首页
Endpoint Central On-premise 与 Splunk Enterprise 集成 - 错误消息与解决方案
错误消息
无法连接到 Endpoint Central 服务器。请验证服务器 URL 和网络连接
API 密钥无效或权限不足。请输入具有所需权限的有效密钥
API 密钥缺少 Action Log 权限。请生成具有 Action Log 权限的新 API 密钥
SSL 验证失败。请在 Splunk 中上传有效的 Endpoint Central SSL 证书
您的 Endpoint Central 版本不支持 Action Log 输入。请升级到 11.4.2524.01 或更高版本
需使用 HTTPS。请将 Endpoint Central 服务器 URL 更新为使用 HTTPS 协议
1. 无法连接到 Endpoint Central 服务器。请验证服务器 URL 和网络连接
原因:
提供的 Endpoint Central 服务器 URL 不正确。
Splunk 与 Endpoint Central 服务器之间存在网络连接问题。
防火墙或代理阻止了请求。
解决方案:
验证 Endpoint Central 服务器 URL 是否正确且 Splunk 实例能访问:
打开 Splunk Endpoint Central 集成设置,检查配置的服务器 URL。
确认输入了正确的协议(建议使用 HTTPS)、主机名/FQDN 和端口。
在 Splunk 服务器上通过浏览器测试该 URL(例如,https://EC_SERVER_FQDN:8383)。
检查 Splunk 对服务器的可达性:
在 Splunk 服务器上运行 ping 命令到 Endpoint Central 服务器确认连接。
如果禁用了 ping,使用 telnet(例如,telnet https://EC_SERVER_FQDN:8383)测试服务端口访问。
若怀疑 DNS 问题,尝试使用服务器的 IP 地址代替主机名。
确认 Endpoint Central 服务正在运行。
确保无防火墙或代理干扰通信:
确认 Splunk 服务器对 Endpoint Central 服务器端口(8020/8383)的出站请求未被阻止。
若使用代理,确保 Splunk 配置为使用该代理,或在代理设置中将 Endpoint Central 服务器 URL/IP 加入白名单。
2. API 密钥无效或权限不足。请输入具有所需权限的有效密钥
原因:
输入的 Endpoint Central API 密钥不正确或已过期。
API 密钥权限不足,无法访问所需数据。
解决方案:
以管理员身份登录 Endpoint Central,导航至 Admin → API Key Generation,确认用于 Splunk 的 API 密钥是否仍有效,是否被撤销或过期。
如有需要,生成具备所需权限的新 API 密钥并在 Splunk 中更新。详细指导请参见
本文档
中关于创建有效 API 密钥的步骤。
3. API 密钥缺少 Action Log 权限。请生成具有 Action Log 权限的新 API 密钥
原因:
Splunk 中配置的 API 密钥未包含所需的 Action Log 权限,导致无法访问 Endpoint Central 的 Action Log 数据。
解决方案:
在 Endpoint Central 中生成启用 Action Log 权限的新 API 密钥,并在 Splunk 配置中更新该密钥。
关于详细步骤,请参阅
本文档
以生成有效 API 密钥。
4. SSL 验证失败。请在 Splunk 中上传有效的 Endpoint Central SSL 证书
原因:
Endpoint Central 服务器使用了 Splunk 不信任的自签名证书。
Endpoint Central 服务器上的 SSL 证书已过期或无效。
证书链(根或中间 CA 证书)在 Splunk 的信任存储中不完整或缺失。
证书中的主机名与 Splunk 配置的 Endpoint Central 服务器 URL 不匹配。
解决方案:
打开 Endpoint Central Web 控制台,检查 SSL 证书是否有效且未过期。
验证证书的通用名称(CN)或主题备用名称(SAN)是否与 Splunk 配置的服务器 URL 匹配。如不匹配,请将 Splunk 中的 Endpoint Central 服务器 URL 更新为与证书相符。
如果 Endpoint Central SSL 证书已过期,请在 Endpoint Central 中续订或更换为有效证书,并将更新后的证书重新导入 Splunk。
按照
本文档
中提供的步骤,在 Splunk 中上传有效的 Endpoint Central SSL 证书。
5. 您的 Endpoint Central 版本不支持 Action Log 输入。请升级到 11.4.2524.01 或更高版本
原因:
Endpoint Central 服务器运行的版本早于 11.4.2524.01,无法支持 Splunk 集成的 Action Log 输入。
解决方案:
升级 Endpoint Central 至 11.4.2524.01 或更高版本,以启用 Action Log 输入支持。
升级后,验证 Splunk 集成设置并根据需求重新建立连接。
6. 需使用 HTTPS。请将 Endpoint Central 服务器 URL 更新为使用 HTTPS 协议
原因:
Splunk 中配置的 Endpoint Central 服务器 URL 使用 HTTP 而非 HTTPS,无法支持安全集成。
解决方案:
在 Splunk 配置中将 Endpoint Central 服务器 URL 更新为使用 HTTPS。
确保 Endpoint Central 服务器上启用且正确配置了 SSL,并确认 Splunk 可以访问 HTTPS URL。
受以下机构信任
