Splunk Cloud Platform 向けに Log Observer Connect をセットアップする 🔗
Log Observer を Splunk Cloud Platform とインテグレーションして Log Observer Connect をセットアップします。Splunk Enterprise 環境で Log Observer Connect をセットアップする場合は、Splunk Enterprise 向けに Log Observer Connect をセットアップする を参照してください。
When you set up Log Observer Connect, your logs remain in your Splunk Cloud Platform instance and are accessible only to Log Observer Connect. Log Observer Connect does not store or index your logs data. There is no additional charge for Log Observer Connect.
注釈
Splunk Distribution of OpenTelemetry Collector と Universal Forwarder の両方を使用して、重複したテレメトリデータを送信することなくデータを収集できます。方法については、Collector で Splunk Universal Forwarder を使用する を参照してください。
リージョンとバージョン 🔗
Splunk Log Observer Connect is available in the AWS regions us0, us1, eu0, eu1, eu2, jp0, and au0, and in the GCP region us2. Splunk Log Observer Connect is compatible with Splunk Enterprise versions 9.0.1 and higher, and Splunk Cloud Platform versions 9.0.2209 and higher. Log Observer Connect is not available for Splunk Cloud Platform trials.
You cannot access logs from a GovCloud environment through Log Observer Connect. However, you can use global data links to link from Log Observer Connect to your GovCloud environment where you can access your logs. For more information on global data links, see グローバル・データリンクを使用して、メタデータを関連リソースにリンクする.
前提条件 🔗
以下のセクションで Splunk Cloud サービスアカウントユーザーを設定するには、sc_admin ロールが必要です。
Splunk Cloud インスタンスで以下の設定を確認してください:
トークン認証は、Splunk Cloud Platform インスタンスの Log Observer Connect サービスアカウントで有効になっています。その方法については、Splunk Enterprise の保護 :トークン認証を有効または無効にする を参照してください。
Allow these IPs for Search Head API in IP allow list settings. See https://docs.splunk.com/Documentation/SplunkCloud/9.1.2312/Admin/ConfigureIPAllowList.
us0:
34.199.200.84
、52.20.177.252
、52.201.67.203
、54.89.1.85
us1:
44.230.152.35
、44.231.27.66
、44.225.234.52
、44.230.82.104
eu0:
108.128.26.145
、34.250.243.212
、54.171.237.247
eu1:
3.73.240.7
,18.196.129.64
,3.126.181.171
eu2:
13.41.86.83
,52.56.124.93
,35.177.204.133
jp0:
35.78.47.79
、35.77.252.198
、35.75.200.181
au0:
13.54.193.47
、13.55.9.109
、54.153.190.59
us2 (for GCP):
35.247.113.38/32
,35.247.32.72/32
,35.247.86.219/32
Log Observer Connect をセットアップする 🔗
サポートチームの支援を受けずにSplunk Cloud Platform用のLog Observer Connectを設定するには、以下の手順に従ってください:
Splunk Observability Cloud 🔗
Splunk Observability Cloud で以下を実行します:
Go to Settings then Log Observer Connect and select Add new connection. If you don’t see Log Observer Connect in Settings, you are not an administrator in Splunk Observability Cloud. Contact your organization’s Splunk Observability Cloud administrator to perform this integration.
Select Splunk Cloud Platform. Next, log in to Splunk Cloud Platform as an administrator and follow the instructions in the next section.
Splunk Cloud Platform 🔗
以下のセクションで Splunk Cloud サービスアカウントユーザーを設定するには、sc_admin ロールが必要です。
Splunk Cloud Platform で、インテグレーションのためのガイド付きセットアップの指示に従って以下を実行します:
To configure a role in Splunk Cloud Platform for the Log Observer Connect service account, select Settings then select Roles.
Log Observer Connect サービスアカウントに使用するロールを選択します。サービスアカウントは、Log Observer Connect でユーザーに検索させたい特定の Splunk Cloud Platform インデックスにアクセスできるユーザーロールです。
Included 列の Indexes タブで、*(All internal indexes) の選択を解除し、Log Observer Connect でユーザーにクエリさせたいインデックスを選択します。
Capabilities タブで、
edit_tokens_own
とsearch
が選択されていることを確認します。また、indexes_list_all
が選択されていないことを確認してください。Resources タブで、Role search job limit と User search job limit の両方に40の Standard search limit を入力します。Real-time search limit には、ロールおよびユーザー検索ジョブ制限の両方に 0 を入力します。
40という制限は、10人のLog Observer Connectユーザーを想定しています。理想的な Standard search limit を決定するには、Log Observer Connectのユーザー数に4を掛けます。例えば、20人のLog Observerユーザーがいる場合、Role search job limit と User search job limit の両方に80の Standard search limit を入力します。
Now, in the Role search time window limit section of the Resources tab, select Custom time and enter 2592000 seconds (30 days) for the maximum time window for searches for this role. Do not use commas when entering numbers. For the earliest searchable event time for this role, select Custom time and enter 7776000 seconds (90 days). In the Disk space limit section enter a Standard search limit of 1000 MB. Select Save.
