Solved: Splunk v7.3.0のmonitoring console appのHTTP Event Co...

kazuya_takizawa · ‎06-10-2019

構成
Splunk Version：7.3.0
OS : Ubuntu16.04 64bit
License: Free

上記構成で、HttpEventCollectorを有効化し、Token発行後に適当なデータをCurl経由でHttpEventCollectorに投げ、
「http:///en-US/app/splunk_monitoring_console/http_event_collector_instance」にアクセスしてログ確認したのですが、一瞬検索画面らしきものが浮かびあった直後に以下文言
「You currently have no tokens configured.」となります。

HttpEventCollecdtorで投入したデータは正常にIndexに登録されてたので、Tokenの発行とデータの投入動作は正しいようです。

http_event_collector_instanceを正常に表示したい場合はどのような設定を行えばよいのでしょうか？

tkomatsubara_sp · ‎06-11-2019

そもそもなんですが、Management Console のセットアップを実施頂く必要があります。

ステップは、

Monitoring Console -> Settings -> General Setup, を選び、Apply Changes を選択いただければ、セットアップが完了します。

その後、HECの http:///en-US/app/splunk_monitoring_console/http_event_collector_instance にアクセス下さい。

View solution in original post

Eldenhanjoel · ‎06-11-2019

is the port open

melonman · ‎06-11-2019

The cause was, I did not visit the setup page and click "Apply Changes"
as an initialization step of Monitoring Console.

https://www.youtube.com/watch?v=uAAkipjdzbI

tkomatsubara_sp · ‎06-11-2019

そもそもなんですが、Management Console のセットアップを実施頂く必要があります。

ステップは、

Monitoring Console -> Settings -> General Setup, を選び、Apply Changes を選択いただければ、セットアップが完了します。

その後、HECの http:///en-US/app/splunk_monitoring_console/http_event_collector_instance にアクセス下さい。

melonman · ‎06-11-2019

@tkomatsubara_splunk ありがとうございます！！！

https://www.youtube.com/watch?v=uAAkipjdzbI

@kazuya_takizawa さん、↑のように動きました。

kazuya_takizawa · ‎06-11-2019

@tkomatsubara_splunk
@melonman
ありがとうございます。
こちらも動作しました。

melonman · ‎06-11-2019

I am seeing the same issue as @kazuya_takizawa reported.
For Configuration, token is enabled, global config is enabled and sending events from curl gets indexed.
But it is weird that when I accessed to http_event_collector_instance in MC, UI tried to display something but the message "You currently have no tokens configured." showed up and all the screen is grayed out.

Please refer to the youtube for this behavior, I will delete this once this issue is understood 🙂
https://www.youtube.com/watch?v=msgr_njV1E8

kazuya_takizawa · ‎06-11-2019

Thank you for uploading video.
My PC's Splunk works the same way.

vinod94 · ‎06-10-2019

Hi @kazuya_takizawa ,

あなたはこれを試すことができます,

HTTPEventcollectorが有効になっているか確認してください。

データ入力<Http Event Collectorで確認できます。

トークンが存在するかどうかも確認してください。存在しない場合は、新しいトークンを作成してください。

kazuya_takizawa · ‎06-10-2019

ご返信ありがとうございます。
以下設定上ではhttpinputは有効です。
tokenに関しても以下の画面で確認しましたが、発行済かつ有効でした。
appも確認したのですが、Enableになってました
http://host/en-US/manager/launcher/http-eventcollector

以下ページを参考にcurlでデータも投入できたので、設定自体は問題なさそうです。
http://dev.splunk.com/view/event-collector/SP-CAAAE7F

 $cat /opt/splunk/etc/apps/splunk_httpinput/local/inputs.conf
 [http]
 disabled = 0
 sourcetype = _json
 index = history

vinod94 · ‎06-11-2019

Hi @kazuya_takizawa ,

あなたはこれを試すことができます

グローバル設定が有効になっているかどうかを確認してください。

デフォルトでは無効になっています。有効にする必要があります。あなたはUIを介してそれを行うことができます。データ入力> Httpeventcollector>グローバル設定

Splunk v7.3.0のmonitoring console appのHTTP Event Collector: InstanceのUI表示がおかしい

Enterprise Security Content Update (ESCU) | New Releases

Why am I not seeing the finding in Splunk Enterprise Security Analyst Queue?

Index This | What are the 12 Days of Splunk-mas?