Docs » Splunk Log Observer Connect » Splunk Cloud Platform 向けに Log Observer Connect をセットアップする

Splunk Cloud Platform 向けに Log Observer Connect をセットアップする 🔗

Log Observer を Splunk Cloud Platform とインテグレーションして Log Observer Connect をセットアップします。Splunk Enterprise 環境で Log Observer Connect をセットアップする場合は、Splunk Enterprise 向けに Log Observer Connect をセットアップする を参照してください。

When you set up Log Observer Connect, your logs remain in your Splunk Cloud Platform instance and are accessible only to Log Observer Connect. Log Observer Connect does not store or index your logs data. There is no additional charge for Log Observer Connect.

注釈

Splunk Distribution of OpenTelemetry Collector と Universal Forwarder の両方を使用して、重複したテレメトリデータを送信することなくデータを収集できます。方法については、Collector で Splunk Universal Forwarder を使用する を参照してください。

リージョンとバージョン 🔗

Splunk Log Observer Connect is available in the AWS regions us0, us1, eu0, eu1, eu2, jp0, and au0, and in the GCP region us2. Splunk Log Observer Connect is compatible with Splunk Enterprise versions 9.0.1 and higher, and Splunk Cloud Platform versions 9.0.2209 and higher. Log Observer Connect is not available for Splunk Cloud Platform trials.

You cannot access logs from a GovCloud environment through Log Observer Connect. However, you can use global data links to link from Log Observer Connect to your GovCloud environment where you can access your logs. For more information on global data links, see グローバル・データリンクを使用して、メタデータを関連リソースにリンクする.

前提条件 🔗

以下のセクションで Splunk Cloud サービスアカウントユーザーを設定するには、sc_admin ロールが必要です。

Splunk Cloud インスタンスで以下の設定を確認してください:

  • トークン認証は、Splunk Cloud Platform インスタンスの Log Observer Connect サービスアカウントで有効になっています。その方法については、Splunk Enterprise の保護 :トークン認証を有効または無効にする を参照してください。

  • Allow these IPs for Search Head API in IP allow list settings. See https://docs.splunk.com/Documentation/SplunkCloud/9.1.2312/Admin/ConfigureIPAllowList.

    • us0: 34.199.200.8452.20.177.25252.201.67.20354.89.1.85

    • us1: 44.230.152.3544.231.27.6644.225.234.5244.230.82.104

    • eu0: 108.128.26.14534.250.243.21254.171.237.247

    • eu1: 3.73.240.718.196.129.643.126.181.171

    • eu2: 13.41.86.8352.56.124.9335.177.204.133

    • jp0: 35.78.47.7935.77.252.19835.75.200.181

    • au0: 13.54.193.4713.55.9.10954.153.190.59

    • us2 (GCP用): 35.247.113.38/3235.247.32.72/3235.247.86.219/32

Log Observer Connect をセットアップする 🔗

サポートチームの支援を受けずにSplunk Cloud Platform用のLog Observer Connectを設定するには、以下の手順に従ってください:

Splunk Observability Cloud 🔗

Splunk Observability Cloud で以下を実行します:

  1. Go to Settings then Log Observer Connect and select Add new connection. If you don’t see Log Observer Connect in Settings, you are not an administrator in Splunk Observability Cloud. Contact your organization’s Splunk Observability Cloud administrator to perform this integration.

  2. Select Splunk Cloud Platform. Next, log in to Splunk Cloud Platform as an administrator and follow the instructions in the next section.

Splunk Cloud Platform 🔗

以下のセクションで Splunk Cloud サービスアカウントユーザーを設定するには、sc_admin ロールが必要です。

Splunk Cloud Platform で、インテグレーションのためのガイド付きセットアップの指示に従って以下を実行します:

  1. To configure a role in Splunk Cloud Platform for the Log Observer Connect service account, select Settings then select Roles.

    Log Observer Connect サービスアカウントに使用するロールを選択します。サービスアカウントは、Log Observer Connect でユーザーに検索させたい特定の Splunk Cloud Platform インデックスにアクセスできるユーザーロールです。

  2. Included 列の Indexes タブで、*(All internal indexes) の選択を解除し、Log Observer Connect でユーザーにクエリさせたいインデックスを選択します。

  3. Capabilities タブで、edit_tokens_ownsearch が選択されていることを確認します。また、indexes_list_all が選択されていないことを確認してください。

  4. Resources タブで、Role search job limitUser search job limit の両方に40の Standard search limit を入力します。Real-time search limit には、ロールおよびユーザー検索ジョブ制限の両方に 0 を入力します。

    40という制限は、10人のLog Observer Connectユーザーを想定しています。理想的な Standard search limit を決定するには、Log Observer Connectのユーザー数に4を掛けます。例えば、20人のLog Observerユーザーがいる場合、Role search job limitUser search job limit の両方に80の Standard search limit を入力します。

  5. Now, in the Role search time window limit section of the Resources tab, select Custom time and enter 2592000 seconds (30 days) for the maximum time window for searches for this role. Do not use commas when entering numbers. For the earliest searchable event time for this role, select Custom time and enter 7776000 seconds (90 days). In the Disk space limit section enter a Standard search limit of 1000 MB. Select Save.

