Monitoring Splunk

Splunkからsyslogサーバへの転送設定について

Explorer

SplunkからSyslogサーバへのログの転送を検討しています。

Forwarderから受け取ったデータをIndexに格納しつつ、特定ソースタイプのみIndexerからSyslogサーバへ転送したいです。
有効な設定方法を教えてください。

下記の設定をIndexerに設定したところ、指定したソースタイプをsyslogサーバへ転送することはできましたが、Auditログも出力されてしまいました。
transforms.confとprops.confが設定されていない状態でも動作しており、この2つの設定ファイルが動作していないように見えます。
(splunk btoolコマンドで確認すると、読み込まれているように見える)

また、
https://answers.splunk.com/answers/2732/splunk-audit-log-in-syslog-output.html
のAnswerにあるように、outputs.confのdefaultGroupを削除してみましたが、syslogの転送自体ができなくなりました。

Indexerの設定内容は下記の通りです。

props.conf

[sourcetypeA]
TRANSFORMS-routeing=syslogRouting

transforms.conf

[syslogRouting]
REGEX=.
DEST_KEY=_STSLOG_ROUTING
FORMAT=syslogGroup

outputs.conf

[syslog]
defaultGroup = syslogGroup

[syslog:syslogGroup]
server = syslogserver:514
type = tcp
priority = <133>

参考:http://docs.splunk.com/Documentation/Splunk/7.1.2/Forwarding/Forwarddatatothird-partysystemsd#Forwar...

0 Karma
1 Solution

Communicator

Forwarderの種別は何でしょうか?Heavy Forwarderではないでしょうか?
HFの場合には、transforms.confによるルーティング処理(Parsing)はHFで設定する必要があります。
Splunk Wiki: Where do I configure my Splunk settings?

View solution in original post

Communicator

解決されたようで、良かったです。
その後、調べたところ、HFではなく、インデクサー上で転送する方法もあるようです。
このAnswers(https://answers.splunk.com/answers/97918)の回答をご参照ください。

0 Karma

Communicator

Forwarderの種別は何でしょうか?Heavy Forwarderではないでしょうか?
HFの場合には、transforms.confによるルーティング処理(Parsing)はHFで設定する必要があります。
Splunk Wiki: Where do I configure my Splunk settings?

View solution in original post

Explorer

ご回答いただきありがとうございます。

仰る通り、HFを使用しています。
環境的にFowarderの設定を変更することができないため、IndexerでSyslogサーバへ転送したいです。

0 Karma

Explorer

本件、解決しました。

仰る通りにHFにprops.confとtransforms.confを設定し、Indexerにoutputs.confを設定したところ、
特定のソースタイプをIndexerからSyslogサーバへ転送することができました。

HF側で設定変更する方針といたします。

ご回答いただきありがとうございました。

State of Splunk Careers

Access the Splunk Careers Report to see real data that shows how Splunk mastery increases your value and job satisfaction.

Find out what your skills are worth!