LinuxのログをSplunk Enterpriseに送信

※本サイトはアフィリエイト広告を利用しています。
広告

本記事の概要

LinuxのCPUやメモリなどの負荷状況や、Linux上のログファイルをSplunk Enterpriseに自動で送信する手順を記載する。

Universal Forwarderのダウンロード


(1) ブラウザを用いて「https://www.splunk.com/en_us/blog/learn/splunk-universal-forwarder.html」にアクセスして、「Download Universal Forwarder Now(FREE)」をクリックする。


(2) メールアドレスやパスワードなどを入力する。


(3) 「Create your account」をクリックする。


(4) 入力したメールアドレス宛にメールが送信された旨のメッセージが表示される。


(5) 入力したメールアドレス宛に確認メールが届いているため、「Verify Your Email」をクリックする。


(6) Universal Forwarderのダウンロードページが表示されるため、インストールする機器のOSのインストーラをダウンロードする。
〇Windowsの場合の画面
  
〇Linuxの場合の画面
  

(7) ダウンロードしたUniversal Forwarderのインストーラーをインストールする機器上に格納する。

Splunk EnterpriseへAppインストール(Splunk Add-on for Unix and Linux)


(1) ブラウザを用いて「https://splunkbase.splunk.com/」にアクセスする。その後、「Splunk Add-on for Unix and Linux」を検索し、「Splunk Add-on for Unix and Linux」をクリックする。


(2) 「Download」をクリックする。


(3) ライセンスの条件に同意するにチェックを付けて、「Agree to Download」をクリックする。ファイル(splunk-add-on-for-unix-and-linux_1020.tgz)をダウンロードされる。


(4) 「OK」をクリックする。


(5) ブラウザを用いて「http://127.0.0.1:8000/」にアクセスして、ログインする。

(6) [App] > [Appの管理]をクリックする。


(7) 「ファイルからAppをインストール」をクリックする。


(8) Appファイルをアップロードして、「アップロード」をクリックする。


(9) インストールに成功した旨のメッセージが表示されることを確認して、「閉じる」をクリックする。


(10) Splunk Add-on for Unix and Linuxの設定をするかどうかメッセージが表示されるため、「閉じる」をクリックする。


Splunk Add-on for Unix and Linuxの設定


(1) [App] > [Splunk Add-on for Unix and Linux]をクリックする。


(2) 「App設定ページに進む」をクリックする。


(3) File and Directory Inputs欄の値を設定する


(4) Scripted Metric Inputs欄の値を設定する。


(5) Scripted Event Inputs欄の値を設定する。


(6) 「Save」をクリックする。


Universal Forwarderのインストール(CentOS版)


(1) Universal Forwarderインストーラー(例:splunkforwarder-10.0.2-e2d18b4767e9.x86_64.rpm)を格納していることを確認する。

# ls -l
-rw-r--r--. 1 root root  126962253  1月 17 02:04 splunkforwarder-10.2.0-d749cb17ea65.x86_64.rpm


(2) Universal Forwarderをインストールする。

# rpm -ihv splunkforwarder-10.2.0-d749cb17ea65.x86_64.rpm


(3) Universal Forwarder用のユーザー名とパスワードを設定する。

# sudo /opt/splunkforwarder/bin/splunk start --accept-license
ーーー(省略)ーーー
Please enter an administrator username: 
  →ユーザー名を入力する。
Password must contain at least:
   * 8 total printable ASCII character(s).
Please enter a new password:
Please confirm new password:
  →パスワードを入力する。
ーーー(省略)ーーー


(4) データを送信先IPアドレスを設定する。

# vi /opt/splunkforwarder/etc/system/local/outputs.conf

【変更前】
[tcpout]
defaultGroup = default-autolb-group

[tcpout:default-autolb-group]
server = 127.0.0.1:9997

[tcpout-server://127.0.0.1:9997]


【変更前】
[tcpout]
defaultGroup = default-autolb-group

[tcpout:default-autolb-group]
server = [Splunk EnterpriseのIPアドレス]:9997

[tcpout-server://[Splunk EnterpriseのIPアドレス]:9997]


