Splunk
Keeper SIEMからSplunk Enterpriseへのプッシュを統合
概要
Keeperでは、Splunk CloudおよびSplunk Enterpriseへのイベントストリームがサポートされています。外部ログはリアルタイムで発生し、新しいイベントはほぼ即座に表示されます。
以下は構成の例です。ホストフィールドには、コレクターURLのドメイン部分のみを含める必要があります。
Splunk Cloud (セルフサービス)
Keeperでは、Splunk CloudのHTTP Event Collector (HEC) 機能がサポートされています。
以下は、Splunk CloudセルフサービスのHEC URLの標準形式です。
Keeperでは、以下のようにURLのドメイン部分のみを指定します。
ホスト: input-prd-p-2dm85a8f6db.cloud.splunk.com ポート: 8088 トークン: Splunkで生成されたHECトークン
Splunkマネージドクラウド
Keeperでは、SplunkマネージドクラウドのHTTP Event Collector (HEC) 機能がサポートされています。
以下は、SplunkマネージドクラウドのHEC URLの標準形式です。
Keeperでは、以下のようにURLのドメイン部分のみを指定します。
ホスト: http-inputs-prd-p-2dm85a8f6db.splunkcloud.com ポート: 443 トークン: Splunkで生成されたHECトークン
エンドポイントで「Indexer Acknowledgement」機能が無効になっていることを確かにしてください。
Splunk Enterprise
Keeperでは、Splunk EnterpriseおよびSplunk CloudのHTTP Event Collector (HEC) 機能がサポートされています。 SplunkでKeeperを構成するには、以下の点にご注意ください。
HEC for Keeperの作成手順については、Splunkのドキュメントをご参照ください。
コレクタエンドポイントに認証局が署名した有効な証明書を持つSSLを使用する必要があります。 コレクタでSSLが使用されない場合、Keeperにより接続が拒否されます。
コレクタエンドポイントのURIは、Keeperのサーバーからアクセスできる必要があります。 IPアドレスの一覧については、以下の許可リストセクションをご参照ください。
Splunkインターフェースで、新規のHECコレクタを作成するか、既存のコレクタを選択します。
トークンを生成し、手順4で使用するために保管します。
(3) [Global Settings] (グローバル設定) 、[Enable SSL] (SSLを有効化) がチェックされ、コレクタがSSLを使用するよう構成されていることを確かにします。
Keeperで、HEC からエンドポイントのホスト、ポート、トークンを接続します。Keeperでは、URLのドメイン部分のみを指定します。
[テスト接続]をクリックし、接続が成功することを確認します。 成功すると、[保存]ボタンが有効になります。 通信エラーが発生した場合、何も発生しないかエラーメッセージが表示されます。
[保存]をクリックしてコレクタを有効化します。 Keeperでステータス表示がアクティブになります。
ステータス表示が[一時停止]の場合、イベントをSplunkサーバーに送信する際に通信エラーが発生した可能性があります。通信エラーの原因は通常、HECで認証局 (CA) が署名した証明書を持つSSLが使用されていないためです。
トラブルシューティング
上記のように、Splunk EnterpriseのHECは、認証局によって署名された証明書を持つSSLで保護されている必要があります。 これを、MacまたはLinuxのコマンドラインで確認するには、(エンドポイントのURIとトークンを置き換えて) 以下のように入力します。
以下のようなSSL証明書に関するエラーが表示された場合は、正しく設定されていません。
curlリクエストに「-k」を追加して証明書を無視する場合、成功の応答が表示されます。 これで、HEC証明書が無効であることがわかります。
コレクタのSSL向けにSplunk Enterpriseを構成するには、関連ドキュメントをご参照ください。 local/server.confファイルを変更して、バンドルされた証明書ファイルチェーンを使用してsplunkdサービスでSSLを有効にする[sslConfig]セクションを含めます。
証明書ファイルチェーン (my_bundle.pem) は、以下のように証明書、プライベートキー、CA証明書を連結して作成できます。
詳細については、SSLを利用したSplunkの保護に関するSplunk Enterpriseの以下のドキュメントをご参照ください。
イベント表示
有効化すると、KeeperのバックエンドサーバーからSplunk HECにイベントログが自動的にストリーミングされるようになります。以下の画像に見られるように、イベントログにはイベントタイプ、クライアントアプリケーションバージョン、IPアドレス、タイムスタンプ、Keeperユーザーのユーザー名が含まれます。
ネットワークルーティング
ファイアウォールで、Keeperサーバーからのトラフィックが許可されていることを確認します。詳しくはファイアウォールの設定ページをご参照ください。
Last updated