Splunk Cloud Platform 向けに Log Observer Connect をセットアップする 🔗
Log Observer を Splunk Cloud Platform とインテグレーションして Log Observer Connect をセットアップします。Splunk Enterprise 環境で Log Observer Connect をセットアップする場合は、Splunk Enterprise 向けに Log Observer Connect をセットアップする を参照してください。
Log Observer Connect をセットアップすると、ログデータは Splunk Cloud Platform インスタンスに残り、Log Observer Connect からのみアクセスできるようになります。Log Observer Connect はログデータを保存したりインデックスを作成したりしません。Log Observer Connect に追加料金はかかりません。
注釈
Splunk Distribution of OpenTelemetry Collector と Universal Forwarder の両方を使用して、重複したテレメトリデータを送信することなくデータを収集できます。方法については、Collector で Splunk Universal Forwarder を使用する を参照してください。
リージョンとバージョン 🔗
Splunk Log Observer Connect は以下の Splunk Observability レルムで利用可能です: us0、us1、us2、eu0、jp0、au0。Splunk Cloud Platform トライアルでは利用できず、GovCloud リージョンではサポートされていません。
Splunk Log Observer Connect は Splunk Cloud Platform バージョン 9.0.2209 以降と互換性があります。
前提条件 🔗
以下のセクションで Splunk Cloud サービスアカウントユーザーを設定するには、sc_admin ロールが必要です。
Splunk Cloud インスタンスで以下の設定を確認してください:
トークン認証は、Splunk Cloud Platform インスタンスの Log Observer Connect サービスアカウントで有効になっています。その方法については、Splunk Enterprise の保護 :トークン認証を有効または無効にする を参照してください。
IP allow list 設定でこれらの IP を許可します。https://docs.splunk.com/Documentation/SplunkCloud/9.1.2312/Admin/ConfigureIPAllowList を参照してください。
us0:
34.199.200.84、52.20.177.252、52.201.67.203、54.89.1.85us1:
44.230.152.35、44.231.27.66、44.225.234.52、44.230.82.104eu0:
108.128.26.145、34.250.243.212、54.171.237.247jp0:
35.78.47.79、35.77.252.198、35.75.200.181au0:
13.54.193.47、13.55.9.109、54.153.190.59
Log Observer Connect をセットアップする 🔗
サポートチームの支援を受けずにSplunk Cloud Platform用のLog Observer Connectを設定するには、以下の手順に従ってください:
Splunk Observability Cloud 🔗
Splunk Observability Cloud で以下を実行します:
Settings > Log Observer Connect にアクセスし、Add new connection を選択します。Settings に Log Observer Connect が表示されない場合は、Splunk Observability Cloud の管理者ではありません。組織の Splunk Observability Cloud 管理者に連絡して、このインテグレーションを実行してください。
Splunk Cloud Platform を選択します。
Splunk Cloud Platform 🔗
以下のセクションで Splunk Cloud サービスアカウントユーザーを設定するには、sc_admin ロールが必要です。
Splunk Cloud Platform で、インテグレーションのためのガイド付きセットアップの指示に従って以下を実行します:
Splunk Cloud Platform で Log Observer Connect サービスアカウントのロールを設定するには、Settings > Roles にアクセスしてください。
Log Observer Connect サービスアカウントに使用するロールを選択します。サービスアカウントは、Log Observer Connect でユーザーに検索させたい特定の Splunk Cloud Platform インデックスにアクセスできるユーザーロールです。
Capabilities タブで、
edit_tokens_ownとsearchが選択されていることを確認します。また、indexes_list_allが選択されていないことを確認してください。![このスクリーンショットは、ユーザー設定の[機能]タブを示しています。](../_images/CapabilitiesTab11.png)
Included 列の Indexes タブで、*(All internal indexes) の選択を解除し、Log Observer Connect でユーザーにクエリさせたいインデックスを選択します。
![このスクリーンショットは、ユーザー設定の[インデックス]タブを示しています。](../_images/IndexesTab11.png)
Resources タブで、Role search job limit と User search job limit の両方に40の Standard search limit を入力します。Real-time search limit には、ロールおよびユーザー検索ジョブ制限の両方に 0 を入力します。
