My Home NW Lab

逸般の誤家庭のネットワーク

Splunk Add-on for Cisco Merakiのログ取得時の遡り期間

Splunk Add-on for Cisco Merakiのログ取得時の遡り期間は、ログの種別に応じて2パターンあります。

  1. Add-onでの Inputs の設定時に、Auditログは Start from でログ取得の遡り期間を指定可能で初回のみ適用されます。

  2. Audit以外のログ種別は Inputs を初めて設定したタイミングから過去24時間以内が遡り期間となります。

設定の見え方

Add-onの Inputs 設定では、Auditログのみ Start from が指定できます。

Auditログの Start from 設定

情報源

ログ取得時の遡り期間は、下記のドキュメントに記載があります。

docs.splunk.com

ログ取得時の遡り期間の記述

  • Start from の情報より。

    Field Description
    Start from Available only for "Audit" input and applicable only for the first time. Indicates the number of days in the past this add-on should get data from. If not set, default is 1.
  • 注釈の情報より。

    When you enable the input for the first time, the add-on collects historical event data for 24 hours in the past by default, or starts collection at a different time based on what you configured on the setup page (applicable only for "Audit" input).

考慮点

Audit以外のログは遡り期間が限定的なので、必要なログの取り逃しに発展しないように留意してください。

Splunk Add-on for Cisco Merakiのログ取得時の遡り期間

ログ種別: Organization Security の遡り期間の参考例

補足ですが、Meraki Dashboard APIGet Organization Appliance Security Events では24時間を超えて遡り期間を指定可能であるため、Splunk Add-on for Cisco Merakiの挙動と混同しないように留意してください。

関連記事

myhomenwlab.hatenablog.com