Docs » Splunk Log Observer Connect » Splunk Enterprise 向けに Log Observer Connect をセットアップする

Splunk Enterprise 向けに Log Observer Connect をセットアップする 🔗

Set up Log Observer Connect by integrating Log Observer with Splunk Enterprise. When you set up Log Observer Connect, Splunk Observability Cloud uses the Splunk Enterprise search head to authenticate the service account and to run searches.

If you are in a Splunk Cloud Platform environment and want to set up Log Observer Connect, see Splunk Cloud Platform 向けに Log Observer Connect をセットアップする.

Log Observer Connect を設定しても、Splunk Enterprise のログデータは Splunk Enterprise に残ります。Log Observer Connect はログデータを保存したりインデックスを作成したりしません。Log Observer Connect に追加料金はかかりません。

注釈

Splunk Distribution of OpenTelemetry Collector と Universal Forwarder の両方を使用して、重複したテレメトリデータを送信することなくデータを収集できます。方法については、Collector で Splunk Universal Forwarder を使用する を参照してください。

リージョンとバージョンの互換性 🔗

Splunk Log Observer Connect is available in the AWS regions us0, us1, eu0, eu1, eu2, jp0, and au0, and in the GCP region us2. Splunk Log Observer Connect is compatible with Splunk Enterprise versions 9.0.1 and higher, and Splunk Cloud Platform versions 9.0.2209 and higher. Log Observer Connect is not available for Splunk Cloud Platform trials.

You cannot access logs from a GovCloud environment through Log Observer Connect. However, you can use global data links to link from Log Observer Connect to your GovCloud environment where you can access your logs. For more information on global data links, see グローバル・データリンクを使用して、メタデータを関連リソースにリンクする.

前提条件 🔗

Splunk Enterprise 向けに Log Observer Connect をセットアップするには、Splunk Observability Cloud の管理者ロールが必要です。また、Splunk Enterprise の管理者である必要があります。

You need your service account username, password, Splunk platform URL (search head cluster), and a certificate.

Splunk Enterprise インスタンスで以下の設定を確認します:

  • Log Observer Connect サービスアカウントでトークン認証が有効になっています。Splunk Enterprise の保護 :トークン認証を有効または無効にする を参照してください。

  • Splunk Enterprise ホストまたはネットワークからこれらの IP アドレスにアクセスできることを確認してください:

    • us0: 34.199.200.8452.20.177.25252.201.67.20354.89.1.85

    • us1: 44.230.152.3544.231.27.6644.225.234.5244.230.82.104

    • us2: 35.247.113.38/32, 35.247.32.72/32, 35.247.86.219/32

    • eu0: 108.128.26.14534.250.243.21254.171.237.247

    • eu1: 3.73.240.7, 18.196.129.64, 3.126.181.171

    • eu2: 13.41.86.83, 52.56.124.93, 35.177.204.133

    • jp0: 35.78.47.7935.77.252.19835.75.200.181

    • au0: 13.54.193.4713.55.9.10954.153.190.59

  • Expose port 8089 to all the IPs of the realms you’re using. Log Observer Connect needs to be able to access the search head on port 8089. It doesn’t need to directly access the deployer or indexers. For example, if you have a search head cluster with load balancer in front of the members of the search head cluster, you allow the incoming traffic to the load balancer.

注意

これらのIPをファイアウォールルールの許可リストやAWSのセキュリティグループに追加する前に、セキュリティチームに確認してください。

Log Observer Connect をセットアップする 🔗

Log Observer Connect for Splunk Enterprise をセットアップするには、以下の手順に従います:

Splunk Observability Cloud 🔗

Splunk Observability Cloud で以下を実行します:

  1. Go to Settings then :guilabel:` Log Observer Connect` and select Add new connection. If you don’t see Log Observer Connect in Settings, you are not an administrator in Splunk Observability Cloud. Contact your organization’s Splunk Observability Cloud administrator to perform this integration.

  2. Select Splunk Enterprise. Next, log in to Splunk Enterprise as an administrator and follow the instructions in the next section.

