Splunk Cloud Platform 向けに Log Observer Connect をセットアップする 🔗
Log Observer を Splunk Cloud Platform とインテグレーションして Log Observer Connect をセットアップします。Splunk Enterprise 環境で Log Observer Connect をセットアップする場合は、Splunk Enterprise 向けに Log Observer Connect をセットアップする を参照してください。
Log Observer Connectをセットアップすると、ログはSplunk Cloud Platformインスタンスに残り、Log Observer Connectからのみアクセスできるようになります。Log Observer Connectはログデータを保存したりインデックスを作成したりしません。Log Observer Connectに追加料金はかかりません。
注釈
Splunk Distribution of OpenTelemetry Collector と Universal Forwarder の両方を使用して、重複したテレメトリデータを送信することなくデータを収集できます。方法については、Collector で Splunk Universal Forwarder を使用する を参照してください。
リージョンとバージョン 🔗
Splunk Log Observer Connectは、AWSリージョンのus0、us1、eu0、eu1、eu2、jp0、au0、およびGCPリージョンのus2で利用できます。Splunk Log Observer Connectは、Splunk Enterpriseバージョン9.0.1以降、およびSplunk Cloud Platformバージョン9.0.2209以降と互換性があります。Log Observer Connectは、Splunk Cloud Platformのトライアル版ではご利用いただけません。
Log Observer Connectを通じてGovCloud環境のログにアクセスすることはできません。ただし、グローバルデータリンクを使用してLog Observer ConnectからGovCloud環境にリンクさせると、ログにアクセスすることができます。グローバルデータリンクの詳細については、グローバル・データリンクを使用して、メタデータを関連リソースにリンクする を参照してください。
前提条件 🔗
以下のセクションで Splunk Cloud サービスアカウントユーザーを設定するには、sc_admin ロールが必要です。
Splunk Cloud インスタンスで以下の設定を確認してください:
トークン認証は、Splunk Cloud Platform インスタンスの Log Observer Connect サービスアカウントで有効になっています。その方法については、Splunk Enterprise の保護 :トークン認証を有効または無効にする を参照してください。
IP allow list 設定でこれらのIP for Search Head APIを許可します。https://docs.splunk.com/Documentation/SplunkCloud/9.1.2312/Admin/ConfigureIPAllowList を参照してください。
us0:
34.199.200.84
、52.20.177.252
、52.201.67.203
、54.89.1.85
us1:
44.230.152.35
、44.231.27.66
、44.225.234.52
、44.230.82.104
eu0:
108.128.26.145
、34.250.243.212
、54.171.237.247
eu1:
3.73.240.7
、18.196.129.64
、3.126.181.171
eu2:
13.41.86.83
、52.56.124.93
、35.177.204.133
jp0:
35.78.47.79
、35.77.252.198
、35.75.200.181
au0:
13.54.193.47
、13.55.9.109
、54.153.190.59
us2 (GCP用):
35.247.113.38/32
、35.247.32.72/32
、35.247.86.219/32
Log Observer Connect をセットアップする 🔗
サポートチームの支援を受けずにSplunk Cloud Platform用のLog Observer Connectを設定するには、以下の手順に従ってください:
Splunk Observability Cloud 🔗
Splunk Observability Cloud で以下を実行します:
Settings、 Log Observer Connect の順にアクセスし、Add new connection を選択します。 Log Observer Connect に Settings が表示されない場合は、Splunk Observability Cloud の管理者ではありません。組織の Splunk Observability Cloud 管理者に連絡して、このインテグレーションを実行してください。
Splunk Cloud Platform を選択します。次に、管理者として Splunk Cloud Platform にログインし、次のセクションの手順に従います。
Splunk Cloud Platform 🔗
以下のセクションで Splunk Cloud サービスアカウントユーザーを設定するには、sc_admin ロールが必要です。
Splunk Cloud Platform で、インテグレーションのためのガイド付きセットアップの指示に従って以下を実行します:
Splunk Cloud Platform で Log Observer Connect サービスアカウントのロールを設定するには、Settings を選択し、次に Roles を選択します。
Log Observer Connect サービスアカウントに使用するロールを選択します。サービスアカウントは、Log Observer Connect でユーザーに検索させたい特定の Splunk Cloud Platform インデックスにアクセスできるユーザーロールです。
Included 列の Indexes タブで、*(All internal indexes) の選択を解除し、Log Observer Connect でユーザーにクエリさせたいインデックスを選択します。
Capabilities タブで、
edit_tokens_own
とsearch
が選択されていることを確認します。また、indexes_list_all
が選択されていないことを確認してください。Resources タブで、Role search job limit と User search job limit の両方に40の Standard search limit を入力します。Real-time search limit には、ロールおよびユーザー検索ジョブ制限の両方に 0 を入力します。
