Log Observer Connect ユーザーに未承認の Splunk プラットフォームインデックスが表示される

Log Observer Connect で検索すると、Log Observer Connect ユーザーが許可されていない Splunk Enterprise または Splunk Cloud Platform インデックスが表示される場合があります。

原因

すべての Splunk Enterprise および Splunk Cloud Platform のユーザーは、デフォルトですべてのインデックスを一覧表示できます。ただし、authorize.conf で indexes_list_all 機能が有効になっている場合、すべてのインデックスへのアクセスはこの機能を持つロールのみに制限されます。

Log Observer Connect ユーザーに許可されていないインデックスが Log Observer Connect に表示される場合は、Splunk Enterprise または Splunk Cloud Platform の管理者に連絡してください。

解決策

Log Observer Connect ユーザーの Splunk プラットフォームインデックスを制限するには、Splunk Enterprise または Splunk Cloud Platform 管理者は以下の手順を実行する必要があります：

1. Splunk プラットフォームインスタンスの管理者としてログインします。

2. Splunk Cloud Platform 管理者は、この手順をスキップできます。indexes_list_all 機能が Splunk Enterprise インスタンスに存在しない場合は、authorize.conf に [capability::indexes_list_all] スタンザを作成します。authorize.conf で設定を行うと、indexes_list_all 機能はすべてのロールで無効になります。管理者は、UI または authorize.conf で、選択したロールにこの機能を追加できます。

3. indexes_list_all 機能を管理者ロールおよびインデックスにアクセスする必要があるその他のロールに対して有効にします。ロールに機能を追加する方法の詳細については、「Splunk のプラットフォームでロールに機能を定義する」を参照してください。

4. Settings > Roles にアクセスし、Log Observer Connect サービスアカウントのロール名をクリックします。

5. Capabilities タブで、indexes_list_all を選択解除し、Log Observer Connect ユーザーがすべての Splunk プラットフォームインデックスを参照できないようにします。

接続はうまくいっているようですが、ログがありません。

原因

Splunk プラットフォームインスタンスのインデックスにログが含まれていません。または、Log Observer Connect で特定のインデックスを選択していません。

解決策

ログを含む Splunk プラットフォームインスタンスのインデックスを選択します。Log Observer Connect で特定のインデックスを選択します。

接続は機能しているように見えますが、必要なインデックスが選択できません。

この問題には2つの原因が考えられます。

原因1

内部インデックスをターゲットにしようとしています。

解決策 1

内部インデックスをターゲットにしないでください。内部インデックスは、「_internal」のように「_」で始まります。内部インデックスは Log Observer Connect と互換性がありません。

原因 2

孤児アプリのインデックスを選択しています。

解決策 2

孤立したアプリで定義されたインデックスは、 REST エンドポイント /services/data/indexes には表示されません。孤立したアプリで定義されたインデックスを別の indexes.conf に移動します。Splunk Cloud Platform では、これを行うには Splunk サポートの支援が必要です。Splunk Enterprise では、サーバーのコマンドラインアクセスが必要です。