Collector for Windows のログを収集する 🔗
Universal Forwarderを使用してログをSplunkプラットフォームに送信します。詳しくは Collector で Splunk Universal Forwarder を使用する を参照してください。
FluentdによりWindowsログを収集する 🔗
Fluentd はデフォルトでは無効になっています。
Fluentd でターゲットホストのログを収集したい場合は、Collector をインストールするときに with_fluentd = 1
オプションを使用して Fluentd をインストールして有効化します。
例:
& {Set-ExecutionPolicy Bypass -Scope Process -Force; $script = ((New-Object System.Net.WebClient).DownloadString('https://dl.signalfx.com/splunk-otel-collector.ps1')); $params = @{access_token = "<SPLUNK_ACCESS_TOKEN>"; realm = "<SPLUNK_REALM>"; with_fluentd = 1}; Invoke-Command -ScriptBlock ([scriptblock]::Create(". {$script} $(&{$args} @params)"))}
有効にすると、Fluentdサービスはデフォルトで、@SPLUNK
ラベルのログイベントを収集し、Collector に転送するように設定され、Collector は realm = "<SPLUNK_REALM>"
オプションで決定されたHECインジェスト・エンドポイントにこれらのイベントを送ります。例えば、https://ingest.<SPLUNK_REALM>.signalfx.com/v1/log
。
<SPLUNK_ACCESS_TOKEN>
と異なるトークンを持つカスタム HTTP Event Collector (HEC) エンドポイント URL にログイベントを送信するようにパッケージを構成するには、インストーラ・スクリプトに次のパラメータを指定します:
hec_url = "<SPLUNK_HEC_URL>"
hec_token = "<SPLUNK_HEC_TOKEN>"
例(コマンドの <SPLUNK...>
の値は、コンフィギュレーションに合わせて置き換えてください):
& {Set-ExecutionPolicy Bypass -Scope Process -Force; $script = ((New-Object System.Net.WebClient).DownloadString('https://dl.signalfx.com/splunk-otel-collector.ps1')); $params = @{access_token = "<SPLUNK_ACCESS_TOKEN>"; realm = "<SPLUNK_REALM>"; hec_url = "<SPLUNK_HEC_URL>"; hec_token = "<SPLUNK_HEC_TOKEN>"}; Invoke-Command -ScriptBlock ([scriptblock]::Create(". {$script} $(&{$args} @params)"))}
インストールは、メインの fluentd 設定ファイル <drive>\opt\td-agent\etc\td-agent\td-agent.conf
を作成します。<drive>
は、fluentd インストールディレクトリのドライブ文字です。
インストール後、<drive>\opt\td-agent\etc\td-agent\conf.d
ディレクトリにカスタム fluentd ソース設定ファイルを追加することができます。
次のことに注意してください:
このディレクトリでは、fluentd は拡張子が .conf のファイルをすべて含みます。
デフォルトでは、fluentd は Windows イベントログから収集します。デフォルトの設定は
<drive>\opt\td-agent\etc\td-agent\conf.d\eventlog.conf
を参照してください。
構成を変更したら、システムを再起動するか、以下のPowerShellコマンドを実行して変更を適用します:
Stop-Service fluentdwinsvc
Start-Service fluentdwinsvc