Monitoring Splunk
cancel
Turn on suggestions
Auto-suggest helps you quickly narrow down your search results by suggesting possible matches as you type.
Showing results for 
Search instead for 
Did you mean: 
Ask a Question

フォワーダー管理のクライアントの追加方法について

satoishi
New Member
‎02-19-2020 04:43 AM

お世話になります。

標題について質問させてください。
デプロイサーバ(Splunk Enterprize7.3.3 windows64bit)から
デプロイクライアント(Universal Forwarder7.3.3 windows64bit)へ
Appの配布を行いたいと考えております。
しかし、Splunkの管理コンソールの設定 > フォワーダー管理で
クライアントにUniversal ForwarderをインストールしたPCが
表示されず、作業が進められなくて困っております。
splunk初心者のため何を確認し、何を設定すればよいのかが分かっておりません。

行った作業は以下の通りです。
 ①PC1にSplunk Enterprize7.3.3 windows64bitをインストール
 ②設定 > 転送と受信 > 受信の設定 > 9997ポートを作成
 ③PC2にUniversal Forwarder7.3.3 windows64bitをインストール
  Deployment ServerにPC1のIPアドレス:8089を指定
  Recieving IndexerにPC1のIPアドレス:9997を指定
 ④PC2のoutputs.confの[tcpout:default-autolb-group]に
  compressed = trueを追加

確認したこと
 ①PC2のPowerShellからTest-NetConnectionコマンドで9997
  ポートで接続できることを確認しています。
 ②PC2でWindowsのログをPC1に送るよう設定した場合は、
  Search&Reportingのデータサマリから見れることを確認
  しています。
  (この状態で設定 > フォワーダー管理のクライアントに
   Universal ForwarderをインストールしたPC2が表示
   されません。)

以上、よろしくお願いいたます。

0 Karma
Reply

vinod94
Contributor
‎02-20-2020 02:59 AM

Hi @satoishi ,

これを試してもらえますか

ポート8089が開いているかどうかを確認します。

ユニバーサルフォワーダーから8089にtelnetで接続できます

次のコマンドを実行して、展開サーバーが正しく設定されているかどうかを確認することもできます

./splunk show deploy-poll Linux用
.\splunk show deploy-poll Windows用

展開サーバーを指しているかどうかを確認します

これが役立つかどうか教えてください

0 Karma
Reply

ayoshikawa_splu
Splunk Employee
Splunk Employee
‎02-19-2020 05:54 PM

おそらく PC1 を Deployment Server (以下DP) にする設定をされていないのではないでしょうか。
Web UI から設定する場合、設定 > Monitoring Console を開き、Setting> General Setup から、PC1のServer ロールに Deployment Server を追加してみて下さい。

0 Karma
Reply

satoishi
New Member
‎02-19-2020 09:31 PM

ご教授いただきありがとうございます。
この対応でうまくいきました、ありがとうございました。

しかし、設定変更後にsplunkを再起動してもすぐには
クライアントにUniversal ForwarderをインストールしたPCが
表示されず、しばらく時間をおいてから再度確認したら表示
されるようになっていました。
EnterpriseとUniversal Forwarderの同期が何らかの原因で
うまくいっていないことも原因の一つだったのかもしれません。

0 Karma
Reply

tkomatsubara_sp
Splunk Employee
Splunk Employee
‎06-18-2020 03:42 PM

フォワーダーは、Phoningといいまして、定期的にデプロイメントサーバーに通信を行い、更新がないかどうか確認をします。

ポーリング動作になりますので、タイムラグがあります。

https://community.splunk.com/t5/Getting-Data-In/How-to-determine-if-forwarder-is-phoning-home-to-dep...

通常の動作ですが、一瞬ドキッとしますよね。仕様になります。

0 Karma
Reply
Get Updates on the Splunk Community!

Index This | What are the 12 Days of Splunk-mas?

December 2024 Edition Hayyy Splunk Education Enthusiasts and the Eternally Curious!  We’re back with another ...

Get Inspired! We’ve Got Validation that Your Hard Work is Paying Off

We love our Splunk Community and want you to feel inspired by all your hard work! Eric Fusilero, our VP of ...

What's New in Splunk Enterprise 9.4: Features to Power Your Digital Resilience

Hey Splunky People! We are excited to share the latest updates in Splunk Enterprise 9.4. In this release we ...