ヘルスログアナリティクスでのSplunkデータ入力の手動構成

  • リリースバージョン: Australia
  • 更新日 2026年03月12日
  • 所要時間:13分

    • Splunk Heavy Forwarder を使用して、ログメッセージを ServiceNow インスタンスにストリーミングするためのデータ入力を設定します。

    始める前に

    • MID サーバーがインストールされ、ログ取り込み機能を有効にして構成されていることを確認します。詳細については、「MID Server system requirements」を参照してください。

      ログ取り込み機能が有効になっている MID サーバー構成。

      重要:
      ヘルスログアナリティクス は IPv6 をサポートしていません。アプリケーションを操作するには、MID サーバーを IPv4 に設定します。
    • MID サーバー クライアントと外部クライアントが同じネットワーク上にある場合を除き、MID サーバーにはパブリック IP アドレスが必要です。これは、ネットワークアドレス変換 (NAT)、ロードバランサー、または同様のデバイスを介して IP が公開される場合に必要です。パブリック IP アドレスを使用すると、ネットワーク外に Filebeat エージェントなどの外部クライアントが MID サーバーに到達できます。プライベート IP アドレスは、インターネット経由でルーティングできません。パブリック IP がないと、外部クライアントは、そのアドレスが設定されていても、その MID サーバー に接続できません。MID サーバー プロパティで、パブリック IP アドレスを値として指定する mid.public_ip というプロパティを追加します。詳細については、「MID サーバープロパティの作成」を参照してください。MID サーバークライアントと外部クライアントが同じネットワーク上にある場合は、プライベート IP アドレスを使用して接続できます。
    • SSL TLS を使用して暗号化されたログの送付については、Now Supportナレッジベースの記事「Streaming Data With Rsyslog & Filebeat Using SSL [KB0866319]」を参照してください。
    • Syslog を使用して、ServiceNow インスタンスにログを転送するように Splunk を設定します。
    • このデータ入力の構成は、$SPLUNK_HOME という名前の環境変数が存在することを前提としています。UNIX 系の環境では、通常、この変数は /opt /splunk をポイントしています。
      注:
      Windows 環境では、ディレクトリ構造は同じですが、バックスラッシュ (\) が使用されます。

    必要なロール:evt_mgmt_admin

    このタスクについて

    このセットアップ手順は、Splunk Heavy Forwarder を使用してインスタンスにログをストリーミングするための手順です。Heavy Forwarder が使用できない場合は、代わりに Splunk Universal Forwarder を使用できます。詳細については、Now Support ナレッジベースの「送信手段としての Splunk Universal Forwarder (Splunk Universal Forwarder as a Shipping method) [KB0961378]」を参照してください。

    Yokohama ファミリーリリース以降、新しい Splunk データ入力を使用して、Splunk がデフォルトで使用する前処理された (「クック済み」) ログ転送形式でデータを取り込むことができるようになりました。クック済みモードでは、 Splunk フォワーダーは、ホスト、ソースタイプ、ソース、その他の設定などの構成の詳細をログデータに埋め込みます。この形式でデータを HLA に取り込むと、関連するすべてのコンテキスト情報が各ログ行に保持されることを 検証できます。HLA でクック済みデータオプションを使用している場合は、データ入力構成中に props.conf ファイルと transforms.conf ファイルを編集Splunk必要はありません。

    注:
    Splunk のすべての構成ファイルは、$SPLUNK_HOME/etc/system/local/ フォルダーにあります。変更が必要な構成ファイルが存在しない場合は、作成してこのフォルダーに保存してください。
    注:
    MID サーバー が停止すると、Splunk パイプラインがブロックされる可能性があります。満杯の処理キューはパイプラインに影響しません。

    手順

    1. 移動先 すべて > ヘルスログアナリティクス > データ入力 > データ入力.
    2. [データ入力 (Data Inputs)] ページで、[新規] を選択します。
    3. Splunk Heavy Forwarder または Universal Forwarder を介してログをストリーミングするための Splunk データ入力を選択します。
    4. [はじめに (Getting Started)] タブで、フォームフィールドに入力します。
      フィールドの説明については、「Splunk データ入力構成フィールド」を参照してください。
    5. [Outputs.conf] タブで、次のスタンザを outputs.conf ファイルに追加して、選択したポートの選択した転送プロトコルで配送業者がログデータを転送するように設定し、[次へ] を選択します。
      注:
      出力を既に構成している場合は、以下の行を既存の構成と結合します。
      • TCP を介した転送の場合:
        注:
        最初のスタンザは、tcpout スタンザをまだ構成していない場合にのみ使用します。TCP を介してヘルスログアナリティクスに転送するには、2 番目のスタンザが必要となります。
        
