BlueCoat SGからアクセスログをCustom Clientを使用して送信しているのですが、
Splunk側で下記のエラーが出て、受信できません。
(インデクサー側にSplunk for Blue Coat appをインストールしています)
ERROR TcpInputProc - Message rejected. Received unexpected 592670566 byte message! from src=...:*****. Maximum message allowed: 67108864. (::)
どのあたりの設定を見直せばよろしいでしょうか?
*一応回答欄に記載しておきます。
Splunk-Splunk(ユニバーサルフォワーダとインデクサ間)通信で設定している受信ポートを通常のデータ入力ポートとして使うことはできないので、Blue Coatのデータ用に、TCPかUDP入力の設定をして、そのポートに向けてBlue Coatのデータを飛ばして頂く必要があります。
*一応回答欄に記載しておきます。
Splunk-Splunk(ユニバーサルフォワーダとインデクサ間)通信で設定している受信ポートを通常のデータ入力ポートとして使うことはできないので、Blue Coatのデータ用に、TCPかUDP入力の設定をして、そのポートに向けてBlue Coatのデータを飛ばして頂く必要があります。
Blue CoatからSplunkに対してPort何番に送ってますか?
コメントありがとうございます!
9997番ポートです。
Universal Forwarderからのログも同じポートで受けるようにしているのですが、
まずいでしょうか?
あ〜、多分Splunk-Splunk(ユニバーサルフォワーダとインデクサ間)通信で設定している受信ポートが9997ってことですね?
Blue Coat用のポートは、別途プロトコルに合わせてTCPかUDPの入力をしたポートに向けて頂く必要がありますので、以下のドキュメント参照いただいて、ネットワークでデータ入力をする設定をしていただければと思います。
別のポートを指定したところ、ログを受信することができました。
大変助かりました。ありがとうございました!