Solved: Re: Blue Coat のアクセスログが受信できない

watahiro · ‎01-15-2015

BlueCoat SGからアクセスログをCustom Clientを使用して送信しているのですが、
Splunk側で下記のエラーが出て、受信できません。
（インデクサー側にSplunk for Blue Coat appをインストールしています）

ERROR TcpInputProc - Message rejected. Received unexpected 592670566 byte message! from src=...:*****. Maximum message allowed: 67108864. (::)

どのあたりの設定を見直せばよろしいでしょうか？

Splunk_Shinobi · ‎01-15-2015

＊一応回答欄に記載しておきます。

Splunk-Splunk（ユニバーサルフォワーダとインデクサ間）通信で設定している受信ポートを通常のデータ入力ポートとして使うことはできないので、Blue Coatのデータ用に、TCPかUDP入力の設定をして、そのポートに向けてBlue Coatのデータを飛ばして頂く必要があります。

http://docs.splunk.com/Documentation/Splunk/6.2.1/Data/Monitornetworkports#Add_a_network_input_using...

View solution in original post

Splunk_Shinobi · ‎01-15-2015

＊一応回答欄に記載しておきます。

Splunk-Splunk（ユニバーサルフォワーダとインデクサ間）通信で設定している受信ポートを通常のデータ入力ポートとして使うことはできないので、Blue Coatのデータ用に、TCPかUDP入力の設定をして、そのポートに向けてBlue Coatのデータを飛ばして頂く必要があります。

http://docs.splunk.com/Documentation/Splunk/6.2.1/Data/Monitornetworkports#Add_a_network_input_using...

melonman · ‎01-15-2015

Blue CoatからSplunkに対してPort何番に送ってますか？

watahiro · ‎01-15-2015

コメントありがとうございます！
9997番ポートです。
Universal Forwarderからのログも同じポートで受けるようにしているのですが、
まずいでしょうか？

melonman · ‎01-15-2015

あ〜、多分Splunk-Splunk（ユニバーサルフォワーダとインデクサ間）通信で設定している受信ポートが9997ってことですね？
Blue Coat用のポートは、別途プロトコルに合わせてTCPかUDPの入力をしたポートに向けて頂く必要がありますので、以下のドキュメント参照いただいて、ネットワークでデータ入力をする設定をしていただければと思います。

http://docs.splunk.com/Documentation/Splunk/6.2.1/Data/Monitornetworkports#Add_a_network_input_using...

watahiro · ‎01-15-2015

別のポートを指定したところ、ログを受信することができました。
大変助かりました。ありがとうございました！

Blue Coat のアクセスログが受信できない

.conf24 | Registration Open!

ICYMI - Check out the latest releases of Splunk Edge Processor

Introducing the 2024 SplunkTrust!