Solved: Power ユーザーで作成した Field Extraction の共有ができない

CurryPan · ‎06-07-2016

SplunkWeb から Power ユーザーで作成で Field Extraction を作成する際に、Extraction名称および権限の設定を行い Finish > ボタンを押下すると、下記のようなadmin_all_objects 権限がないというエラーが表示されてしまい、Field Extraction の作成および共有ができません。Regular Expression からREST API をコールした場合には問題なく共有が可能です。SplunkWeb から Power ユーザーで Field Extraction を共有する方法はないのでしょうか。

CurryPan · ‎06-07-2016

Regular Expression を使用した場合と、SplunkWeb を使用した場合では、呼び出される REST API が異なります。SplunkWeb より呼び出される 'conf-transforms' については、別途 admin 権限が必要となりますので power ユーザーで実行することはできません。そのため、上記のようなエラーメッセージが表示されてしまいます。

解決索として、$SPLUNK_HOME/etc/apps/search/local 配下の restmap.conf に下記の stanza を追加していただくことで、Power ユーザーで Field Extraction の共有および作成が可能となります。

[eai:conf-transforms]
capability.write=allow_access_to_all

なお、restmap.conf が local ディレクトリに存在しない場合には、メモ帳等で新規に restmap.conf ファイルを作成してください。

View solution in original post

CurryPan · ‎06-07-2016

Regular Expression を使用した場合と、SplunkWeb を使用した場合では、呼び出される REST API が異なります。SplunkWeb より呼び出される 'conf-transforms' については、別途 admin 権限が必要となりますので power ユーザーで実行することはできません。そのため、上記のようなエラーメッセージが表示されてしまいます。

解決索として、$SPLUNK_HOME/etc/apps/search/local 配下の restmap.conf に下記の stanza を追加していただくことで、Power ユーザーで Field Extraction の共有および作成が可能となります。

[eai:conf-transforms]
capability.write=allow_access_to_all

なお、restmap.conf が local ディレクトリに存在しない場合には、メモ帳等で新規に restmap.conf ファイルを作成してください。

Power ユーザーで作成した Field Extraction の共有ができない

Stay Connected: Your Guide to May Tech Talks, Office Hours, and Webinars!

They're back! Join the SplunkTrust and MVP at .conf24

Enterprise Security Content Update (ESCU) | New Releases