Splunkフォワーダーをインストールすると、リモートデータをSplunkインストールに取り込み、ログにインデックスを付けることができ、検索は素晴らしいものになります。しかし、syslogを実行し、ログをどこかにエクスポートできるルーターデバイスやその他のデバイスがいくつかあります。
これらのログを受信するようにSplunkを設定するにはどうすればよいですか、または使用する他の回避策はありますか?
Splunkインデクサーの入力設定では、ポート514でUDPリスナーを設定し、タイプをsyslog
(デフォルトのsyslogフィールドの一部を把握できるようにする)に設定し、ホストをに設定します。トラフィックのソース(これにより、ログアイテムのホストフィールドを適切に設定できます)。
これが行われると、標準のsyslogデバイスはすべてSplunkインデクサーにデータを送信でき、Splunkによって受け入れられます。
Splunkをsyslog接続を受け入れるように設定する方法については、オンラインでかなりの数の記事があります。 これが1つです 簡単なGoogle検索で見つけました。
基本的には、Splunkの管理コンソールにアクセスして、YマシンからXポートで接続を受け入れるように指示するだけです。これは基本的に、Splunkにそれらの接続を受け入れるように指示します。ここで、各デバイスに移動し、そのシステムのsyslogを正しいポートのSplunkIPにポイントする必要があります。
参考までに-私が使用したGoogle検索は次のとおりです: syslogを受け入れるようにsplunkを設定
これが古いスレッドであることは知っていますが、つまずいた人のためにコメントするだけです。推奨されるアプローチは、syslog-ngやRsyslogなどのsyslogサーバーを介してsyslogデータをファネルすることです。次に、Splunk Universal Forwarderを使用してログファイルを監視し、インデックスレイヤーに送信します。 Splunkフォワーダー/インデクサーでネットワークポートを開くことが推奨されない理由はいくつかあります。まず、UDPはステートレスであり、Splunkを再起動する必要があるときはいつでも、そのデータは失われるだけです。また、Splunkは基本的に、構成ファイルが変更されたとき、またはアプリがインストールされたときはいつでも再起動する必要があります。次に、1024未満のポートでトラフィックを受け入れるには、Splunkをrootとして実行する必要があり、これはベストプラクティスに反します。また、多くの企業のセキュリティポリシーに違反しています。