[tcpout]
indexAndForward = 1
defaultGroup = nothing

[tcpout:health_log_analytics]
server = ip-172-31-17-121.us-east-2.compute.internal:5000
sendCookedData = false
compressed = false
      • UDP を介した転送の場合:
        注:
        最初のスタンザは、syslog スタンザをまだ構成していない場合にのみ使用します。UDP を介して ヘルスログアナリティクス に転送するには、2 番目のスタンザが必要となります。
        
[syslog]defaultGroup = nothing

[syslog:health_log_analytics]
server = ip-172-31-17-121.us-east-2.compute.internal:5000
    6. [Props.conf] タブで props.conf ファイルを編集し、[次へ] を選択します。
      注:
      [はじめに (Getting Started)] タブで [クック済みデータを使用 (Use Cooked Data)] オプションを選択した場合は、props.conf ファイルを編集する必要はありません。
      1. 既存のスタンザを変更するか、ソースタイプ、サービスインスタンス、および ヘルスログアナリティクス に転送するためのホストをマークするスタンザを追加します。
        注:
        最良の結果を得るには、転送元のソースタイプのみをマークします。
        スタンザを追加する際に、次の名前と形式を使用します。
        • ソースタイプ:[<source type>]。例:[syslog]
        • ソース (非推奨):[source::<source>]。例:[source::myApp]
        • ホスト (非推奨):[host::<ホスト>]。例:[host::10.9.8.7]
      2. TCP または UDP を介して ヘルスログアナリティクス に転送する各スタンザの末尾に次の行を追加します。
        • TCP を介した転送の場合:
          TRANSFORMS-cloned_data = clone_for_hla_store_sourcetype, clone_for_hla
        • UDP を介した転送の場合:
          TRANSFORMS-cloned_data = clone_for_hla_store_sourcetype, clone_for_hla_udp

          この行は、ヘルスログアナリティクス 処理に必要な操作が既存のデータパイプラインに影響しないように、データに CLONE_SOURCETYPE 変換を適用します。たとえば、すべてのログをソースタイプ「syslog」から ヘルスログアナリティクス に送信するには、次のようにします。

          [syslog]
                                    #existing configuration goes here
                                    TRANSFORMS-cloned_data = clone_for_hla_store_sourcetype, clone_for_hla_udp
      3. 次のスタンザを追加して、ヘルスログアナリティクス の処理に必要なすべての関連変換を適用します。
        注:
        Splunk を使用すると、選択したプロトコルのクローンされたソースタイプの機密データを匿名化できます。詳細については、Splunk のドキュメントの「データの匿名化 (Anonymize data)」セクションを参照してください。
        • TCP を介した転送の場合:
          [send_to_hla_tcp]
TRANSFORMS-health_log_analytics = health_log_analytics_add_sourcetype, health_log_analytics_add_host, health_log_analytics_add_source, health_log_analytics_add_syslog5424, health_log_analytics_add_index, health_log_analytics_add_syslogHost, health_log_analytics_add_time
        • UDP を介した転送の場合:
          [send_to_hla_udp]
TRANSFORMS-health_log_analytics = health_log_analytics_add_sourcetype, health_log_analytics_add_host, health_log_analytics_add_source, health_log_analytics_add_syslog5424, health_log_analytics_add_index, health_log_analytics_add_syslogHost, health_log_analytics_add_time
    7. [Transforms.conf] タブで、次のスタンザを transforms.conf ファイルに追加し、[次へ] を選択します。
      注:
      [はじめに (Getting Started)] タブで [クック済みデータを使用 (Use Cooked Data)] オプションを選択した場合は、transforms.conf ファイルを編集する必要はありません。

      3 番目のスタンザは、既存のインデックス作成に影響を与えずに操作を進めるために、ログのクローンを作成します。残りのスタンザは、正しい ヘルスログアナリティクス 処理の有効化に必要な情報を追加します。

