Splunk Heavy or Universal Forwarders (TCP) Source

Cette page n'est pas encore disponible en français, sa traduction est en cours.
Si vous avez des questions ou des retours sur notre projet de traduction actuel, n'hésitez pas à nous contacter.

Use Observability Pipelines’ Splunk Heavy and Universal Forwards (TCP) source to receive logs sent to you your Splunk forwarders. Select and set up this source when you set up a pipeline.

Prerequisites

To use Observability Pipelines’s Splunk TCP source, you have a Splunk Enterprise or Cloud Instance alongside either a Splunk Universal Forwarder or a Splunk Heavy Forwarder routing data to your Splunk instance. You also have the following information available:

  • The bind address that your Observability Pipelines Worker will listen on to receive logs from your applications. For example, 0.0.0.0:8088. Later on, you configure your applications to send logs to this address.
  • The appropriate TLS certificates and the password you used to create your private key if your forwarders are globally configured to enable SSL.

See Deploy a Universal Forwarder or Deploy a Heavy Forwarder for more information on Splunk forwarders.

Set up the source in the pipeline UI

Select and set up this source when you set up a pipeline. The information below is for the source settings in the pipeline UI.

Vous pouvez aussi cliquer sur le bouton pour activer TLS. Si vous activez TLS, les fichiers de certificats et de clés suivants sont requis :

  • Server Certificate Path : le chemin d’accès au fichier du certificat qui a été signé par votre fichier racine Certificate Authority (CA) en DER ou PEM (X.509).
  • CA Certificate Path : le chemin d’accès au fichier du certificat qui est votre fichier racine Certificate Authority (CA) en DER ou PEM (X.509).
  • Private Key Path : le chemin d’accès au fichier de clé privée .key qui appartient au chemin d’accès du certificat de votre serveur au format DER ou PEM (PKCS#8).

Connecter le forwarder de Splunk au worker de pipelines d’observabilité

Pour transmettre vos logs au worker, ajoutez la configuration suivante au chemin etc/system/local/outputs.conf de votre forwarder Heavy/Universal de Splunk et remplacez <HOST_OPW> par l’IP/URL du host (ou du répartiteur de charge) associé au worker de pipelines d’observabilité :

[tcpout]
compressed=false
sendCookedData=false
defaultGroup=opw

[tcpout:opw]
server=<HOST_OPW_>:8099

<HOST_OPW> correspond à l’IP/URL du host (ou du répartiteur de charge) associé au worker de pipelines d’observabilité. Pour les installations CloudFormation, l’URL à utiliser est correcte pour la sortie CloudFormation LoadBalancerDNS. Pour les installations Kubernetes, l’enregistrement DNS interne du service du worker de pipelines d’observabilité peut être utilisé, comme opw-observability-pipelines-worker.default.svc.cluster.local.

À ce stade, vos logs devraient être transmis au worker, traités par le pipeline et envoyés vers la destination configurée.