Splunk
Keeper SIEMからSplunk Enterpriseへのプッシュを統合する
概要
Keeperは、Splunk CloudおよびSplunk Enterpriseデプロイメントへのイベントストリームをサポートしています。外部ログはリアルタイムであり、新しいイベントはほぼ即座に表示されます。
構成例を以下に示します。ホストフィールドには、コレクターURLのドメイン部分のみを含める必要があることに注意してください。
Splunk Cloud(セルフサービス)
Keeperは、Splunk CloudデプロイメントのHTTP Event Collector(HEC)機能をサポートしています。
Splunk CloudセルフサービスのHEC URLの標準形式は次のとおりです:
Keeperでは、URLのドメイン部分のみを指定する必要があります。例えば:
ホスト(Host): input-prd-p-2dm85a8f6db.cloud.splunk.com ポート(Port): 8088 トークン(Token): Splunkで生成されたHECトークン
Splunkマネージドクラウド
Keeperは、SplunkマネージドクラウドデプロイメントのHTTP Event Collector(HEC)機能をサポートしています。SplunkマネージドクラウドのHEC URLの標準形式は次のとおりです:
Keeperでは、URLのドメイン部分のみを指定する必要があります。例えば:
ホスト(Host): http-inputs-prd-p-2dm85a8f6db.splunkcloud.com ポート(Port): 443 トークン(Token): Splunkで生成されたHECトークン
エンドポイントが「Indexer Acknowledgement」機能を無効にしていることを確認します。
Splunk Enterprise
Keeperは、Splunk EnterpriseおよびSplunk CloudデプロイメントのHTTP Event Collector(HEC)機能をサポートしています。 SplunkでKeeperを構成するには、以下の点に注意してください。
HEC for Keeperの作成に関する手順については、こちらのSplunkのドキュメントを参照してください: https://docs.splunk.com/Documentation/Splunk/8.1.1/Data/UsetheHTTPEventCollector
Keeperでは、コレクタエンドポイントは認証局が署名した有効な証明書を持つSSLを使用する必要があります。 コレクタがSSLを使用しない場合、Keeperにより接続が拒否されます。
コレクタエンドポイントのURIは、Keeperのサーバーからアクセスできる必要があります。 IPアドレスの一覧については、以下の許可リスト(AllowList)セクションを参照してください。
(1) Splunkインターフェースで、新規のHECコレクタを作成するか、既存のコレクタを選択します。
(2) トークンを生成し、ステップ4用に保管します。
(3) グローバル設定(Global Settings)で、「SSLを有効化(Enable SSL)」が選択され、コレクタがSSLを使用するよう構成されていることを確認します。
(4) Keeperで、HEC からエンドポイントのホスト、ポート、トークンを接続します。Keeperでは、URLのドメイン部分のみを指定する必要があります。
(5) 「テスト接続」をクリックし、接続が成功することを確認します。 成功すると、「保存」ボタンが有効になります。 通信エラーが発生した場合、何も起こらないかエラーメッセージが表示されます。
(6) 「保存」をクリックしてコレクタを有効化します。 Keeperで、ステータス表示がアクティブになります。
ステータス表示が「一時停止」の場合、イベントをSplunkサーバーに送信する際に通信エラーが発生した可能性があります。 このエラーの一般的な理由は、HECで、認証局(CA)が署名した証明書を持つSSLを使用していないためです。
トラブルシューティング
上記のように、Splunk EnterpriseのHECは、認証局によって署名された証明書を持つSSLで保護されている必要があります。 これを、MacまたはLinuxのコマンドラインで確認するには、次のように入力します(エンドポイントのURIとトークンを置き換えます)。
次のようなSSL証明書に関するエラーが表示された場合は、正しく設定されていません。
curlリクエストに「-k」を追加して証明書を無視する場合、成功の応答が表示されます。 これは、HEC証明書が無効であることを示す良い指標です。
コレクタのSSLに関して、Splunk Enterpriseを構成するには、関連ドキュメントを参照してください。 local/server.confファイルを変更して、バンドルされた証明書ファイルチェーンを使用してsplunkdサービスでSSLを有効にする[sslConfig]セクションを含める必要があります。
証明書ファイルチェーン(my_bundle.pem)は、以下のように証明書、プライベートキー、CA証明書を連結して作成可能です。
詳細は、SSLを利用したSplunkの保護に関するSplunk Enterpriseの以下のドキュメントを参照してください: https://docs.splunk.com/Documentation/Splunk/8.1.1/Security/AboutsecuringyourSplunkconfigurationwithSSL https://docs.splunk.com/Documentation/Splunk/8.1.0/Security/Securingyourdeploymentserverandclients
イベント表示
有効化すると、イベントログは、KeeperのバックエンドサーバーからSplunk HECに自動的にストリーミングされます。以下のスクリーンショットにあるようにイベントログには、イベントタイプ、クライアントアプリケーションバージョン、IPアドレス、タイムスタンプ、およびKeeperユーザーのユーザー名が含まれます。
ネットワークルーティング
ファイアウォールで、Keeperサーバーからのトラフィックが許可されていることを確認します。 ファイアウォールの設定ページを参照してください。
Last updated