Next, in Splunk Cloud Platform, go to Settings then Users and create the user for the Log Observer Connect service account. In the Assign roles section, assign to the user the role you created in the preceeding steps for the Log Observer Connect service account.
Add a Workload Rule in Splunk Cloud Platform to limit Log Observer Connect searches to 5 minutes. This limit maintains a responsive experience for Log Observer users and reduces the chances that Log Observer Connect searches are queued. Follow the guidance in Create a Workload Rule in Splunk Web and configure the rule as follows:
Predicate: user=[your_Log_Observer_Connect_service-account_name] AND runtime>5m Schedule: Always on Action: Abort search
After creating the Workload Rule, it appears in Workload Management on the Workload Rules tab as follows:
Secure a connection to your Splunk Cloud Platform instance in Splunk Observability Cloud. See 前提条件 for more information on the IPs to allow.
To get help from Splunk Support, Submit a support ticket.
To do it yourself, add your public IPv4 address to your Splunk Cloud Platform allow list by following instructions in Add subnets to IP allow lists .
Go back to the Log Observer Connect guided setup and select Next. Enter the following:
Connection name (Be sure to give each connection a unique name.)
Service account username
Password
Splunk platform URL
https://<stackname>.splunkcloud.com:8089
Remove your IPv4 address from the IP allowlist that you added in step 9. If you are in a GCP environment, do not remove the additional GCP IP addresses that you added in step 8. Select Next.
On the Configure permissions page of the guided setup, select the Splunk Observability Cloud users who you want to give access to this connection and the associated Splunk Cloud Platform indexes.
Select Save and activate.
注釈
Splunk Cloud Platform の現在の戦略を使用して、同時検索の制限を管理します。Log Observer Connect ユーザーが開始するすべての検索は、Splunk Cloud Platform で作成したサービスアカウントを経由します。各アクティブ Log Observer Connect ユーザーに対して、ユーザーが Log Observer Connect で検索を実行すると、4つのバックエンド検索が発生します。例えば、Log Observer Connect に同時にアクセスするユーザーが3人いる場合、Log Observer Connect のサービスアカウントは Splunk Cloud Platform で約12回の検索を開始します。
サポートチケットを送信する 🔗
If you were not able to independently secure a connection to your Splunk Cloud Platform instance in step 9 in the previous section, you may submit a support ticket from your Splunk Cloud Platform instance to do this on your behalf. Submit a ticket to Splunk Support to configure your Splunk Cloud Platform instance’s IP allow list. Configuring your allow list properly opens your Splunk Cloud Platform instance management port to Log Observer Connect, which can then search your Splunk Cloud Platform instance log data. After Splunk Support prepares your Splunk Cloud Platform instance, you can securely create a connection to Log Observer Connect.
サポートチケットを送信するには、以下の手順に従ってください:
以下を見つける:
Splunk Observability Cloud の組織名とリージョン。Splunk Observability Cloud でこの情報を確認するには、Settings にアクセスし、プロフィール名を選択します。
次のようにフォーマットされる、Splunk Cloud Platform インスタンス名、Splunk Cloud Platform デプロイの URL プレフィックス:[Your_instance_name].splunkcloud.com
Splunk Cloud Platform インスタンスにログインし、Support を選択します。
ケースチケットを提出するには、ドロップダウンリストから Support Portal を選択します。
チケットの説明文に以下を貼り付け、あなたの組織に関連する値を入力してください:
OrgID: <enter-orgid> Realm: <enter-realm> Instance Name: <instance-name> Request: Please securely open our Splunk Cloud Platform instance management port (8089) and add the IP addresses of the above realm to our allow list so that we can enable Log Observer Connect.
トラブルシューティング 🔗
Log Observer Connectの一般的な問題の解決方法については、Log Observer Connectセットアップをトラブルシューティングする を参照してください。