ステップ 1:Forwarder App と Search Head App のインストール
2024年4月11日
ID 167077
分散型デプロイメントのスキームでは、お使いの分散型 Splunk 環境の構成に基づき、Forwarder App と Search Head App をインストールする必要があります。アプリをインストールするコンピューターを選択する方法についての詳細は、「分散型連携スキームについて」を参照してください。
Forwarder App は以下のファイルからインストールされます:
- Heavy Forwarder:
%service_dir%/integration/splunk/Kaspersky-CyberTrace-App-for-Splunk_Forwarder.tar.gz
- Universal Forwarder:
%service_dir/integration/splunk/Kaspersky-CyberTrace-App-for-Splunk_Universal-Forwarder.tar.gz
Search Head App は、ファイル %service_dir%/integration/splunk/Kaspersky-CyberTrace-App-for-Splunk_Search-Head.tar.gz
からインストールされます。
アプリのインストール
Forwarder App for Heavy Forwarder と Search Head App は Splunk Web からインストールされます。アプリケーションファイル名のみがインストールプロセスで異なります。
Splunk Universal Forwarder には Splunk Web インターフェイスがないため、Forwarder App for Universal Forwarder はホストに直接インストールされます。
Forwarder App for Heavy Forwarder または Search Head App をインストールするには:
- アプリをインストールする Splunk インスタンスで Splunk Web を開きます。
- Splunk Web でホームページに移動します。
- ホームページで[Manage Apps]をクリックします。
[Manage Apps]ボタン
- [Apps]ページで[Install app from file]をクリックします。
[Install app from file]ボタン
- [Upload an app]ウィンドウで[Choose File]をクリックし、このセクションで先ほど説明したアプリケーションファイルを選択します。
[Choose File]ボタン
- [Upload an app]ウィンドウで[Upload]をクリックします。
[Upload]ボタン
- [Restart required]ウィンドウで[Restart Splunk]をクリックします。
このステップは、Splunk のバージョンによっては省略できます。Splunk に[Restart required]ウィンドウが表示されない場合、このステップを省略します。
[Restart Splunk]
- Splunk が再起動されると、インストール済みのアプリのリストに Forwarder App が表示されます。Kaspersky Search Head App がインストールされると、[Apps]ページが開き、Kaspersky Search Head App のインストールが正常に終了したことを知らせるメッセージが表示されます。Splunk ホームページのアプリリストに Kaspersky Search Head App が表示されるようになります。
アプリリストに表示される Kaspersky Search Head App for Splunk
Forwarder App for Universal Forwarder をインストールするには:
- パッケージ Kaspersky-CyberTrace-App-for-Splunk_Universal-Forwarder.tar を解凍し、解凍されたファイルを Forwarder のディレクトリ %SPLUNK_HOME%/etc/apps のフォルダー Splunk_TA_Kaspersky-CyberTrace-App-for-Splunk-Universal-Forwarder に配置します(%SPLUNK_HOME% は Splunk のインストールディレクトリです)。
ディレクトリ %SPLUNK_HOME%/etc/apps/Splunk_TA_Kaspersky-CyberTrace-App-for-Splunk-Universal-Forwarder に、ディレクトリ default、metadata、static とファイル README.txt が存在することを確認します。
- %SPLUNK_HOME%/etc/apps/SplunkUniversalForwarder/default/inputs.conf を %SPLUNK_HOME%/etc/system/local/inputs.conf にコピーし、2 箇所の _TCP_ROUTING 属性値で、アクティブな Indexer グループの名前を指定します。
ファイル %SPLUNK_HOME%/etc/system/local/inputs.conf が既に存在する場合は、手動で構成します。
既定では、このグループの名前は default-autolb-group です。ファイル %SPLUNK_HOME%/etc/system/local/outputs.conf で、Indexer グループの実際の名前を確認できます。既定の inputs.conf の設定では、Splunk Universal Forwarder の内部ログは Kaspersky CyberTrace を含むすべてのソースに転送されます。上記のステップでは、Splunk のログが Indexer にのみ転送されるようにすることができます。
以下は、ファイル %SPLUNK_HOME%/etc/system/local/inputs.conf のコンテンツの例です:
[monitor://%SPLUNK_HOME%/var/log/splunk/splunkd.log]
_TCP_ROUTING = default-autolb-group
index = _internal
[monitor://%SPLUNK_HOME%/var/log/splunk/metrics.log]
_TCP_ROUTING = default-autolb-group
index = _internal
- Universal Forwarder で Splunk を再起動します:
%SPLUNK_HOME%/bin/splunk restart
- Forwarder のディレクトリ %SPLUNK_HOME%/etc/apps/Splunk_TA_Kaspersky-CyberTrace-App-for-Splunk-Universal-Forwarder/default/props.conf から Indexer のディレクトリ %SPLUNK_HOME%/etc/system/local/props.conf に、ファイル props.conf のすべての行を移します。
ファイルが存在しない場合は新たに作成します。
Universal Forwarder はイベントを解析できず、props.conf で定義されている解析設定は Universal Forwarder で実行されないため、このステップは必須です。この場合、イベントは Indexer で直接解析されます。
- Indexer で Splunk を再起動します:
%SPLUNK_HOME%/bin/splunk restart