ユニバーサルフォワーダの設定

アプリケーション コンテキストの関連付けのために、Splunk AppDynamics オンプレミス から Splunk Enterprise にアプリケーションメタデータを送信するように Splunk Universal Forwarder を設定する必要があります。

次の状態を確認してください。

  • ユニバーサルフォワーダーのバージョンは、バージョン 7.0.0 以上である必要があります。

  • ユニバーサルフォワーダが環境にすでに展開されている必要があります。展開の詳細については、「Splunk のドキュメント」を参照してください。

  • ユニバーサルフォワーダーが適切に機能し、Splunk Platform にログを送信している必要があります。問題がある場合は、Splunk サポートにお問い合わせください。

  1. $SPLUNK_HOME/etc/system/local/ directory で、inputs.conf ファイルを開きます。ファイルが使用できない場合は、inputs.conf という名前のファイルを作成します。仕様については、inputs.conf.spec を参照してください。
  2. 各モニタースタンザで、_meta フィールドを追加します。
  3. _meta フィールドに、AppDynamics アプリケーション名と階層名を追加します。次の例は、ディレクトリ /var/log/my-app からログを収集する inputs.conf ファイル内のスタンザを示しています。
    CODE 
    [monitor:///var/log/my-app]
index = <index-name>
disabled = 0
_meta = appd_app_name::<APPD_APP_NAME> appd_tier_name::<APPD_TIER_NAME>
  4. Splunk インスタンスを再起動して、設定の変更を有効にします。
警告: 挿入されたメタデータに関してログが適切に解析され、インデックスが作成されるようにするには、イベントの改行を適切に設定する必要があります。複数行のログは、複数のイベントに分割されないように正しく処理する必要があります。また、複数のログを 1 つのイベントにまとめて追加することはできません。改行の設定方法については、「」「Splunk のドキュメント」を参照してください。

構造化ログの追加設定

構造化ログのログ接続を有効にするには、ユニバーサルフォワーダーで次のソースタイプのいずれかを設定します。

事前設定されていないソースタイプ

構造化ログのソースタイプが事前設定されていない場合は、inputs.conf ファイルでソースタイプを指定する必要があります。
  1. 構造ログファイルを含む各スタンザで、構造化ログのフォーマットを指定します。次のフォーマットがサポートされています。
    形式
    カンマ区切り値 csv
    JSON _json
    パイプ区切り値 psv
    タブ区切り値 tsv
  2. ユニバーサルフォワーダを再起動します。

たとえば、構造化ログが JSON フォーマットの場合は、次のようにスタンザで sourcetype _json を指定します。

CODE 
[monitor:///var/log/my-app]
index = <index-name>
sourcetype=_json
disabled = 0
_meta = appd_app_name::<APPD_APP_NAME> appd_tier_name::<APPD_TIER_NAME>

事前設定されたソースタイプ

構造化ログのカスタムソースタイプをすでに設定しているが、インデックス付きフィールドの抽出が有効になっていない場合は、ユニバーサルフォワーダーの props.conf を更新し、Splunk インスタンスで適切なインデックス抽出を選択する必要があります。

ユニバーサルフォワーダで、次の手順を実行します。

  1. $SPLUNK_HOME/etc/system/local/props.conf に進みます。

  2. 次のいずれかのフォーマットを指定して、スタンザを更新して INDEXED_EXTRACTIONS を有効にします。

    • CSV

    • JSON

    • TSV

    • PSV

    • W3C

  3. ユニバーサルフォワーダを再起動します。

たとえば、カスタムソースタイプが custom-json の場合、次のようにスタンザを更新します。

CODE 
[custom-json]
INDEXED_EXTRACTIONS = JSON

Splunk インスタンスで次の手順を実行します。

  1. Settings > Data > Source Types をクリックします。

  2. New Source Type をクリックします。

  3. [Name] フィールドで、UF で言及したものと同じカスタムソースタイプ名を指定します。例:custom-json

  4. [Description] フィールドに、ソースタイプの適切な説明を入力します。

  5. Destination appリストで、system としてアプリケーションを選択します。

  6. Categoryリストで、Structured としてカテゴリを選択します。

  7. Indexed extractionリストで、カスタムソースタイプのフォーマットを選択します。形式は次のいずれかになります。

    • CSV

    • JSON

    • TSV

    • PSV

    • W3C

  8. [Advanced] をクリックして [New setting] を追加します。

  9. KV_MODE リストで、none として値を選択します。

  10. Save をクリックします。

次のイメージは、ソースタイプの例を示しています。