “Ù”§Xï©A.rBð®EF9úÅÆY[U/B)ÇLªU?X?'ö÷L1«El¢úquery.log OR my.log

BÒ[U/ËBªU?X?'ö÷EF'$ú !

_whitelist = query¥.log$|my¥.log$

«¬$úeÞÞËBªU?X?'ö÷EF'$ú !

_whitelist = /query¥.log$|/my¥.log$

® Å©ÆBePÚ=')|2TUWYÃBâ´«El ÅÙÆA.rYß'$0$¶Ã«åil !

=TvX?§©[U/!

345678YUWZtWLôWEF[U/BHÿEF'$ú¤¥YTUWBúYp8HÿÚÛF AppY

/lo

Documents

Admin Manual-4.0.3 Japanese - Splunk · 2009. 10. 19. · *+,-./’012((((()! 3456789$((((()! =>?@a’345678bcdefgh(((((