2014年11月9日日曜日

[SPLUNK][失敗]Universal Forwarder でイベントログの転送に失敗

Universal Forwarder を使ったログの転送で、イベントログの転送が失敗しています。

小さいですが、Splunk の管理コンソール画面です。

Search & Reporting の Apps で、host=hostname (hostnameはクライアントのホスト名)と入力した結果になっています。

Splunk Universal Forwarder をセットアップするとき、イベントログ(Application / Security / System)とパフォーマンスログ(CPU / Memory / Disk / Network)の転送設定をしました。

パフォーマンスのログはあるのですが、イベントログが届いていないです。


サーバ側での受信設定はできています。
・管理コンソールの[Settings]-[Forwarding and receiving]を見ると 9997 番ポートで受信設定はできています。
・netstat -an を見ると 9997番ポートは LISNING となってます。


クライアント(Splunk Universal Forwarder)のログを見てみます。
[C:\Program Files\SplunkUniversalForwarder]
 + bin
 + etc
 + lib
 + share
 + var
   + log
     + splunk
        + splunkd.log


下記のメッセージがあります。

splunkd.log 11-09-2014 10:40:54.926 +0900 WARN  TcpOutputFd - Connect to 127.0.0.1:9997 failed. 対象のコンピューターによって拒否されたため、接続できませんでした。

今回は自身が Splunk サーバなので、宛先IP が 127.0.0.1 ですが、Universal Forwarder の設定ポート 9997 番にアクセスできないとなってます。


クライアント(Splunk Universal Forwarder)の設定ファイルを見てみます。
[C:\Program Files\SplunkUniversalForwarder]
 + bin
 + etc
   + system
     + local
        + outputs.conf
 + lib
 + share
 + var

outputs.conf [tcpout]
defaultGroup = default-autolb-group

[tcpout:default-autolb-group]
server = localhost:9997

[tcpout-server://localhost:9997]

localhost という記載に問題があるかと思って、これを 127.0.0.1 にして Splunk Forwarder Service サービスの再起動をしました。

splunkd.log のエラーログは無くなりました。
エラーメッセージ: 対象のコンピューターによって拒否されたため、接続できませんでした。

しかし継続してログの収集には失敗しています。


分からないので Universal Forwarder の入れ直しをします。

① Universal Forwarder のアンインストール
② リブート(何度も失敗したくないので)
③ C:\Program Files\SplunkUniversal Forwarder\ 配下にファイルがないことを確認
④ Universal Forwarder のインストール
   ・パスはデフォルト
   ・SSL は未設定
   ・アカウントは Local System
   ・イベントログとパフォーマンスモニタを設定
   ・Deployment Server は未設定
   ・Receiving Indexer は 127.0.0.1 9997

でも、ダメでした。


Splunk サーバの設定ファイルを見てみます。
[C:\Program Files\Splunk\]
 + bin
 + etc
   + system
     + local
        + inputs.conf
        + server.conf
+ lib
 + share
 + var

サーバのホスト名の記載があります。
ホスト名を変えたので、これを書き換えます。

書き変えた後はサービス(splunkd)の再起動です。

これもダメでした。


Splunk テストサーバなんだけど、IP アドレスを固定にすることにしました。
IP Address: 192.168.2.10
そして Universal Forwarder も入れ直しました。(もちろん Receiving Indexer は 192.168.2.10 の固定値)

でも、ダメですね。


めんどくさいけど、Splunk サーバを建てなおすことにしました。

Splunk サーバをテストだからと思って適当な仮想マシン作って入れたんだけど、ちゃんとホスト名とか IP アドレスとかを決めてから作らないと後で変えるとだめですね。

設定ファイルのレイアウトが少し分かったのも収穫でした。

Splunk のページに戻る

※再設定をし直して判明しましたが、inputs.conf の設定が追加で必要でした。
Splunkを入れ直してイベントログ受信の再設定 参照

0 件のコメント:

コメントを投稿