Getting Data In

universal forwarder の設定方法について

Engager

I'm sorry in Japanese

universal-fowarderを利用してリモートホストにあるファイルを監視したいと考えています。
universal-fowarderをインストールました。
Forwarding and receiving » Receive dataに9997ポートを設定しました。
しかし、データの追加を試みましたが、下記エラーにて進まな無い状態です
There are currently no forwarders configured as deployment clients to this instance.

下記のconf fileの内容に不足はありますでしょうか。

input.confの内容<<<<<
[default]
host = hoge
[monitor://C:\Program Files (x86)\hoge.txt]
disabled = false
recursive = false
index = test
sourcetype = test

output.confの内容<<<<<
[tcpout]
defaultGroup = default-autolb-group
[tcpout:default-autolb-group]
server = 192.168.1.10:9997
[tcpout-server://192.168.1.10:9997]

splunk:6.2.0(windows7)
universal-fowarder:windows8

0 Karma
1 Solution

Communicator

設定ファイル名を再確認される事をお勧めします。

入力設定を行うconf: inputs.conf
転送設定を行うconf: outputs.conf

最小限必要となるconfは上記のはずです。

設定が正しいにも関わらず、UFからインデクサーにデータが送信できない場合、
インデクサー側のファイアウォール設定を確認してみてください。
9997/TCPの通信が許可されていなければ、Splunkはデータ受信できません。

本文に記載の以下の文章は、どのようなステップでのエラーなのでしょうか?
# データの追加を試みましたが、下記エラーにて進まな無い状態です
# There are currently no forwarders configured as deployment clients to this instance.

UFを使ったデータ収集では、デプロイ機能を使うと便利ですが、必須ではありません。
利用中のSplunkバージョン、手順などをご説明いただければ、それに即したご案内ができるかも知れません。
ご検討ください。

View solution in original post

0 Karma

Communicator

設定ファイル名を再確認される事をお勧めします。

入力設定を行うconf: inputs.conf
転送設定を行うconf: outputs.conf

最小限必要となるconfは上記のはずです。

設定が正しいにも関わらず、UFからインデクサーにデータが送信できない場合、
インデクサー側のファイアウォール設定を確認してみてください。
9997/TCPの通信が許可されていなければ、Splunkはデータ受信できません。

本文に記載の以下の文章は、どのようなステップでのエラーなのでしょうか?
# データの追加を試みましたが、下記エラーにて進まな無い状態です
# There are currently no forwarders configured as deployment clients to this instance.

UFを使ったデータ収集では、デプロイ機能を使うと便利ですが、必須ではありません。
利用中のSplunkバージョン、手順などをご説明いただければ、それに即したご案内ができるかも知れません。
ご検討ください。

View solution in original post

0 Karma

Engager

お世話になります。
ご回答ありがとうございます。

インデクサー側のファイアウォール設定を確認してみてください。

上記確認いたしましたが、サーチAppにてindex=testを検索したところ
正常にログを見ることができておりました。

しかしながら、Data入力⇒UF内のWindowsイベントログを選択したところ
同様のエラーが出ており、インデクサーにてUFの端末が見つけられていないように
見受けられます。

尚、Verは6,2(最新)を利用しております。

以上、宜しくお願いいたします。

Communicator

追加情報ありがとうございます。

問題は、データ入力で、「Forwarded inputs」の指定をしようとしたところで、「There are currently no forwarders configured as deployment clients to this instance.」と表示されると言う事ですね。

この機能を使うには、デプロイメントサーバーと接続するための設定をUF上に指定する必要があります。
UF上で、次のコマンドを実行します。

splunk set deploy-poll host:port -auth user:pass
※ hostは、インデックスサーバー、portは管理ポートのデフォルト8089
user:passは、UFのSplunkのアカウントでデフォルトadmin:changme

その後、splunkのプロセスを再起動(splunk restart)します。

これにより、UFがデプロイメントサーバーと接続し、デプロイメントサーバーのGUI上で設定ができるようになるはずです。

お試しください。

なお、UF 6.2.0には日本語OS上でイベントログが取得できない問題があります。
問題が解消されたUF 6.2.1が既にリリースされているので、ご注意ください。

0 Karma