Ingest Pipeline の作成

このセクションでは、Kubernetes AuditログをSplunk Observability Cloudワークショップ組織に送信されるメトリクスに変換するIngest Pipelineを作成します。

演習: Ingest Pipelineの作成

1. Splunk Showイベントで提供された接続情報を使用して、Ingest Processor SCS Tenant を開きます。

Launch Splunk Cloud Platform Launch Splunk Cloud Platform

Note

Ingest Processor SCS Tenant を開いた際、ウェルカムページに移動した場合は、Splunk Cloud Platform の下にある Launch をクリックして、Ingest Pipelineを設定するData Managementページに移動してください。

Launch Splunk Cloud Platform Launch Splunk Cloud Platform

2. Splunk Data Managementコンソールから PipelinesNew pipelineIngest Processor pipeline を選択します。

New Ingest Processor Pipeline New Ingest Processor Pipeline

3. Ingest Processor設定ページの Get started ステップで、Blank Pipeline を選択し、Next をクリックします。

Blank Ingest Processor Pipeline Blank Ingest Processor Pipeline

4. Ingest Processor設定ページの Define your pipeline’s partition ステップで、Partition by sourcetype を選択します。= equals Operatorを選択し、値として kube:apiserver:audit:USER_ID を入力します(USER_IDを割り当てられたUser IDに置き換えてください)。Apply をクリックします。

Add Partition Add Partition

5. Next をクリックします。

6. Ingest Processor設定ページの Add sample data ステップで、Capture new snapshot を選択します。Snapshot nameに k8s_audit_USER_ID と入力し(USER_IDを割り当てられたUser IDに置き換えてください)、Capture をクリックします。

Capture Snapshot Capture Snapshot

7. 新しく作成したスナップショット(k8s_audit_USER_ID)が選択されていることを確認し、Next をクリックします。

Configure Snapshot Sourcetype Configure Snapshot Sourcetype

8. Ingest Processor設定ページの Select a metrics destination ステップで、show_o11y_org を選択します。Next をクリックします。

Metrics Destination Metrics Destination

9. Ingest Processor設定ページの Select a data destination ステップで、splunk_indexer を選択します。Specify how you want your events to be routed to an index の下で、Default を選択します。Done をクリックします。

Event Routing Event Routing

10. Pipeline search field で、デフォルトの検索を以下に置き換えます。

Note

メトリクス名の UNIQUE_FIELD を、Observability Cloud でメトリクスを識別するために使用する一意の値(イニシャルなど)に置き換えてください。

/*A valid SPL2 statement for a pipeline must start with "$pipeline", and include "from $source" and "into $destination".*/
/* Import logs_to_metrics */
import logs_to_metrics from /splunk/ingest/commands
$pipeline =
| from $source
| thru [
        //define the metric name, type, and value for the Kubernetes Events
        //
        // REPLACE UNIQUE_FIELD WITH YOUR INITIALS
        //
        | logs_to_metrics name="k8s_audit_UNIQUE_FIELD" metrictype="counter" value=1 time=_time
        | into $metrics_destination
    ]
| eval index = "kube_logs"
| into $destination;
SPL2が初めてですか?

SPL2クエリが行っていることの内訳は以下の通りです:

  • まず、Kubernetesイベントをメトリクスに変換するために使用される組み込みの logs_to_metrics コマンドをインポートしています。
  • 右側に表示されている、kube:apiserver:audit sourcetypeからの任意のイベントであるソースデータを使用しています。
  • 次に、thru コマンドを使用して、ソースデータセットを次のコマンド(この場合は logs_to_metrics)に書き込みます。
  • メトリクス名(k8s_audit)、メトリクスタイプ(counter)、値、タイムスタンプがすべてメトリクスに提供されていることがわかります。イベントが発生した回数をカウントしたいため、このメトリクスには値として1を使用しています。
  • 次に、into $metrics_destintation コマンドを使用してメトリクスの宛先を選択します。これはSplunk Observability Cloud組織です。
  • 最後に、生のログイベントを別の宛先(この場合は別のインデックス)に送信できるため、アクセスが必要になった場合に保持されます。

11. 右上隅の Preview ボタン Preview Button Preview Button をクリックするか、CTRL+Enter(MacではCMD+Enter)を押します。Previewing $pipeline ドロップダウンから $metrics_destination を選択します。Splunk Observability Cloudに送信されるメトリクスのプレビューが表示されていることを確認します。

Preview Pipeline Preview Pipeline

12. 右上隅の Save pipeline ボタン Save Pipeline Button Save Pipeline Button をクリックします。パイプライン名に Kubernetes Audit Logs2Metrics USER_ID と入力し、Save をクリックします。

Save Pipeline Dialog Save Pipeline Dialog

13. 保存をクリックすると、新しく作成したパイプラインを適用するかどうか尋ねられます。Yes, apply をクリックします。

Apply Pipeline Dialog Apply Pipeline Dialog

Note

Ingest Pipelineは現在Splunk Observability Cloudにメトリクスを送信しているはずです。次のセクションで再び使用するため、このタブを開いたままにしておいてください。

次のステップでは、Splunk Observability Cloudで作成したメトリクスを表示して、パイプラインが動作していることを確認します。