topic Re: Universal forwarderからのログの受信設定について in Splunk Enterprise https://community.splunk.com/t5/Splunk-Enterprise/Universal-forwarder%E3%81%8B%E3%82%89%E3%81%AE%E3%83%AD%E3%82%B0%E3%81%AE%E5%8F%97%E4%BF%A1%E8%A8%AD%E5%AE%9A%E3%81%AB%E3%81%A4%E3%81%84%E3%81%A6/m-p/399561#M7546 <P>ご回答ありがとうございます!!</P> Mon, 13 Aug 2018 07:25:08 GMT dum0785 2018-08-13T07:25:08Z Universal forwarderからのログの受信設定について https://community.splunk.com/t5/Splunk-Enterprise/Universal-forwarder%E3%81%8B%E3%82%89%E3%81%AE%E3%83%AD%E3%82%B0%E3%81%AE%E5%8F%97%E4%BF%A1%E8%A8%AD%E5%AE%9A%E3%81%AB%E3%81%A4%E3%81%84%E3%81%A6/m-p/399559#M7544 <P>現在Universal forwarderからindex&amp;Search用Splunkへファイアウォールのログを転送しています。<BR /> 受信側(index&amp;Search)にsourcetypeとindexを指定してログを取り込むよう設定したのですが、<BR /> どのファイルにどのように設定を記載すればよいでしょうか?</P> <P>Universal forwarder:172.16.11.11<BR /> Splunk indexer:172.16.11.12<BR /> 受信ポート:9997<BR /> 指定したいsourcetype名:FW_Traffic<BR /> 指定したいindex名:firewall</P> <P>ご教示お願い致します。</P> Sun, 12 Aug 2018 14:03:06 GMT https://community.splunk.com/t5/Splunk-Enterprise/Universal-forwarder%E3%81%8B%E3%82%89%E3%81%AE%E3%83%AD%E3%82%B0%E3%81%AE%E5%8F%97%E4%BF%A1%E8%A8%AD%E5%AE%9A%E3%81%AB%E3%81%A4%E3%81%84%E3%81%A6/m-p/399559#M7544 dum0785 2018-08-12T14:03:06Z Re: Universal forwarderからのログの受信設定について https://community.splunk.com/t5/Splunk-Enterprise/Universal-forwarder%E3%81%8B%E3%82%89%E3%81%AE%E3%83%AD%E3%82%B0%E3%81%AE%E5%8F%97%E4%BF%A1%E8%A8%AD%E5%AE%9A%E3%81%AB%E3%81%A4%E3%81%84%E3%81%A6/m-p/399560#M7545 <P>Universal forwarder(以下UF)からのログのインデックスやソースタイプの指定はUF側で行います。Splunkサーバ側で設定するケースはサーバに送られてきたログのソースタイプ等を更に分類するような特殊なケースになります。</P> <P>以下、設定ファイルのサンプルです。設定する場所はUFの(splunk_dir)/etc/system/localになります。ファイルが存在しない場合は追加して下さい。</P> <P>inputs.conf<BR /> [monitor:///data/output_log/NW/_buffer/firewall_syslog/firewall_syslog.log]<BR /> disabled = false<BR /> index = firewall<BR /> sourcetype = FW_Traffic</P> <P>コードがUTF-8以外の場合はコード変換が必要になります。props.confにソースタイプを設定します。</P> <P>props.conf<BR /> [FW_Traffic]<BR /> CHARSET = SHIFT-JIS ※ログがSJISの場合</P> Tue, 29 Sep 2020 20:54:16 GMT https://community.splunk.com/t5/Splunk-Enterprise/Universal-forwarder%E3%81%8B%E3%82%89%E3%81%AE%E3%83%AD%E3%82%B0%E3%81%AE%E5%8F%97%E4%BF%A1%E8%A8%AD%E5%AE%9A%E3%81%AB%E3%81%A4%E3%81%84%E3%81%A6/m-p/399560#M7545 HiroshiSatoh 2020-09-29T20:54:16Z Re: Universal forwarderからのログの受信設定について https://community.splunk.com/t5/Splunk-Enterprise/Universal-forwarder%E3%81%8B%E3%82%89%E3%81%AE%E3%83%AD%E3%82%B0%E3%81%AE%E5%8F%97%E4%BF%A1%E8%A8%AD%E5%AE%9A%E3%81%AB%E3%81%A4%E3%81%84%E3%81%A6/m-p/399561#M7546 <P>ご回答ありがとうございます!!</P> Mon, 13 Aug 2018 07:25:08 GMT https://community.splunk.com/t5/Splunk-Enterprise/Universal-forwarder%E3%81%8B%E3%82%89%E3%81%AE%E3%83%AD%E3%82%B0%E3%81%AE%E5%8F%97%E4%BF%A1%E8%A8%AD%E5%AE%9A%E3%81%AB%E3%81%A4%E3%81%84%E3%81%A6/m-p/399561#M7546 dum0785 2018-08-13T07:25:08Z