ステップ 2:Forwarder App と Search Head App の構成(分散型デプロイメント)
2024年4月11日
ID 167080
分散型デプロイメントのスキームでは、お使いの分散型 Splunk 環境の構成に基づき、Forwarder App を構成する必要があります。たとえば、アプリが使用する Kaspersky CyberTrace サービスアドレスを変更する、Forwarder App のイベントソースを新たに追加するといった構成変更が必要な場合があります。Search Head App では、アラートのためのメールアドレスの構成が必要な場合があります。
Forwarder App と Search Head App の構成
Forwarder App では、次の手順が必要な場合があります:
- イベントを Kaspersky CyberTrace サービスに転送するアドレスとポートを変更します。以下の「データを Kaspersky CyberTrace サービスに転送するアドレスとポートの変更」サブセクションを参照してください。
- イベントを 1 つ以上の Indexer に送信するように Forwarder App を構成します。既定では、Forwarder App から Kaspersky CyberTrace サービスに送信されるイベントはインデックスに登録されていません。以下の「イベントをインデックスに送信するように Forwarder App を構成」サブセクションを参照してください。
- 複数の Forwarder App を使用している場合、1 つの Forwarder App のみがポート
9998で Kaspersky CyberTrace からイベントを受信する必要があります。その他のすべての Forwarder App では、Forwarder App 設定情報ファイル内のこのルールのdisabledパラメータにtrueを指定することで、このルールを無効化します。Kaspersky CyberTrace からイベントを受信する Forwarder App の IP アドレスとポートは、Kaspersky CyberTrace Web の[Settings]→[Service]タブで指定する必要があります。 - 新しいイベントソースを追加します。以下の「新しいイベントソースの追加」サブセクションを参照してください。
Search Head App では、次の手順が必要な場合があります:
設定情報ファイルの変更後、Splunk を再起動します。
このセクションで説明する Forwarder App 設定情報ファイルと Search Head App 設定情報ファイルのみを編集してください。その他の設定情報ファイルを編集すると、予期せぬ動作が発生する可能性があります。
設定情報ファイル(分散型デプロイメント)
以下の表では、次に示す分散型デプロイメントスキームのバリアントにおいて、Forwarder App と Search Head App が使用する設定情報ファイルをまとめています:
- 単一 Indexer と複数 Forwarder
- 複数 Indexer と複数 Forwarder
Forwarder App と Search Head App の設定情報ファイル
アプリケーション
設定情報ファイル
既定のルール
Forwarder App
\default\inputs.confポート
3000でソースからデータを受信し、そのデータをoutputs.confで構成されている通りに転送します。:9998ポートで Kaspersky CyberTrace からイベントを受信します。Forwarder App
\default\outputs.confデータを
127.0.0.1:9999(Kaspersky CyberTrace サービスアドレス)に転送します。Forwarder App
\default\props.conf:3000と:9998で受信したデータを解析します。既定のデータ解析ルールの説明は、以下の「既定のデータ解析ルール」サブセクションを参照してください。Search Head App
\default\savedsearches.confアラートテンプレートのルール。
既定のデータ解析ルール
Splunk が受信データを解析する方法は、ファイル props.conf で定義されます。既定では、以下のように定義されます:
- 受信データからタイムスタンプを抽出する方法を定義します。
- 受信データのイベント間の区切り文字(改行文字)を定義します。
たとえば、受信データにシーケンス
「%data_1%\n\n%data_2%」があり、改行文字が 1 つ以上の\n記号の場合、Splunk はこのシーケンスを 2 つのイベント(%data_1%と%data_2%)に分割します。
以下は、Forwarder App が受信データの解析に使用する既定のルールです。
TIME_PREFIX = ^ MAX_TIMESTAMP_LOOKAHEAD = 17 TIME_FORMAT = %b %d %H:%M:%S LINE_BREAKER = ([\n]+) SHOULD_LINEMERGE = false |
Universal Forwarder はイベントを解析できません。props.conf で定義されている解析設定は Universal Forwarder で実行されません。この場合、イベントは Indexer で直接解析されます。「ステップ 1:Forwarder App と Search Head App のインストール」を参照してください。
データを Kaspersky CyberTrace サービスに転送するアドレスとポートの変更
既定では、Forwarder App は 127.0.0.1:9999 でデータを Kaspersky CyberTrace サービスに転送するように構成されています。
データを Kaspersky CyberTrace サービスに転送するアドレスとポートを変更するには:
設定情報ファイル outputs.conf の [tcpout:service9999] セクションで、Kaspersky CyberTrace サービスが使用する新しいアドレスとポートを server パラメータで指定します。
