Splunk データ入力を設定する

  • リリースバージョン: Yokohama
  • 更新日 2025年01月30日
  • 所要時間:12分

    • Splunk Heavy Forwarder を使用して、ServiceNow インスタンスにログメッセージをストリーミングできるようにデータ入力を設定します。

    始める前に

    • MID サーバーがインストールされ、ログ取り込み機能を有効にして設定されていることを確認します。

      ログ取り込み機能が有効になっている MID サーバー構成。

      重要:
      ヘルスログアナリティクス は IPv6 をサポートしていません。アプリケーションを操作するには、MID サーバーを IPv4 に設定します。
    • MID サーバー の IP アドレスがネットワークアドレス変換 (NAT)、ロードバランサー、または同様のデバイスで公開される場合は、パブリック IP アドレスが必要です。MID サーバー プロパティで、パブリック IP アドレスを値として指定する mid.public_ip というプロパティを追加します。詳細については、「MID サーバープロパティの作成」を参照してください。
    • SSL TLS を使用して暗号化されたログの送付の詳細については、Now Support ナレッジベースの「Rsyslog と Filebeat による SSL を利用したデータストリーミング (Streaming Data With Rsyslog & Filebeat Using SSL) [KB0866319]」の記事を参照してください。
    • Syslog を使用して、ServiceNow インスタンスにログを転送するように Splunk を設定します。
    • このデータ入力の構成は、$SPLUNK_HOME という名前の環境変数が存在することを前提としています。UNIX 系の環境では、通常、この変数は /opt /splunk をポイントしています。
      注:
      Windows環境では、同じディレクトリ構造が使用されますが、バックスラッシュ (\) が付いています。

    必要なロール:evt_mgmt_admin

    このタスクについて

    このセットアップ手順は、Splunk Heavy Forwarder を使用してインスタンスにログをストリーミングするための手順です。Heavy Forwarder を使用できない場合は、代わりに Splunk Universal Forwarder を使用できます。詳細については、Now Support ナレッジベースの「送信手段としての Splunk Universal Forwarder (Splunk Universal Forwarder as a Shipping method) [KB0961378]」を参照してください。

    Yokohama ファミリーリリース以降では、新しいSplunkデータ入力を使用して、Splunk がデフォルトで使用する前処理済み (「クック済み」) ログ転送形式でデータを取り込むことができます。クック済みモードでは、 Splunk フォワーダーは、ホスト、ソースタイプ、ソース、その他の設定などの構成の詳細をログデータに埋め込みます。この形式でデータを HLA に取り込むと、関連するすべてのコンテキスト情報が各ログ行に保持されます。HLA でクック済みデータオプションを使用している場合は、データ入力構成中に props.conf ファイルと transforms.conf ファイルを編集Splunk必要はありません。

    注:
    Splunk のすべての構成ファイルは、$SPLUNK_HOME/etc/system/local/ フォルダーにあります。変更が必要な構成ファイルが存在しない場合は、作成してこのフォルダーに保存してください。
    注:
    MID サーバー が停止すると、Splunk パイプラインがブロックされる可能性があります。満杯の処理キューはパイプラインに影響しません。

    手順

    1. 次のように移動する。 All (すべて) > ヘルスログアナリティクス > データ入力 > データ入力.
    2. [データ入力 (Data Inputs)] ページで、[新規] を選択します。
    3. Splunk Heavy Forwarder または Universal Forwarder を介してログをストリーミングするにはSplunkデータ入力を選択します。
    4. [はじめに (Getting Started)] タブで、フォームフィールドに入力します。
      フィールドの説明については、「Splunk データ入力構成フィールド」を参照してください。
    5. [Outputs.conf] タブで、次のスタンザを outputs.conf ファイルに追加して、選択したポートの選択した転送プロトコルで配送業者がログデータを転送するように設定し、[次へ] を選択します。
      注:
      出力を既に構成している場合は、以下の行を既存の構成と結合します。
      • TCP を介した転送の場合:
        注:
        最初のスタンザは、tcpout スタンザをまだ構成していない場合にのみ使用します。TCP を介してヘルスログアナリティクスに転送するには、2 番目のスタンザが必要となります。
        
