説明
正解は A です。ログ ファイルに、コンマなどの同じ文字で区切られた値がある場合です。
フィールド エクストラクタ (FX) は、Splunk Web のユーティリティで、正規表現または区切り文字を使用してイベントから新しいフィールドを作成できます。FX は、フィールド抽出の定義とテストの手順をガイドするグラフィカル インターフェイスを提供します1。
FX は、正規表現と区切りの 2 つのフィールド抽出方法をサポートしています。正規表現方法は、ログやメッセージなど、一貫した形式や構造を持たない非構造化イベント データに最適です。サンプル イベントを選択し、そのイベントから抽出する 1 つ以上のフィールドを強調表示すると、FX はデータ セット内の類似イベントに一致する正規表現を生成し、そこからフィールドを抽出します1。
区切り方式は、構造化イベント データ用に設計されています。構造化イベント データとは、イベント内のすべてのフィールドがコンマ、タブ、スペースなどの共通の区切り文字で区切られている、ヘッダー付きのファイルからのデータです。サンプル イベントを選択し、区切り文字を識別して、FX が検出したフィールドの名前を変更します1。
したがって、ログ ファイルの値が同じ文字 (たとえば、カンマ) で区切られている場合は、区切りフィールド抽出方法を選択します。この方法を使用すると、複雑な正規表現を記述しなくても、区切り文字に基づいてフィールドを簡単に抽出できます。
その他のオプションは、区切りフィールド抽出方法には適していないため、正しくありません。これらのオプションは次のとおりです。
B: ログ ファイルに空の行またはコメントが含まれている場合: このオプションは、ログ ファイルに構造化された形式または共通の区切り文字が含まれていることを示すものではありません。区切り方法は、一部のフィールドが欠落したり、不要な値が含まれていたりする可能性があるため、このタイプのデータではうまく機能しない可能性があります。
C: JSON や XML などの構造化ファイルの場合: このオプションでは区切り方式は必要ありません。Splunk はインデックス抽出または検索時抽出2 を使用して JSON または XML ファイルからフィールドを自動的に抽出できるためです。区切り方式は、ネストされた構造や特殊文字を認識しない可能性があるため、このタイプのデータではうまく機能しない可能性があります。
D: ファイルに構造や形式に関する情報を提供するヘッダーがある場合: このオプションは、ファイルのフィールド間に共通の区切り文字があることを示すものではありません。区切り方法は、ヘッダー情報に基づいてフィールドを識別できない可能性があるため、このタイプのデータではうまく機能しない可能性があります。
参考文献:
フィールド抽出ツールでフィールド抽出を構築する
インデックスフィールド抽出を構成する