コンテンツにスキップ

Logpush

❮ FAQに戻る

クラウドストレージの宛先が一時的に利用できない場合、どうなりますか?

Logpushはエラーが発生した場合に再試行するように設計されています。宛先が一時的に利用できない場合、Logpushは約5回、5分間にわたって再試行します。ただし、この回数と時間はあくまで概算です。Cloudflareが宛先からのエラーを持続的に受信し、受信バッチに追いつけない場合、Logpushは最終的にログをドロップします。エラーが長期間続く場合、Logpushは宛先が永久に利用できないと見なし、プッシュジョブを無効にします。後でジョブを再度有効にすることは可能です。

ログがプッシュされる頻度を調整できますか?

いいえ。Cloudflareは、できるだけ早くバッチでログをプッシュします。

ジョブが誤ってオフになり、特定の期間にログを受信できませんでした。まだプッシュできますか?

いいえ。Logpushは、ログが利用可能になると一度だけプッシュし、バックフィルはできません。ただし、ログは少なくとも72時間保存され、Logpull APIを使用してダウンロードできます。

ジョブを新しい宛先に再構成しましたが、なぜまだ古い宛先でログを受信しているのですか?

正確な時間を提供することはできませんが、移行には10〜15分かかると見積もっています。このトピックの詳細については、宛先が一時的に利用できない場合の質問を参照してください。

既存のLogpushジョブに新しいフィールドを追加した場合、変更が有効になるまでどのくらいかかりますか?

正確な時間を提供することはできませんが、新しいフィールドは10〜15分以内に表示されると見積もっています。

Splunkジョブを設定中に、なぜ宛先の検証エラーが表示されるのですか?

このエラーが表示される理由はいくつかあります:

  • SplunkエンドポイントのURLが正しくありません。CloudflareはHTTPS経由のSplunk HEC生データエンドポイントのみをサポートしています。
  • Splunk認証トークンが正しくありません。トークンをURLエンコードすることを確認してください。たとえば、スペースには%20を使用します。
  • Splunkサーバーの証明書が正しく構成されていません。Splunk/サードパーティの証明書によって生成された証明書は、証明書のCommon NameフィールドがSplunkサーバーのドメイン名と一致する必要があります。そうでない場合、次のようなエラーが表示されることがあります:x509: certificate is valid for SplunkServerDefaultCert, not <YOUR_INSTANCE>.splunkcloud.com.

Splunkジョブのinsecure-skip-verifyパラメータとは何ですか?

このフラグがtrueに設定されている場合、Splunkへの不正な接続が行われます。この値をtrueに設定することは、Splunkの例に示されているようにcurl-kオプションを使用することと同等であり、推奨されません。Cloudflareは、insecure-skip-verifyパラメータを使用する際には、このフラグをfalseに設定することを強く推奨します。

推奨されていない場合、なぜSplunkジョブにinsecure-skip-verifyパラメータがあるのですか?

Splunk/サードパーティの証明書によって生成された証明書は、証明書のCommon NameフィールドがSplunkサーバーのドメイン名と一致する必要があります。そうでない場合、次のようなエラーが表示されることがあります:x509: certificate is valid for SplunkServerDefaultCert, not <YOUR_INSTANCE>.splunkcloud.com. これは、特にSplunkが起動時に生成するデフォルトの証明書で発生します。証明書が修正されない限り、プッシュは決して成功しません。

問題を解決する適切な方法は、証明書を修正することです。このフラグは、Splunkクラウドインスタンスのように、証明書を修正するためのアクセスや権限がない稀なシナリオのためにのみ存在します。

ジョブを設定する前に、Splunk HECが正しく動作しているかどうかを確認するにはどうすればよいですか?

次の例のように、-kフラグなしで、かつinsecure-skip-verifyパラメータをfalseに設定して、curlを使用してSplunkインスタンスにイベントを公開できることを確認してください:

Terminal window
curl  "https://<SPLUNK_ENDPOINT_URL>?channel=<SPLUNK_CHANNEL_ID>&insecure-skip-verify=<INSECURE_SKIP_VERIFY>&sourcetype=<SOURCE_TYPE>" \
   -H "Authorization: Splunk <SPLUNK_AUTH_TOKEN>" \
   -d '{"BotScore":99,"BotScoreSrc":"Machine Learning","CacheCacheStatus":"miss","CacheResponseBytes":2478}'
{"text":"Success","code":0}

Splunkの宛先confで任意のHECネットワークポートを使用できますか?

いいえ。Cloudflareは、HECネットワークポートが:443または:8088に設定されていることを期待しています。

LogpushはCloudflare Splunkアプリと統合されていますか?

はい。詳細については、Cloudflare App for Splunkを参照してください。cloudflare:jsonソースタイプを使用してログを取り込む限り、Cloudflare Splunkアプリを使用できます。

Cloudflare DashboardDiscordCommunityLearning CenterSupport Portal
Cookie Settings