(5) Universal Forwarderのサービスを再起動する。

# /opt/splunkforwarder/bin/splunk restart


(6) ブラウザを用いて「https://splunkbase.splunk.com/app/833」にアクセスして、「Download」をクリックする。


(7) 「I have read the terms and conditions of this license and agree to be bound by them.」にチェックを付けて、「Agree to Download」をクリックする。


(8) 「splunk-add-on-for-unix-and-linux_1020.tgz」ファイルがダウンロードされる。その後、「OK」をクリックする。


(9) ダウンロードしたファイル(例:splunk-add-on-for-unix-and-linux_1020.tgz)をインストールするサーバ上に格納する。

(10) ダウンロードしたファイル(例:splunk-add-on-for-unix-and-linux_1020.tgz)を解凍し、/opt/splunkforwarder/etc/apps/に移動する。

# ls -l
-rw-r--r--. 1 root root    978053 12月 24  2025 splunk-add-on-for-unix-and-linux_1020.tgz


# tar xzfv ./splunk-add-on-for-unix-and-linux_1020.tgz


# mv Splunk_TA_nix/ /opt/splunkforwarder/etc/apps/


(11) 設定ファイルを格納するディレクトリ(Splunk_TA_nix/local)を作成し、設定ファイルをコピーする。

# cd /opt/splunkforwarder/etc/apps/


# mkdir Splunk_TA_nix/local


# cp Splunk_TA_nix/default/inputs.conf Splunk_TA_nix/local


(12) デフォルトでは全てのデータを取得しない設定になっているため、設定ファイルの内容を編集し、データ取得する項目は「disabled = 1」を「disabled = 0」に変更する。

# vi Splunk_TA_nix/local/inputs.conf
  →データ取得する項目の「disabled = 1」を「disabled = 0」に変更する。


(13) Universal Forwarderのサービスを再起動し、自動起動を有効化する。

# /opt/splunkforwarder/bin/splunk restart


# /opt/splunkforwarder/bin/splunk enable boot-start -user splunkfwd -systemd-managed 1


Splunk Enterpriseの受信設定


(1) Splunk Enterpriseの[設定] > [転送と受信]をクリックする。


(2) [データの受信] > [受信の設定]のアクション欄にある「新規追加」をクリックする。


(3) 受信ポート(デフォルト値は「9997」)を入力して、「保存」をクリックする。


(4) 設定した受信ポートが表示されていることを確認する。

Splunk Enterpriseのデータ検索


(1) Splunk Enterpriseの[App] > [Search & Reporting]をクリックする。


(2) 検索テキストボックスに「*」を入力して、検索ボタンをクリックする。


(3) Splunk Enterpriseに送られたデータを確認することができる。


Splunk関連記事

【Splunk Cloud関連の記事】

タイトルURL
Splunk Cloudの評価版を使ってみたhttps://security-blog-it.com/44290
WindowsログをSplunk Cloudに送信https://security-blog-it.com/44597
LinuxのログをSplunk Cloudに送信https://security-blog-it.com/44481
Splunk Cloudのデータ検索(SPL基本構文)https://security-blog-it.com/44602
Splunk Cloudのアラート通知設定https://security-blog-it.com/44595
Splunk Cloudのレポート作成https://security-blog-it.com/44701


【Splunk Enterprise関連の記事】

タイトルURL
Splunk Enterpriseの評価版を使ってみたhttps://security-blog-it.com/45294
WindowsのログをSplunk Enterpriseに送信https://security-blog-it.com/45947
LinuxのログをSplunk Enterpriseに送信https://security-blog-it.com/45912
Splunk Enterpriseの設定(セキュリティ監視用App:InfoSec)https://security-blog-it.com/45750
簡易EDRツール(sysmon)とSplunk Enterpriseを用いたWindowsのセキュリティ監視https://security-blog-it.com/45990
Splunk SOARの評価版を使ってみたhttps://security-blog-it.com/44747
Splunk EnterpriseとSplunk SOARの連携https://security-blog-it.com/45342
Splunk SOARの設定(App/Add-Onインストール)https://security-blog-it.com/45611


Splunk関連の書籍

Splunkに関する使い方を体系的に学びたい場合、以下の書籍がおすすめです。




広告