[tcpout]
indexAndForward = 1
defaultGroup = nothing

[tcpout:health_log_analytics]
server = ip-172-31-17-121.us-east-2.compute.internal:5000
sendCookedData = false
compressed = false
      • UDP を介した転送の場合:
        注:
        最初のスタンザは、syslog スタンザをまだ構成していない場合にのみ使用します。UDP を介して ヘルスログアナリティクス に転送するには、2 番目のスタンザが必要となります。
        
[syslog]defaultGroup = nothing

[syslog:health_log_analytics]
server = ip-172-31-17-121.us-east-2.compute.internal:5000
    6. [Props.conf] タブで props.conf ファイルを編集し、[次へ] を選択します。
      注:
      [はじめに] タブで [クック済みデータを使用] オプションを選択した場合は、props.conf ファイルを編集する必要はありません。
      1. 既存のスタンザを変更するか、スタンザを追加して、 ヘルスログアナリティクスに転送するソースタイプ、サービスインスタンス、およびホストをマークします。
        注:
        最良の結果を得るには、転送元のソースタイプのみをマークします。
        スタンザを追加する際に、次の名前と形式を使用します。
        • ソースタイプ:[<source type>]。例:[syslog]
        • ソース (非推奨):[source::<source>]。例:[source::myApp]
        • ホスト (非推奨):[host::<ホスト>]。例:[host::10.9.8.7]
      2. TCP または UDP を介して ヘルスログアナリティクス に転送する各スタンザの末尾に次の行を追加します。
        • TCP を介した転送の場合:
          TRANSFORMS-cloned_data = clone_for_hla_store_sourcetype, clone_for_hla
        • UDP を介した転送の場合:
          TRANSFORMS-cloned_data = clone_for_hla_store_sourcetype, clone_for_hla_udp

          この行は、ヘルスログアナリティクス 処理に必要な操作が既存のデータパイプラインに影響しないように、データに CLONE_SOURCETYPE 変換を適用します。たとえば、すべてのログをソースタイプ「syslog」から ヘルスログアナリティクス に送信するには、次のようにします。

          [syslog]
                                    #existing configuration goes here
                                    TRANSFORMS-cloned_data = clone_for_hla_store_sourcetype, clone_for_hla_udp
      3. 次のスタンザを追加して、ヘルスログアナリティクス の処理に必要なすべての関連変換を適用します。
        注:
        Splunk を使用すると、選択したプロトコルのクローンされたソースタイプの機密データを匿名化できます。詳細については、Splunk のドキュメントの「データの匿名化 (Anonymize data)」セクションを参照してください。
        • TCP を介した転送の場合:
          [send_to_hla_tcp]
TRANSFORMS-health_log_analytics = health_log_analytics_add_sourcetype, health_log_analytics_add_host, health_log_analytics_add_source, health_log_analytics_add_syslog5424, health_log_analytics_add_index, health_log_analytics_add_syslogHost, health_log_analytics_add_time
        • UDP を介した転送の場合:
          [send_to_hla_udp]
TRANSFORMS-health_log_analytics = health_log_analytics_add_sourcetype, health_log_analytics_add_host, health_log_analytics_add_source, health_log_analytics_add_syslog5424, health_log_analytics_add_index, health_log_analytics_add_syslogHost, health_log_analytics_add_time
    7. [Transforms.conf] タブで、次のスタンザを transforms.conf ファイルに追加し、[次へ] を選択します。
      注:
      [はじめに] タブで [クック済みデータを使用] オプションを選択した場合は、transforms.conf ファイルを編集する必要はありません。

      3 番目のスタンザは、既存のインデックス作成に影響を与えずに操作を進めるために、ログのクローンを作成します。残りのスタンザは、正しい ヘルスログアナリティクス 処理の有効化に必要な情報を追加します。

      注:
      ここで変換を追加し、props.conf ファイルにクローン作成されたソースタイプのスタンザを変更することで、機密データを難読化できます。
      [accepted_keys]
#Custom field for preserving sourcetype
hla_sourcetype_preservation=_hla_sourcetype

