LinuxのログをSplunk Cloudに送信

本記事の概要

LinuxのCPUやメモリなどの負荷状況や、Linux上のログファイルをSplunk Cloudに自動で送信する手順を記載する。

Forwarder Monitoringの有効化

(1) [設定] > [クラウドモニターコンソール]をクリックする。


(2) [フォワーダー] > [Forwarder monitoring setup]をクリックする。


(3) 「Forwarder Monitoring」を有効にして、任意の「Data Collection Interval」の値を設定する。その後、「保存」をクリックする。

Splunk Add-on for Unix and Linuxのインストール

(1) [App] > [Home]をクリックする。

(2) 「他のAppのサーチ」をクリックする。

(3) 「Splunk Add-on for Unix and Linuxを検索して、「Splunk Add-on for Unix and Linux」のインストールボタンをクリックします。

(4) 「https://login.splunk.com/」でログインする際のEmailとPasswordを入力して、「同意してインストール」をクリックする。

(5) 「完了」をクリックする。

Universal Forwarderのダウンロード

(1) ブラウザを用いて「https://www.splunk.com/en_us/blog/learn/splunk-universal-forwarder.html」にアクセスして、「Download Universal Forwarder Now(FREE)」をクリックする。


(2) メールアドレスやパスワードなどを入力する。


(3) 「Create your account」をクリックする。


(4) 入力したメールアドレス宛にメールが送信された旨のメッセージが表示される。


(5) 入力したメールアドレス宛に確認メールが届いているため、「Verify Your Email」をクリックする。


(6) Universal Forwarderのダウンロードページが表示されるため、インストールする機器のOSのインストーラをダウンロードする。
〇Windowsの場合の画面
　　
〇Linuxの場合の画面
　　

(7) ダウンロードしたUniversal Forwarderのインストーラーをインストールする機器上に格納する。

Splunk Cloudの認証ファイルのダウンロード

(1) [App] > [Universal Forwarder]をクリックする。


(2) 「Download Universal Forwarder Credentials」をクリックして、「splunkclouduf.spl」ファイルをダウンロードする。


(3) ダウンロードした「splunkclouduf.spl」ファイルをUniversal Forwarderをインストールする機器上に格納する。

Universal Forwarderのインストール（CentOS版）

(1) Universal Forwarderインストーラー（例：splunkforwarder-10.0.2-e2d18b4767e9.x86_64.rpm）とSplunk Cloudの認証ファイル（splunkclouduf.spl）を格納していることを確認する。

# ls -l
-rw-r--r--. 1 root root      6764 12月 21 11:05 splunkclouduf.spl
-rw-r--r--. 1 root root 112129206 12月 21 00:48 splunkforwarder-10.0.2-e2d18b4767e9.x86_64.rpm

(2) Universal Forwarderをインストールする。

# rpm -ihv splunkforwarder-10.0.2-e2d18b4767e9.x86_64.rpm

(3) Universal Forwarder用のユーザー名とパスワードを設定する。

# sudo /opt/splunkforwarder/bin/splunk start --accept-license
ーーー（省略）ーーー
Please enter an administrator username: 
　　→ユーザー名を入力する。
Password must contain at least:
   * 8 total printable ASCII character(s).
Please enter a new password:
Please confirm new password:
　　→パスワードを入力する。
ーーー（省略）ーーー

(4) Splunk Cloudの認証ファイルをインストールする。

# /opt/splunkforwarder/bin/splunk install app ./splunkclouduf.spl -auth <username>:<password>
　　※<username>と<password>は設定したUniversal Forwarder用のユーザー名とパスワードに置き換える。

(5) Universal Forwarderのサービスを再起動する。

# /opt/splunkforwarder/bin/splunk restart

(6) ブラウザを用いて「https://splunkbase.splunk.com/app/833」にアクセスして、「Download」をクリックする。


(7) 「I have read the terms and conditions of this license and agree to be bound by them.」にチェックを付けて、「Agree to Download」をクリックする。


(8) 「splunk-add-on-for-unix-and-linux_1020.tgz」ファイルがダウンロードされる。その後、「OK」をクリックする。


(9) ダウンロードしたファイル（例：splunk-add-on-for-unix-and-linux_1020.tgz）をインストールするサーバ上に格納する。

(10) ダウンロードしたファイル（例：splunk-add-on-for-unix-and-linux_1020.tgz）を解凍し、/opt/splunkforwarder/etc/apps/に移動する。

# ls -l
-rw-r--r--. 1 root root    978053 12月 24  2025 splunk-add-on-for-unix-and-linux_1020.tgz


# tar xzfv ./splunk-add-on-for-unix-and-linux_1020.tgz


# mv Splunk_TA_nix/ /opt/splunkforwarder/etc/apps/

(11) 設定ファイルを格納するディレクトリ（Splunk_TA_nix/local）を作成し、設定ファイルをコピーする。

# cd /opt/splunkforwarder/etc/apps/


# mkdir Splunk_TA_nix/local


# cp Splunk_TA_nix/default/inputs.conf Splunk_TA_nix/local

(12) デフォルトでは全てのデータを取得しない設定になっているため、設定ファイルの内容を編集し、データ取得する項目は「disabled = 1」を「disabled = 0」に変更する。

# vi Splunk_TA_nix/local/inputs.conf
　　→データ取得する項目の「disabled = 1」を「disabled = 0」に変更する。

(13) Universal Forwarderのサービスを再起動し、自動起動を有効化する。

# /opt/splunkforwarder/bin/splunk restart


# /opt/splunkforwarder/bin/splunk enable boot-start -user splunkfwd -systemd-managed 1

Splunk Cloudのデータ検索

(1) [App] > [Search & Reporting]をクリックする。


(2) 検索テキストボックスに「*」を入力して、検索ボタンをクリックする。


(3) Splunk Cloudに送られたデータを確認することができる。

Splunk関連記事