40という制限は、10人のLog Observer Connectユーザーを想定しています。理想的な Standard search limit を決定するには、Log Observer Connectのユーザー数に4を掛けます。例えば、20人のLog Observerユーザーがいる場合、Role search job limit と User search job limit の両方に80の Standard search limit を入力します。
次に、Role search time window limit タブの Resources セクションで、Custom time を選択し、このロールの検索の最大時間ウィンドウに 2592000 秒(30 日)を入力します。数字を入力するときはカンマを使用しないでください。このロールの検索可能な最も古いイベント時間には、Custom time を選択し、7776000 秒(90 日)と入力します。Disk space limit セクションでは、Standard search limit 1000 MBと入力します。Save を選択します。
次に、Splunk Cloud Platform で Settings、Users の順にアクセスし、Log Observer Connect サービスアカウントのユーザーを作成します。Assign roles セクションで、前の手順で作成した Log Observer Connect サービスアカウントのロールをユーザーに割り当てます。
Splunk Cloud Platformでワークロードルールを追加して、Log Observer Connectの検索を 5 分間に制限します。この制限により、Log Observer ユーザーは応答性の高いエクスペリエンスを維持し、Log Observer Connect検索がキューに入れられる可能性を減らすことができます。Create a Workload Rule in Splunk Web のガイダンスに従って、以下のようにルールを設定します:
Predicate: user=[your_Log_Observer_Connect_service-account_name] AND runtime>5m Schedule: Always on Action: Abort search
ワークロードルールの作成後、ワークロード管理でワークロードルールタブに以下のように表示されます:
Splunk Observability CloudでSplunk Cloud Platformインスタンスへの接続を確保します。許可するIPの詳細については、前提条件 を参照してください。
Splunkサポートからサポートを受けるには、サポートチケットを送信してください。
自分で行うには、Add subnets to IP allow lists の手順に従って、パブリックIPv4アドレスをSplunk Cloud Platformの許可リストに追加します。
Log Observer Connect のガイド付きセットアップに戻り、Next を選択します。次のように入力します:
接続名(各接続には必ず固有の名前を付けてください。)
サービスアカウントユーザー名
パスワード
Splunk プラットフォーム URL
https://<stackname>.splunkcloud.com:8089
ステップ 9 で追加した IP 許可リストから IPv4 アドレスを削除します。GCP 環境にいる場合は、ステップ 8 で追加したGCP IPアドレスを削除しないでください。Next を選択します。
ガイド付きセットアップの Configure permissions ページで、この接続と関連する Splunk Cloud Platform インデックスへのアクセスを付与する Splunk Observability Cloud ユーザーを選択します。
Save and activate を選択します。
注釈
Splunk Cloud Platform の現在の戦略を使用して、同時検索の制限を管理します。Log Observer Connect ユーザーが開始するすべての検索は、Splunk Cloud Platform で作成したサービスアカウントを経由します。各アクティブ Log Observer Connect ユーザーに対して、ユーザーが Log Observer Connect で検索を実行すると、4 つのバックエンド検索が発生します。例えば、Log Observer Connect に同時にアクセスするユーザーが 3 人いる場合、Log Observer Connect のサービスアカウントは Splunk Cloud Platform で約 12 回の検索を開始します。
サポートチケットを送信する 🔗
前のセクションのステップ 9 でSplunk Cloud Platform インスタンスへの接続を独自に確保できなかった場合は、Splunk Cloud Platform インスタンスからサポートチケットを送信して代行させることができます。Splunk サポートにチケットを提出して、Splunk Cloud Platform インスタンスの IP 許可リストを設定します。許可リストを適切に設定すると、Splunk Cloud Platform インスタンスの管理ポートが Log Observer Connect に開放され、Splunk Cloud Platform インスタンスのログデータを検索できるようになります。Splunk サポートがSplunk CloudPlatform インスタンスを準備した後、Log Observer Connect への接続を安全に作成できます。
サポートチケットを送信するには、以下の手順に従ってください:
以下を見つける:
Splunk Observability Cloud の組織名とリージョン。Splunk Observability Cloud でこの情報を確認するには、Settings にアクセスし、プロフィール名を選択します。
次のようにフォーマットされる、Splunk Cloud Platform インスタンス名、Splunk Cloud Platform デプロイの URL プレフィックス:[Your_instance_name].splunkcloud.com
Splunk Cloud Platform インスタンスにログインし、Support を選択します。
ケースチケットを提出するには、ドロップダウンリストから Support Portal を選択します。
チケットの説明文に以下を貼り付け、あなたの組織に関連する値を入力してください:
OrgID: <enter-orgid> Realm: <enter-realm> Instance Name: <instance-name> Request: Please securely open our Splunk Cloud Platform instance management port (8089) and add the IP addresses of the above realm to our allow list so that we can enable Log Observer Connect.
トラブルシューティング 🔗
Log Observer Connectの一般的な問題の解決方法については、Log Observer Connectセットアップをトラブルシューティングする を参照してください。