I'm sorry in Japanese
universal-fowarderを利用してリモートホストにあるファイルを監視したいと考えています。
universal-fowarderをインストールました。
Forwarding and receiving » Receive dataに9997ポートを設定しました。
しかし、データの追加を試みましたが、下記エラーにて進まな無い状態です
There are currently no forwarders configured as deployment clients to this instance.
下記のconf fileの内容に不足はありますでしょうか。
input.confの内容<<<<<
[default]
host = hoge
[monitor://C:\Program Files (x86)\hoge.txt]
disabled = false
recursive = false
index = test
sourcetype = testoutput.confの内容<<<<<
[tcpout]
defaultGroup = default-autolb-group
[tcpout:default-autolb-group]
server = 192.168.1.10:9997
[tcpout-server://192.168.1.10:9997]
splunk:6.2.0(windows7)
universal-fowarder:windows8
設定ファイル名を再確認される事をお勧めします。
入力設定を行うconf: inputs.conf
転送設定を行うconf: outputs.conf
最小限必要となるconfは上記のはずです。
設定が正しいにも関わらず、UFからインデクサーにデータが送信できない場合、
インデクサー側のファイアウォール設定を確認してみてください。
9997/TCPの通信が許可されていなければ、Splunkはデータ受信できません。
本文に記載の以下の文章は、どのようなステップでのエラーなのでしょうか?
# データの追加を試みましたが、下記エラーにて進まな無い状態です
# There are currently no forwarders configured as deployment clients to this instance.
UFを使ったデータ収集では、デプロイ機能を使うと便利ですが、必須ではありません。
利用中のSplunkバージョン、手順などをご説明いただければ、それに即したご案内ができるかも知れません。
ご検討ください。
設定ファイル名を再確認される事をお勧めします。
入力設定を行うconf: inputs.conf
転送設定を行うconf: outputs.conf
最小限必要となるconfは上記のはずです。
設定が正しいにも関わらず、UFからインデクサーにデータが送信できない場合、
インデクサー側のファイアウォール設定を確認してみてください。
9997/TCPの通信が許可されていなければ、Splunkはデータ受信できません。
本文に記載の以下の文章は、どのようなステップでのエラーなのでしょうか?
# データの追加を試みましたが、下記エラーにて進まな無い状態です
# There are currently no forwarders configured as deployment clients to this instance.
UFを使ったデータ収集では、デプロイ機能を使うと便利ですが、必須ではありません。
利用中のSplunkバージョン、手順などをご説明いただければ、それに即したご案内ができるかも知れません。
ご検討ください。
お世話になります。
ご回答ありがとうございます。
インデクサー側のファイアウォール設定を確認してみてください。
上記確認いたしましたが、サーチAppにてindex=testを検索したところ
正常にログを見ることができておりました。
しかしながら、Data入力⇒UF内のWindowsイベントログを選択したところ
同様のエラーが出ており、インデクサーにてUFの端末が見つけられていないように
見受けられます。
尚、Verは6,2(最新)を利用しております。
以上、宜しくお願いいたします。
追加情報ありがとうございます。
問題は、データ入力で、「Forwarded inputs」の指定をしようとしたところで、「There are currently no forwarders configured as deployment clients to this instance.」と表示されると言う事ですね。
この機能を使うには、デプロイメントサーバーと接続するための設定をUF上に指定する必要があります。
UF上で、次のコマンドを実行します。
splunk set deploy-poll host:port -auth user:pass
※ hostは、インデックスサーバー、portは管理ポートのデフォルト8089
user:passは、UFのSplunkのアカウントでデフォルトadmin:changme
その後、splunkのプロセスを再起動(splunk restart)します。
これにより、UFがデプロイメントサーバーと接続し、デプロイメントサーバーのGUI上で設定ができるようになるはずです。
お試しください。
なお、UF 6.2.0には日本語OS上でイベントログが取得できない問題があります。
問題が解消されたUF 6.2.1が既にリリースされているので、ご注意ください。