設定の目的

サーチヘッドのインデックスデータをインデクサーに転送することで、サーチヘッドとインデクサーの内部ログやサマリーインデックスを一元管理することが可能となります。

設定方法

設定方法にはWebGUIからの設定と設定ファイルの編集の2種類あります。

○WebGUIからの設定

【手順】

• SplunkWeb画面右上より「設定＞転送と受信」を選択します。
• 転送と受信メニュー内の「転送のデフォルト」を選択します。
• 「転送されたイベントをローカルにコピーして保管しますか？」を「いいえ」にセットして「保存」を選択します。
• 転送と受信メニュー内の「転送の設定」の右側ボタン「新規追加」を選択します。
• データの転送先を入力する画面が開かれるので、ホスト欄に送信先を「ホスト：ポート」または「IP：ポート」の形式で指定し「保存」を選択します。

○設定ファイルの編集 サーチヘッドのoutputs.confを下記のように変更します。

【内部ログ転送の設定例】

※インデクサー3台（Indexer A,B,C)に対してデータを分散転送する場合の設定例となります。

$SPLUNK_HOME/etc/system/local/outputs.conf

[indexAndForward]
index = false

[tcpout]
defaultGroup = test
forwardedindex.filter.disable = true
indexAndForward = false

[tcpout:test]
server=<IndexerAのIP>:<受信ポート>,<Indexer BのIP>:<受信ポート>,<Indexer CのIP>:<受信ポート>
autoLB=true

※デフォルトインストールの場合

$SPLUNK_HOME(Linux) : /opt/splunk
$SPLUNK_HOME(Windows) : C:\Program Files\splunk

※設定を反映させるには、Splunkサービスの再起動が必要となります。

例

$SPLUNK_HOME/bin/splunk restart

注意事項

• サーチヘッドの内部ログがインデクサーに追加で保存されるため、転送量によってはインデクサーの内部インデックス（_internalなど）の容量を大きくする必要があります。
• この設定を行うとサーチヘッドに取り込むデータが全てインデクサーへ転送されます。もしも内部ログ等以外にサーチヘッドへ取り込んでいるデータがある場合、そのデータも転送対象となります。
• 転送対象のデータは設定後に追加されたもののみとなります。設定前に取り込まれたデータについてはインデクサーへ転送されません。