Splunk Add-on for Cisco Merakiのログ取得時の遡り期間は、ログの種別に応じて2パターンあります。
Add-onでの
Inputs
の設定時に、AuditログはStart from
でログ取得の遡り期間を指定可能で初回のみ適用されます。Audit以外のログ種別は
Inputs
を初めて設定したタイミングから過去24時間以内が遡り期間となります。
設定の見え方
Add-onの Inputs
設定では、Auditログのみ Start from
が指定できます。
情報源
ログ取得時の遡り期間は、下記のドキュメントに記載があります。
Start from
の情報より。Field Description Start from Available only for "Audit" input and applicable only for the first time. Indicates the number of days in the past this add-on should get data from. If not set, default is 1. 注釈の情報より。
When you enable the input for the first time, the add-on collects historical event data for 24 hours in the past by default, or starts collection at a different time based on what you configured on the setup page (applicable only for "Audit" input).
考慮点
Audit以外のログは遡り期間が限定的なので、必要なログの取り逃しに発展しないように留意してください。
補足ですが、Meraki Dashboard APIの Get Organization Appliance Security Events
では24時間を超えて遡り期間を指定可能であるため、Splunk Add-on for Cisco Merakiの挙動と混同しないように留意してください。