Docs » Splunk Log Observer » Log Observer をセットアップする

Log Observer をセットアップする 🔗

注釈

Splunk Observability Cloud の Splunk Log Observer エンタイトルメントをお持ちのお客様は、2023年12月までに Log Observer から Log Observer Connect に移行する必要があります。Log Observer Connect を使用すると、より多様なデータソースからより多くのログをインジェストし、より高度なログパイプラインを利用し、セキュリティロギングに拡張できます。その方法については、Splunk Log Observer の移行 を参照してください。

Complete the instructions on this page if you have a Log Observer entitlement in Splunk Observability Cloud. If you don’t have a Log Observer entitlement in Splunk Observability Cloud, see Splunk Log Observer Connectの概要 to set up the integration and begin using Log Observer to query your Splunk platform logs.

By default, Log Observer indexes and stores all logs data that you send to Splunk Observability Cloud unless you choose to archive some of your logs data in Amazon S3 buckets. See 無限のロギングルールでログをアーカイブする to learn how to archive logs until you want to index and analyze them in Log Observer. If you use Log Observer Connect, your logs data remains in your Splunk platform instance and is never stored in Log Observer or Splunk Observability Cloud.

どのようなデータに対応していますか? 🔗

Splunk Log Observer は、取り込み時に非構造化ログデータをサポートします。

前提条件 🔗

Log Observerを設定する前に、以下の条件を満たす必要があります:

  • Your Splunk Observability Cloud organization must be provisioned with an entitlement for Log Observer.

  • You must be an administrator in a Splunk Observability Cloud organization to set up integrations.

Log Observer の使用を開始する 🔗

You can use Splunk Observability Cloud guided setups to send logs to Log Observer from your hosts, containers, and cloud providers. Use the Splunk Distribution of OpenTelemetry Collector to capture logs from your resources and applications. Decide whether you want to see logs from each data source, only one, or any combination of data sources. The more complete your log collection in Log Observer, the more effective your use of Log Observer can be for troubleshooting your entire environment using logs. You can complete step 1, step 2, or both in the following list, depending on which logs you want to see.

Log Observerの使用を開始するには、以下のタスクを完了します:

  1. ホストとコンテナからログを収集する

  2. クラウドプロバイダーからログを収集する

  3. Log Observerでデータをフィルタリングして集計する

  4. 重大度キーが正しくマッピングされていることを確認します。

ホストとコンテナからログを収集する 🔗

ホストやコンテナのログをLog Observerに送信するには、以下の手順に従ってください:

  1. Splunk Observability Cloud にログインします。

  2. In the left navigation menu, select Data Management.

  3. Go to the Available integrations tab, or select Add Integration in the Deployed integrations tab.

  4. Select the tile for the platform you want to import logs from. You can select Windows, Kubernetes, or Linux. The guided setup for your platform appears.

  5. セットアップガイドの指示に従って、Log Observerでデータをフィルタリングして集計する を参照してください。

データソースからLog Observerに入ってくるデータを確認した後、別のデータソースからログを送信したり、セットアップしたばかりのプラットフォームからログの分析を続行したりすることができます。

クラウドプロバイダーからログを収集する 🔗

アマゾン ウェブ サービス 🔗

アマゾン ウェブ サービスからLog Observerにログを送信するには、以下の手順に従ってください:

  1. Splunk Observability Cloud にログインします。

  2. In the left navigation menu, select Data Management.

  3. Go to the Available integrations tab, or select Add Integration in the Deployed integrations tab.

  4. Cloud Integrations セクションで、「アマゾン ウェブ サービス」タイルを選択します。

  5. セットアップガイドの指示に従って、Log Observerでデータをフィルタリングして集計する を参照してください。

AWS接続の設定については、AWS ログを Splunk プラットフォームに送信する および Available CloudFormation and Terraform templates を参照してください。

Google Cloud Platform 🔗

Google Cloud PlatformからLog Observerにログを送信するには、GCP ログを Splunk プラットフォームに送信する の説明に従い、Log Observerでデータをフィルタリングして集計する を参照してください。

Microsoft Azure 🔗

Microsoft AzureからLog Observerにログを送信するには、Azure ログを Splunk プラットフォームに送信する の説明に従い、Log Observerでデータをフィルタリングして集計する を参照します。

データソースからLog Observerに入ってくるデータを確認した後、別のデータソースからログを送信したり、セットアップしたばかりのクラウドプロバイダーからログの分析を続行したりすることができます。

注釈

すでに Fluentd や Fluent Bit を導入している場合は、Log Observer にログを送るように設定できます。しかし、Fluentd や Fluent Bit を使うときには、以下のことに注意することが重要です:

  • 独自のFluentdまたはFluent Bitエージェントによってキャプチャされたログには、APMとインフラストラクチャ監視で利用可能な他の関連ソースにログデータを自動的にリンクするリソースメタデータが含まれていません。

  • Log Observer にログデータを送信する方法は複数ありますが、Splunk が直接サポートしているのは、Splunk distribution of OpenTelemetry Collector のみです。

