本記事の概要
本記事では、WindowsのCPUやメモリなどの負荷状況や、WindowsイベントログをSplunk Enterpriseに自動で送信する手順を記載する。
Splunk EnterpriseへAppインストール(Splunk Add-on for Microsoft Windows)
(1) ブラウザを用いて「https://splunkbase.splunk.com/」にアクセスする。その後、「Splunk Add-on for Microsoft Windows」を検索し、「Splunk Add-on for Microsoft Windows」をクリックする。
(2) 「Download」をクリックする。
(3) ライセンスの条件に同意するにチェックを付けて、「Agree to Download」をクリックする。ファイル(splunk-add-on-for-microsoft-windows_912.tgz)をダウンロードされる。
(4) 「OK」をクリックする。
(5) ブラウザを用いて「http://127.0.0.1:8000/」にアクセスして、ログインする。
(6) [App] > [Home]をクリックする。
(7) 「管理」をクリックする。
(8) 「ファイルからAppをインストール」をクリックする。
(9) Appファイルをアップロードして、「アップロード」をクリックする。
(10) インストールに成功した旨のメッセージが表示されることを確認して、「閉じる」をクリックする。
Universal Forwarderのダウンロード
(1) ブラウザを用いて「https://www.splunk.com/en_us/blog/learn/splunk-universal-forwarder.html」にアクセスして、「Download Universal Forwarder Now(FREE)」をクリックする。
(2) メールアドレスやパスワードなどを入力する。
(3) 「Create your account」をクリックする。
(4) 入力したメールアドレス宛にメールが送信された旨のメッセージが表示される。
(5) 入力したメールアドレス宛に確認メールが届いているため、「Verify Your Email」をクリックする。
(6) Universal Forwarderのダウンロードページが表示されるため、インストールする機器のOSのインストーラをダウンロードする。
(7) ダウンロードしたUniversal Forwarderのインストーラーをインストールする機器上に格納する。
Universal Forwarderのインストール(Windows版)
(1) Universal Forwarderのインストーラーを実行する。
(2) ライセンス条項を確認して、「Check this box to accept the License Agreement」にチェックを付ける。その後、「An on-premises Splunk Enterprise instance」にチェックを付けて、「Customize Options」をクリックする。
(3) 必要に応じてインストールパスを設定する。今回はデフォルトのまま「Next」をクリックする。
(4) 必要に応じてSSLの証明書を設定する。今回は何も設定せずに「Next」をクリックする。
(5) 「Local System」にチェックを付けて、「Next」をクリックする。
(6) Splunkに送信するログの種類を選択し、「Next」をクリックする。
(7) Universal Forwarder用のユーザー名とパスワードを設定して、「Next」をクリックする。「Generate random password」にチェックを付けた場合は、「C:\Users\<UserName>\AppData\Local\Temp\splunk.log」にパスワードが記載される。
(8) デプロイメントサーバーは設定せずに「Next」をクリックする。
※デプロイメントサーバーとは、複数台のフォワーダーの設定を一括管理とするためのサーバーのこと。
(9) データの送信先のSplunk Enterpriseのホスト名またはIPアドレスと受信ポートを設定して「Next」をクリックする。
(10) 「Install」をクリックする。
(11) 「Finish」をクリックする。
(12) 「C:\Users\<UserName>\AppData\Local\Temp\splunk.log」の内容を確認し、Universal Forwarder用のユーザー名とパスワードを確認する。
(13) Universal Forwarderのサービスを再起動する。
$ cd "C:\Program Files\SplunkUniversalForwarder\bin"
$ splunk.exe restartSplunk Enterpriseの受信設定
(1) Splunk Enterpriseの[設定] > [転送と受信]をクリックする。
(2) [データの受信] > [受信の設定]のアクション欄にある「新規追加」をクリックする。
(3) 受信ポート(デフォルト値は「9997」)を入力して、「保存」をクリックする。
(4) 設定した受信ポートが表示されていることを確認する。
Splunk Enterpriseのデータ検索
(1) Splunk Enterpriseの[App] > [Search & Reporting]をクリックする。
(2) 検索テキストボックスに「*」や「host=[ホスト名]」を入力して、検索ボタンをクリックする。
(3) Splunk Enterpriseのデータ検索に送られたデータを確認することができる。
Splunk関連記事
【Splunk Cloud関連の記事】
| タイトル | URL |
|---|---|
| Splunk Cloudの評価版を使ってみた | https://security-blog-it.com/44290 |
| WindowsログをSplunk Cloudに送信 | https://security-blog-it.com/44597 |
| LinuxのログをSplunk Cloudに送信 | https://security-blog-it.com/44481 |
| Splunk Cloudのデータ検索(SPL基本構文) | https://security-blog-it.com/44602 |
| Splunk Cloudのアラート通知設定 | https://security-blog-it.com/44595 |
| Splunk Cloudのレポート作成 | https://security-blog-it.com/44701 |
【Splunk Enterprise関連の記事】
| タイトル | URL |
|---|---|
| Splunk Enterpriseの評価版を使ってみた | https://security-blog-it.com/45294 |
| WindowsのログをSplunk Enterpriseに送信 | https://security-blog-it.com/45947 |
| LinuxのログをSplunk Enterpriseに送信 | https://security-blog-it.com/45912 |
| Splunk Enterpriseの設定(セキュリティ監視用App:InfoSec) | https://security-blog-it.com/45750 |
| 簡易EDRツール(sysmon)とSplunk Enterpriseを用いたWindowsのセキュリティ監視 | https://security-blog-it.com/45990 |
| Splunk SOARの評価版を使ってみた | https://security-blog-it.com/44747 |
| Splunk EnterpriseとSplunk SOARの連携 | https://security-blog-it.com/45342 |
| Splunk SOARの設定(App/Add-Onインストール) | https://security-blog-it.com/45611 |
Splunk関連の書籍
Splunkに関する使い方を体系的に学びたい場合、以下の書籍がおすすめです。
