目次
このページのトピック

Splunkに接続

Network Security サービスは、生成したIPSイベントをSplunkサーバに送信するように設定できます。この手順を開始する前に、 Network Security 用のSplunkアプリケーションがインストールされていることを確認してください。詳細を表示


注意

Network Security 仮想アプライアンスで暗号化されていないTCPを使用するには、バージョン2020.10.0以降を使用する必要があります。


  1. All Appliances画面で、Splunkでイベントを収集および分析するアプライアンスを選択します。

  2. アプライアンスのプロパティ画面で、Splunkタブを選択します。

  3. の編集アイコンをクリックします。

  4. Splunk Configurationダイアログで、Syslog Stateを Enabledに設定します。

  5. Serverフィールドで、SplunkサーバのIPアドレスまたはホスト名を指定します。例: remoteSyslogHostname

  6. Portフィールドで、1〜65535のポートを指定します。初期設定は 8516です。

  7. サーバで暗号化を使用する場合は、 Certificate オプションを有効にして、CA証明書を指定します。


注意

CA証明書の検証が必要な場合は、Splunkサーバを設定する前にCA証明書を追加します。


Splunkサーバは、 +Notify 処理を含むフィルタセットの通知を受信します。「管理コンソール」への通知を指定する手動で作成された処理セットも、Splunkサーバに送信されます。

Network Security サービスは、Common Event Format(CEF)形式でデータを送信します。たとえば、次のとおりです。

CEF:0|TippingPoint|vTPS Cloud|5.3.0.10200|164|ICMP: Echo Request (Ping)|1|dvchost=i-0a6821719d0f05bb1 dvc=192.0.2.2 cat=IpsBlock deviceFacility=IPS act=Block cs2=6b5f2632-12bd-11ea-bfc7-981b3f1b1c15 cs2Label=Policy UUID cs3=00000001-0001-0001-0001-000000000164 cs3Label=Signature UUID proto=ICMP src=10.100.3.94 dst=10.100.2.253 start=Nov 29 2019 16:25:33+0000 cnt=1 deviceInboundInterface=1B deviceOutboundInterface=1A cs1=l3 cs1Label=Virtual Segment cn2=0 cn2Label=SSL Flag c6a1=10.100.3.94 c6a1Label=Client IPv4 host = 10.100.1.102source = udp:8514sourcetype = syslog

Saveをクリックすると、仮想アプライアンスが接続の確立を試行している間、All Appliances画面にアプライアンスのSplunkステータスが Pending と表示されます。Splunk Configurationダイアログに戻り、ステータス Refreshボタンをクリックします。仮想アプライアンスがSplunkに正常に接続されると、ステータスが Connection Successfulに変わります。接続を妨げるエラーが発生すると、ステータスが Connection Failed に変わり、エラーメッセージが表示されます。さらに、rootコマンド show log-file を使用して、システムログで失敗の詳細情報を確認できます。


注意

Connection Successful ステータスは、Syslogサーバへの接続が確立されていることを示します。イベントがログに記録されているとは限りません。Splunkの接続ステータスに頻繁な接続および切断イベントが表示される場合は、サーバのIPアドレスとポートがサポートされるSyslogの送信先に対応していることを確認してください。


Network Security アプライアンスは、TCPまたはSSL経由のTCP入力を使用します。 Network Security インタフェースではSSL経由のTCP入力を設定できないため、この設定方法については Splunkのドキュメント を参照してください。SplunkでのSSL設定の詳細については、次のトピックを参照してください。

Splunkの設定をクリアするには、ゴミ箱アイコン をクリックします。アプライアンスのSplunk状態が Disabledに変わります。

APIを使用してSplunkに接続する

外部Splunkサーバへの接続の詳細については、APIリファレンス のリモートSyslog APIを参照してください。

APIを使用してSplunk接続を確認するには、 GET /api/appliances/{ID}/remotesyslogs/{remotesyslogID} コールを使用します。