このガイドを使用して、自分のマシンにユニバーサルフォワーダーをローカルに設定しました
入力ファイル
[monitor:///var/log/udp514.log]
sourcetype = pan:log
disabled =0
出力ファイル
[tcpout]
defaultGroup = default-autolb-group
[tcpout:default-autolb-group]
server = xxx-xps-15-7590:9997
disabled=false
[tcpout-server://xxx-xps-15-7590:9997]
(ローカル IP は Web UI と同様に「xxx-xps-15-7590」になります)
syslog が実際にログ イベントをファイル /var/log/udp514.log に送信することを確認したので、ログがそこに存在することは確かです。ポート 9997 は、Splunk UI (転送および受信設定) で許可されています。
しかし、検索を実行すると: source="/var/log/udp514.log" 何も表示されません。
また、Splunk は次のメッセージをスローします:
「TCP 出力プロセッサがデータ フローを一時停止しました。host_src=xxx-XPS-15-7590 から出力グループ default-autolb-group 内の host_dest=xxx-xps-15-7590 への転送が、blocked_seconds=10 の間ブロックされました。これにより、インデックス作成やその他のネットワーク出力へのデータ フローが停止する可能性があります。Splunk 監視コンソールで受信システムの健全性を確認してください。おそらく、データが受け入れられていないのでしょう。」
データは host_src から転送されているが、何らかの理由でインデックス作成機能がそれらを取り込まないため、ブロックされているというのは理解していますか?
どこに問題があるのか分かりますか?
答え1
しかし、検索を実行すると: source="/var/log/udp514.log" 何も表示されません。
このクエリはインデックスを指定しないため、デフォルトのインデックス リストを使用します。ロールにデフォルトのインデックスがない場合、クエリは何も返しません。メイン インデックスを指定してみてください。
index=main source="/var/log/udp514.log"
それでも何も見つからない場合は、検索時間枠を増やすと役立つ場合があります。
index=main source="/var/log/udp514.log" earliest=-30d latest=+30d
inputs.conf スタンザを更新してインデックス名を指定した後 (ベスト プラクティス)、同じインデックスを使用するようにクエリを更新します。