【Splunk】検索モードの違い(高速モード , スマートモード , 詳細モード)
作成日:2020/06/12
検索モードである高速 , スマート , 詳細の違いに関して説明します。
(1)高速モード
デフォルトフィールと検索に必要なフィールとのみが抽出対。設定の有無にかかわらず自動抽出を行わない分高速。
実運用フェーズで使用するケースが多い。
(2)スマートモード(デフォルト)
抽出可能なすべてのフィールとを抽出。自動抽出は変換コマンドの有無により決定される。
(3)詳細モード
抽出可能なすべてのフィールとを抽出。設定の有無にかかわらず自動抽出を行う。
テスト時、検証時、PoC時などまだログのフォーマットやどのようなことが記録されているか分からない場合にこのモードでログを調査する場合が多い。遅いので実運用向きではない。
SPLUNK Siem のよくある質問�
個人的に独自に調査した事項をまとめています。各ベンダーとは全く関係がありません。
内容に誤りがある場合や情報が古くなっている場合があります。その場合でも修正されるとは限りません。
参考としてサイト閲覧ください。万が一誤りがあり損失等が発生しても保証しません。あくまでも自己責任でサイトを閲覧ください。