Getting Data In

universal forwarder の設定方法について

hnihei
Engager

I'm sorry in Japanese

universal-fowarderを利用してリモートホストにあるファイルを監視したいと考えています。
universal-fowarderをインストールました。
Forwarding and receiving » Receive dataに9997ポートを設定しました。
しかし、データの追加を試みましたが、下記エラーにて進まな無い状態です
There are currently no forwarders configured as deployment clients to this instance.

下記のconf fileの内容に不足はありますでしょうか。

input.confの内容<<<<<
[default]
host = hoge
[monitor://C:\Program Files (x86)\hoge.txt]
disabled = false
recursive = false
index = test
sourcetype = test

output.confの内容<<<<<
[tcpout]
defaultGroup = default-autolb-group
[tcpout:default-autolb-group]
server = 192.168.1.10:9997
[tcpout-server://192.168.1.10:9997]

splunk:6.2.0(windows7)
universal-fowarder:windows8

0 Karma
1 Solution

Suda
Communicator

設定ファイル名を再確認される事をお勧めします。

入力設定を行うconf: inputs.conf
転送設定を行うconf: outputs.conf

最小限必要となるconfは上記のはずです。

設定が正しいにも関わらず、UFからインデクサーにデータが送信できない場合、
インデクサー側のファイアウォール設定を確認してみてください。
9997/TCPの通信が許可されていなければ、Splunkはデータ受信できません。

本文に記載の以下の文章は、どのようなステップでのエラーなのでしょうか?
# データの追加を試みましたが、下記エラーにて進まな無い状態です
# There are currently no forwarders configured as deployment clients to this instance.

UFを使ったデータ収集では、デプロイ機能を使うと便利ですが、必須ではありません。
利用中のSplunkバージョン、手順などをご説明いただければ、それに即したご案内ができるかも知れません。
ご検討ください。

View solution in original post

0 Karma

Suda
Communicator

設定ファイル名を再確認される事をお勧めします。

入力設定を行うconf: inputs.conf
転送設定を行うconf: outputs.conf

最小限必要となるconfは上記のはずです。

設定が正しいにも関わらず、UFからインデクサーにデータが送信できない場合、
インデクサー側のファイアウォール設定を確認してみてください。
9997/TCPの通信が許可されていなければ、Splunkはデータ受信できません。

本文に記載の以下の文章は、どのようなステップでのエラーなのでしょうか?
# データの追加を試みましたが、下記エラーにて進まな無い状態です
# There are currently no forwarders configured as deployment clients to this instance.

UFを使ったデータ収集では、デプロイ機能を使うと便利ですが、必須ではありません。
利用中のSplunkバージョン、手順などをご説明いただければ、それに即したご案内ができるかも知れません。
ご検討ください。

0 Karma

hnihei
Engager

お世話になります。
ご回答ありがとうございます。

インデクサー側のファイアウォール設定を確認してみてください。

上記確認いたしましたが、サーチAppにてindex=testを検索したところ
正常にログを見ることができておりました。

しかしながら、Data入力⇒UF内のWindowsイベントログを選択したところ
同様のエラーが出ており、インデクサーにてUFの端末が見つけられていないように
見受けられます。

尚、Verは6,2(最新)を利用しております。

以上、宜しくお願いいたします。

Suda
Communicator

追加情報ありがとうございます。

問題は、データ入力で、「Forwarded inputs」の指定をしようとしたところで、「There are currently no forwarders configured as deployment clients to this instance.」と表示されると言う事ですね。

この機能を使うには、デプロイメントサーバーと接続するための設定をUF上に指定する必要があります。
UF上で、次のコマンドを実行します。

splunk set deploy-poll host:port -auth user:pass
※ hostは、インデックスサーバー、portは管理ポートのデフォルト8089
user:passは、UFのSplunkのアカウントでデフォルトadmin:changme

その後、splunkのプロセスを再起動(splunk restart)します。

これにより、UFがデプロイメントサーバーと接続し、デプロイメントサーバーのGUI上で設定ができるようになるはずです。

お試しください。

なお、UF 6.2.0には日本語OS上でイベントログが取得できない問題があります。
問題が解消されたUF 6.2.1が既にリリースされているので、ご注意ください。

0 Karma
Get Updates on the Splunk Community!

Index This | I am a number, but when you add ‘G’ to me, I go away. What number am I?

March 2024 Edition Hayyy Splunk Education Enthusiasts and the Eternally Curious!  We’re back with another ...

What’s New in Splunk App for PCI Compliance 5.3.1?

The Splunk App for PCI Compliance allows customers to extend the power of their existing Splunk solution with ...

Extending Observability Content to Splunk Cloud

Register to join us !   In this Extending Observability Content to Splunk Cloud Tech Talk, you'll see how to ...