Splunk Enterprise 向けに Log Observer Connect をセットアップする 🔗
Log ObserverとSplunk Enterpriseを統合してLog Observer Connectをセットアップします。Log Observer Connectをセットアップすると、Splunk Observability CloudはSplunk Enterprise検索ヘッドを使用してサービスアカウントを認証し、検索を実行します。
Splunk Cloud Platform環境でLog Observer Connectをセットアップする場合は、Splunk Cloud Platform 向けに Log Observer Connect をセットアップする を参照してください。
Log Observer Connect を設定しても、Splunk Enterprise のログデータは Splunk Enterprise に残ります。Log Observer Connect はログデータを保存したりインデックスを作成したりしません。Log Observer Connect に追加料金はかかりません。
注釈
Splunk Distribution of OpenTelemetry Collector と Universal Forwarder の両方を使用して、重複したテレメトリデータを送信することなくデータを収集できます。方法については、Collector で Splunk Universal Forwarder を使用する を参照してください。
リージョンとバージョンの互換性 🔗
Splunk Log Observer Connectは、AWSリージョンのus0、us1、eu0、eu1、eu2、jp0、au0、およびGCPリージョンのus2で利用できます。Splunk Log Observer Connectは、Splunk Enterpriseバージョン9.0.1以降、およびSplunk Cloud Platformバージョン9.0.2209以降と互換性があります。Log Observer Connectは、Splunk Cloud Platformのトライアル版ではご利用いただけません。
Log Observer Connectを通じてGovCloud環境のログにアクセスすることはできません。ただし、グローバルデータリンクを使用してLog Observer ConnectからGovCloud環境にリンクさせると、ログにアクセスすることができます。グローバルデータリンクの詳細については、グローバル・データリンクを使用して、メタデータを関連リソースにリンクする を参照してください。
前提条件 🔗
Splunk Enterprise 向けに Log Observer Connect をセットアップするには、Splunk Observability Cloud の管理者ロールが必要です。また、Splunk Enterprise の管理者である必要があります。
サービスアカウントのユーザー名、パスワード、Splunk プラットフォームの URL (検索ヘッドクラスター)、証明書が必要です。
Splunk Enterprise インスタンスで以下の設定を確認します:
Log Observer Connect サービスアカウントでトークン認証が有効になっています。Splunk Enterprise の保護 :トークン認証を有効または無効にする を参照してください。
Splunk Enterprise ホストまたはネットワークからこれらの IP アドレスにアクセスできることを確認してください:
us0:
34.199.200.84
、52.20.177.252
、52.201.67.203
、54.89.1.85
us1:
44.230.152.35
、44.231.27.66
、44.225.234.52
、44.230.82.104
us2:
35.247.113.38/32
、35.247.32.72/32
、35.247.86.219/32
eu0:
108.128.26.145
、34.250.243.212
、54.171.237.247
eu1:
3.73.240.7
、18.196.129.64
、3.126.181.171
eu2:
13.41.86.83
、52.56.124.93
、35.177.204.133
jp0:
35.78.47.79
、35.77.252.198
、35.75.200.181
au0:
13.54.193.47
、13.55.9.109
、54.153.190.59
使用しているレルムのすべてのIPにポート
8089
を公開します。Log Observer Connectは、ポート8089
の検索ヘッドにアクセスできる必要があります。DeployerやINDEXERに直接アクセスする必要はありません。例えば、サーチヘッドクラスターのメンバーの前にロードバランサーがある場合、ロードバランサーへのトラフィックを許可します。
注意
これらのIPをファイアウォールルールの許可リストやAWSのセキュリティグループに追加する前に、セキュリティチームに確認してください。
Log Observer Connect をセットアップする 🔗
Log Observer Connect for Splunk Enterprise をセットアップするには、以下の手順に従います:
Splunk Observability Cloud 🔗
Splunk Observability Cloud で以下を実行します:
Settings、:guilabel:` Log Observer Connect` の順にアクセスし、Add new connection を選択します。 Log Observer Connect に Settings が表示されない場合は、Splunk Observability Cloud の管理者ではありません。組織の Splunk Observability Cloud 管理者に連絡して、このインテグレーションを実行してください。
Splunk Enterprise を選択します。次に、管理者として Splunk Enterprise にログインし、次のセクションの手順に従います。
Splunk Enterprise 🔗
