Splunk Enterprise 向けに Log Observer Connect をセットアップする 🔗
Log ObserverとSplunk Enterpriseを統合してLog Observer Connectをセットアップします。Log Observer Connectをセットアップすると、Splunk Observability CloudはSplunk Enterprise検索ヘッドを使用してサービスアカウントを認証し、検索を実行します。
If you are in a Splunk Cloud Platform environment and want to set up Log Observer Connect, see Splunk Cloud Platform 向けに Log Observer Connect をセットアップする.
Log Observer Connect を設定しても、Splunk Enterprise のログデータは Splunk Enterprise に残ります。Log Observer Connect はログデータを保存したりインデックスを作成したりしません。Log Observer Connect に追加料金はかかりません。
注釈
Splunk Distribution of OpenTelemetry Collector と Universal Forwarder の両方を使用して、重複したテレメトリデータを送信することなくデータを収集できます。方法については、Collector で Splunk Universal Forwarder を使用する を参照してください。
リージョンとバージョンの互換性 🔗
Splunk Log Observer Connect is available in the AWS regions us0, us1, eu0, eu1, eu2, jp0, and au0, and in the GCP region us2. Splunk Log Observer Connect is compatible with Splunk Enterprise versions 9.0.1 and higher, and Splunk Cloud Platform versions 9.0.2209 and higher. Log Observer Connect is not available for Splunk Cloud Platform trials.
You cannot access logs from a GovCloud environment through Log Observer Connect. However, you can use global data links to link from Log Observer Connect to your GovCloud environment where you can access your logs. For more information on global data links, see グローバル・データリンクを使用して、メタデータを関連リソースにリンクする.
前提条件 🔗
Splunk Enterprise 向けに Log Observer Connect をセットアップするには、Splunk Observability Cloud の管理者ロールが必要です。また、Splunk Enterprise の管理者である必要があります。
サービスアカウントのユーザー名、パスワード、Splunk プラットフォームの URL (検索ヘッドクラスター)、証明書が必要です。
Splunk Enterprise インスタンスで以下の設定を確認します:
Log Observer Connect サービスアカウントでトークン認証が有効になっています。Splunk Enterprise の保護 :トークン認証を有効または無効にする を参照してください。
Splunk Enterprise ホストまたはネットワークからこれらの IP アドレスにアクセスできることを確認してください:
us0:
34.199.200.84
、52.20.177.252
、52.201.67.203
、54.89.1.85
us1:
44.230.152.35
、44.231.27.66
、44.225.234.52
、44.230.82.104
us2:
35.247.113.38/32
,35.247.32.72/32
,35.247.86.219/32
eu0:
108.128.26.145
、34.250.243.212
、54.171.237.247
eu1:
3.73.240.7
、18.196.129.64
、3.126.181.171
eu2:
13.41.86.83
、52.56.124.93
、35.177.204.133
jp0:
35.78.47.79
、35.77.252.198
、35.75.200.181
au0:
13.54.193.47
、13.55.9.109
、54.153.190.59
Expose port
8089
to all the IPs of the realms you’re using. Log Observer Connect needs to be able to access the search head on port8089
. It doesn’t need to directly access the deployer or indexers. For example, if you have a search head cluster with load balancer in front of the members of the search head cluster, you allow the incoming traffic to the load balancer.
注意
これらのIPをファイアウォールルールの許可リストやAWSのセキュリティグループに追加する前に、セキュリティチームに確認してください。
Log Observer Connect をセットアップする 🔗
Log Observer Connect for Splunk Enterprise をセットアップするには、以下の手順に従います:
Splunk Observability Cloud 🔗
Splunk Observability Cloud で以下を実行します:
Go to Settings then :guilabel:` Log Observer Connect` and select Add new connection. If you don’t see Log Observer Connect in Settings, you are not an administrator in Splunk Observability Cloud. Contact your organization’s Splunk Observability Cloud administrator to perform this integration.
