Docs » Splunk Log Observer Connect » Log Observer Connectセットアップをトラブルシューティングする

Log Observer Connectセットアップをトラブルシューティングする 🔗

このトピックは、Log Observer Connect の管理者とユーザーが、Log Observer Connect で Splunk プラットフォームインデックスを検索する際に発生する可能性のある問題を解決するのに役立ちます。

Log Observer Connect ユーザーに未承認の Splunk プラットフォームインデックスが表示される 🔗

Log Observer Connect で検索すると、Log Observer Connect ユーザーが許可されていない Splunk Enterprise または Splunk Cloud Platform インデックスが表示される場合があります。

原因 🔗

すべての Splunk Enterprise および Splunk Cloud Platform ユーザーは、デフォルトですべてのインデックスを一覧表示できます。ただし、authorize.confindexes_list_all 機能が有効になっている場合、すべてのインデックスへのアクセスはこの機能を持つロールのみに制限されます。

Log Observer Connect ユーザーに許可されていないインデックスが Log Observer Connect に表示される場合は、Splunk Enterprise または Splunk Cloud Platform の管理者に連絡してください。

解決策 🔗

Log Observer Connect ユーザーの Splunk プラットフォームインデックスを制限するには、Splunk Enterprise または Splunk Cloud Platform 管理者は以下の手順を実行する必要があります:

  1. Splunk プラットフォームインスタンスの管理者としてログインします。

  2. Splunk Cloud Platform 管理者はこのステップを省略できます。Splunk Enterprise インスタンスに indexes_list_all 機能が存在しない場合は、 authorize.conf[capability::indexes_list_all] スタンザを作成します。 authorize.conf で設定を行うと、すべてのロールに対して indexes_list_all 機能が非アクティブになります。その後、管理者は UI または authorize.conf で選択したロールにこの機能を追加できます。

  3. admin ロールおよびインデックスにアクセスする必要があるその他のロールの indexes_list_all 機能を有効にします。ロールに機能を追加する方法の詳細については、Define roles on the Splunkのプラットフォームで役割に機能を定義する を参照してください。

  4. Settings > Roles にアクセスし、Log Observer Connect サービスアカウントのロール名をクリックします。

  5. Capabilities タブで、indexes_list_all を選択解除し、Log Observer Connect ユーザーがすべての Splunk プラットフォームインデックスを参照できないようにします。

接続はうまくいっているようですが、ログがありません。 🔗

原因 🔗

Splunk プラットフォームインスタンスのインデックスにログが含まれていません。または、Log Observer Connect で特定のインデックスを選択していません。

解決策 🔗

ログを含む Splunk プラットフォームインスタンスのインデックスを選択します。Log Observer Connect で特定のインデックスを選択します。

接続は機能しているように見えますが、必要なインデックスが選択できません。 🔗

この問題には2つの原因が考えられます。

原因1 🔗

内部インデックスをターゲットにしようとしています。

解決策 1 🔗

内部インデックスをターゲットにしようとしないでください。内部インデックスは」_internal 「のように」_」で始まります。内部インデックスは Log Observer Connect と互換性がありません。

原因 2 🔗

孤児アプリのインデックスを選択しています。

解決策 2 🔗

孤児アプリで定義されたインデックスが、RESTエンドポイント/services/data/indexesに表示されません。取り残されたアプリで定義されたインデックスを別の indexes.conf に移動します。Splunk Cloud Platform では、Splunk サポートからの支援が必要です。Splunk Enterprise では、サーバーのコマンドラインにアクセスする必要があります。

This page was last updated on 2024年02月05日.