ステップ 1：Forwarder App と Search Head App のインストール

分散型デプロイメントのスキームでは、お使いの分散型 Splunk 環境の構成に基づき、Forwarder App と Search Head App をインストールする必要があります。アプリをインストールするコンピューターを選択する方法についての詳細は、「分散型連携スキームについて」を参照してください。

Forwarder App は以下のファイルからインストールされます：

• Heavy Forwarder：%service_dir%/integration/splunk/Kaspersky-CyberTrace-App-for-Splunk_Forwarder.tar.gz
• Universal Forwarder：%service_dir/integration/splunk/Kaspersky-CyberTrace-App-for-Splunk_Universal-Forwarder.tar.gz

Search Head App は、ファイル %service_dir%/integration/splunk/Kaspersky-CyberTrace-App-for-Splunk_Search-Head.tar.gz からインストールされます。

アプリのインストール

Forwarder App for Heavy Forwarder と Search Head App は Splunk Web からインストールされます。アプリケーションファイル名のみがインストールプロセスで異なります。

Splunk Universal Forwarder には Splunk Web インターフェイスがないため、Forwarder App for Universal Forwarder はホストに直接インストールされます。

Forwarder App for Heavy Forwarder または Search Head App をインストールするには：

1. アプリをインストールする Splunk インスタンスで Splunk Web を開きます。
2. Splunk Web でホームページに移動します。
3. ホームページで［Manage Apps］をクリックします。

   

   ［Manage Apps］ボタン

4. ［Apps］ページで［Install app from file］をクリックします。

   

   ［Install app from file］ボタン

5. ［Upload an app］ウィンドウで［Choose File］をクリックし、このセクションで先ほど説明したアプリケーションファイルを選択します。

   

   ［Choose File］ボタン

6. ［Upload an app］ウィンドウで［Upload］をクリックします。

   

   ［Upload］ボタン

7. ［Restart required］ウィンドウで［Restart Splunk］をクリックします。

   このステップは、Splunk のバージョンによっては省略できます。Splunk に［Restart required］ウィンドウが表示されない場合、このステップを省略します。

   

   ［Restart Splunk］

8. Splunk が再起動されると、インストール済みのアプリのリストに Forwarder App が表示されます。Kaspersky Search Head App がインストールされると、［Apps］ページが開き、Kaspersky Search Head App のインストールが正常に終了したことを知らせるメッセージが表示されます。Splunk ホームページのアプリリストに Kaspersky Search Head App が表示されるようになります。

   

   アプリリストに表示される Kaspersky Search Head App for Splunk

Forwarder App for Universal Forwarder をインストールするには：

1. パッケージ Kaspersky-CyberTrace-App-for-Splunk_Universal-Forwarder.tar を解凍し、解凍されたファイルを Forwarder のディレクトリ %SPLUNK_HOME%/etc/apps のフォルダー Splunk_TA_Kaspersky-CyberTrace-App-for-Splunk-Universal-Forwarder に配置します（%SPLUNK_HOME% は Splunk のインストールディレクトリです）。

   ディレクトリ %SPLUNK_HOME%/etc/apps/Splunk_TA_Kaspersky-CyberTrace-App-for-Splunk-Universal-Forwarder に、ディレクトリ default、metadata、static とファイル README.txt が存在することを確認します。

2. %SPLUNK_HOME%/etc/apps/SplunkUniversalForwarder/default/inputs.conf を %SPLUNK_HOME%/etc/system/local/inputs.conf にコピーし、2 箇所の _TCP_ROUTING 属性値で、アクティブな Indexer グループの名前を指定します。

   ファイル %SPLUNK_HOME%/etc/system/local/inputs.conf が既に存在する場合は、手動で構成します。

   既定では、このグループの名前は default-autolb-group です。ファイル %SPLUNK_HOME%/etc/system/local/outputs.conf で、Indexer グループの実際の名前を確認できます。既定の inputs.conf の設定では、Splunk Universal Forwarder の内部ログは Kaspersky CyberTrace を含むすべてのソースに転送されます。上記のステップでは、Splunk のログが Indexer にのみ転送されるようにすることができます。

   以下は、ファイル %SPLUNK_HOME%/etc/system/local/inputs.conf のコンテンツの例です：

   [monitor://%SPLUNK_HOME%/var/log/splunk/splunkd.log] _TCP_ROUTING = default-autolb-group index = _internal   [monitor://%SPLUNK_HOME%/var/log/splunk/metrics.log] _TCP_ROUTING = default-autolb-group index = _internal

3. Universal Forwarder で Splunk を再起動します：

   %SPLUNK_HOME%/bin/splunk restart

4. Forwarder のディレクトリ %SPLUNK_HOME%/etc/apps/Splunk_TA_Kaspersky-CyberTrace-App-for-Splunk-Universal-Forwarder/default/props.conf から Indexer のディレクトリ %SPLUNK_HOME%/etc/system/local/props.conf に、ファイル props.conf のすべての行を移します。

   ファイルが存在しない場合は新たに作成します。

   Universal Forwarder はイベントを解析できず、props.conf で定義されている解析設定は Universal Forwarder で実行されないため、このステップは必須です。この場合、イベントは Indexer で直接解析されます。

5. Indexer で Splunk を再起動します：

   %SPLUNK_HOME%/bin/splunk restart