Select Splunk Enterprise. Next, log in to Splunk Enterprise as an administrator and follow the instructions in the next section.
Splunk Enterprise 🔗
Splunk Observability Cloudのサービスアカウントとして使用するには、Splunk Enterpriseの検索ヘッドにユーザーとロールを作成する必要があります。
In your Splunk Enterprise search head, follow the instructions in the guided setup for the integration to do the following:
To set up a service account for Log Observer Connect, go to Settings then Roles. Select the role you want to use for the Log Observer Connect service account. The service account is a user role that can access the specific Splunk Enterprise indexes that you want your users to search in Log Observer Connect.
Included 列の Indexes タブで、*(All internal indexes) の選択を解除し、Log Observer Connect でユーザーにクエリさせたいインデックスを選択します。
Capabilities タブで、
edit_tokens_own
とsearch
が選択されていることを確認します。また、indexes_list_all
が選択されていないことを確認してください。Resources タブで、Role search job limit と User search job limit の両方に40の Standard search limit を入力します。Real-time search limit には、ロールおよびユーザー検索ジョブ制限の両方に 0 を入力します。
40という制限は、10人のLog Observer Connectユーザーを想定しています。理想的な Standard search limit を決定するには、Log Observer Connectのユーザー数に4を掛けます。例えば、20人のLog Observerユーザーがいる場合、Role search job limit と User search job limit の両方に80の Standard search limit を入力します。
Now, in the Role search time window limit section of the Resources tab, select Custom time and enter 2592000 seconds (30 days) for the maximum time window for searches for this role. For the earliest searchable event time for this role, select Custom time and enter 7776000 seconds (90 days). In the Disk space limit section enter a Standard search limit of 1000 MB.
Next, create a user in Splunk Enterprise. Go to Settings then Users. Select New user to create the user for the Log Observer Connect service account. Assign to the user the role you created in the preceeding steps for the Log Observer Connect service account.
Splunk Enterpriseでワークロードルールを追加して、Log Observer Connectの検索を5分間に制限します。この制限により、Log Observerユーザーは応答性の高いエクスペリエンスを維持し、Log Observer Connect検索がキューに入れられる可能性を減らすことができます。Create a Workload Rule in Splunk Web のガイダンスに従って、以下のようにルールを設定します:
Predicate: user=[your_Log_Observer_Connect_service-account_name] AND runtime>5m Schedule: Always on Action: Abort search
ワークロードルールの作成後、ワークロード管理でワークロードルールタブに以下のように表示されます:
Complete the steps on the Secure a connection to the Splunk platform section to get certificates for securing inter-Splunk communication. See Configure and install certificates in Splunk Enterprise for Splunk Log Observer Connect to learn how. Copy only the first certificate in the chain and paste it on the next page of the guided setup to securely connect Log Observer Connect and your Splunk Enterprise instance. When finished, select Next in the guided setup. When finished, select Next.
On the Set up Observability Cloud page of the guided setup, enter the following:
Service account username
Password
Splunk platform URL
Connection name (Make sure to give each connection a unique name.)
Certificate
Select Save and continue.
On the Configure permissions page of the guided setup, select the Splunk Observability Cloud users who you want to give access to this connection and the associated Splunk Enterprise indexes.
Select Save and activate.
注釈
Manage concurrent search limits using your current strategy in Splunk Enterprise. All searches initiated by Log Observer Connect users go through the service account you create in Splunk Enterprise. For each active Log Observer Connect user, four back-end searches occur when a user performs a search in the Log Observer Connect UI. For example, if there are three concurrent users accessing the Log Observer Connect UI at the same time, the service account for Log Observer Connect initiates approximately 12 searches in Splunk Enterprise.
トラブルシューティング 🔗
Log Observer Connectの一般的な問題の解決方法については、Log Observer Connectセットアップをトラブルシューティングする を参照してください。