［SPLUNK］Splunkを入れ直してイベントログ受信の再設定

Splunk の中身が少し分かって来たので、きれいな形で入れ直します。

Splunk サーバと Splunk Universal Forwarder を１台でセットアップしてデータ受信できるまで組み上げます。

［Splunk サーバの設定］
IP Address：　192.168.2.10 （固定 IP）
ホスト名：　　 VMPC


［Splunk のインストール］
・インストーラのセットアップはデフォルト
・9997 番ポートの受信設定
　－［Settings］－［Forwarding and receiving］を選択
　－［Configure receiving］で 9997 番ポートを有効化（Enabledに設定）


［Splunk Universal Forwarder のインストール］
・インストーラのセットアップはデフォルト
　－イベントログ、パフォーマンスモニタを送信設定
　－Deployment server はブランク
　－Receiving Indexer は 192.168.2.10、9997番


［Splunk の設定］
・自身のイベントログデータ受信設定（splunkサーバが Windows なのでそのイベントログを取りたい）
・C:\Program Files\Splunk\etc\system\local\inputs.conf に下の設定を追加

inputs.conf

# Windows platform specific input processor.
[WinEventLog://Application]
disabled = 0

[WinEventLog://Security]
disabled = 0

[WinEventLog://System]
disabled = 0 

・Splunk サービス（splunkd service）の再起動


［Splunk Universal Forwarder の追加設定］
・パスワードの設定

> splunk edit user admin -password NEW_PASSWORD -auth admin:changeme

・Forward 先の確認

> splunk list forward-server
Active forwards:
        None
Configured but inactive forwards:
        192.168.2.10:9997

これで取れました。

・さらにあえて inputs.conf に下の設定を追加します

[splunktcp://9997]
disabled = 0

[WinEventLog://Application]
disabled = 0
start_from = oldest
current_only = 0
checkpointInterval = 5

[WinEventLog://Security]
disabled = 0
start_from = oldest
current_only = 0
evt_resolve_ad_obj = 1
checkpointInterval = 5

[WinEventLog://System]
disabled = 0
start_from = oldest
current_only = 0
checkpointInterval = 5

イベントログの受信、ちゃんとできました。

---

Splunk のページに戻る