Splunk で システムログを受信してみる Windows編
Linux/CentOS で syslog飛ばすことができたので、次は Windows 編です
Linux環境のように syslog を直接飛ばすことはできないので、Splunk Universal Forwarder というのを使います
<完成イメージ>
【Splunk やってみたシリーズ】
・Splunk を Kubernetes と Karbon Platform Service で動かしてみる
・Splunkで syslog 受信してみる CentOS編
・Splunk で システムログを受信してみる Windows編 ←今ココ
・Splunk で Nutanix と Files のシスログ受け取ってみる
・Splunk で Nutanix Flowログ確認
SplunkさんのForwader公式資料はここでよいのかな?
しっかりとWeb形式用意されていますが、初心者にはちょっと読みづらいのでPDFでダウンロードしちゃうのがよいでしょう
About forwarding and receiving - Splunk Documentation
受信する Splunk環境の準備
CentOS での syslog 受信と同様 Docker でいきます
Universal Forwarder に必要なポート(8089, 9997)を前回に起動コマンドに追加します
docker run -p 8000:8000 -p 30514:30514 -p 8089:8089 -p 9997:9997 -e SPLUNK_PASSWORD=password -e SPLUNK_START_ARGS=--accept-license -it splunk/splunk:latest
色々と必要なポートが増えてきましたが、docker-splunk にポートのそれぞれの用途が書かれています
(はじめから全部開けとけばよいのかもしれない)
Architecture | docker-splunk
Splunk Enterpriseの受信設定
Splunk Enterprise側の設定を確認しておきます
デフォルトで「9997」でレシーバーが起動しています
ポート構成について
フォワーダーを多段にしたり、デプロイメントサーバーを外部に設置したりもできるようですが、今回はシンプルに Splunk Enterprise が担っています
こんなポート構成になります
Windowsでフォワーダーのインストール
次にログ送信側の Windowsマシンにsplunkフォワーダーをインストールして設定を行います
Splunkさん公式でちょっと前のバージョンの日本語手順書あるのですが、初心者にはちょっと難しいです
日本語マニュアルのリンク
Splunk Universal Forwarder のインストーラ
Splunk Universal Forwarder をダウンロードしてリモートデータを安全に収集
受信設定
しばらく待ってから(体感10分くらい?)から、Splunk Enterprise のWebへアクセスします
データ入力
転送入力のWindows イベントログの新規追加
ここにサーバ名が出てきたら、うまいこと受信設定できています
あとは、受信するログを選択したら完了です
サーチで無事イベントログなど受信確認できました
なんとなくサーバごとのメモリ使用率をグラフ化
(ソースが別なCPUも一緒のグラフ化は、やり方わからない)