2020/6/1 追記
この記事の内容を実機で試すハンズオンをこちらの記事に公開しました.
Forwarderってなに
Splunkには,外部マシンからデータを集める機能にForwarderというのがあって,データを取得したいマシンにForwarderをインストールした後に,データの送信先と送信するデータなんかを設定すると自動的にデータを送ってくれるようになるよ.
※ Splunkでは生データを受け取る機能のことをIndexerというよ.
ついでに受け取ったデータを処理しやすい形に加工してくれるよ.
Deployment ServerでForwarderを管理する
マシンの数やOSの種類が増えてくると管理負荷が上がってくるよね.
1台1台に手で設定するのは絶対嫌だよね.俺は絶対に嫌.
そういった時のために,SplunkにはForwarderを一括管理してくれるDeployment Serverという機能があるよ.
Deployment Serverは「このIPのマシンにはこの設定」って定義(Server Classというよ)を作れて,Deployment Serverに接続したForwarder(Deployment Clientというよ)のIPから判断して,適切な設定ファイルを転送してくれるよ.Deployment Clientはそれにしたがって,指定のデータを指定のIndexerに送るようになるよ.Deployment Clientは定期的に更新有無をチェックしているから,設定を追加した時も勝手に取り込んでくれるよ.
公式ドキュメントにちょっと複雑化した図が載っているよ.
コピペしたかったけどTerm of Userにダメって書いてあったから諦めた.
Deployment server architecture