［SPLUNK］IPアドレスで表示された host をホスト名表示にする

例えば Syslog で受信したログとかは検索結果の host の表示が IP アドレスになっていたりするので、それをホスト名表記になるようにします。

良い画像がないのですが、この部分の表示とかです。

Splunk サーバの設定ファイルを編集します。

場所
C:\Program Files\Splunk\etc\system\local

props.conf

[host::<IP_Address>]
TRANSFORMS-host_rename = host_<ServerA>

transforms.conf

[host_<ServerA>]
REGEX = .
DEST_KEY = MetaData:Host
FORMAT = host::<ServerA>

ファイルがなければ作成します。
※初期状態ではこの２つのファイルはなくて、inputs.conf / migration.conf / README / server.conf の４つのファイルだけがあります。

設定したら splunk サービスの再起動をします。

これで host のところが IP アドレスではなくて ServerA と表示されるようになります。

---

Splunk のページに戻る