SplunkからSyslogサーバへのログの転送を検討しています。
Forwarderから受け取ったデータをIndexに格納しつつ、特定ソースタイプのみIndexerからSyslogサーバへ転送したいです。
有効な設定方法を教えてください。
下記の設定をIndexerに設定したところ、指定したソースタイプをsyslogサーバへ転送することはできましたが、Auditログも出力されてしまいました。
transforms.confとprops.confが設定されていない状態でも動作しており、この2つの設定ファイルが動作していないように見えます。
(splunk btoolコマンドで確認すると、読み込まれているように見える)
また、
https://answers.splunk.com/answers/2732/splunk-audit-log-in-syslog-output.html
のAnswerにあるように、outputs.confのdefaultGroupを削除してみましたが、syslogの転送自体ができなくなりました。
Indexerの設定内容は下記の通りです。
props.conf
[sourcetypeA]
TRANSFORMS-routeing=syslogRouting
transforms.conf
[syslogRouting]
REGEX=.
DEST_KEY=_STSLOG_ROUTING
FORMAT=syslogGroup
outputs.conf
[syslog]
defaultGroup = syslogGroup
[syslog:syslogGroup]
server = syslogserver:514
type = tcp
priority = <133>
参考:http://docs.splunk.com/Documentation/Splunk/7.1.2/Forwarding/Forwarddatatothird-partysystemsd#Forward_a_subset_of_data
... View more