Splunk Enterprise Data Administration

コースの目的
 

モジュール1 - データ管理の概要

• Splunkの概要
• Splunkデータ管理者ロールの確認

モジュール2 - データの取り込み：ステージング

• インデックスの4つのフェーズのリスト
• インプットオプションのリスト
• インプットの帯域設定の説明

モジュール3 - フォワーダーの設定

• 本番環境におけるインデクサーおよびフォワーダーの役割の理解
• ユニバーサルフォワーダーとヘビーフォワーダーの機能の理解
• フォワーダーの設定
• その他のフォワーダーオプションの確認

モジュール4 - フォワーダー管理

• フォワーダーマネージメントの使用の説明
• デプロイメントサーバーの説明
• デプロイメントAppsを使用したフォワーダーの管理
• デプロイメントクライアントの設定
• クライアントグループの設定
• フォワーダーマネージメントに関するアクティビティの監視

モジュール5 - モニターインプット

• ファイルとディレクトリのモニターインンプット作成
• モニターインプットに関するオプション設定の使用
• リモートモニターインプットの導入

モジュール6 - ネットワークおよびスクリプトインプット

• ネットワーク(TCPとUDP)インプットの作成
• ネットワークインプットのオプション設定の説明
• 基本的なスクリプトインプットの作成

モジュール7 - エージェントレスインプット

• Windowsのインプットの種類と使用の確認
• Splunkへデータを取り込む際に使用できるその他のオプションの理解
• HTTPイベントコレクター
• Splunk App for Stream

モジュール8 - インプットの微調整

• インプットフェーズ時に発生するデフォルト処理の理解
• インプットフェーズのオプション(ソースタイプの微調整と文字コードなど)の設定

モジュール9 - パーシングフェーズとデータ

• パーシング時に発生するデフォルト処理の理解
• イベントの改行の最適化と設定
• タイムスタンプおよびタイムゾーンが抽出されイベントに割り当てられる仕組みの説明
• データプレビューを使用した、パーシングフェーズ中のイベント作成の検証

モジュール10 - Rawデータの操作

• データ変換の定義方法と呼び出し方法の説明
• props.confおよびtransforms.confを利用する変換の使用
• インデックス時におけるRawデータをマスキングまたは削除
• イベント値に基づいたソースタイプまたはホストの上書き
• イベントのコンテンツに基づいた、特定のインデックスへのイベントのルーティング
• 不要なイベントのインデックス化の防止
• SEDCMDを使用したRawデータの編集

モジュール11 - ナレッジオブジェクトのサポート

• フィールドの抽出の作成
• KVストアのコレクションの設定
• ナレッジオブジェクト権限の管理
• 自動フィールド抽出の制御

モジュール12 - diagファイルの作成

• Splunk diagファイルの確認
• Splunk diagファイルの使用