- Splunk Answers
- :
- Splunk Administration
- :
- Monitoring Splunk
- :
- Re: Splunkからsyslogサーバへの転送設定について
- Subscribe to RSS Feed
- Mark Topic as New
- Mark Topic as Read
- Float this Topic for Current User
- Bookmark Topic
- Subscribe to Topic
- Mute Topic
- Printer Friendly Page
- Mark as New
- Bookmark Message
- Subscribe to Message
- Mute Message
- Subscribe to RSS Feed
- Permalink
- Report Inappropriate Content
SplunkからSyslogサーバへのログの転送を検討しています。
Forwarderから受け取ったデータをIndexに格納しつつ、特定ソースタイプのみIndexerからSyslogサーバへ転送したいです。
有効な設定方法を教えてください。
下記の設定をIndexerに設定したところ、指定したソースタイプをsyslogサーバへ転送することはできましたが、Auditログも出力されてしまいました。
transforms.confとprops.confが設定されていない状態でも動作しており、この2つの設定ファイルが動作していないように見えます。
(splunk btoolコマンドで確認すると、読み込まれているように見える)
また、
https://answers.splunk.com/answers/2732/splunk-audit-log-in-syslog-output.html
のAnswerにあるように、outputs.confのdefaultGroupを削除してみましたが、syslogの転送自体ができなくなりました。
Indexerの設定内容は下記の通りです。
props.conf
[sourcetypeA]
TRANSFORMS-routeing=syslogRouting
transforms.conf
[syslogRouting]
REGEX=.
DEST_KEY=_STSLOG_ROUTING
FORMAT=syslogGroup
outputs.conf
[syslog]
defaultGroup = syslogGroup
[syslog:syslogGroup]
server = syslogserver:514
type = tcp
priority = <133>
- Mark as New
- Bookmark Message
- Subscribe to Message
- Mute Message
- Subscribe to RSS Feed
- Permalink
- Report Inappropriate Content
Forwarderの種別は何でしょうか?Heavy Forwarderではないでしょうか?
HFの場合には、transforms.confによるルーティング処理(Parsing)はHFで設定する必要があります。
Splunk Wiki: Where do I configure my Splunk settings?
- Mark as New
- Bookmark Message
- Subscribe to Message
- Mute Message
- Subscribe to RSS Feed
- Permalink
- Report Inappropriate Content
解決されたようで、良かったです。
その後、調べたところ、HFではなく、インデクサー上で転送する方法もあるようです。
このAnswers(https://answers.splunk.com/answers/97918)の回答をご参照ください。
- Mark as New
- Bookmark Message
- Subscribe to Message
- Mute Message
- Subscribe to RSS Feed
- Permalink
- Report Inappropriate Content
Forwarderの種別は何でしょうか?Heavy Forwarderではないでしょうか?
HFの場合には、transforms.confによるルーティング処理(Parsing)はHFで設定する必要があります。
Splunk Wiki: Where do I configure my Splunk settings?
- Mark as New
- Bookmark Message
- Subscribe to Message
- Mute Message
- Subscribe to RSS Feed
- Permalink
- Report Inappropriate Content
ご回答いただきありがとうございます。
仰る通り、HFを使用しています。
環境的にFowarderの設定を変更することができないため、IndexerでSyslogサーバへ転送したいです。
- Mark as New
- Bookmark Message
- Subscribe to Message
- Mute Message
- Subscribe to RSS Feed
- Permalink
- Report Inappropriate Content
本件、解決しました。
仰る通りにHFにprops.confとtransforms.confを設定し、Indexerにoutputs.confを設定したところ、
特定のソースタイプをIndexerからSyslogサーバへ転送することができました。
HF側で設定変更する方針といたします。
ご回答いただきありがとうございました。
Welcome to the Splunk Community!
Tech Talk | Elevating Digital Service Excellence: The Synergy of Splunk RUM & APM
Adoption of RUM and APM at Splunk