  6. Next, in Splunk Cloud Platform, go to Settings then Users and create the user for the Log Observer Connect service account. In the Assign roles section, assign to the user the role you created in the preceeding steps for the Log Observer Connect service account.

  7. Splunk Cloud Platformでワークロードルールを追加して、Log Observer Connectの検索を 5 分間に制限します。この制限により、Log Observer ユーザーは応答性の高いエクスペリエンスを維持し、Log Observer Connect検索がキューに入れられる可能性を減らすことができます。Create a Workload Rule in Splunk Web のガイダンスに従って、以下のようにルールを設定します:

    Predicate: user=[your_Log_Observer_Connect_service-account_name] AND runtime>5m
    Schedule: Always on
    Action: Abort search
    

    ワークロードルールの作成後、ワークロード管理でワークロードルールタブに以下のように表示されます:

    このスクリーンショットは、Log Observer Connectの検索を5分間に制限するワークロードルールの設定を示しています。
  1. Splunk Observability CloudでSplunk Cloud Platformインスタンスへの接続を確保します。許可するIPの詳細については、前提条件 を参照してください。

  2. Go back to the Log Observer Connect guided setup and select Next. Enter the following:

    • Connection name (Be sure to give each connection a unique name.)

    • Service account username

    • Password

    • Splunk platform URL https://<stackname>.splunkcloud.com:8089

  3. Remove your IPv4 address from the IP allowlist that you added in step 9. If you are in a GCP environment, do not remove the additional GCP IP addresses that you added in step 8. Select Next.

  4. On the Configure permissions page of the guided setup, select the Splunk Observability Cloud users who you want to give access to this connection and the associated Splunk Cloud Platform indexes.

  5. Select Save and activate.

注釈

Manage concurrent search limits using your current strategy in Splunk Cloud Platform. All searches initiated by Log Observer Connect users go through the service account you create in Splunk Cloud Platform. For each active Log Observer Connect user, four back-end searches occur when a user performs a search in Log Observer Connect. For example, if there are three users accessing Log Observer Connect at the same time, the service account for Log Observer Connect initiates approximately 12 searches in Splunk Cloud Platform.

サポートチケットを送信する 🔗

If you were not able to independently secure a connection to your Splunk Cloud Platform instance in step 9 in the previous section, you may submit a support ticket from your Splunk Cloud Platform instance to do this on your behalf. Submit a ticket to Splunk Support to configure your Splunk Cloud Platform instance’s IP allow list. Configuring your allow list properly opens your Splunk Cloud Platform instance management port to Log Observer Connect, which can then search your Splunk Cloud Platform instance log data. After Splunk Support prepares your Splunk Cloud Platform instance, you can securely create a connection to Log Observer Connect.

サポートチケットを送信するには、以下の手順に従ってください:

  1. 以下を見つける:

    1. Splunk Observability Cloud の組織名とリージョン。Splunk Observability Cloud でこの情報を確認するには、Settings にアクセスし、プロフィール名を選択します。

    2. 次のようにフォーマットされる、Splunk Cloud Platform インスタンス名、Splunk Cloud Platform デプロイの URL プレフィックス:[Your_instance_name].splunkcloud.com

  2. Splunk Cloud Platform インスタンスにログインし、Support を選択します。

  3. ケースチケットを提出するには、ドロップダウンリストから Support Portal を選択します。

  4. チケットの説明文に以下を貼り付け、あなたの組織に関連する値を入力してください:

    OrgID: <enter-orgid>
    Realm: <enter-realm>
    Instance Name: <instance-name>
    Request: Please securely open our Splunk Cloud Platform instance management port (8089) and add the IP addresses of the above realm to our allow list so that we can enable Log Observer Connect.
    

トラブルシューティング 🔗

Log Observer Connectの一般的な問題の解決方法については、Log Observer Connectセットアップをトラブルシューティングする を参照してください。

このページは 2024年12月09日 に最終更新されました。