Getting Data In

Universal Forwarderが全てのWindows Security Event Logを送付できてない

Splunk Employee
Splunk Employee

WindowsドメインコントローラにインストールされたUniversal Forwarder ( UF ) は Windows Security Event Log しか監視していないが、全ての Event Log を Indexer 側に送付できてないです。
Indexer 側のキューを確認したが、いっぱいになっているキューはありませんでした。
そして、UF 側のキューを確認したところ、parsingqueue および tcpout キューは常にいっぱいでしたので、問題はどうも UF 側にあるようですが、どこが悪いかがわかりません。
全ての Windows Security Event Log を Indexer 側に送付できる方法を教えてください。

0 Karma
1 Solution

Splunk Employee
Splunk Employee

まず、UF側のsplunkd.logには以下のようなメッセージがあるかを確認してみてください。

INFO ThruputProcessor - Current data throughput (256 kb/s) has reached maxKBps. As a result, data forwarding may be throttled. Consider increasing the value of maxKBps in limits.conf.

ある場合、UF側のlimits.confのmaxKBpsをデフォルトの256から無制限の0に変更してください。

[thruput] 
maxKBps = 0

そして、UF側のmetrics.logでeps (event per second) の内容を確認してみてください。以下のようにwineventlog:securityのepsが300以上 (つまり、300 event per secondでUFからeventlogをindexer側に送っている)の場合、

INFO Metrics-group=per_sourcetype_thruput, series="wineventlog:security", kbps=243, eps=353, kb=7538, ev=10912, avg_age=120, max_age=127

UFのparsingqueueがいっぱいにならないまでに、parsingQueueのサイズをserver.confで徐々に増やしてみてください。

[queue=parsingQueue] 
maxSize = 10MB

View solution in original post

0 Karma

Splunk Employee
Splunk Employee

まず、UF側のsplunkd.logには以下のようなメッセージがあるかを確認してみてください。

INFO ThruputProcessor - Current data throughput (256 kb/s) has reached maxKBps. As a result, data forwarding may be throttled. Consider increasing the value of maxKBps in limits.conf.

ある場合、UF側のlimits.confのmaxKBpsをデフォルトの256から無制限の0に変更してください。

[thruput] 
maxKBps = 0

そして、UF側のmetrics.logでeps (event per second) の内容を確認してみてください。以下のようにwineventlog:securityのepsが300以上 (つまり、300 event per secondでUFからeventlogをindexer側に送っている)の場合、

INFO Metrics-group=per_sourcetype_thruput, series="wineventlog:security", kbps=243, eps=353, kb=7538, ev=10912, avg_age=120, max_age=127

UFのparsingqueueがいっぱいにならないまでに、parsingQueueのサイズをserver.confで徐々に増やしてみてください。

[queue=parsingQueue] 
maxSize = 10MB

View solution in original post

0 Karma