Monitoring Splunk

Splunkからsyslogサーバへの転送設定について

TAMURA1990
Explorer

SplunkからSyslogサーバへのログの転送を検討しています。

Forwarderから受け取ったデータをIndexに格納しつつ、特定ソースタイプのみIndexerからSyslogサーバへ転送したいです。
有効な設定方法を教えてください。

下記の設定をIndexerに設定したところ、指定したソースタイプをsyslogサーバへ転送することはできましたが、Auditログも出力されてしまいました。
transforms.confとprops.confが設定されていない状態でも動作しており、この2つの設定ファイルが動作していないように見えます。
(splunk btoolコマンドで確認すると、読み込まれているように見える)

また、
https://answers.splunk.com/answers/2732/splunk-audit-log-in-syslog-output.html
のAnswerにあるように、outputs.confのdefaultGroupを削除してみましたが、syslogの転送自体ができなくなりました。

Indexerの設定内容は下記の通りです。

props.conf

[sourcetypeA]
TRANSFORMS-routeing=syslogRouting

transforms.conf

[syslogRouting]
REGEX=.
DEST_KEY=_STSLOG_ROUTING
FORMAT=syslogGroup

outputs.conf

[syslog]
defaultGroup = syslogGroup

[syslog:syslogGroup]
server = syslogserver:514
type = tcp
priority = <133>

参考:http://docs.splunk.com/Documentation/Splunk/7.1.2/Forwarding/Forwarddatatothird-partysystemsd#Forwar...

0 Karma
1 Solution

Suda
Communicator

Forwarderの種別は何でしょうか?Heavy Forwarderではないでしょうか?
HFの場合には、transforms.confによるルーティング処理(Parsing)はHFで設定する必要があります。
Splunk Wiki: Where do I configure my Splunk settings?

View solution in original post

Suda
Communicator

解決されたようで、良かったです。
その後、調べたところ、HFではなく、インデクサー上で転送する方法もあるようです。
このAnswers(https://answers.splunk.com/answers/97918)の回答をご参照ください。

0 Karma

Suda
Communicator

Forwarderの種別は何でしょうか?Heavy Forwarderではないでしょうか?
HFの場合には、transforms.confによるルーティング処理(Parsing)はHFで設定する必要があります。
Splunk Wiki: Where do I configure my Splunk settings?

TAMURA1990
Explorer

ご回答いただきありがとうございます。

仰る通り、HFを使用しています。
環境的にFowarderの設定を変更することができないため、IndexerでSyslogサーバへ転送したいです。

0 Karma

TAMURA1990
Explorer

本件、解決しました。

仰る通りにHFにprops.confとtransforms.confを設定し、Indexerにoutputs.confを設定したところ、
特定のソースタイプをIndexerからSyslogサーバへ転送することができました。

HF側で設定変更する方針といたします。

ご回答いただきありがとうございました。

Get Updates on the Splunk Community!

Index This | I am a number, but when you add ‘G’ to me, I go away. What number am I?

March 2024 Edition Hayyy Splunk Education Enthusiasts and the Eternally Curious!  We’re back with another ...

What’s New in Splunk App for PCI Compliance 5.3.1?

The Splunk App for PCI Compliance allows customers to extend the power of their existing Splunk solution with ...

Extending Observability Content to Splunk Cloud

Register to join us !   In this Extending Observability Content to Splunk Cloud Tech Talk, you'll see how to ...