Splunk で Nutanix Flowログ確認
Nutanix でシスログを飛ばすには前回ご紹介した CVM へ直接設定することでSplunk へ飛ばしました
Flow のログを飛ばすには Prism Central で設定します
【Splunk やってみたシリーズ】
・Splunk を Kubernetes と Karbon Platform Service で動かしてみる
・Splunkで syslog 受信してみる CentOS編
・Splunk で システムログを受信してみる Windows編
・Splunk で Nutanix と Files のシスログ受け取ってみる
・Splunk で Nutanix Flowログ確認 ←今ココ
==環境=======
・Splunk
CentOS 8
Docker 19.03.13
Splunk Enterprise 8.1.0
・Ntuanix
AOS 5.15
AHV 20170830.395
Prism Central pc.2020.9
============
Splunk 環境の起動
いつもの検証用 Splunk を Docker コンテナで起動
docker run -p 8000:8000 -p 10514:10514/udp -p 30514:30514 -p 8089:8089 -p 9997:9997 -e SPLUNK_PASSWORD=password -e SPLUNK_START_ARGS=--accept-license -it splunk/splunk:latest
Prsim Central で syslog サーバー設定
設定はシンプルです
Prism Central のギアマークの設定より、Syslog サーバーにいきます
ここで設定できるのは、API監査、Audit、Flow関連、ログレベルを選択します
CVM で rsyslog 設定していた場合、Prism Central で設定すると上書きされるので、確認しておきましょう
Splunk で受信確認
各 CVM の IPアドレスよりログとんできます
Flowのヒットログ確認
Prism Central 上で Flowの設定して、ログを確認してみる
Ping を飛ばしている状態でテストしてみます
Flow の設定でポリシーヒットログを「有効」に
MONITOR 状態
APPLY 状態
一回 Splunk 立てて置くと後は簡単ですね