Splunk で Nutanix Flowログ確認

Nutanix でシスログを飛ばすには前回ご紹介した CVM へ直接設定することでSplunk へ飛ばしました
Flow のログを飛ばすには Prism Central で設定します

【Splunk やってみたシリーズ】
・Splunk を Kubernetes と Karbon Platform Service で動かしてみる
・Splunkで syslog 受信してみる CentOS編
・Splunk でシステムログを受信してみる Windows編
・Splunk で Nutanix と Files のシスログ受け取ってみる
・Splunk で Nutanix Flowログ確認　←今ココ

大切なポイント・Prism Central で設定を行うと、CVMへ直接設定した syslog 設定は上書きされます
・Flow以外のシスログが必要な場合は、設定後 CVM にて確認しましょう

==環境=======
・Splunk
CentOS 8
Docker 19.03.13
Splunk Enterprise 8.1.0

・Ntuanix
AOS 5.15
AHV 20170830.395
Prism Central pc.2020.9
============

Splunk 環境の起動

いつもの検証用 Splunk を Docker コンテナで起動

docker run -p 8000:8000 -p 10514:10514/udp -p 30514:30514 -p 8089:8089 -p 9997:9997 -e SPLUNK_PASSWORD=password -e SPLUNK_START_ARGS=--accept-license -it splunk/splunk:latest

Prsim Central で syslog サーバー設定

設定はシンプルです
Prism Central のギアマークの設定より、Syslog サーバーにいきます
f:id:konchangakita:20201114022232p:plain

ここで設定できるのは、API監査、Audit、Flow関連、ログレベルを選択します
CVM で rsyslog 設定していた場合、Prism Central で設定すると上書きされるので、確認しておきましょう

Splunk で受信確認

各 CVM の IPアドレスよりログとんできます
f:id:konchangakita:20201114024314p:plain

Flowのヒットログ確認

Prism Central 上で Flowの設定して、ログを確認してみる
Ping を飛ばしている状態でテストしてみます

Flow の設定でポリシーヒットログを「有効」に
f:id:konchangakita:20201115184209p:plain

MONITOR 状態
f:id:konchangakita:20201115184051p:plain

APPLY 状態
f:id:konchangakita:20201115184345p:plain

一回 Splunk 立てて置くと後は簡単ですね