SplunkでWindowsイベントログ編集時に「404 Not Found」が出る原因と解決方法【Windows10 / Splunk Enterprise】

Splunk EnterpriseをWindows環境で運用している際、「Windows Event Log」を追加・編集しようとすると404 Not Foundエラーが表示されるケースがあります。特に、Settings → Data Inputs → Local Event Log → Editへ進んだ際に発生するこの問題は、Splunkの設定ミスや権限、アプリ構成など複数の原因が考えられます。

本記事では、Windows 10上のSplunk EnterpriseでWindowsイベントログ（Security / System / Application）を追加できない問題の原因と具体的な解決策をわかりやすく解説します。

• SplunkでWindowsイベントログ編集時に「404 Not Found」が出る原因と解決方法【Windows10 / Splunk Enterprise】
  • SplunkでWindows Event Log編集時に404エラーが出る症状
  • 原因1：Splunk Webの設定ルーティング不整合
    • 対処方法
  • 原因2：Splunkのアプリ構成が壊れている
    • 対処方法
  • 原因3：Windowsイベントログ入力アドオンが不足
    • 確認ポイント
  • 原因4：ユーザー権限の問題
    • 対処方法
  • 原因5：SplunkバージョンによるCLI仕様変更
    • 推奨方法
  • Windowsイベントログを確実に追加する手順（安定方法）
    • 手順
  • まとめ

SplunkでWindows Event Log編集時に404エラーが出る症状

Windows 10環境にSplunk Enterpriseをインストールし、サービス（splunkd）が正常に起動しているにもかかわらず、次の操作を行うと404エラーが発生する場合があります。

操作手順

1. Splunk Webへログイン

2. Settingsを開く

3. Data Inputsをクリック

4. Local Event Logを選択

5. Editをクリック

このとき、ブラウザ上で404 Not Foundが表示され、イベントログ設定画面へ進めません。

また、以下のような対処を試しても解決しないケースがあります。

• 管理者権限で実行

• CMDからのチェック

• 直接URLへのアクセス

• CLIでadd win-event-logを試す

特にCLIコマンドが無効になっているバージョンでは、別の方法で設定を行う必要があります。

---

原因1：Splunk Webの設定ルーティング不整合

404エラーの最も多い原因は、Splunk Webのルーティング設定の不整合です。

SplunkではWeb UIのページは内部アプリケーションによって管理されています。
そのため以下のような状態になると404エラーが発生します。

• 設定画面のリンクが古い

• アプリのルーティングが壊れている

• Splunk Webキャッシュの問題

対処方法

1. Splunkを再起動

splunk restart

2. ブラウザキャッシュを削除

3. 別ブラウザでアクセス

これだけで解決するケースもあります。

---

原因2：Splunkのアプリ構成が壊れている

Splunkの入力設定はアプリ（App）単位で管理されています。
Windowsイベントログ入力も、実際にはアプリ内の設定ファイルに保存されます。

もし以下のフォルダが破損していると、編集ページが404になることがあります。

splunk/etc/apps/search

または

splunk/etc/system

対処方法

設定ファイルを確認します。

inputs.conf

もしイベントログ設定が壊れている場合は、再作成します。

例：

[WinEventLog://Security]
disabled = 0

[WinEventLog://System]
disabled = 0

[WinEventLog://Application]
disabled = 0

保存後、Splunkを再起動します。

---

原因3：Windowsイベントログ入力アドオンが不足

Splunkのバージョンによっては、Windows Event Log入力を扱うコンポーネントが正常に読み込まれていないことがあります。

この場合、UIのリンクは表示されるものの、実体がないため404になります。

確認ポイント

以下のディレクトリが存在するか確認します。

splunk/etc/apps

もしWindows関連アプリが不足している場合は、Splunk Add-on for Microsoft Windowsを導入すると解決する場合があります。

---

原因4：ユーザー権限の問題

Splunk Webの管理画面では、ユーザーロールによって編集可能な設定が制限されます。

特に以下の状態では404が出ることがあります。

• admin以外のユーザー

• 管理権限不足

• アプリスコープ制限

対処方法

1. adminユーザーでログイン

2. Settings → Roles を確認

3. adminロールに権限が付与されているかチェック

---

原因5：SplunkバージョンによるCLI仕様変更

過去のSplunkでは次のCLIコマンドでイベントログを追加できました。

splunk add win-event-log

しかし、新しいバージョンではこのコマンドが使用できない場合があります。

そのため現在は以下の方法が推奨されます。

推奨方法

inputs.confを直接編集

例：

[WinEventLog://Security]
disabled = 0
start_from = oldest

[WinEventLog://System]
disabled = 0

[WinEventLog://Application]
disabled = 0

設定後にSplunkを再起動します。

---

Windowsイベントログを確実に追加する手順（安定方法）

UIエラーを回避するため、最も確実なのは設定ファイルで追加する方法です。

手順

1. 以下のフォルダへ移動

splunk/etc/system/local

2. inputs.confを作成

3. 次を記述

[WinEventLog://Security]
disabled = 0

[WinEventLog://System]
disabled = 0

[WinEventLog://Application]
disabled = 0

4. Splunk再起動

splunk restart

これでWindowsイベントログが収集されます。

---

まとめ

Splunk EnterpriseでWindows Event Log編集時に404エラーが出る問題は、次の原因で発生することが多いです。

• Splunk Webのルーティング不具合

• アプリ構成の破損

• Windowsアドオン不足

• ユーザー権限の問題

• CLI仕様変更

最も確実な解決策は、inputs.confを直接編集してイベントログ入力を設定する方法です。

SplunkはバージョンによってUIの挙動が変わることがあるため、設定ファイルによる構成管理を理解しておくとトラブル対応が格段に楽になります。

Windowsログの収集が安定すれば、セキュリティ監視やトラブルシューティングの精度も大きく向上します。Splunk運用をより強固にするためにも、イベントログ入力の仕組みを理解しておくことが重要です。