それでもなお、Fluentd を使ってログを Log Observer に送りたい場合は、ログを送るために Fluentd を設定する を参照してください。

Log Observerでデータをフィルタリングして集計する 🔗

いくつかのログを収集した後、フィルターと集約を使用して、Log Observerでログを効率的にナビゲートします。ログデータをフィルタリングし、集約することで、Log Observerがログを正しく処理し、インデックス化していることを確認できます。

Log Observer インターフェースを使用して、キーワードまたはフィールドに基づいてログをフィルタリングできます。データをフィルターするには、以下の手順に従います:

  1. フィルターを追加する を選択します。

  2. キーワードを含むログを検索するには、キーワード タブを選択し、キーワードを入力します。

  3. 特定のフィールドを含むログを検索するには、フィールド タブを選択し、フィールドを検索 にフィールドを入力し、リストから選択します。役立つ場合は、指定したフィールドの値を入力できます。

  4. 入力したキーワード、フィールド、またはフィールド値を含む結果のみを表示するには、該当するエントリの横にある等号(=)を選択します。入力したキーワード、フィールド、またはフィールド値を除外した結果のみを表示するには、該当するエントリの横にある等しくない記号(!=)を選択します。

結果のログは、ログテーブルに表示されます。さらにフィルターを追加したり、既存のフィルターを有効または無効にしたり、個々のログを選択して詳細を知ることができます。

ログに対して集計を実行し、ログに関連する平均、合計、その他の統計値を表示するヒストグラムで問題を視覚化します。集計は、関連するデータを1つのフィールドでグループ化し、他のフィールドで統計計算を実行します。Log Observer UIの上部にあるコントロールバーで集計コントロールを見つけます。デフォルトの集計は、すべてのログを重大度別にグループ化して表示します。

その他の集計方法については、ログ集計を使用してフィールドごとにログをグループ化する を参照してください。

Ensure correct mapping of severity key 🔗

重大度キーはすべてのログに含まれるフィールドです。これは DEBUGERRORINFOUNKNOWNWARNING の値を持つ。多くのログの severity フィールドは level と呼ばれるため、Log Observer は自動的にログフィールド levelseverity にリマップします。

ログが severity キーを別の名前で呼んでも問題ありません。Log Observerがあなたのフィールドを読めるようにするには、フィールドコピープロセッサーを使ってフィールド名を severity 。方法については フィールドコピープロセッサー を参照してください。

ログを送信するようにFluentdを設定する 🔗

お使いの環境で既に Fluentd を実行している場合は、ログを追加出力に送信するように再設定できます。現在のシステムに加えて Splunk Observability Cloud にもログを送信するには、以下の手順に従います:

  1. Fluentd用のHECプラグインがインストールされていることを確認してください。

    オプションA
    fluent-plugin-splunk-hec の説明に従って、プラグインをインストールし、Fluentd を再構築します。
    オプションB
    HECプラグインが含まれている既存のFluentd dockerイメージを使います。このイメージを得るには
    docker pull splunk/fluentd-hec を入力します。
    詳しくは、Fluentd docker image with HEC plugin included を参照してください。

  2. HEC出力を追加します。別の出力セクションを追加して、Fluentd の設定を変更します。新しい HEC 出力セクションは、Splunk の SignalFx Observability インジェストエンドポイントを指します。

    例えば、elasticsearchへの出力が1つの場合、以下の手順に従ってください:

    • 試合セクションの type@elasticsearch から @copy に変更します。

    • <store> ブロックに elasticsearch を入力します。

    • HEC出力用にもう一つ <store> ブロックを追加します。

    以下は @elasticsearch への出力例です:

    <match **>
   @type elasticsearch
   ...
   <buffer>
   ...
   </buffer>
</match>

  3. @elasticsearch の出力を以下のように変更します:

    <match **>
   @type copy
   <store>
     @type elasticsearch
     ...
     <buffer>
     ...
     </buffer>
   </store>
   <store>
     @type splunk_hec
     hec_host "ingest.<SIGNALFX_REALM>.signalfx.com"
     hec_port 443
     hec_token "<SIGNALFX_TOKEN>"
     ...
     <buffer>
     ...
     </buffer>
   </store>
</match>

  4. splunk_hec の新しい <store> セクションで、少なくとも以下のフィールドを指定します:

    • hec_host - HECインジェストホスト(例えば、ingest.us1.signalfx.com hec_port )を443に設定します。

    • hec_token - SignalFxのアクセストークンを入力します。

  5. 以下のパラメータを指定します:

    • sourcetype_key または sourcetype - 特定のログフィールドまたは静的値を使用して、ログのソースタイプを定義します。

    • source_key または source - 特定のログフィールドまたは静的値を使用して、ログのソースを定義します。

  6. HEC 出力のためのバッファ構成を設定します。以下はメモリバッファを使用した例です:

    <buffer>
  @type memory
  chunk_limit_records 100000
  chunk_limit_size 200k
  flush_interval 2s
  flush_thread_count 1
  overflow_action block
  retry_max_times 10
  total_limit_size 600m
</buffer>

バッファ設定の詳細については、バッファについて を参照してください。

その他のオプションフィールドについては、HEC exporter documentation を参照してください。

This page was last updated on 2024年05月28日.