Splunk から未処理データをインポートする手順

1.次のいずれかを実行します。

  • Splunk 検索コマンドを使用して、Sumo のソース設定に一致するメッセージ (複数行の検出、タイムゾーン設定など。たとえば、Unix ログに一致するメッセージや Windows ログに一致するメッセージなど) のグループを返すクエリを作成します。続いて、「-output rawdata」オプションを付けて「splunk search」コマンドを (コマンドラインで) 使用してこれらのメッセージを個別のファイルにエクスポートします (シンプルなリダイレクトあり)。次に、Sumo Logic によって取得されるように各ファイルを設定できます。

  • Splunk「export eventdata」コマンドを使用します。これにより、自動的にインデックス用に元の未処理ファイルのコピーが作成されます。続いて、これらの中からコレクタ ソースを使用して Sumo Logic に取り込むものを選択し、必要に応じてそれぞれを設定できます。 

2.エクスポートしたばかりのディレクトリからログを取得するように Sumo Logic ソースを設定します。