      注:
      ここで変換を追加し、props.conf ファイルにクローン作成されたソースタイプのスタンザを変更することで、機密データを難読化できます。
      [accepted_keys]
#Custom field for preserving sourcetype
hla_sourcetype_preservation=_hla_sourcetype

#Store sourcetype in a custom field, since CLONE_SOURCETYPE overwrites it
[clone_for_hla_store_sourcetype]
SOURCE_KEY = MetaData:Sourcetype
REGEX = ^sourcetype::(.+)$
FORMAT = hla_sourcetype::$1
DEST_KEY = _hla_sourcetype

[clone_for_hla]
REGEX=.
DEST_KEY = _TCP_ROUTING
FORMAT = health_log_analytics
CLONE_SOURCETYPE=send_to_hla_tcp

#Only used in case of UDP forwarding
[clone_for_hla_udp]
REGEX=.
DEST_KEY = _SYSLOG_ROUTING
FORMAT = health_log_analytics
CLONE_SOURCETYPE=send_to_hla_udp

#Add metadata to the log message, since metadata is lost when forwarding externally
[health_log_analytics_add_sourcetype]
SOURCE_KEY = _hla_sourcetype
REGEX = ^hla_sourcetype::(.+)$
FORMAT = sourcetype="$1"] $0
DEST_KEY = _raw

[health_log_analytics_add_host]
SOURCE_KEY = MetaData:Host
REGEX = ^host::(.+)$
FORMAT = host="$1" $0
DEST_KEY = _raw

[health_log_analytics_add_source]
SOURCE_KEY = MetaData:Source
REGEX = ^source::(.+)$
FORMAT = source="$1" $0
DEST_KEY = _raw

[health_log_analytics_add_syslog5424]
REGEX=.
FORMAT = - - [sdid@1234 $0
DEST_KEY = _raw

[health_log_analytics_add_index]
SOURCE_KEY = _MetaData:Index
REGEX = ^(.+)$
FORMAT = $1 $0
DEST_KEY = _raw

[health_log_analytics_add_syslogHost]
SOURCE_KEY = MetaData:Host
REGEX = ^host::(.+)$
FORMAT = $1 $0
DEST_KEY = _raw

[health_log_analytics_add_time]
SOURCE_KEY = _time
REGEX = ^(.+)$
FORMAT = <182>1 $1 $0
DEST_KEY = _raw
    8. [Finish.conf] タブで、$SPLUNK_HOME/bin/splunk restart splunkd コマンドを実行して Splunk を再起動します。
    9. [保存] を選択します。
      ヘルスログアナリティクス でデータ入力レコードがデータ入力テーブルに追加されます。
    10. [テスト接続] を選択して、データ入力が正しく構成されていることを確認します。

      ヘルスログアナリティクスMID サーバー をデータリポジトリに接続しようとします。

      • 接続が確立された場合、[テスト接続] ボタンがオフになり、[公開 (Publish)] ボタンが有効になります。
      • 接続に失敗した場合は、失敗の理由が [エラーメッセージ] フィールドに表示されます。このフィールドは、ストリーミングエラーが発生した場合にのみ表示されます。

        問題を解決し、構成を変更した場合は [保存] を選択し、[テスト接続] を選択して接続を再度テストします。

        注:
        接続が正常に作成された場合にのみ、データ入力構成を公開できます。
      注:
      [変更を元に戻す] を選択すると、最後に公開された構成に戻すことができます。このオプションは、以前に公開された構成を変更する場合にのみ使用できます。
    11. データ入力を MID サーバー に公開するには、[公開 (Publish)] を選択します。

    タスクの結果

    データ入力構成プロセスが完了しました。ヘルスログアナリティクスは、データ入力レコードを [データ入力] テーブルに追加し、構成ファイルをデータ入力レコードに添付します。データ入力により、Splunk シッパーを使用した ServiceNow インスタンスへのログデータストリーミングが開始されます。

    注:
    HLAエンジンが停止し、データのストリーミングが停止した場合、データ入力構成ページの上部に通知が表示されます。これが発生した場合は、ServiceNow サポートにお問い合わせください。

    次のタスク

    データ入力がストリーミングデータであることを確認します。