WindowsログをSplunk Cloudに送信

本記事の概要
Forwarder Monitoringの有効化
Splunk Add-on for Microsoft Windowsのインストール
Universal Forwarderのダウンロード
Splunk Cloudの認証ファイルのダウンロード
Universal Forwarderのインストール（Windows版）
Splunk Cloudのデータ検索
Splunk関連記事

本記事の概要

本記事では、WindowsのCPUやメモリなどの負荷状況や、WindowsイベントログをSplunk Cloudに自動で送信する手順を記載する。

Forwarder Monitoringの有効化

(1) [設定] > [クラウドモニターコンソール]をクリックする。

(2) [フォワーダー] > [Forwarder monitoring setup]をクリックする。

(3) 「Forwarder Monitoring」を有効にして、任意の「Data Collection Interval」の値を設定する。その後、「保存」をクリックする。

Splunk Add-on for Microsoft Windowsのインストール

(1) [App] > [Home]をクリックする。

(2) 「他のAppのサーチ」をクリックする。

(3) 「Splunk Add-on for Microsoft Windows」を検索して、「Splunk Add-on for Microsoft Windows」のインストールボタンをクリックします。

(4) 「https://login.splunk.com/」でログインする際のEmailとPasswordを入力して、「同意してインストール」をクリックする。

(5) 「完了」をクリックする。

Universal Forwarderのダウンロード

(1) ブラウザを用いて「https://www.splunk.com/en_us/blog/learn/splunk-universal-forwarder.html」にアクセスして、「Download Universal Forwarder Now(FREE)」をクリックする。

(2) メールアドレスやパスワードなどを入力する。

(3) 「Create your account」をクリックする。

(4) 入力したメールアドレス宛にメールが送信された旨のメッセージが表示される。

(5) 入力したメールアドレス宛に確認メールが届いているため、「Verify Your Email」をクリックする。

(6) Universal Forwarderのダウンロードページが表示されるため、インストールする機器のOSのインストーラをダウンロードする。
　　

(7) ダウンロードしたUniversal Forwarderのインストーラーをインストールする機器上に格納する。

Splunk Cloudの認証ファイルのダウンロード

(1) [App] > [Universal Forwarder]をクリックする。

(2) 「Download Universal Forwarder Credentials」をクリックして、「splunkclouduf.spl」ファイルをダウンロードする。

(3) ダウンロードした「splunkclouduf.spl」ファイルをUniversal Forwarderをインストールする機器上に格納する。

Universal Forwarderのインストール（Windows版）

(1) Universal Forwarderのインストーラーを実行する。

(2) ライセンス条項を確認して、「Check this box to accept the License Agreement」にチェックを付ける。その後、「A Splunk Cloud instance」にチェックを付けて、「Customize Options」をクリックする。

(3) 必要に応じてインストールパスを設定する。今回はデフォルトのまま「Next」をクリックする。

(4) 「Local System」にチェックを付けて、「Next」をクリックする。

(5) Splunkに送信するログの種類を選択し、「Next」をクリックする。

(6) Universal Forwarder用のユーザー名とパスワードを設定して、「Next」をクリックする。「Generate random password」にチェックを付けた場合は、「C:\Users\<UserName>\AppData\Local\Temp\splunk.log」にパスワードが記載される。

(7) デプロイメントサーバーは設定せずに「Next」をクリックする。
※デプロイメントサーバーとは、複数台のフォワーダーの設定を一括管理とするためのサーバーのこと。

(8) 「Install」をクリックする。

(９) 「Finish」をクリックする。

(10) 「C:\Users\<UserName>\AppData\Local\Temp\splunk.log」の内容を確認し、Universal Forwarder用のユーザー名とパスワードを確認する。

(11) Splunk Cloudの認証ファイルをインストールして、Universal Forwarderのサービスを再起動する。

$ cd "C:\Program Files\SplunkUniversalForwarder\bin"


$ splunk.exe install app C:\Users\Administrator\Desktop\splunkclouduf.spl
Splunk username: 
　　→ユーザー名を入力する。
Password:
　　→パスワードを入力する。
App 'C:\Users\Administrator\Desktop\splunkclouduf.spl' installed
You need to restart the Splunk Server (splunkd) for your changes to take effect.


$ splunk.exe restart

Splunk Cloudのデータ検索

(1) [App] > [Search & Reporting]をクリックする。

(2) 検索テキストボックスに「*」を入力して、検索ボタンをクリックする。

(3) Splunk Cloudに送られたデータを確認することができる。

Splunk関連記事

タイトル	URL
Splunk Cloudの評価版を使ってみた	https://security-blog-it.com/44290
WindowsログをSplunk Cloudに送信	https://security-blog-it.com/44597
LinuxのログをSplunk Cloudに送信	https://security-blog-it.com/44481
Splunk Cloudのデータ検索（SPL基本構文）	https://security-blog-it.com/44602
Splunk Cloudのアラート通知設定	https://security-blog-it.com/44595
Splunk Cloudのレポート作成	https://security-blog-it.com/44701