Splunk

Keeper SIEMからSplunk Enterpriseへのプッシュを統合

概要

Keeperでは、Splunk CloudおよびSplunk Enterpriseへのイベントストリームがサポートされています。外部ログはリアルタイムで発生し、新しいイベントはほぼ即座に表示されます。

以下は構成の例です。ホストフィールドには、コレクターURLのドメイン部分のみを含める必要があります。

Splunk Cloud (セルフサービス)

Keeperでは、Splunk CloudのHTTP Event Collector (HEC) 機能がサポートされています。

以下は、Splunk CloudセルフサービスのHEC URLの標準形式です。

<host>:<port>/<endpoint>

Keeperでは、以下のようにURLのドメイン部分のみを指定します。

ホスト: input-prd-p-2dm85a8f6db.cloud.splunk.com ポート: 8088 トークン: Splunkで生成されたHECトークン

Splunkマネージドクラウド

Keeperでは、SplunkマネージドクラウドのHTTP Event Collector (HEC) 機能がサポートされています。

以下は、SplunkマネージドクラウドのHEC URLの標準形式です。

http-inputs-<host>:<port>/<endpoint>

Keeperでは、以下のようにURLのドメイン部分のみを指定します。

ホスト: http-inputs-prd-p-2dm85a8f6db.splunkcloud.com ポート: 443 トークン: Splunkで生成されたHECトークン

エンドポイントで「Indexer Acknowledgement」機能が無効になっていることを確かにしてください。

Splunk Enterprise

Keeperでは、Splunk EnterpriseおよびSplunk CloudのHTTP Event Collector (HEC) 機能がサポートされています。 SplunkでKeeperを構成するには、以下の点にご注意ください。

HEC for Keeperの作成手順については、Splunkのドキュメントをご参照ください。
コレクタエンドポイントに認証局が署名した有効な証明書を持つSSLを使用する必要があります。コレクタでSSLが使用されない場合、Keeperにより接続が拒否されます。
コレクタエンドポイントのURIは、Keeperのサーバーからアクセスできる必要があります。 IPアドレスの一覧については、以下の許可リストセクションをご参照ください。

1. コレクタの作成

Splunkインターフェースで、新規のHECコレクタを作成するか、既存のコレクタを選択します。

トークンを生成し、手順2で使用するために保管します。
[Global Settings] (グローバル設定) 、[Enable SSL] (SSLを有効化) がチェックされ、コレクタがSSLを使用するよう構成されていることを確かにします。

2. 統合の有効化

Keeper側で、HECからエンドポイントのホスト、ポート、トークンを指定します。Keeperでは、URLのドメイン部分のみを指定します。

[テスト接続] をクリックし、接続が成功することを確認します。成功すると、[保存] ボタンが有効になります。通信エラーが発生した場合、何も発生しないかエラーメッセージが表示されます。
[保存] をクリックしてコレクタを有効化します。 Keeperでステータス表示がアクティブになります。

ステータス表示が [一時停止] の場合、イベントをSplunkサーバーに送信する際に通信エラーが発生した可能性があります。通信エラーの原因は通常、HECで認証局 (CA) が署名した証明書を持つSSLが使用されていないためです。

セットアップは完了です

KeeperからSplunkにSIEMログが送信されると、15分以内にデータが反映され始めます。

トラブルシューティング

上記のように、Splunk EnterpriseのHECは、認証局によって署名された証明書を持つSSLで保護されている必要があります。これを、MacまたはLinuxのコマンドラインで確認するには、(エンドポイントのURIとトークンを置き換えて) 以下のように入力します。

$ curl https://splunk.acme-demo.com:8088/services/collector -H "Authorization: Splunk b56ashdd-8b97-443b-1234-abcabcabcabc" -d '{"event": "hello world"}'

以下のようなSSL証明書に関するエラーが表示された場合は、正しく設定されていません。

curl: (60) SSL certificate problem: self signed certificate in certificate chain
More details here: https://curl.haxx.se/docs/sslcerts.html

curl failed to verify the legitimacy of the server and therefore could not
establish a secure connection to it. To learn more about this situation and
how to fix it, please visit the web page mentioned above.

curlリクエストに「-k」を追加して証明書を無視する場合、成功の応答が表示されます。これで、HEC証明書が無効であることがわかります。

コレクタのSSL向けにSplunk Enterpriseを構成するには、関連ドキュメントをご参照ください。 local/server.confファイルを変更して、バンドルされた証明書ファイルチェーンを使用してsplunkdサービスでSSLを有効にする[sslConfig]セクションを含めます。

[sslConfig]
enableSplunkdSSL = true
serverCert = $SPLUNK_HOME/etc/auth/mycompany/my_bundle.pem

証明書ファイルチェーン (my_bundle.pem) は、以下のように証明書、プライベートキー、CA証明書を連結して作成できます。

cat my_server.crt my_server.key ca_certs.crt >> my_bundle.pem

詳細については、SSLを利用したSplunkの保護に関するSplunk Enterpriseの以下のドキュメントをご参照ください。

https://docs.splunk.com/Documentation/Splunk/8.1.1/Security/AboutsecuringyourSplunkconfigurationwithSSLdocs.splunk.com

https://docs.splunk.com/Documentation/Splunk/8.1.0/Security/Securingyourdeploymentserverandclientsdocs.splunk.com

イベント表示

有効化すると、KeeperのバックエンドサーバーからSplunk HECにイベントログが自動的にストリーミングされるようになります。以下の画像に見られるように、イベントログにはイベントタイプ、クライアントアプリケーションバージョン、IPアドレス、タイムスタンプ、Keeperユーザーのユーザー名が含まれます。

ネットワークルーティング

ファイアウォールで、Keeperサーバーからのトラフィックが許可されていることを確認します。詳しくはファイアウォールの設定ページをご参照ください。

前へServiceNow ITSM 次へSumo Logic

最終更新 1 か月前

役に立ちましたか？

hashtag概要

hashtagSplunk Cloud (セルフサービス)

hashtagSplunkマネージドクラウド

hashtagSplunk Enterprise

hashtag1. コレクタの作成

hashtag2. 統合の有効化

hashtagセットアップは完了です

hashtagトラブルシューティング

hashtagイベント表示

hashtagネットワークルーティング

概要

Splunk Cloud (セルフサービス)

Splunkマネージドクラウド

Splunk Enterprise

1. コレクタの作成

2. 統合の有効化

セットアップは完了です

トラブルシューティング

イベント表示

ネットワークルーティング