#Store sourcetype in a custom field, since CLONE_SOURCETYPE overwrites it
[clone_for_hla_store_sourcetype]
SOURCE_KEY = MetaData:Sourcetype
REGEX = ^sourcetype::(.+)$
FORMAT = hla_sourcetype::$1
DEST_KEY = _hla_sourcetype

[clone_for_hla]
REGEX=.
DEST_KEY = _TCP_ROUTING
FORMAT = health_log_analytics
CLONE_SOURCETYPE=send_to_hla_tcp

#Only used in case of UDP forwarding
[clone_for_hla_udp]
REGEX=.
DEST_KEY = _SYSLOG_ROUTING
FORMAT = health_log_analytics
CLONE_SOURCETYPE=send_to_hla_udp

#Add metadata to the log message, since metadata is lost when forwarding externally
[health_log_analytics_add_sourcetype]
SOURCE_KEY = _hla_sourcetype
REGEX = ^hla_sourcetype::(.+)$
FORMAT = sourcetype="$1"] $0
DEST_KEY = _raw

[health_log_analytics_add_host]
SOURCE_KEY = MetaData:Host
REGEX = ^host::(.+)$
FORMAT = host="$1" $0
DEST_KEY = _raw

[health_log_analytics_add_source]
SOURCE_KEY = MetaData:Source
REGEX = ^source::(.+)$
FORMAT = source="$1" $0
DEST_KEY = _raw

[health_log_analytics_add_syslog5424]
REGEX=.
FORMAT = - - [sdid@1234 $0
DEST_KEY = _raw

[health_log_analytics_add_index]
SOURCE_KEY = _MetaData:Index
REGEX = ^(.+)$
FORMAT = $1 $0
DEST_KEY = _raw

[health_log_analytics_add_syslogHost]
SOURCE_KEY = MetaData:Host
REGEX = ^host::(.+)$
FORMAT = $1 $0
DEST_KEY = _raw

[health_log_analytics_add_time]
SOURCE_KEY = _time
REGEX = ^(.+)$
FORMAT = <182>1 $1 $0
DEST_KEY = _raw
    8. [Finish.conf] タブで、$SPLUNK_HOME/bin/splunk restart splunkd コマンドを実行して Splunk を再起動します。
    9. [保存] を選択します。
      ヘルスログアナリティクス でデータ入力レコードがデータ入力テーブルに追加されます。
    10. [テスト接続] を選択して、データ入力が正しく構成されていることを確認します。

      ヘルスログアナリティクスMID サーバー をデータリポジトリに接続しようとします。

      • 接続が確立された場合、[テスト接続] ボタンがオフになり、[公開 (Publish)] ボタンが有効になります。
      • 接続に失敗した場合は、失敗の理由が [エラーメッセージ] フィールドに表示されます。このフィールドは、ストリーミングエラーが発生した場合にのみ表示されます。

        問題を解決し、構成を変更した場合は [保存] を選択し、[テスト接続] を選択して接続を再度テストします。

        注:
        接続が正常に作成された場合にのみ、データ入力構成を公開できます。
      注:
      [変更を元に戻す] を選択すると、最後に公開された構成に戻すことができます。このオプションは、以前に公開された構成を変更する場合にのみ使用できます。
    11. データ入力を MID サーバー に公開するには、[公開 (Publish)] を選択します。

    タスクの結果

    データ入力構成プロセスが完了しました。ヘルスログアナリティクスは、データ入力レコードを [データ入力] テーブルに追加し、構成ファイルをデータ入力レコードに添付します。データ入力により、Splunkシッパーを使用してServiceNowインスタンスへのログデータストリーミングが開始されます。

    注:
    ヘルスログアナリティクス AI エンジンが停止し、データのストリーミングが停止した場合、データ入力設定ページの上部に通知が表示されます。これが発生した場合は、ServiceNow サポートにお問い合わせください。

    次のタスク

    データ入力がストリーミングデータであることを確認します。