Monitoring Splunk
cancel
Turn on suggestions
Auto-suggest helps you quickly narrow down your search results by suggesting possible matches as you type.
Showing results for 
Search instead for 
Did you mean: 
Ask a Question

フォワーダー管理のクライアントの追加方法について

satoishi
New Member
‎02-19-2020 04:43 AM

お世話になります。

標題について質問させてください。
デプロイサーバ(Splunk Enterprize7.3.3 windows64bit)から
デプロイクライアント(Universal Forwarder7.3.3 windows64bit)へ
Appの配布を行いたいと考えております。
しかし、Splunkの管理コンソールの設定 > フォワーダー管理で
クライアントにUniversal ForwarderをインストールしたPCが
表示されず、作業が進められなくて困っております。
splunk初心者のため何を確認し、何を設定すればよいのかが分かっておりません。

行った作業は以下の通りです。
 ①PC1にSplunk Enterprize7.3.3 windows64bitをインストール
 ②設定 > 転送と受信 > 受信の設定 > 9997ポートを作成
 ③PC2にUniversal Forwarder7.3.3 windows64bitをインストール
  Deployment ServerにPC1のIPアドレス:8089を指定
  Recieving IndexerにPC1のIPアドレス:9997を指定
 ④PC2のoutputs.confの[tcpout:default-autolb-group]に
  compressed = trueを追加

確認したこと
 ①PC2のPowerShellからTest-NetConnectionコマンドで9997
  ポートで接続できることを確認しています。
 ②PC2でWindowsのログをPC1に送るよう設定した場合は、
  Search&Reportingのデータサマリから見れることを確認
  しています。
  (この状態で設定 > フォワーダー管理のクライアントに
   Universal ForwarderをインストールしたPC2が表示
   されません。)

以上、よろしくお願いいたます。

0 Karma
Reply

vinod94
Contributor
‎02-20-2020 02:59 AM

Hi @satoishi ,

これを試してもらえますか

ポート8089が開いているかどうかを確認します。

ユニバーサルフォワーダーから8089にtelnetで接続できます

次のコマンドを実行して、展開サーバーが正しく設定されているかどうかを確認することもできます

./splunk show deploy-poll Linux用
.\splunk show deploy-poll Windows用

展開サーバーを指しているかどうかを確認します

これが役立つかどうか教えてください

0 Karma
Reply

ayoshikawa_splu
Splunk Employee
Splunk Employee
‎02-19-2020 05:54 PM

おそらく PC1 を Deployment Server (以下DP) にする設定をされていないのではないでしょうか。
Web UI から設定する場合、設定 > Monitoring Console を開き、Setting> General Setup から、PC1のServer ロールに Deployment Server を追加してみて下さい。

0 Karma
Reply

satoishi
New Member
‎02-19-2020 09:31 PM

ご教授いただきありがとうございます。
この対応でうまくいきました、ありがとうございました。

しかし、設定変更後にsplunkを再起動してもすぐには
クライアントにUniversal ForwarderをインストールしたPCが
表示されず、しばらく時間をおいてから再度確認したら表示
されるようになっていました。
EnterpriseとUniversal Forwarderの同期が何らかの原因で
うまくいっていないことも原因の一つだったのかもしれません。

0 Karma
Reply

tkomatsubara_sp
Splunk Employee
Splunk Employee
‎06-18-2020 03:42 PM

フォワーダーは、Phoningといいまして、定期的にデプロイメントサーバーに通信を行い、更新がないかどうか確認をします。

ポーリング動作になりますので、タイムラグがあります。

https://community.splunk.com/t5/Getting-Data-In/How-to-determine-if-forwarder-is-phoning-home-to-dep...

通常の動作ですが、一瞬ドキッとしますよね。仕様になります。

0 Karma
Reply
Get Updates on the Splunk Community!

Preparing your Splunk Environment for OpenSSL3

The Splunk platform will transition to OpenSSL version 3 in a future release. Actions are required to prepare ...

Incident Response: Reduce Incident Recurrence with Automated Ticket Creation

Culture extends beyond work experience and coffee roast preferences on software engineering teams. Team ...

Splunk Classroom Chronicles: Training Tales and Testimonials (Episode 2)

Welcome to the "Splunk Classroom Chronicles" series, created to help curious, career-minded learners get ...