Splunk用 Citrix Analytics アドオンの設定に関する問題
Citrix Analytics アドオン設定を使用できません
Splunk Forwarder または Splunk スタンドアロン環境に Splunk 用 Citrix Analytics アドオンをインストールした後、[設定] > [データ入力] に [Citrix Analyticsアドオン] 設定が表示されません。
理由
この問題は、サポートされていない Splunk 環境に Splunk 用 Citrix Analytics アドオンをインストールすると発生します。
解決された問題
サポートされている Splunk 環境に Splunk 用Citrix Analytics アドオンをインストールします。サポートされるバージョンの詳細については、「 Splunk 統合」を参照してください。
Splunk ダッシュボードにはデータがありません
Splunk Forwarder または Splunk スタンドアロン環境に Splunk 用 Citrix Analytics アドオンをインストールして構成すると、Splunk ダッシュボードにシトリックスアナリティクスからのデータが表示されません。
チェック
この問題のトラブルシューティングを行うには、Splunk Forwarder または Splunk スタンドアロン環境で以下を確認します。
-
Splunk 統合の前提条件が満たされていることを確認します 。
-
[設定]>[データ入力]>[Citrix Analytics アドオン]Citrix Analytics の構成の詳細が利用可能であることを確認します 。
-
構成の詳細が利用できる場合は、次のクエリを実行して、SSplunk 向けCitrix Analytics アドオンに関連するエラーがないかログを確認します。
index=_internal sourcetype=splunkd log_level=ERROR component=ExecProcessor cas_siem_consumer
-
エラーが見つからない場合、SSplunk 向けCitrix Analytics アドオンは期待どおりに動作しています。ログにエラーが見つかった場合は、次のいずれかの原因が考えられます。
-
Splunk 環境とCitrix Analytics Kafkaエンドポイント間の接続を確立できませんでした。この問題は、ファイアウォールの設定が原因である可能性があります。
修正方法:この問題を解決するには、ネットワーク管理者に問い合わせてください。
-
[設定]>[データ入力]>[Citrix Analytics アドオン]の構成の詳細
修正:ユーザー名、パスワード、ホストエンドポイント、トピック、コンシューマーグループなどのCitrix Analytics構成の詳細が、Citrix Analytics 構成ファイルに従って正しく入力されていることを確認します。詳しくは、「 Splunk 用の Citrix Analytics アドオンを構成する」を参照してください。
-
-
前述のログから問題の原因が見つからず、さらに調査する場合は、次の手順を実行します。
-
設定]>[データ入力]>[Citrix Analytics アドオン ] でデバッグモードを有効にします
注
デフォルトでは、 Debug モードは無効になっています 。このモードを有効にすると、生成されるログが多すぎます。したがって、このオプションは必要な場合にのみ使用し、デバッグタスクが完了したら無効にしてください。
-
生成されたデバッグログを次の場所で探し、エラーがないか確認します。
$SPLUNK_HOME$/var/log/splunk.Filename splunk_citrix_analytics_add_on_debug_connection.log
-
(オプション)Splunk 用 Citrix Analytics
splunk cmd python cas_siem_consumer_debug.py
アドオンで使用できるデバッグスクリプトを使用します。このスクリプトは、Splunk 環境と接続チェックの詳細を含むログファイルを生成します。この詳細を使用して、問題をデバッグできます。以下のコマンドを使用してスクリプトを実行します。cd $SPLUNK_HOME$/etc/apps/TA_CTXS_AS/bin/; /opt/splunk/bin/splunk cmd python cas_siem_consumer_debug.py
-
エラーメッセージ
Splunk 用 Citrix Analytics アドオンに関連するログに、次のエラーが表示される場合があります。
ERRORKafkaError{code=_TRANSPORT,val=-195,str="Failed to get metadata: Local: Broker transport failure"}
このエラーは、ネットワーク接続の問題または認証の問題が原因で発生します。
この問題をデバッグするには、次の手順を実行します。
-
Splunk Forwarder または Splunk スタンドアロン環境で、 デバッグモードを有効にしてデバッグログを取得します 。前のステップ 5.a を参照してください。
-
次のクエリを実行して、デバッグログで認証の問題を検出します。
index=_internal source="*splunk_citrix_analytics_add_on_debug_connection.log*" "Authentication failure"
-
デバッグログに認証の問題が見つからない場合、エラーはネットワーク接続の問題が原因です。
-
telnet または前のステップ 5.c で説明したデバッグスクリプトを使用して、問題を検出して解決します。
2.0.0 より前のバージョンからのアドオンのアップグレードが失敗する
Splunk Forwarder または Splunk スタンドアロン環境で、Splunk 用 Citrix Analytics アドオンを 2.0.0 より前のバージョンから最新バージョンにアップグレードすると 、アップグレードが失敗します。
解決された問題
-
Citrix Analytics Splunk
/bin
アドオンインストールフォルダーのフォルダー内にある以下のファイルとフォルダーを削除します。-
cd $SPLUNK_HOME$/etc/apps/TA_CTXS_AS/bin
-
rm -rf splunklib
-
rm -rf mac
-
rm -rf linux_x64
-
rm CARoot.pem
-
rm certificate.pem
-
-
Splunk フォワーダまたは Splunk スタンドアロン環境を再起動します。