Monitoring Splunk

Splunkからsyslogサーバへの転送設定について

TAMURA1990
Explorer

SplunkからSyslogサーバへのログの転送を検討しています。

Forwarderから受け取ったデータをIndexに格納しつつ、特定ソースタイプのみIndexerからSyslogサーバへ転送したいです。
有効な設定方法を教えてください。

下記の設定をIndexerに設定したところ、指定したソースタイプをsyslogサーバへ転送することはできましたが、Auditログも出力されてしまいました。
transforms.confとprops.confが設定されていない状態でも動作しており、この2つの設定ファイルが動作していないように見えます。
(splunk btoolコマンドで確認すると、読み込まれているように見える)

また、
https://answers.splunk.com/answers/2732/splunk-audit-log-in-syslog-output.html
のAnswerにあるように、outputs.confのdefaultGroupを削除してみましたが、syslogの転送自体ができなくなりました。

Indexerの設定内容は下記の通りです。

props.conf

[sourcetypeA]
TRANSFORMS-routeing=syslogRouting

transforms.conf

[syslogRouting]
REGEX=.
DEST_KEY=_STSLOG_ROUTING
FORMAT=syslogGroup

outputs.conf

[syslog]
defaultGroup = syslogGroup

[syslog:syslogGroup]
server = syslogserver:514
type = tcp
priority = <133>

参考:http://docs.splunk.com/Documentation/Splunk/7.1.2/Forwarding/Forwarddatatothird-partysystemsd#Forwar...

0 Karma
1 Solution

Suda
Communicator

Forwarderの種別は何でしょうか?Heavy Forwarderではないでしょうか?
HFの場合には、transforms.confによるルーティング処理(Parsing)はHFで設定する必要があります。
Splunk Wiki: Where do I configure my Splunk settings?

View solution in original post

Suda
Communicator

解決されたようで、良かったです。
その後、調べたところ、HFではなく、インデクサー上で転送する方法もあるようです。
このAnswers(https://answers.splunk.com/answers/97918)の回答をご参照ください。

0 Karma

Suda
Communicator

Forwarderの種別は何でしょうか?Heavy Forwarderではないでしょうか?
HFの場合には、transforms.confによるルーティング処理(Parsing)はHFで設定する必要があります。
Splunk Wiki: Where do I configure my Splunk settings?

View solution in original post

TAMURA1990
Explorer

ご回答いただきありがとうございます。

仰る通り、HFを使用しています。
環境的にFowarderの設定を変更することができないため、IndexerでSyslogサーバへ転送したいです。

0 Karma

TAMURA1990
Explorer

本件、解決しました。

仰る通りにHFにprops.confとtransforms.confを設定し、Indexerにoutputs.confを設定したところ、
特定のソースタイプをIndexerからSyslogサーバへ転送することができました。

HF側で設定変更する方針といたします。

ご回答いただきありがとうございました。

Did you miss .conf21 Virtual?

Good news! The event's keynotes and many of its breakout sessions are now available online, and still totally FREE!