このページのトピック
Splunkに接続
Network Security サービスは、生成したIPSイベントをSplunkサーバに送信するように設定できます。この手順を開始する前に、 Network Security 用のSplunkアプリケーションがインストールされていることを確認してください。詳細を表示。
注意
Network Security 仮想アプライアンスで暗号化されていないTCPを使用するには、バージョン2020.10.0以降を使用する必要があります。
-
All Appliances画面で、Splunkでイベントを収集および分析するアプライアンスを選択します。
-
アプライアンスのプロパティ画面で、Splunkタブを選択します。
-
の編集アイコンをクリックします。 -
Splunk Configurationダイアログで、Syslog Stateを Enabledに設定します。
-
Serverフィールドで、SplunkサーバのIPアドレスまたはホスト名を指定します。例:
remoteSyslogHostname。 -
Portフィールドで、1〜65535のポートを指定します。初期設定は
8516です。 -
サーバで暗号化を使用する場合は、 Certificate オプションを有効にして、CA証明書を指定します。
注意
CA証明書の検証が必要な場合は、Splunkサーバを設定する前にCA証明書を追加します。
Splunkサーバは、 +Notify 処理を含むフィルタセットの通知を受信します。「管理コンソール」への通知を指定する手動で作成された処理セットも、Splunkサーバに送信されます。
Network Security サービスは、Common Event Format(CEF)形式でデータを送信します。たとえば、次のとおりです。
CEF:0|TippingPoint|vTPS Cloud|5.3.0.10200|164|ICMP: Echo Request (Ping)|1|dvchost=i-0a6821719d0f05bb1 dvc=192.0.2.2 cat=IpsBlock deviceFacility=IPS act=Block cs2=6b5f2632-12bd-11ea-bfc7-981b3f1b1c15 cs2Label=Policy UUID cs3=00000001-0001-0001-0001-000000000164 cs3Label=Signature UUID proto=ICMP src=10.100.3.94 dst=10.100.2.253 start=Nov 29 2019 16:25:33+0000 cnt=1 deviceInboundInterface=1B deviceOutboundInterface=1A cs1=l3 cs1Label=Virtual Segment cn2=0 cn2Label=SSL Flag c6a1=10.100.3.94 c6a1Label=Client IPv4 host = 10.100.1.102source = udp:8514sourcetype = syslogSaveをクリックすると、仮想アプライアンスが接続の確立を試行している間、All Appliances画面にアプライアンスのSplunkステータスが Pending と表示されます。Splunk Configurationダイアログに戻り、ステータス Refreshボタンをクリックします。仮想アプライアンスがSplunkに正常に接続されると、ステータスが Connection Successfulに変わります。接続を妨げるエラーが発生すると、ステータスが Connection Failed に変わり、エラーメッセージが表示されます。さらに、rootコマンド show log-file を使用して、システムログで失敗の詳細情報を確認できます。
注意
Connection Successful ステータスは、Syslogサーバへの接続が確立されていることを示します。イベントがログに記録されているとは限りません。Splunkの接続ステータスに頻繁な接続および切断イベントが表示される場合は、サーバのIPアドレスとポートがサポートされるSyslogの送信先に対応していることを確認してください。
Network Security アプライアンスは、TCPまたはSSL経由のTCP入力を使用します。 Network Security インタフェースではSSL経由のTCP入力を設定できないため、この設定方法については Splunkのドキュメント を参照してください。SplunkでのSSL設定の詳細については、次のトピックを参照してください。
Splunkの設定をクリアするには、ゴミ箱アイコン 
をクリックします。アプライアンスのSplunk状態が Disabledに変わります。
APIを使用してSplunkに接続する
外部Splunkサーバへの接続の詳細については、APIリファレンス のリモートSyslog APIを参照してください。
APIを使用してSplunk接続を確認するには、 GET /api/appliances/{ID}/remotesyslogs/{remotesyslogID} コールを使用します。