Solved: Universal forwarderからのログの受信設定について

dum0785 · ‎08-12-2018

現在Universal forwarderからindex&Search用Splunkへファイアウォールのログを転送しています。
受信側（index&Search）にsourcetypeとindexを指定してログを取り込むよう設定したのですが、
どのファイルにどのように設定を記載すればよいでしょうか？

Universal forwarder：172.16.11.11
Splunk indexer：172.16.11.12
受信ポート：9997
指定したいsourcetype名：FW_Traffic
指定したいindex名：firewall

ご教示お願い致します。

HiroshiSatoh · ‎08-13-2018

Universal forwarder（以下UF）からのログのインデックスやソースタイプの指定はUF側で行います。Splunkサーバ側で設定するケースはサーバに送られてきたログのソースタイプ等を更に分類するような特殊なケースになります。

以下、設定ファイルのサンプルです。設定する場所はUFの(splunk_dir)/etc/system/localになります。ファイルが存在しない場合は追加して下さい。

inputs.conf
[monitor:///data/output_log/NW/_buffer/firewall_syslog/firewall_syslog.log]
disabled = false
index = firewall
sourcetype = FW_Traffic

コードがUTF-8以外の場合はコード変換が必要になります。props.confにソースタイプを設定します。

props.conf
[FW_Traffic]
CHARSET = SHIFT-JIS ※ログがSJISの場合

View solution in original post

dum0785 · ‎08-13-2018

ご回答ありがとうございます！！

HiroshiSatoh · ‎08-13-2018

Universal forwarder（以下UF）からのログのインデックスやソースタイプの指定はUF側で行います。Splunkサーバ側で設定するケースはサーバに送られてきたログのソースタイプ等を更に分類するような特殊なケースになります。

以下、設定ファイルのサンプルです。設定する場所はUFの(splunk_dir)/etc/system/localになります。ファイルが存在しない場合は追加して下さい。

inputs.conf
[monitor:///data/output_log/NW/_buffer/firewall_syslog/firewall_syslog.log]
disabled = false
index = firewall
sourcetype = FW_Traffic

コードがUTF-8以外の場合はコード変換が必要になります。props.confにソースタイプを設定します。

props.conf
[FW_Traffic]
CHARSET = SHIFT-JIS ※ログがSJISの場合

Universal forwarderからのログの受信設定について

Accelerating Observability as Code with the Splunk AI Assistant

Integrating Splunk Search API and Quarto to Create Reproducible Investigation ...

Congratulations to the 2025-2026 SplunkTrust!

Join the Conversation

Universal forwarderからのログの受信設定について

Accelerating Observability as Code with the Splunk AI Assistant

Integrating Splunk Search API and Quarto to Create Reproducible Investigation ...

Congratulations to the 2025-2026 SplunkTrust!