ビュー:

HTTPイベント収集を通じてサードパーティのログを収集し始めるためにJWTトークンを生成し、分析および相関またはコンプライアンス目的のためにログデータをTrendAI Vision One™に転送します。

手順

  1. [Agentic SIEM & XDR][Data Source and Log Management][Third-party log repositories]に移動します。
  2. 新しいログリポジトリを作成するか、既存のログリポジトリを選択してください。
  3. [ログリポジトリ]パネルで[Collectors]タブに移動し、[コレクターを追加]をクリックします。
    [コレクターを追加] 画面が表示されます。
  4. ログソースのベンダー、製品、ログ形式、ログタイムゾーンを選択してください。
  5. コレクター名と説明を指定します。
  6. ログ取り込み方法としてHTTPイベントコレクションを選択し、サードパーティデータソースに適したエンドポイントURLをコピーしてください。
  7. [追加] をクリックします。
  8. [Generate JWT token]画面でJWTトークンの有効期限を選択し、[トークンを生成]をクリックしてください。
    注意
    注意
    サードパーティのログコレクター用のJWTトークンを管理するには、[Agentic SIEM & XDR][Data Source and Log Management][Data sources and retention][Third-party log repositories]に移動し、[Manage JWT tokens]をクリックします。
  9. [Copy JWT token]画面でトークンをコピーして保存してください。
  10. [閉じる] をクリックします。
  11. [Collectors]タブの[ログリポジトリ]ドロワーで、作成したコレクターの情報 (エンドポイントURLを含む) を確認してください。
    注意
    注意
    次のAPI仕様を使用してログを転送できます。
    • ヘッダ:
      ヘッダ
      /rawの値
      /hecの値
      説明
      Authorization
      Bearer <token>
      Splunk <token>
      Bearer <token>
      Splunk <token>
      必須。コレクター作成時に生成されたJWTトークン。
      Content-Type
      text/plain
      text/plain
      application/json
      application/x-ndjson
      必須。現在、/rawエンドポイントはプレーンテキストコンテンツのみを受け付けます。/hecエンドポイントはプレーンテキスト、JSON、およびx-ndjsonコンテンツを受け付けます。
      Content-Encoding
      gzip
      gzip
      オプション。現在、両方のエンドポイントは、ペイロードがgzipファイルである場合にのみgzipコンテンツエンコーディングを受け入れます。
    • リクエストボディ:
      • /rawエンドポイントの場合: ペイロードボディはテキストストリームとして処理されます。各行 (\nまたは\r\nで区切られた) は、個別のログエントリとして取り込まれます。
      • /hecエンドポイントの場合: ペイロードボディは単一のJSONオブジェクト、配列、またはNDJSON (改行区切り) として扱われます。
    • 例:
      • 対象/rawエンドポイント:
        curl -X POST 'https://<api-fqdn>/ingest/api/v1/third_party_log/raw' \
          -H "Authorization: Bearer <TOKEN>" \
          -H "Content-Type: text/plain" \
          -d '<189>Feb 01 10:00:00 router-1 denied tcp src 10.0.0.1
        <189>Feb 01 10:00:01 router-2 permitted tcp src 10.0.0.2'
      • /hecエンドポイント (JSON配列ログの送信用):
        curl -X POST 'https://<api-fqdn>/ingest/api/v1/third_party_log/hec' \
          -H "Authorization: Bearer <TOKEN>" \
          -H "Content-Type: text/plain" \
          -d '[{"timestamp": "2026-04-07T10:00:03Z", "msg": "json log line 1"},{"timestamp": "2026-04-07T10:00:05Z", "msg": "json log line 2"}]'
      • /hecエンドポイント (スタックされたJSONログの送信用):
        curl -X POST 'https://<api-fqdn>/ingest/api/v1/third_party_log/hec' \
          -H "Authorization: Splunk <TOKEN>" \
          -H "Content-Type: application/json" \
          -d '{"timestamp": "2026-04-07T10:00:03Z", "msg": "json log line 1"}{"timestamp": "2026-04-07T10:00:05Z", "msg": "json log line 2"}'