Splunk データ入力構成フィールド
Splunk のデータ入力構成フォームのフィールドについて説明します。
基本構成
| フィールド | 説明 |
|---|---|
| データ入力名 (Data input name) | 新しいデータ入力の名前。このフィールドは必須です。 |
| 説明 | データ入力の説明。 |
| MID サーバー | ログのストリーミング先の MID サーバー。 注: このフィールドは必須です。
|
| ポート | MID サーバー のポート。 組織のセキュリティチームが、MID サーバー の選択したポートを開いていることを確認してください。 このフィールドは必須です。 |
| 転送プロトコル | ログメッセージを ServiceNow インスタンスにストリーミングするために使用されるプロトコル。
TCP または UDP 転送プロトコルを使用したストリーミングログデータの詳細については、Now Supportナレッジベースの記事「Heavy Forwarder を使用した Splunk データのストリーミング:TCP または UDP の選択 (Streaming Splunk data using Heavy Forwarder: Selecting TCP or UDP) [KB0998928]」を参照してください。 |
| クック済みデータを使用 | Splunkフォワーダーで使用する前処理済み (「クック済み」) 形式でSplunkからログデータを取り込むオプション。 この形式でデータを HLA に取り込むと、各ログ行に埋め込み Splunk 関連するコンテキスト情報が保持されます。 注: このオプションを選択した場合、データ入力構成中に props.conf ファイルと transforms.conf ファイルを編集する Splunk が不要になります。 |
| フォワーダータイムゾーンを使用 | フォワーダーが配置されているタイムゾーンに関する情報を渡すオプション。 MID サーバーはこの情報を使用して、ログの到着元のタイムゾーンを調整します。このオプションは、 Splunk ユニバーサルフォワーダーを使用する場合に関連します。 |
| 圧縮を有効にする | ログを圧縮形式で送信するオプション。 ログを圧縮形式で送信すると、転送されるデータのサイズが最小限に抑えられます。これは、大量のログデータを処理する場合に重要です。このオプションは、 Splunk ユニバーサルフォワーダーを使用する場合に関連し、SSL/TLS が有効になっている場合にのみ使用できます。 |
詳細構成
| フィールド | 説明 | デフォルト値 |
|---|---|---|
| SSL/TLS を使用 (Use SSL/TLS) | SSL/TLS の使用を選択するオプション。 注: 圧縮形式でログを送信するには、SSL/TLS を有効にする必要があります。 |
|
| ホスト名を検索 (Look up hostnames) | IP をホスト名に解決するための DNS ルックアップの実行を選択するオプション。 | false |
| ボススレッド数 (Boss thread count) | 接続を管理するスレッドの数。 | 1 |
| ワーカースレッド数 (Worker thread count) | 受信データを処理するスレッドの数。 | 4 |
| 読み取りタイムアウト秒数 (Read timeout seconds) | 前回の読み取りからのタイムアウト (秒)。タイムアウトになると、チャネルがクローズされます。 | 30 |
| デフォルトのタイムゾーン (Default time zone) | イベントのデフォルトのタイムゾーン。ログにタイムゾーンが指定されていない場合は、このデフォルト値が使用されます。 | GMT |
| サブサンプルドロップ率 (Sub sample drop ratio) | ドロップするイベントの割合。 | -1 |
| サブサンプル受信率 (Sub sample receive ratio) | 受信するイベントの割合。 | -1 |
| 最大長 (バイト) (Max length in bytes) | ログメッセージの最大長 (バイト)。 | 32766 |
| 文字エンコード | このデータ入力の文字エンコーディング。 | UTF-8 |
| キューが満杯の場合はドロップ (Drop if queue is full) | MID サーバー に負荷がかかっている場合にログの破棄を選択するオプション。 |