ビュー:
Network Securityサービスを設定して、生成されたIPSイベントをSplunkサーバに送信するようにできます。この手順を開始する前に、Network Security用のSplunkアプリケーションがインストールされていることを確認してください。詳細はこちら
注意
注意
お使いのNetwork Security仮想Appliancesは、暗号化されていないTCPを使用するためにバージョン2020.10.0以降を使用する必要があります。

手順

  1. All Appliancesページから、Splunkが収集および分析するイベントのアプライアンスを選択します。
  2. アプライアンスのプロパティページで、[Splunk]タブを選択します。
  3. edit-icon=066da148-5993-43e0-9aca-af20b545e486.svg アイコンをクリックして編集します。
  4. Splunk Configurationダイアログで、Syslog Stateを[Enabled]に設定します。
  5. Serverフィールドに、SplunkサーバのIPアドレスまたはホスト名を指定します。例えば、remoteSyslogHostname
  6. Portフィールドに、1から65535の間のポートを指定します。デフォルトは8516です。
  7. サーバで暗号化を使用する場合は、[証明書]オプションを有効にしてCA証明書を指定してください。
    注意
    注意
    CA証明書の検証が必要な場合は、Splunkサーバを構成する前にCA証明書を追加してください。

次に進む前に

Splunkサーバは、[+Notify]アクションで設定されたフィルタに対して通知を受信します。管理コンソールに通知を指定する手動で作成されたアクションセットも、Splunkサーバに送信されます。
Network Securityサービスは、Common Event Format (CEF) 形式でデータを送信します。例えば:
CEF:0|TippingPoint|vTPS Cloud|5.3.0.10200|164|ICMP: Echo Request (Ping)|1|dvchost=i-0a6821719d0f05bb1 dvc=192.0.2.2 cat=IpsBlock deviceFacility=IPS act=Block cs2=6b5f2632-12bd-11ea-bfc7-981b3f1b1c15 cs2Label=Policy UUID cs3=00000001-0001-0001-0001-000000000164 cs3Label=Signature UUID proto=ICMP src=10.100.3.94 dst=10.100.2.253 start=Nov 29 2019 16:25:33+0000 cnt=1 deviceInboundInterface=1B deviceOutboundInterface=1A cs1=l3 cs1Label=Virtual Segment cn2=0 cn2Label=SSL Flag c6a1=10.100.3.94 c6a1Label=Client IPv4 host = 10.100.1.102source = udp:8514sourcetype = syslog
[保存]をクリックすると、All AppliancesページにアプライアンスのSplunkステータスがPendingとして表示され、Virtual Applianceが接続を確立しようとします。Splunk Configurationダイアログに戻り、ステータス[Refresh]ボタンをクリックします。Virtual ApplianceがSplunkに正常に接続されると、ステータスがConnection Successfulに変わります。接続を妨げるエラーが発生した場合、ステータスはConnection Failedに変わり、エラーメッセージがFailureの詳細を提供します。さらに、rootコマンドshow log-fileを使用して、システムログ内のFailureの詳細情報を表示することができます。
注意
注意
Connection Successfulステータスは、syslogサーバへの接続が確立されたことを意味します。これは、イベントが記録されていることを必ずしも意味するわけではありません。Splunkの接続ステータスに頻繁な接続および切断イベントが表示される場合は、サーバのIPとポートがサポートされているsyslogの送信先に対応していることを確認してください。
Network Securityアプライアンスは、TCPおよび/またはSSL経由のTCP入力を使用します。Network SecurityインターフェースではSSL経由のTCP入力を構成することはできないため、Splunkドキュメントを参照して構成方法を確認してください。SplunkでのSSL設定の構成については、以下のトピックを参照してください。
Splunkの設定をクリアするには、ゴミ箱アイコンdelete-icon=10336c8b-0762-4ea1-a9d0-ef4ec80cc546.svgをクリックします。アプライアンスのSplunkの状態がDisabledに変わります。

APIを通じてSplunkに接続する 親トピック

外部のSplunkサーバに接続する方法については、APIリファレンスのリモートsyslog APIを参照してください。
APIを使用してSplunk接続を検証するには、GET /api/appliances/{ID}/remotesyslogs/{remotesyslogID}呼び出しを使用します。