Log Observer のログデータを Splunk プラットフォームに転送する

Log ObserverのログデータをSplunkプラットフォームに転送する方法について。

ログを Log Observer に取り込むと、分析のために Splunk プラットフォームに転送することもできます。転送できるのは、Splunk プラットフォームの単一インスタンスにおける 1 つのインデックスに対してのみです。Splunk Observability Cloud は、HECトークンを使用して、新しく受信した Log Observer ログを Log Observer に保存するだけでなく、Splunk プラットフォームに転送します。

Log Observer から Splunk プラットフォームにログデータを転送するには、以下を実行する必要があります:

  1. Splunk プラットフォームで HEC インジェストトークンを作成する

  2. Splunk Observability Cloud で HEC への接続を認証する

Splunk プラットフォームで HEC インジェストトークンを作成する

以下の手順に従って、Splunk プラットフォームで HEC インジェストトークンを作成してください:

  1. Splunk platform インスタンスにログインし、Settings を選択します。

  2. [Add Data] を選択し、次に [Monitor] を選択して、 [HTTP Event Collector] を選択します。

  3. Name フィールドに、トークンの名前を入力します。

  4. (オプション)[Source name override] フィールドに、イベントデータのソースのカスタム名を入力できます。ソースフィールドには、ログファイルパス、ネットワークデバイス、またはログイベントを生成するアプリケーションなどの自動的に生成された情報が含まれますが、ソース名の値をオーバーライドすることができます。

  5. (オプション) Description フィールドに、ログデータの説明を入力します。

  6. (オプション)このトークンのインデクサー応答確認を有効にする場合は、[Enable indexer acknowledgment] を選択してから、[Next] を選択します。インデクサー応答確認は、データ転送の適時性に影響を与える可能性があるため、Log Observer の転送には推奨されません。

  7. ソースの種類が正しいことを確認します。

  8. Log Observer ログデータのインデックスが [Allowed indexes] リストにあることを確認し、デフォルトインデックスとして選択します。Log Observer ログデータ用の新しいインデックスを作成するのがベストプラクティスです。

    • ソースタイプとインデックスの詳細については、「入力設定の変更」を参照してください。

  9. Review を選択し、HECエンドポイントのすべての設定が希望通りであることを確認します。

  10. すべての設定が正しい場合は、[Submit] を選択します。それ以外の場合は、[Back] を選択して変更します。

  11. Splunk Web が表示するトークン値をコピーし、[HEC Ingest Token] フィールドに貼り付けます。これは、次のセクションで使用する必要があります。

  12. (オプション)新しいトークンの Splunk プラットフォーム インスタンスへのデプロイの進捗を確認したい場合は、Splunk プラットフォームトークンの設定ページで [Track deployment progress] を選択します。[Done] のステータスが表示されたら、トークンを使用して Log Observer データを送信できます。

Splunk Cloud Platform または Splunk Enterprise 用の HEC Ingest トークンの詳細については、「Splunk Web 上での HTTP Event Collector のセットアップと使用」を参照してください。

Splunk Observability Cloud の IP アドレスを許可リストに追加する

Splunk Cloud Platform の管理者は、Splunk Observability Cloud の IP アドレスを Splunk Cloud Platform の許可リストに追加する必要があります。方法については、「Splunk Web を使用して IP 許可リストを設定する」を参照してください。

Log Observer Connect を設定している場合は、すでに追加されているため、必要な IP アドレスを追加する必要はありません。Log Observer Connect を設定していない場合は、次の IP アドレスを Splunk Cloud Platform の許可リストに追加します。

レルム

IPアドレス

us0

34.199.200.84/32

52.20.177.252/32

52.201.67.203/32

54.89.1.85/32

us1

44.230.152.35/32

44.231.27.66/32

44.225.234.52/32

44.230.82.104/32

eu0

108.128.26.145/32

34.250.243.212/32

54.171.237.247/32

eu1

3.73.240.7

18.196.129.64

3.126.181.171

eu2

13.41.86.83

52.56.124.93

35.177.204.133

sg0

3.0.226.159

18.136.255.76

52.220.199.72

Splunk Observability Cloud で HEC への接続を認証する

以下の手順に従って、HECへの接続を認証してください:

  1. Splunk Observability Cloud にログインし、Settings を選択してから、Forward Logs Data を選択します。

  2. Enter your HEC details セクションに、Splunk プラットフォームインスタンスの URL とポート、前のセクションで作成した HEC Ingest トークンの値を入力します。

  3. Save and Activate を選択すると、新しい受信 Log Observer ログデータを Log Observer に保存するだけでなく、Splunk プラットフォームにも転送するようになります。

HEC インジェストトークンが機能し、Splunk Observability Cloud がログを正常に転送していることを確認するには、Splunk プラットフォームインスタンスの [Search & Reporting] にアクセスし、前のセクションのステップ 8 で選択したインデックスに Splunk Observability Cloud からのログが表示されていることを確認します。転送されたログを Splunk Observability Cloud で引き続き操作するには、Log Observer Connect を使用して、転送されたログを含む Splunk プラットフォーム インデックスに接続します。

トラブルシューティング

Log Observer のログが Splunk プラットフォーム インスタンスに表示されない場合は、提供した Splunk プラットフォーム インスタンスの URL と HEC トークンを確認して再度試すか、カスタマーサポートにお問い合わせください。

HECトークンを更新するには、Deactivate Forwarding を選択し、トークンを更新してから、Reactivate Forwarding を選択します。

Deactivate Forwarding を選択すると、Log Observer はログを Splunk プラットフォームに転送しなくなります。