Splunk Observability Cloudのサービスアカウントとして使用するには、Splunk Enterpriseの検索ヘッドにユーザーとロールを作成する必要があります。
Splunk Enterprise検索ヘッドでは、インテグレーションのためのガイド付きセットアップの指示に従って以下を実行します:
Log Observer Connect のサービスアカウントをセットアップするには、Settings、Roles の順に移動します。Log Observer Connect サービスアカウントに使用するロールを選択します。サービスアカウントは、Log Observer Connect でユーザーに検索させたい特定の Splunk Enterprise インデックスにアクセスできるユーザーロールです。
Included 列の Indexes タブで、*(All internal indexes) の選択を解除し、Log Observer Connect でユーザーにクエリさせたいインデックスを選択します。
Capabilities タブで、
edit_tokens_own
とsearch
が選択されていることを確認します。また、indexes_list_all
が選択されていないことを確認してください。Resources タブで、Role search job limit と User search job limit の両方に40の Standard search limit を入力します。Real-time search limit には、ロールおよびユーザー検索ジョブ制限の両方に 0 を入力します。
40という制限は、10人のLog Observer Connectユーザーを想定しています。理想的な Standard search limit を決定するには、Log Observer Connectのユーザー数に4を掛けます。例えば、20人のLog Observerユーザーがいる場合、Role search job limit と User search job limit の両方に80の Standard search limit を入力します。
次に、Role search time window limit タブの Resources セクションで、Custom time を選択し、このロールの検索の最大時間ウィンドウに2592000秒(30日)を入力します。この役割の最も早い検索可能イベント時間には、Custom time を選択し、7776000秒(90日)と入力します。Disk space limit セクションで、Standard search limit に1000 MBを入力します。
次に、Splunk Enterprise でユーザーを作成します。Settings、Users の順に移動します。New user を選択して、Log Observer Connect サービスアカウントのユーザーを作成します。前のステップで作成した Log Observer Connect サービスアカウントのロールをユーザーに割り当てます。
Splunk Enterpriseでワークロードルールを追加して、Log Observer Connectの検索を5分間に制限します。この制限により、Log Observerユーザーは応答性の高いエクスペリエンスを維持し、Log Observer Connect検索がキューに入れられる可能性を減らすことができます。Create a Workload Rule in Splunk Web のガイダンスに従って、以下のようにルールを設定します:
Predicate: user=[your_Log_Observer_Connect_service-account_name] AND runtime>5m Schedule: Always on Action: Abort search
ワークロードルールの作成後、ワークロード管理でワークロードルールタブに以下のように表示されます:
Secure a connection to the Splunk platform セクションのステップを完了して Splunk 間通信を保護するための証明書を取得します。方法については、Splunk Log Observer Connect 用に Splunk Enterprise で証明書を設定およびインストールする を参照してください。Log Observer Connect と Splunk Enterprise インスタンスを安全に接続するために、チェーン内の最初の証明書のみをコピーし、ガイド付きセットアップの次のページに貼り付けます。終了したら、Next を選択します。終了したら、Next を選択します。
ガイド付きセットアップの Set up Observability Cloud ページで、次のように入力します:
サービスアカウントユーザー名
パスワード
Splunk プラットフォーム URL
接続名(各接続には必ず固有の名前を付けてください)。
証明書
Save and continue を選択します。
ガイド付きセットアップの Configure permissions ページで、この接続と関連する Splunk Enterprise インデックスへのアクセスを付与する Splunk Observability Cloud ユーザーを選択します。
Save and activate を選択します。
注釈
Splunk Enterprise の現在の戦略を使用して、同時検索の制限を管理します。Log Observer Connect ユーザーが開始するすべての検索は、Splunk Enterprise で作成したサービスアカウントを経由します。各アクティブ Log Observer Connect ユーザーに対して、ユーザーが Log Observer Connect UI で検索を実行すると、4 つのバックエンド検索が発生します。たとえば、Log Observer Connect UI に同時にアクセスするユーザーが 3 人いる場合、Log Observer Connect のサービスアカウントは Splunk Enterprise で約 12回の検索を開始します。
トラブルシューティング 🔗
Log Observer Connectの一般的な問題の解決方法については、Log Observer Connectセットアップをトラブルシューティングする を参照してください。