Docs » Splunk Log Observer Connect » Splunk Enterprise 向けに Log Observer Connect をセットアップする

Splunk Enterprise 向けに Log Observer Connect をセットアップする 🔗

Log Observer を Splunk Enterprise とインテグレーションして Log Observer Connect をセットアップします。Splunk Cloud Platform 環境で Log Observer Connect をセットアップする場合は、Splunk Cloud Platform 向けに Log Observer Connect をセットアップする を参照してください。

Log Observer Connect を設定しても、Splunk Enterprise のログデータは Splunk Enterprise に残ります。Log Observer Connect はログデータを保存したりインデックスを作成したりしません。Log Observer Connect に追加料金はかかりません。

注釈

Splunk Distribution of OpenTelemetry Collector と Universal Forwarder の両方を使用して、重複したテレメトリデータを送信することなくデータを収集できます。方法については、Collector で Splunk Universal Forwarder を使用する を参照してください。

リージョンとバージョンの互換性 🔗

Splunk Log Observer Connect は AWS リージョン us0、us1、eu0、jp0、au0 で利用可能で、Splunk Enterprise 9.0.1 以降と互換性があります。

前提条件 🔗

Splunk Enterprise 向けに Log Observer Connect をセットアップするには、Splunk Observability Cloud の管理者ロールが必要です。また、Splunk Enterprise の管理者である必要があります。

Splunk Enterprise インスタンスで以下の設定を確認します:

  • Log Observer Connect サービスアカウントでトークン認証が有効になっています。Splunk Enterprise の保護 :トークン認証を有効または無効にする を参照してください。

  • Splunk Enterprise ホストまたはネットワークからこれらの IP アドレスにアクセスできることを確認してください:

    • us0: 34.199.200.8452.20.177.25252.201.67.20354.89.1.85

    • us1: 44.230.152.3544.231.27.6644.225.234.5244.230.82.104

    • eu0: 108.128.26.14534.250.243.21254.171.237.247

    • jp0: 35.78.47.7935.77.252.19835.75.200.181

    • au0: 13.54.193.4713.55.9.10954.153.190.59

  • 使用しているレルムのすべてのIPにポート 8089 を公開します。Log Observer Connectは、ポート 8089 の検索ヘッドにアクセスできる必要があります。DeployerやINDEXERに直接アクセスする必要はありません。例えば、サーチヘッドクラスタのメンバーの前にロードバランサーがある場合、ロードバランサーへのトラフィックを許可します。

注意

これらのIPをファイアウォールルールの許可リストやAWSのセキュリティグループに追加する前に、セキュリティチームに確認してください。

Log Observer Connect をセットアップする 🔗

Log Observer Connect for Splunk Enterprise をセットアップするには、以下の手順に従います:

Splunk Observability Cloud 🔗

Splunk Observability Cloud で以下を実行します:

  1. Settings > Log Observer Connect にアクセスし、Add new connection を選択します。SettingsLog Observer Connect が表示されない場合は、Splunk Observability Cloud の管理者ではありません。組織の Splunk Observability Cloud 管理者に連絡して、このインテグレーションを実行してください。

  2. Splunk Enterprise を選択します。

Splunk Enterprise 🔗

Splunk Enterprise では、インテグレーションのためのガイド付きセットアップの指示に従って以下を実行します:

  1. Splunk Enterprise で Log Observer Connect サービスアカウントのロールを設定するには、Settings > Roles にアクセスしてください。

  2. Log Observer Connect サービスアカウントに使用するロールを選択します。サービスアカウントは、Log Observer Connect でユーザーに検索させたい特定の Splunk Enterprise インデックスにアクセスできるユーザーロールです。

  3. Capabilities タブで、edit_tokens_ownsearch が選択されていることを確認します。また、indexes_list_all が選択されていないことを確認してください。

  4. Included 列の Indexes タブで、*(All internal indexes) の選択を解除し、Log Observer Connect でユーザーにクエリさせたいインデックスを選択します。

  5. Resources タブで、Role search job limitUser search job limit の両方に40の Standard search limit を入力します。Real-time search limit には、ロールおよびユーザー検索ジョブ制限の両方に 0 を入力します。

    40という制限は、10人のLog Observer Connectユーザーを想定しています。理想的な Standard search limit を決定するには、Log Observer Connectのユーザー数に4を掛けます。例えば、20人のLog Observerユーザーがいる場合、Role search job limitUser search job limit の両方に80の Standard search limit を入力します。

  6. 次に、Resources タブの Role search time window limit セクションで、Custom time を選択し、このロールの検索の最大時間ウィンドウに 2592000秒(30日)を入力します。この役割の最も早い検索可能イベント時間には、Custom time を選択し、7776000秒(90日)と入力します。Disk space limit セクションで、Standard search limit に 1000MB を入力します。

  7. 次に、Splunk Enterprise で Settings > Users にアクセスし、Log Observer Connect サービスアカウントのユーザーを作成します。Assign roles セクションで、前の手順で作成した Log Observer Connect サービスアカウントのロールをユーザーに割り当てます。

  8. Splunk 間通信を保護するための証明書を取得します。方法については、Splunk Log Observer Connect 用に Splunk Enterprise で証明書を設定およびインストールする を参照してください。Log Observer Connect と Splunk Enterprise インスタンスを安全に接続するために、チェーン内の最初の証明書のみをコピーし、ガイド付きセットアップの次のページに貼り付けます。

  9. Log Observer Connectガイドセットアップの最終ページで、各接続に固有の名前を付けてください。

注釈

Splunk Enterprise の現在の戦略を使用して、同時検索の制限を管理します。Log Observer Connect ユーザーが開始するすべての検索は、Splunk Enterprise で作成したサービスアカウントを経由します。各アクティブ Log Observer Connect ユーザーに対して、ユーザーが Log Observer Connect UI で検索を実行すると、4つのバックエンド検索が発生します。たとえば、Log Observer Connect UI に同時にアクセスするユーザーが 3 人いる場合、Log Observer Connect のサービスアカウントは Splunk Enterprise で約 12回の検索を開始します。

トラブルシューティング 🔗

Log Observer Connectの一般的な問題の解決方法については、Log Observer Connectセットアップをトラブルシューティングする を参照してください。

This page was last updated on 2024年04月24日.