以下の例では、Kaspersky CyberTrace サービスアドレスに 192.0.2.100:9999 が指定されています。
[tcpout:service9999] disabled=false server = 192.0.2.100:9999 sendCookedData = false |
新しいイベントソースの追加
新しいイベントソースを追加するには、アプリの設定情報ファイル inputs.conf および props.conf を編集します。
新しいイベントソースを追加するには:
- inputs.conf で、
service9999の TCP ルーティングルールを使用する新しいイベントソースを指定します。この入力のすべてのデータが Kaspersky CyberTrace サービスに転送されるようになります。
- props.conf で、このソースから受信したデータを処理する方法を指定します。
- Splunk を再起動します。
新しいイベントソースから受信したデータが、Kaspersky CyberTrace が使用する正規表現と一致するようにします。
以下は、イベントソースとしてアドレス :3001 を追加する例です。アドレス :3001 から受信したデータを、既定の連携スキームの他の入力データのように処理する必要があることを指定しています(このスキームでは、Forwarder、Indexer、Search Head は 1 台のコンピューターにインストールされています)。
# to inputs.conf [tcp://:3001] _TCP_ROUTING = service9999
# to props.conf [source::tcp:3001] TIME_PREFIX = ^ MAX_TIMESTAMP_LOOKAHEAD = 17 TIME_FORMAT = %b %d %H:%M:%S LINE_BREAKER = ([\n]+) SHOULD_LINEMERGE = false |
Splunk Forwarder が既に別のイベントソースからイベントを受信するように構成されている場合に、イベントを Kaspersky CyberTrace サービスに送信するには、次の手順を実行します。この手順を実行できるのは、Forwarder App の設定情報ファイル outputs.conf の[server]フィールドに、Kaspersky CyberTrace サービス設定情報ファイルの[InputSettings]→[ConnectionString]要素で指定されている IP アドレスとポートが入力されている場合です。
イベントを Kaspersky CyberTrace サービスに転送するには:
- Splunk からのイベント転送に使用されるファイル outputs.conf(カスタム Splunk アプリケーションのファイル outputs.conf、またはファイル
%SPLUNK_HOME%/etc/system/local/inputs.confのいずれか)のdefaultGroupフィールドに、コンマ 1 つと文字列service9999を追加します。この場合、イベント転送ロジックを確認し、Kaspersky CyberTrace サービスから受信したイベントが Splunk によって Kaspersky CyberTrace サービスに再び送信されないようにします。
設定情報ファイル inputs.conf にこれらのイベントソース(Kaspersky CyberTrace サービスにイベントを送信するソース)の
_TCP_ROUTINGパラメータが含まれる場合、コンマ 1 つと文字列service9999を_TCP_ROUTINGパラメータに追加します。 - Splunk を再起動します。
Splunk アーキテクチャによっては、必要に応じて Kaspersky CyberTrace で ScannersCount の設定を変更します。
イベントをインデックスに送信するように Forwarder App を構成
既定では、Forwarder App から Kaspersky CyberTrace サービスに送信されるイベントはインデックスに登録されていません。Forwarder App を構成することでこの動作を変更できます。
イベントを main インデックスに送信するように Forwarder App を構成するには:
- 構成する Forwarder に移動します。通常この Forwarder は、Forwarder App がインストールされているマシンです。お使いの分散型連携スキームで使用されているすべての Forwarder を構成する必要があります。
- Forwarder 上のファイル
%SPLUNK_HOME%\etc\system\local\outputs.confで、イベントを 1 つ以上の Indexer に送信するために使用されるターゲットグループの名前を見つけます。ここで%SPLUNK_HOME%は、Splunk のインストールディレクトリです。既定では、このグループの名前は default-autolb-group です:
[tcpout: default-autolb-group] - Forwarder App が使用するファイル
inputs.confで、service9999の TCP ルーティングルールが記載されているセクションを見つけます:_TCP_ROUTING = service9999 - このルールにターゲットグループの名前を追加します。
たとえば、ターゲットグループの名前が default-autolb-group の場合、次のようにルールを変更する必要があります:
_TCP_ROUTING=service9999, default-autolb-group - Forwarder で Splunk を再起動します。
アラートテンプレートの構成
アラートテンプレートの構成に関する詳細は、「ステップ 2(オプション):Kaspersky CyberTrace App の構成」の「アラートテンプレートの構成」サブセクションを参照してください。