WMI は管理コンソール上で取得設定ができるようなのですが、AD ドメインに参加していないといけないらしいです。
なので、Universal Forwarder で試しました。
やり方
・Universal Forwarder を各 Windows マシンにインストール
-リブートは不要
・indexer (Splunk管理サーバ)で、待ち受け設定(デフォルトポート: TCP 9997)
・通信は Universal Forwarder → Splunk indexer の TCP 9997 のみ
※Deployment server はここでは使わない
-Deployment server を作るとUniversal Forwarder のデータ取得設定が配布できる。
-使う場合は Universal Forwarder → Deployment server の通信は TCP 8089
Splunk 管理サーバの待ち受け設定
先に管理サーバの設定をしておきます。
設定場所は[Settings]→[Forwarding and receiving]です。
[Receive data]の[Configure receiving]で設定を行います。
設定するのは待ち受けポート番号のみ、[9997]と入力しました。
Universal Forwarder を各 Windows マシンにインストール
Universal Forwarder のインストーラは Splunk のサイトにありました。
http://www.splunk.com/download/universalforwarder
こちらで Windows 64bit 版、Windows 32bit 版のそれぞれのインストーラがダウンロードできます。
各マシン上で実行します。
・[Deployment Server]はブランク(下手に入力すると動かない)
・[Receiving Indexer]は Splunk 管理サーバのIPアドレス、ポートを指定(ポート9997)
※Universal Forwarder には GUI の管理画面がないみたいなので、設定を変える場合には設定ファイルを直接編集する必要があるようです。
※インストール時GUIを使わない無人インストールでアプリケーションの配布をすることもできるようになっています。
無事データの取得ができました。
Splunk のページに戻る
※この設定だけではパフォーマンスログは取れるのですが、イベントログを取得するのは不十分でした。
リモートのイベントログを取得するには Splunk サーバの inputs.conf の編集が必要になります。
→Splunkを入れ直してイベントログ受信の再設定 参照
0 件のコメント:
コメントを投稿