Log Observer のログデータを Splunk プラットフォームに転送する 🔗
If you ingest logs into Log Observer, you can forward them to the Splunk platform for analysis, as well. You can only forward logs to a single index in a single instance of the Splunk platform. Splunk Observability Cloud uses an HEC token to forward new incoming Log Observer logs to the Splunk platform in addition to storing them in Log Observer.
Log Observer から Splunk プラットフォームにログデータを転送するには、以下を実行する必要があります:
Splunk プラットフォームで HEC インジェストトークンを作成する
Splunk Observability Cloud で HEC への接続を認証する
Splunk プラットフォームで HEC インジェストトークンを作成する 🔗
以下の手順に従って、Splunk プラットフォームで HEC インジェストトークンを作成してください:
Splunk platform インスタンスにログインし、Settings を選択します。
Add Data > Monitor > HTTP Event Collector を選択します。
Name フィールドに、トークンの名前を入力します。
(オプション) Source name override フィールドでは、イベントデータのソースにカスタム名を入力できます。ソースフィールドには、ログファイルパス、ネットワークデバイス、またはログイベントを生成するアプリケーションなどの自動的に生成された情報が含まれますが、ソース名の値を上書きすることができます。
(オプション) Description フィールドに、ログデータの説明を入力します。
(オプション) このトークンのインデックス確認応答を有効にする場合は、Enable indexer acknowledgment を選択し、Next を選択します。Indexer acknowledgement はデータ転送の適時性に影響を与える可能性があり、Splunk は Log Observer 転送のユースケースには推奨していません。
ソースの種類が正しいことを確認します。
Splunk Cloud Platform インスタンスに
olly_logs
アプリをインストールします。方法については、Splunk Cloud Platform デプロイメントでプライベートアプリを管理する を参照してください。
Observability Logs - prepackaged transformations 用のプライベートアプリパッケージを入手するには、サポートにお問い合わせください。
Log Observer ログデータのインデックスが Allowed indexes リストにあることを確認し、デフォルトインデックスとして選択します。Log Observer ログデータ用の新しいインデックスを作成するのがベストプラクティスです。
ソースタイプとインデックスの詳細については、入力設定の変更 を参照してください。
Review を選択し、HECエンドポイントのすべての設定が希望通りであることを確認します。
すべての設定が正しければ、Submit を選択します。そうでない場合は、Back を選択して変更します。
Splunk Web が表示するトークン値をコピーし、HEC Ingest Token フィールドに貼り付けます。次のセクションで使用する必要があります。
(オプション) 新しいトークンの Splunk platform インスタンスへのデプロイの進捗を確認したい場合は、Splunk platform トークンの設定ページで Track deployment progress を選択します。ステータスが 「完了」 になったら、トークンを使用して Log Observer データを送信できます。
Splunk Cloud または Splunk Enterprise 用の HEC Ingest トークンの詳細については、Splunk Web の HTTP Event Collector のセットアップと使用を参照してください。
Splunk Observability Cloud の IP アドレスを許可リストに追加する 🔗
Splunk Cloud Platform の管理者は、Splunk Observability Cloud の IP アドレスを Splunk Cloud Platform の許可リストに追加する必要があります。方法については Configure IP allow lists using Splunk Web を参照してください。
Log Observer Connect をすでに設定している場合は、必要な IP アドレスはすでに追加されているため、追加する必要はありません。Log Observer Connect を設定していない場合は、以下の IP アドレスを Splunk Cloud Platform の許可リストに追加します:
レルム |
IPアドレス |
---|---|
us0 |
34.199.200.84/32
52.20.177.252/32
52.201.67.203/32
54.89.1.85/32
|
us1 |
44.230.152.35/32
44.231.27.66/32
44.225.234.52/32
44.230.82.104/32
|
eu0 |
108.128.26.145/32
34.250.243.212/32
54.171.237.247/32
|
eu1 |
3.73.240.7
18.196.129.64
3.126.181.171
|
eu2 |
13.41.86.83
52.56.124.93
35.177.204.133
|
Splunk Observability Cloud で HEC への接続を認証する 🔗
以下の手順に従って、HECへの接続を認証してください:
Splunk Observability Cloud にログインし、Settings を選択してから、Forward Logs Data を選択します。
Enter your HEC details セクションに、Splunk プラットフォームインスタンスの URL とポート、前のセクションで作成した HEC Ingest トークンの値を入力します。
Save and Activate を選択すると、新しい受信 Log Observer ログデータを Log Observer に保存するだけでなく、Splunk プラットフォームにも転送するようになります。
HEC インジェストトークンが機能し、Splunk Observability Cloud がログを正常に転送していることを確認するには、Splunk プラットフォームインスタンスの Search & Reporting にアクセスし、前のセクションのステップ 8 で選択したインデックスに Splunk Observability Cloud からのログが表示されていることを確認します。転送されたログを Splunk Observability Cloud で引き続き操作するには、Log Observer Connect を使用して、転送されたログを含む Splunk プラットフォームインデックスに接続します。
トラブルシューティング 🔗
Log Observer のログが Splunk プラットフォームインスタンスに表示されない場合は、提供した Splunk プラットフォームインスタンスの URL と HEC トークンを確認して再度試すか、カスタマーサポートにお問い合わせください。
HECトークンを更新するには、Deactivate Forwarding を選択し、トークンを更新してから、Reactivate Forwarding を選択します。
Deactivate Forwarding を選択すると、Log Observer はログを Splunk プラットフォームに転送しなくなります。