Monitoring Splunk

フォワーダー管理のクライアントの追加方法について

satoishi
New Member

お世話になります。

標題について質問させてください。
デプロイサーバ(Splunk Enterprize7.3.3 windows64bit)から
デプロイクライアント(Universal Forwarder7.3.3 windows64bit)へ
Appの配布を行いたいと考えております。
しかし、Splunkの管理コンソールの設定 > フォワーダー管理で
クライアントにUniversal ForwarderをインストールしたPCが
表示されず、作業が進められなくて困っております。
splunk初心者のため何を確認し、何を設定すればよいのかが分かっておりません。

行った作業は以下の通りです。
 ①PC1にSplunk Enterprize7.3.3 windows64bitをインストール
 ②設定 > 転送と受信 > 受信の設定 > 9997ポートを作成
 ③PC2にUniversal Forwarder7.3.3 windows64bitをインストール
  Deployment ServerにPC1のIPアドレス:8089を指定
  Recieving IndexerにPC1のIPアドレス:9997を指定
 ④PC2のoutputs.confの[tcpout:default-autolb-group]に
  compressed = trueを追加

確認したこと
 ①PC2のPowerShellからTest-NetConnectionコマンドで9997
  ポートで接続できることを確認しています。
 ②PC2でWindowsのログをPC1に送るよう設定した場合は、
  Search&Reportingのデータサマリから見れることを確認
  しています。
  (この状態で設定 > フォワーダー管理のクライアントに
   Universal ForwarderをインストールしたPC2が表示
   されません。)

以上、よろしくお願いいたます。

0 Karma

vinod94
Contributor

Hi @satoishi ,

これを試してもらえますか

ポート8089が開いているかどうかを確認します。

ユニバーサルフォワーダーから8089にtelnetで接続できます

次のコマンドを実行して、展開サーバーが正しく設定されているかどうかを確認することもできます

./splunk show deploy-poll Linux用
.\splunk show deploy-poll Windows用

展開サーバーを指しているかどうかを確認します

これが役立つかどうか教えてください

0 Karma

ayoshikawa_splu
Splunk Employee
Splunk Employee

おそらく PC1 を Deployment Server (以下DP) にする設定をされていないのではないでしょうか。
Web UI から設定する場合、設定 > Monitoring Console を開き、Setting> General Setup から、PC1のServer ロールに Deployment Server を追加してみて下さい。

0 Karma

satoishi
New Member

ご教授いただきありがとうございます。
この対応でうまくいきました、ありがとうございました。

しかし、設定変更後にsplunkを再起動してもすぐには
クライアントにUniversal ForwarderをインストールしたPCが
表示されず、しばらく時間をおいてから再度確認したら表示
されるようになっていました。
EnterpriseとUniversal Forwarderの同期が何らかの原因で
うまくいっていないことも原因の一つだったのかもしれません。

0 Karma

tkomatsubara_sp
Splunk Employee
Splunk Employee

フォワーダーは、Phoningといいまして、定期的にデプロイメントサーバーに通信を行い、更新がないかどうか確認をします。

ポーリング動作になりますので、タイムラグがあります。

https://community.splunk.com/t5/Getting-Data-In/How-to-determine-if-forwarder-is-phoning-home-to-dep...

通常の動作ですが、一瞬ドキッとしますよね。仕様になります。

0 Karma
Get Updates on the Splunk Community!

What's new in Splunk Cloud Platform 9.1.2312?

Hi Splunky people! We are excited to share the newest updates in Splunk Cloud Platform 9.1.2312! Analysts can ...

What’s New in Splunk Security Essentials 3.8.0?

Splunk Security Essentials (SSE) is an app that can amplify the power of your existing Splunk Cloud Platform, ...

Let’s Get You Certified – Vegas-Style at .conf24

Are you ready to level up your Splunk game? Then, let’s get you certified live at .conf24 – our annual user ...