［SPLUNK］Syslogデータを受け取る

Splunk サーバで Syslog データを受け取る設定をしました。

Splunk サーバでコマンドを実行（管理者で実行したコマンドプロンプト）

C:\Program Files\Splunk\bin>splunk add udp 514
Splunk username: admin
Password:　　　　← Web ログインのパスワードと一緒（デフォルトが changeme のやつ）
Listening for UDP input on port 514.

C:\Program Files\Splunk\bin>splunk list udp
Listening for input on the following UDP ports:
        514

C:\Program Files\Splunk\bin>splunk list tcp
Splunk is currently not listening to any tcp input.

C:\Program Files\Splunk\bin>splunk restart

・・・

Splunkd: Starting (pid 1936)
Done
・・・

netstat で確認します。

Splunk サーバでコマンドを実行

C:\Program Files\Splunk\bin>netstat -an

アクティブな接続

  プロトコル  ローカル アドレス          外部アドレス        状態
  TCP    0.0.0.0:135            0.0.0.0:0              LISTENING
  TCP    0.0.0.0:445            0.0.0.0:0              LISTENING
  ・・・
  UDP    0.0.0.0:514            *:*
  ・・・

受信ポートが追加サれました。

※Windows は他に UDP 514 を使うプログラムはないのですが、Linux 系は syslog を受けるために UDP 514 を使ってるケースがありますからあらかじめ使っていないことを確認しないとだめです。

これで Syslog データが取り込まれるようになりました。

これだと検索をしたときの host の表示が IP アドレスになります。
次はホスト名で表示するように設定します。

---

Splunk のページに戻る