40という制限は、10人のLog Observer Connectユーザーを想定しています。理想的な Standard search limit を決定するには、Log Observer Connectのユーザー数に4を掛けます。例えば、20人のLog Observerユーザーがいる場合、Role search job limit と User search job limit の両方に80の Standard search limit を入力します。
次に、Resources タブの Role search time window limit セクションで、Custom time を選択し、このロールの検索の最大時間ウィンドウに 2592000 秒(30 日)を入力します。数字を入力するときはカンマを使用しないでください。このロールの検索可能な最も古いイベント時間には、Custom time を選択し、7776000 秒(90 日)と入力します。Disk space limit セクションでは、Standard search limit 1000 MBと入力します。
次に、Splunk Cloud Platform で Settings > Users にアクセスし、Log Observer Connect サービスアカウントのユーザーを作成します。Assign roles セクションで、前の手順で作成した Log Observer Connect サービスアカウントのロールをユーザーに割り当てます。
Splunk Observability Cloud の Splunk Cloud Platform インスタンスへの接続を確保します。Splunk サポートからサポートを受けるには、サポートチケットを送信します。自分で行うには、IP許可リストにサブネットを追加する の手順に従って、パブリック IPv4 アドレスを Splunk Cloud Platform の許可リストに追加します。
If you are in a GCP Splunk Observability Cloud realm, add the following additional IP addresses to your Splunk Cloud Platform allow list:
35.247.113.38/32
35.247.32.72/32
35.247.86.219/32
Go back to the Log Observer Connect guided setup and select Next. Enter your service account username, password, and Splunk platform URL
https://<stackname>.splunkcloud.com:8089to complete the guided setup.ステップ8で追加した IP 許可リストから IPv4 アドレスを削除します。GCP 環境にいる場合は、ステップ8で追加した GCP IP アドレスを削除しないでください。
Log Observer Connectガイドセットアップの最終ページで、各接続に固有の名前を付けてください。
注釈
Splunk Cloud Platform の現在の戦略を使用して、同時検索の制限を管理します。Log Observer Connect ユーザーが開始するすべての検索は、Splunk Cloud Platform で作成したサービスアカウントを経由します。各アクティブ Log Observer Connect ユーザーに対して、ユーザーが Log Observer Connect で検索を実行すると、4つのバックエンド検索が発生します。例えば、Log Observer Connect に同時にアクセスするユーザーが3人いる場合、Log Observer Connect のサービスアカウントは Splunk Cloud Platform で約12回の検索を開始します。
サポートチケットを送信する 🔗
前のセクションのステップ 8 で Splunk Cloud Platform インスタンスへの接続を独自に確保できなかった場合は、Splunk Cloud Platform インスタンスからサポートチケットを送信して代行させることができます。Splunk サポートにチケットを提出して、Splunk Cloud Platform インスタンスの IP 許可リストを設定します。許可リストを適切に設定すると、Splunk Cloud Platform インスタンスの管理ポートが Log Observer Connect に開放され、Splunk Cloud Platform インスタンスのログデータを検索できるようになります。Splunk サポートが Splunk Cloud Platform インスタンスを準備した後、Log Observer Connect への接続を安全に作成できます。
サポートチケットを送信するには、以下の手順に従ってください:
以下を見つける:
Splunk Observability Cloud の組織名とリージョン。Splunk Observability Cloud でこの情報を確認するには、Settings にアクセスし、プロフィール名を選択します。
次のようにフォーマットされる、Splunk Cloud Platform インスタンス名、Splunk Cloud Platform デプロイの URL プレフィックス:[Your_instance_name].splunkcloud.com
Splunk Cloud Platform インスタンスにログインし、Support を選択します。
ケースチケットを提出するには、ドロップダウンリストから Support Portal を選択します。
チケットの説明文に以下を貼り付け、あなたの組織に関連する値を入力してください:
OrgID: <enter-orgid> Realm: <enter-realm> Instance Name: <instance-name> Request: Please securely open our Splunk Cloud Platform instance management port (8089) and add the IP addresses of the above realm to our allow list so that we can enable Log Observer Connect.
トラブルシューティング 🔗
Log Observer Connectの一般的な問題の解決方法については、Log Observer Connectセットアップをトラブルシューティングする を参照してください。