Splunk

Keeper SIEMからSplunk Enterpriseへのプッシュを統合

概要

Keeperでは、Splunk CloudおよびSplunk Enterpriseへのイベントストリームがサポートされています。外部ログはリアルタイムで発生し、新しいイベントはほぼ即座に表示されます。

以下は構成の例です。ホストフィールドには、コレクターURLのドメイン部分のみを含める必要があります。

Splunk Cloud (セルフサービス)

Keeperでは、Splunk CloudのHTTP Event Collector (HEC) 機能がサポートされています。

以下は、Splunk CloudセルフサービスのHEC URLの標準形式です。

<host>:<port>/<endpoint>

Keeperでは、以下のようにURLのドメイン部分のみを指定します。

ホスト: input-prd-p-2dm85a8f6db.cloud.splunk.com ポート: 8088 トークン: Splunkで生成されたHECトークン

Splunkマネージドクラウド

Keeperでは、SplunkマネージドクラウドのHTTP Event Collector (HEC) 機能がサポートされています。

以下は、SplunkマネージドクラウドのHEC URLの標準形式です。

http-inputs-<host>:<port>/<endpoint>

Keeperでは、以下のようにURLのドメイン部分のみを指定します。

ホスト: http-inputs-prd-p-2dm85a8f6db.splunkcloud.com ポート: 443 トークン: Splunkで生成されたHECトークン

エンドポイントで「Indexer Acknowledgement」機能が無効になっていることを確かにしてください。

Splunk Enterprise

Keeperでは、Splunk EnterpriseおよびSplunk CloudのHTTP Event Collector (HEC) 機能がサポートされています。 SplunkでKeeperを構成するには、以下の点にご注意ください。

  • HEC for Keeperの作成手順については、Splunkのドキュメントをご参照ください。

  • コレクタエンドポイントに認証局が署名した有効な証明書を持つSSLを使用する必要があります。 コレクタでSSLが使用されない場合、Keeperにより接続が拒否されます。

  • コレクタエンドポイントのURIは、Keeperのサーバーからアクセスできる必要があります。 IPアドレスの一覧については、以下の許可リストセクションをご参照ください。

  1. Splunkインターフェースで、新規のHECコレクタを作成するか、既存のコレクタを選択します。

  1. トークンを生成し、手順4で使用するために保管します。

(3) [Global Settings] (グローバル設定) 、[Enable SSL] (SSLを有効化) がチェックされ、コレクタがSSLを使用するよう構成されていることを確かにします。

HECでSSLを有効にする
  1. Keeperで、HEC からエンドポイントのホスト、ポート、トークンを接続します。Keeperでは、URLのドメイン部分のみを指定します。

Splunkの設定
  1. [テスト接続]をクリックし、接続が成功することを確認します。 成功すると、[保存]ボタンが有効になります。 通信エラーが発生した場合、何も発生しないかエラーメッセージが表示されます。

  2. [保存]をクリックしてコレクタを有効化します。 Keeperでステータス表示がアクティブになります。

アクティブ同期ステータス

ステータス表示が[一時停止]の場合、イベントをSplunkサーバーに送信する際に通信エラーが発生した可能性があります。通信エラーの原因は通常、HECで認証局 (CA) が署名した証明書を持つSSLが使用されていないためです。

トラブルシューティング

上記のように、Splunk EnterpriseのHECは、認証局によって署名された証明書を持つSSLで保護されている必要があります。 これを、MacまたはLinuxのコマンドラインで確認するには、(エンドポイントのURIとトークンを置き換えて) 以下のように入力します。

$ curl https://splunk.acme-demo.com:8088/services/collector -H "Authorization: Splunk b56ashdd-8b97-443b-1234-abcabcabcabc" -d '{"event": "hello world"}'

以下のようなSSL証明書に関するエラーが表示された場合は、正しく設定されていません。

curl: (60) SSL certificate problem: self signed certificate in certificate chain
More details here: https://curl.haxx.se/docs/sslcerts.html

curl failed to verify the legitimacy of the server and therefore could not
establish a secure connection to it. To learn more about this situation and
how to fix it, please visit the web page mentioned above.

curlリクエストに「-k」を追加して証明書を無視する場合、成功の応答が表示されます。 これで、HEC証明書が無効であることがわかります。

コレクタのSSL向けにSplunk Enterpriseを構成するには、関連ドキュメントをご参照ください。 local/server.confファイルを変更して、バンドルされた証明書ファイルチェーンを使用してsplunkdサービスでSSLを有効にする[sslConfig]セクションを含めます。

[sslConfig]
enableSplunkdSSL = true
serverCert = $SPLUNK_HOME/etc/auth/mycompany/my_bundle.pem

証明書ファイルチェーン (my_bundle.pem) は、以下のように証明書、プライベートキー、CA証明書を連結して作成できます。

cat my_server.crt my_server.key ca_certs.crt >> my_bundle.pem

詳細については、SSLを利用したSplunkの保護に関するSplunk Enterpriseの以下のドキュメントをご参照ください。

イベント表示

有効化すると、KeeperのバックエンドサーバーからSplunk HECにイベントログが自動的にストリーミングされるようになります。以下の画像に見られるように、イベントログにはイベントタイプ、クライアントアプリケーションバージョン、IPアドレス、タイムスタンプ、Keeperユーザーのユーザー名が含まれます。

ネットワークルーティング

ファイアウォールで、Keeperサーバーからのトラフィックが許可されていることを確認します。詳しくはファイアウォールの設定ページをご参照ください。

Last updated