本記事の概要
Splunk Enterpriseを1日あたり500MBまでのインデックス作成を60日間無償で利用することができます。
Oracle Linux上にSplunk Enterpriseをインストールする手順を記載する。
Oracle Linuxのインストール
(1) ブラウザを用いて「https://yum.oracle.com/oracle-linux-isos.html」にアクセスし、Oracle LinuxのISOイメージファイル(OracleLinux-R9-U7-x86_64-dvd.iso)をダウンロードします。
(2) Virtualboxを起動します。その後、「新規」をクリックします。
(3) 「名前とオペレーティングシステム」欄に、「名前」に任意の名前を入力し、「ISO イメージ」にダウンロードしたOracle LinuxのISOイメージファイルを設定します。その後、任意の「タイプ」、「Subtype」、「バージョン」の値を設定します。
(4) 「ハードウェア」欄に、任意のメモリ及びCPUコア数を設定します。
(5) 「ハードディスク」欄に、ディスク容量を設定する。その後、「完了」をクリックします。
(6) 作成した仮想マシンをクリックし、「起動」をクリックします。
(7) 「Install Oracle Linux 9.7.0 in FIPS mode」を選択します。
(8) 「日本語」-「日本語(日本)」を選択して、「続行」をクリックします。
(9) 「インストール先」をクリックします。
(10) 「ローカルの標準ディスク」を選択して、「完了」をクリックします。
(11) 「root パスワード」をクリックします。
(12) rootユーザーのパスワードなどを設定して、「完了」をクリックする。
(13) 「ユーザーの作成」をクリックします。
(14) 作成するユーザーのユーザー名やパスワードなどを設定して、「完了」をクリックする。
(15) 「インストールの開始」をクリックします。
(16) インストールが完了するまで待って、「システムの再起動」をクリックします。
Splunk Enterpriseインストール
以下のSplunkの公式サイトを参考にしてSplunk Enterpriseのインストール手順を作成しています。
(1) 各ソフトウェアをアップデートする。
$ sudo dnf clean all
$ sudo dnf update -y
(2) ブラウザを用いて「https://www.splunk.com/ja_jp/download.html」にアクセスします。
(3) 下部にある[プラットフォーム] > [Splunk Enterprise]の「ダウンロードを開始」をクリックします。
(4) メールアドレスや氏名など必要な情報を入力します。
(5) 下部にある「アカウントの作成」をクリックします。
(6) 入力したメールアドレス宛にアカウント登録の情報が送られるため、アカウントを作成します。
(7) ダウンロード用のWebサイト(https://www.splunk.com/ja_jp/download/splunk-enterprise.html?locale=ja_jp)にアクセスします。その後、「4.x+, or 5.4.x kernel Linux distributions」欄の「wgetリンクをコピー」をクリックします。
(8) Splunk EnterpriseのRPMファイルをダウンロードします。
$ wget -O splunk-10.0.2-e2d18b4767e9.x86_64.rpm "https://download.splunk.com/products/splunk/releases/10.0.2/linux/splunk-10.0.2-e2d18b4767e9.x86_64.rpm"
(9) ダウンロードしたファイルの権限を変更する。
# chmod 644 splunk-10.0.2-e2d18b4767e9.x86_64.rpm
(10) Splunk EnterpriseのRPMファイルを用いてインストールして、「complete」というメッセージが表示されることを確認する。デフォルトではインストールディレクトリが「/opt/splunk」になる。
# rpm -i splunk-10.0.2-e2d18b4767e9.x86_64.rpm
(11) ライセンスに自動で同意して、Splunk Enterpriseのインストールを開始する。
# /opt/splunk/bin/splunk start --accept-license
ーーー(省略)ーーー
Please enter an administrator username:
→任意のユーザー名を入力して[Enter]
ーーー(省略)ーーー
Please enter a new password:
→任意のパスワードを入力して[Enter]
Please confirm new password:
→任意のパスワードを入力して[Enter]
ーーー(省略)ーーー
(12) Splunk Enterpriseの自動起動を有効化する。
# /opt/splunk/bin/splunk enable boot-start Splunk Enterpriseの管理画面へのログイン
(1) ブラウザを用いて「http://[Splunk EnterpriseサーバのIPアドレス]:8000/」にログインする。ユーザー名に「admin」を入力し、パスワードはインストール時に設定したパスワードを入力する。
(2) 「Got It」をクリックする。
(3) AppのWebページが表示される。
Splunk Enterpriseの基本設定
(1) 上部の[Administrator] > [基本設定]をクリックする。
(2) 「グローバル」タブのタイムゾーンを設定する。
(3) 「SPLエディター」タブの行番号とサーチフォーマットをONにする。
Splunk関連記事
【Splunk Cloud関連の記事】
| タイトル | URL |
|---|---|
| Splunk Cloudの評価版を使ってみた | https://security-blog-it.com/44290 |
| WindowsログをSplunk Cloudに送信 | https://security-blog-it.com/44597 |
| LinuxのログをSplunk Cloudに送信 | https://security-blog-it.com/44481 |
| Splunk Cloudのデータ検索(SPL基本構文) | https://security-blog-it.com/44602 |
| Splunk Cloudのアラート通知設定 | https://security-blog-it.com/44595 |
| Splunk Cloudのレポート作成 | https://security-blog-it.com/44701 |
【Splunk Enterprise関連の記事】
| タイトル | URL |
|---|---|
| Splunk Enterpriseの評価版を使ってみた | https://security-blog-it.com/45294 |
| WindowsのログをSplunk Enterpriseに送信 | https://security-blog-it.com/45947 |
| LinuxのログをSplunk Enterpriseに送信 | https://security-blog-it.com/45912 |
| Splunk Enterpriseの設定(セキュリティ監視用App:InfoSec) | https://security-blog-it.com/45750 |
| 簡易EDRツール(sysmon)とSplunk Enterpriseを用いたWindowsのセキュリティ監視 | https://security-blog-it.com/45990 |
| Splunk SOARの評価版を使ってみた | https://security-blog-it.com/44747 |
| Splunk EnterpriseとSplunk SOARの連携 | https://security-blog-it.com/45342 |
| Splunk SOARの設定(App/Add-Onインストール) | https://security-blog-it.com/45611 |
Splunk関連の書籍
Splunkに関する使い方を体系的に学びたい場合、以下の書籍がおすすめです。