Splunk Enterprise 🔗

You must create a user and role in your Splunk Enterprise search head to serve as a service account for Splunk Observability Cloud.

In your Splunk Enterprise search head, follow the instructions in the guided setup for the integration to do the following:

  1. To set up a service account for Log Observer Connect, go to Settings then Roles. Select the role you want to use for the Log Observer Connect service account. The service account is a user role that can access the specific Splunk Enterprise indexes that you want your users to search in Log Observer Connect.

  2. Included 列の Indexes タブで、*(All internal indexes) の選択を解除し、Log Observer Connect でユーザーにクエリさせたいインデックスを選択します。

  3. Capabilities タブで、edit_tokens_ownsearch が選択されていることを確認します。また、indexes_list_all が選択されていないことを確認してください。

  4. Resources タブで、Role search job limitUser search job limit の両方に40の Standard search limit を入力します。Real-time search limit には、ロールおよびユーザー検索ジョブ制限の両方に 0 を入力します。

    40という制限は、10人のLog Observer Connectユーザーを想定しています。理想的な Standard search limit を決定するには、Log Observer Connectのユーザー数に4を掛けます。例えば、20人のLog Observerユーザーがいる場合、Role search job limitUser search job limit の両方に80の Standard search limit を入力します。

  5. Now, in the Role search time window limit section of the Resources tab, select Custom time and enter 2592000 seconds (30 days) for the maximum time window for searches for this role. For the earliest searchable event time for this role, select Custom time and enter 7776000 seconds (90 days). In the Disk space limit section enter a Standard search limit of 1000 MB.

  6. Next, create a user in Splunk Enterprise. Go to Settings then Users. Select New user to create the user for the Log Observer Connect service account. Assign to the user the role you created in the preceeding steps for the Log Observer Connect service account.

  7. Add a Workload Rule in Splunk Enterprise to limit Log Observer Connect searches to 5 minutes. This limit maintains a responsive experience for Log Observer users and reduces the chances that Log Observer Connect searches are queued. Follow the guidance in Create a Workload Rule in Splunk Web and configure the rule as follows:

    Predicate: user=[your_Log_Observer_Connect_service-account_name] AND runtime>5m
    Schedule: Always on
    Action: Abort search
    

    After creating the Workload Rule, it appears in Workload Management on the Workload Rules tab as follows:

    This screenshot shows the configuration of the Workload Rule limiting Log Observer Connect searches to 5 minutes.
  8. Complete the steps on the Secure a connection to the Splunk platform section to get certificates for securing inter-Splunk communication. See Configure and install certificates in Splunk Enterprise for Splunk Log Observer Connect to learn how. Copy only the first certificate in the chain and paste it on the next page of the guided setup to securely connect Log Observer Connect and your Splunk Enterprise instance. When finished, select Next in the guided setup. When finished, select Next.

  9. On the Set up Observability Cloud page of the guided setup, enter the following:

    • Service account username

    • Password

    • Splunk platform URL

    • Connection name (Make sure to give each connection a unique name.)

    • Certificate

  10. Select Save and continue.

  11. On the Configure permissions page of the guided setup, select the Splunk Observability Cloud users who you want to give access to this connection and the associated Splunk Enterprise indexes.

  12. Select Save and activate.

注釈

Splunk Enterprise の現在の戦略を使用して、同時検索の制限を管理します。Log Observer Connect ユーザーが開始するすべての検索は、Splunk Enterprise で作成したサービスアカウントを経由します。各アクティブ Log Observer Connect ユーザーに対して、ユーザーが Log Observer Connect UI で検索を実行すると、4つのバックエンド検索が発生します。たとえば、Log Observer Connect UI に同時にアクセスするユーザーが 3 人いる場合、Log Observer Connect のサービスアカウントは Splunk Enterprise で約 12回の検索を開始します。

トラブルシューティング 🔗

Log Observer Connectの一般的な問題の解決方法については、Log Observer Connectセットアップをトラブルシューティングする を参照してください。

This page was last updated on 2024年11月13日.