アプリケーション コンテキストの関連付けのために、Splunk AppDynamics SaaS から Splunk クラウドプラットフォームにアプリケーションメタデータを送信するように Splunk Universal Forwarder を設定する必要があります。

サポートされるバージョン

Universal Forwarder バージョン 7.0.0 以上

はじめる前に

次の状態を確認してください。

  • ユニバーサルフォワーダが環境にすでに展開されている必要があります。展開の詳細については、Splunk ドキュメントの「Deploy Universal Forwarder」を参照してください。
  • ユニバーサルフォワーダが適切に機能し、Splunk クラウドプラットフォームにログを送信している必要があります。問題がある場合は、Splunk サポートにお問い合わせください。

設定

Splunk AppDynamics SaaS のログオブザーバ接続のユニバーサルフォワーダを設定するには、次の手順を実行します。

  1. $SPLUNK_HOME/etc/system/local/ directory で、inputs.conf ファイルを開きます。ファイルが使用できない場合は、inputs.conf という名前のファイルを作成します。仕様については、inputs.conf.spec を参照してください。
  2. 各モニタースタンザで、_meta フィールドを追加します。
  3. _meta フィールドに、AppDynamics アプリケーション名と階層名を追加します。次の例では、ディレクトリ /var/log/my-app からログを収集する inputs.conf ファイル内のスタンザを表示しています。

    [monitor:///var/log/my-app]
index = <index-name>
disabled = 0
_meta = appd_app_name::<APPD_APP_NAME> appd_tier_name::<APPD_TIER_NAME>
    CODE

  4. Splunk Cloud Platform インスタンスを再起動して、設定の変更を有効にします。

挿入されたメタデータに関してログが適切に解析され、インデックスが作成されるようにするには、イベントの改行を適切に設定する必要があります。複数行のログは、複数のイベントに分割されないように正しく処理する必要があります。また、複数のログを 1 つのイベントにまとめて追加することはできません。改行の設定方法については、Splunk のドキュメントを参照してください。

構造化ログの追加設定

構造化ログのログ接続を有効にするには、ユニバーサルフォワーダで次のように設定します。

事前設定されていないソースタイプ

構造化ログのソースタイプが事前設定済みになっていない場合は、inputs.conf ファイルでソースタイプを指定する必要があります。

  1. 構造ログファイルを含む各スタンザで、構造化ログのフォーマットを指定します。次のフォーマットがサポートされています。
    形態
    カンマ区切り値csv
    JSON_json
    パイプ区切り値psv
    タブ区切り値tsv

  2. ユニバーサルフォワーダを再起動します。

たとえば、構造化ログが JSON フォーマットの場合は、次のようにスタンザで sourcetype_json として指定します。

[monitor:///var/log/my-app]
index = <index-name>
sourcetype=_json
disabled = 0
_meta = appd_app_name::<APPD_APP_NAME> appd_tier_name::<APPD_TIER_NAME>
CODE

事前設定されたソースタイプ

構造化ログのカスタムソースタイプをすでに設定しているが、インデックス付きフィールドの抽出が有効になっていない場合は、ユニバーサルフォワーダの props.conf を更新し、Splunk クラウドプラットフォームで適切な指数抽出を選択する必要があります。

ユニバーサルフォワーダで、次の手順を実行します。

  1. $SPLUNK_HOME/etc/system/local/props.conf に進みます。
  2. 次のいずれかのフォーマットを指定して、スタンザを更新して INDEXED_EXTRACTIONS を有効にします。
    • CSV
    • JSON
    • TSV
    • PSV
    • W3C
  3. ユニバーサルフォワーダを再起動します。

たとえば、カスタムソースタイプが custom-json の場合、次のようにスタンザを更新します。

[custom-json]
INDEXED_EXTRACTIONS = JSON
CODE

Splunk Cloud プラットフォームで、次の手順を実行します。

  1. Settings > Data> Source Types をクリックします。
  2. New Source Type をクリックします。
  3. [Name] フィールドで、UF で言及したものと同じカスタムソースタイプ名を指定します。たとえば、custom-json です。
  4. [Description] フィールドに、ソースタイプの適切な説明を入力します。
  5. Destination appリストで、system としてアプリケーションを選択します。

    Classic Experience で Splunk Cloud Platform の展開を使用している場合は、宛先アプリケーションリストを選択できます。Victoria Experience の場合、接続先アプリケーションはデフォルトで 000-self-service に設定されます。000-self-service アプリケーションの Global へのオブジェクト共有を有効にするには、Splunk 管理者にお問い合わせください。

  6. Categoryリストで、Structured としてカテゴリを選択します。
  7. Indexed extractionリストで、カスタムソースタイプのフォーマットを選択します。形式は次のいずれかになります。
    • CSV
    • JSON
    • TSV
    • PSV
    • W3C
  8. [Advanced] をクリックして [New setting] を追加します。
  9. KV_MODE リストで、none として値を選択します。
  10. Save をクリックします。

次のイメージは、ソースタイプの例を示しています。