⮐ Keeper Home All Documentation Admin Console

Splunk

Keeper SIEMからSplunk Enterpriseへのプッシュを統合する

概要

Keeperは、Splunk CloudおよびSplunk Enterpriseデプロイメントへのイベントストリームをサポートしています。外部ログはリアルタイムであり、新しいイベントはほぼ即座に表示されます。

構成例を以下に示します。ホストフィールドには、コレクターURLのドメイン部分のみを含める必要があることに注意してください。

Splunk Cloud(セルフサービス)

Keeperは、Splunk CloudデプロイメントのHTTP Event Collector(HEC)機能をサポートしています。

Splunk CloudセルフサービスのHEC URLの標準形式は次のとおりです:

<host>:<port>/<endpoint>

Keeperでは、URLのドメイン部分のみを指定する必要があります。例えば:

ホスト(Host): input-prd-p-2dm85a8f6db.cloud.splunk.com ポート(Port): 8088 トークン(Token): Splunkで生成されたHECトークン

Splunkマネージドクラウド

Keeperは、SplunkマネージドクラウドデプロイメントのHTTP Event Collector(HEC)機能をサポートしています。SplunkマネージドクラウドのHEC URLの標準形式は次のとおりです:

http-inputs-<host>:<port>/<endpoint>

Keeperでは、URLのドメイン部分のみを指定する必要があります。例えば:

ホスト(Host): http-inputs-prd-p-2dm85a8f6db.splunkcloud.com ポート(Port): 443 トークン(Token): Splunkで生成されたHECトークン

エンドポイントが「Indexer Acknowledgement」機能を無効にしていることを確認します。

Splunk Enterprise

Keeperは、Splunk EnterpriseおよびSplunk CloudデプロイメントのHTTP Event Collector(HEC)機能をサポートしています。 SplunkでKeeperを構成するには、以下の点に注意してください。

  • HEC for Keeperの作成に関する手順については、こちらのSplunkのドキュメントを参照してください: https://docs.splunk.com/Documentation/Splunk/8.1.1/Data/UsetheHTTPEventCollector

  • Keeperでは、コレクタエンドポイントは認証局が署名した有効な証明書を持つSSLを使用する必要があります。 コレクタがSSLを使用しない場合、Keeperにより接続が拒否されます。

  • コレクタエンドポイントのURIは、Keeperのサーバーからアクセスできる必要があります。 IPアドレスの一覧については、以下の許可リスト(AllowList)セクションを参照してください。

(1) Splunkインターフェースで、新規のHECコレクタを作成するか、既存のコレクタを選択します。

(2) トークンを生成し、ステップ4用に保管します。

(3) グローバル設定(Global Settings)で、「SSLを有効化(Enable SSL)」が選択され、コレクタがSSLを使用するよう構成されていることを確認します。

(4) Keeperで、HEC からエンドポイントのホスト、ポート、トークンを接続します。Keeperでは、URLのドメイン部分のみを指定する必要があります。

(5) 「テスト接続」をクリックし、接続が成功することを確認します。 成功すると、「保存」ボタンが有効になります。 通信エラーが発生した場合、何も起こらないかエラーメッセージが表示されます。

(6) 「保存」をクリックしてコレクタを有効化します。 Keeperで、ステータス表示がアクティブになります。

ステータス表示が「一時停止」の場合、イベントをSplunkサーバーに送信する際に通信エラーが発生した可能性があります。 このエラーの一般的な理由は、HECで、認証局(CA)が署名した証明書を持つSSLを使用していないためです。

トラブルシューティング

上記のように、Splunk EnterpriseのHECは、認証局によって署名された証明書を持つSSLで保護されている必要があります。 これを、MacまたはLinuxのコマンドラインで確認するには、次のように入力します(エンドポイントのURIとトークンを置き換えます)。

$ curl https://splunk.acme-demo.com:8088/services/collector -H "Authorization:Splunk b56ashdd-8b97-443b-1234-abcabcabcabc" -d '{"event": "hello world"}'

次のようなSSL証明書に関するエラーが表示された場合は、正しく設定されていません。

curl:(60) SSL certificate problem: self signed certificate in certificate chain
More details here: https://curl.haxx.se/docs/sslcerts.html
(curl: (60)SSM証明書の問題: 証明書チェーンに自己署名の証明書
詳細はこちら: https://curl.haxx.se/docs/sslcerts.html)

curl failed to verify the legitimacy of the server and therefore could not
establish a secure connection to it.To learn more about this situation and
how to fix it, please visit the web page mentioned above.
(curlはサーバーの正当性を確認できなかったため、サーバーへの安全な接続を確立できませんでした。この状況の詳細と修正方法については、上記のWebページをご覧ください)

curlリクエストに「-k」を追加して証明書を無視する場合、成功の応答が表示されます。 これは、HEC証明書が無効であることを示す良い指標です。

コレクタのSSLに関して、Splunk Enterpriseを構成するには、関連ドキュメントを参照してください。 local/server.confファイルを変更して、バンドルされた証明書ファイルチェーンを使用してsplunkdサービスでSSLを有効にする[sslConfig]セクションを含める必要があります。

[sslConfig]
enableSplunkdSSL = true
serverCert = $SPLUNK_HOME/etc/auth/mycompany/my_bundle.pem

証明書ファイルチェーン(my_bundle.pem)は、以下のように証明書、プライベートキー、CA証明書を連結して作成可能です。

cat my_server.crt my_server.key ca_certs.crt >> my_bundle.pem

詳細は、SSLを利用したSplunkの保護に関するSplunk Enterpriseの以下のドキュメントを参照してください: https://docs.splunk.com/Documentation/Splunk/8.1.1/Security/AboutsecuringyourSplunkconfigurationwithSSL https://docs.splunk.com/Documentation/Splunk/8.1.0/Security/Securingyourdeploymentserverandclients

イベント表示

有効化すると、イベントログは、KeeperのバックエンドサーバーからSplunk HECに自動的にストリーミングされます。以下のスクリーンショットにあるようにイベントログには、イベントタイプ、クライアントアプリケーションバージョン、IPアドレス、タイムスタンプ、およびKeeperユーザーのユーザー名が含まれます。

ネットワークルーティング

ファイアウォールで、Keeperサーバーからのトラフィックが許可されていることを確認します。 ファイアウォールの設定ページを参照してください。

Previousイベント詳細NextSumo Logic

Last updated