Docs » Splunk Log Observer » Splunk Log Observer の移行

Edit this page
Learn how

---

Splunk Log Observer の移行

現在 Splunk Observability クラウドにログデータを送信しているすべての Splunk Log Observer のお客様は、2023 年 12 月末までにログの中心プラットフォームとして Splunk Cloud Platform または Splunk Enterprise を使用するように移行する必要があります。Splunk Observability Cloud は、Splunk Observability Cloud と Splunk Cloud Platform 間のブリッジとして Splunk Log Observer Connect を使用し、Log Observer の機能とユーザーエクスペリエンスを引き続きサポートします。ログストレージのバックエンドとして Splunk Cloud Platform または Splunk Enterprise のいずれかを Splunk プラットフォームに移行しても、Splunk Observability Cloud を使用してログ、メトリクス、トレースを相関させる機能に影響はありません。

Splunk プラットフォームを使用することで、さまざまなデータソースからより多くのログをインジェストし、より高度なログパイプラインを使用し、セキュリティのユースケースにログを使用することができます。

Log Observer Connectへの移行方法

Splunk Log Observer Connect に移行するには、以下の手順を実行する必要があります：

1. Splunkの地域営業担当者にご連絡の上、移行のサポートをご依頼ください。期限は2023年11月15日です。

2. Splunk プラットフォームインスタンスを Log Observer Connect インスタンスに接続します。Splunk プラットフォームの導入タイプに応じて、Splunk Cloud Platform 向けに Log Observer Connect をセットアップする または Splunk Enterprise 向けに Log Observer Connect をセットアップする を参照してください。

3. Splunk Cloud Platform を導入している場合は、HEC トークンを設定して既存の Log Observer ログを Splunk Cloud Platform に転送またはミラーリングします。方法については Log Observer のログデータを Splunk プラットフォームに転送する を参照してください。

ログデータ転送を確認する

前述の手順を完了すると、Log Observer と Splunk platform インスタンスの両方に30日間データを保存できます。この30日間の間に、Log Observer Connect から Splunk プラットフォームインスタンスに保存されたデータが Log Observer のデータと一致していることを確認できます。この間、機能が中断されることはありません。

移行後のロギングでの変更

Log Observer Connectへの移行後、以下のロギング機能が変更されます：

• .ログ処理ルール

• 無限のロギングルール

• 検索時処理ルール

• Live Tail

ログ処理ルール

既存のログ処理ルールを引き続き使用することができます。詳細については、ログ処理ルールでデータを変換する を参照してください。既存のログ処理ルールをオフにしたりオンにしたりすることができます。ただし、新しいログ処理ルールを作成したり、既存のルールを編集したりすることはできません。

今後は、以下の方法で Splunk プラットフォームのデータを処理できます：

処理方法	ドキュメント
フィールド抽出	フィールド抽出器を使ったフィールド抽出の構築 を参照してください。
インジェストアクション	データ入力プロセスを改善するためにインジェストアクションを使用します。
.conf 設定	イベント処理の概要 を参照してください。
Edge プロセッサー	エッジプロセッサーの解決策について を参照してください。
データストリームプロセッサー	データストリームプロセッサーの使用 を参照してください。

無限のロギングルール

既存の無限のロギングルールを引き続き使用することができます。詳細については、無限のロギングルールでログをアーカイブする を参照してください。既存の無限のロギングルールをオフにしたりオンにしたりすることができます。ただし、新しい無限のロギングルールを作成したり、既存のルールを編集したりすることはできません。

今後、Splunk の担当者と以下のデータストレージのタイプについて相談し、組織に最適なオプションを決定してください：

ストレージタイプ	ドキュメント
ダイナミックデータアクティブアーカイブ	期限切れの Splunk Cloud Platform データを Splunk が管理するアーカイブに保存する を参照してください
ダイナミックデータセルフストレージ	プライベートアーカイブに期限切れの Splunk Cloud Platform データを保存します。
インジェストアクション	データ入力プロセスを改善するためにインジェストアクションを使用します。

検索時処理ルール

Log Observer Connect UIでは、検索時間処理ルールは使用できません。検索時間ルールは、履歴データ全体にログ処理ルールを適用することです。詳細は 過去のデータに処理ルールを適用する を参照してください。

今後、Splunk Cloud Platform での検索時のデータ処理には、以下の方法を利用できます：

検索時処理方法	ドキュメント
フィールドエクストラクター	フィールド抽出器を使ったフィールド抽出の構築 を参照してください。
フィールドエイリアス	Splunk Web でフィールドエイリアスを作成する を参照してください。

Live Tail

Log Observer の Live Tail 機能は2024年1月に終了します。Splunk Cloud Platform では、時間範囲ピッカーを All time (real-time) または 30 second window に調整することで、同様の機能を実現できます。ライブイベントはプロンプトなしでストリームされないため、最新のログイベントを表示するには、再度 Search を選択して検索を再実行する必要があります。詳細については、検索に適用する時間範囲を選択する を参照してください。

This page was last updated on 2024年02月29日.

---

❮

Previous

Splunk Log Observer

Next

Log Observer のログデータを Splunk プラットフォームに転送する

❯

---

• API docs
• Blog
• Training
• Free Trial