［SPLUNK］特定のイベントID のイベントログを取り込まないようにする

Universal Forwarder では全てのイベントログを送っているけど、Splunk サーバ側でいらないイベントログを取り込まないようにするための設定です。

Splunk サーバの設定ファイルを編集します。

場所
C:\Program Files\Splunk\etc\system\local

inputs.conf

[WinEventLog://Security]
blacklist = 540,538

これが一番簡単なやり方です。


正規表現を使ってホスト、イベントIDを組み合わせたフィルタをしたいなら、props.conf と transforms.conf を組み合わせて設定します。（場所は上記の場所と一緒）

props.conf

[WinEventLog:Security]
TRANSFORMS-wineventlog-security = wineventlog_security_setnull

transforms.conf

[wineventlog_security_setnull]
REGEX = EventCode=(540|538)
DEST_KEY = queue
FORMAT = nullQueue

ファイルがなければ作成します。
※初期状態では props.conf や transforms.conf のファイルはなくて、inputs.conf / migration.conf / README / server.conf の４つのファイルだけがあります。


反対に特定のイベントログのみ取り込みたい場合には props.conf と transforms.conf を組み合わせて次のようにします。

props.conf

[WinEventLog:Security]
TRANSFORMS-wineventlog-security = wineventlog_security_setparsing,setnull

transforms.conf

[wineventlog_security_setparsing]
REGEX = EventCode=(540|538)
DEST_KEY = queue
FORMAT = indexQueue

[setnull]
REGEX = .
DEST_KEY = queue
FORMAT = nullQueue

nullQueue の使い方がさっきと逆になっています。
（先ほどは特定のイベント ID に対して nullQueue の設定をしましたが、今回は全体に対して nullQueue の設定＋特定のイベント ID のインデックスになっています。）

設定したら splunk サービスの再起動をします。

---

Splunk のページに戻る