Docs » Splunk Log Observer » Log Observer のログデータを Splunk プラットフォームに転送する

Log Observer のログデータを Splunk プラットフォームに転送する 🔗

注釈

Splunk Observability Cloud の Splunk Log Observer エンタイトルメントをお持ちのお客様は、2023年12月までに Log Observer から Log Observer Connect に移行する必要があります。Log Observer Connect を使用すると、より多様なデータソースからより多くのログをインジェストし、より高度なログパイプラインを利用し、セキュリティロギングに拡張できます。その方法については、Splunk Log Observer の移行 を参照してください。

Log Observer への移行により、お客様は Log Observer でログを分析する機能を維持したまま、Splunk プラットフォームで Log Observer ログを分析できるようになります。現在 Log Observer をご利用のお客様は、Log Observer のログデータを Splunk プラットフォームの単一インスタンスの単一インデックスに転送できます。Splunk Observability Cloud は、新しい受信 Log Observer ログデータを Log Observer に保存するだけでなく、Splunk プラットフォームに転送するために HEC トークンを使用します。

Log Observer から Splunk プラットフォームにログデータを転送するには、以下を実行する必要があります:

  1. Splunk プラットフォームで HEC インジェストトークンを作成する

  2. Splunk Observability Cloud で HEC への接続を認証する

Splunk プラットフォームで HEC インジェストトークンを作成する 🔗

以下の手順に従って、Splunk プラットフォームで HEC インジェストトークンを作成してください:

  1. Splunk platform インスタンスにログインし、Settings を選択します。

  2. Add Data > Monitor > HTTP Event Collector を選択します。

  3. Name フィールドに、トークンの名前を入力します。

  4. (オプション) Source name override フィールドでは、イベントデータのソースにカスタム名を入力できます。ソースフィールドには、ログファイルパス、ネットワークデバイス、またはログイベントを生成するアプリケーションなどの自動的に生成された情報が含まれますが、ソース名の値を上書きすることができます。

  5. (オプション) Description フィールドに、ログデータの説明を入力します。

  6. (オプション) このトークンのインデックス確認応答を有効にする場合は、Enable indexer acknowledgment を選択し、Next を選択します。Indexer acknowledgement はデータ転送の適時性に影響を与える可能性があり、Splunk は Log Observer 転送のユースケースには推奨していません。

  7. ソースの種類が正しいことを確認します。

  1. Log Observer ログデータのインデックスが Allowed indexes リストにあることを確認し、デフォルトインデックスとして選択します。Log Observer ログデータ用の新しいインデックスを作成するのがベストプラクティスです。

  • ソースタイプとインデックスの詳細については、入力設定の変更 を参照してください。

  1. Review を選択し、HECエンドポイントのすべての設定が希望通りであることを確認します。

  2. すべての設定が正しければ、Submit を選択します。そうでない場合は、Back を選択して変更します。

  3. Splunk Web が表示するトークン値をコピーし、HEC Ingest Token フィールドに貼り付けます。次のセクションで使用する必要があります。

  4. (オプション) 新しいトークンの Splunk platform インスタンスへのデプロイの進捗を確認したい場合は、Splunk platform トークンの設定ページで Track deployment progress を選択します。ステータスが 「完了」 になったら、トークンを使用して Log Observer データを送信できます。

Splunk Cloud または Splunk Enterprise 用の HEC Ingest トークンの詳細については、Splunk Web の HTTP Event Collector のセットアップと使用を参照してください。

Splunk Observability Cloud の IP アドレスを許可リストに追加する 🔗

Splunk Cloud Platform の管理者は、Splunk Observability Cloud の IP アドレスを Splunk Cloud Platform の許可リストに追加する必要があります。方法については Configure IP allow lists using Splunk Web を参照してください。

Log Observer Connect をすでに設定している場合は、必要な IP アドレスはすでに追加されているため、追加する必要はありません。Log Observer Connect を設定していない場合は、以下の IP アドレスを Splunk Cloud Platform の許可リストに追加します:

レルム

IPアドレス

us0
34.199.200.84/32
52.20.177.252/32
52.201.67.203/32
54.89.1.85/32

us1
44.230.152.35/32
44.231.27.66/32
44.225.234.52/32
44.230.82.104/32

eu0
108.128.26.145/32
34.250.243.212/32
54.171.237.247/32

Splunk Observability Cloud で HEC への接続を認証する 🔗

以下の手順に従って、HECへの接続を認証してください:

  1. Splunk Observability Cloud にログインし、Settings を選択してから、Forward Logs Data を選択します。

  2. Enter your HEC details セクションに、Splunk プラットフォームインスタンスの URL とポート、前のセクションで作成した HEC Ingest トークンの値を入力します。

  3. Save and Activate を選択すると、新しい受信 Log Observer ログデータを Log Observer に保存するだけでなく、Splunk プラットフォームにも転送するようになります。

HEC インジェストトークンが機能し、Splunk Observability Cloud がログを正常に転送していることを確認するには、Splunk プラットフォームインスタンスの Search & Reporting にアクセスし、前のセクションのステップ 8 で選択したインデックスに Splunk Observability Cloud からのログが表示されていることを確認します。転送されたログを Splunk Observability Cloud で引き続き操作するには、Log Observer Connect を使用して、転送されたログを含む Splunk プラットフォームインデックスに接続します。

トラブルシューティング 🔗

Log Observer のログが Splunk プラットフォームインスタンスに表示されない場合は、提供した Splunk プラットフォームインスタンスの URL と HEC トークンを確認して再度試すか、カスタマーサポートにお問い合わせください。

HECトークンを更新するには、Deactivate Forwarding を選択し、トークンを更新してから、Reactivate Forwarding を選択します。

Deactivate Forwarding を選択すると、Log Observer はログを Splunk プラットフォームに転送しなくなります。

This page was last updated on 2024年01月22日.