E. 選択項⽬の確認
⼊⼒設定をすべて指定したら、選択内容をレビューすることができます。Splunk Enterprise には、モニターのタ イプ、ソース、ソースタイプ、アプリケーション・コンテキスト、インデックスなど (これ以外が表⽰されること もあります) の、選択したオプションが表⽰されます。
設定を確認します。意図通りの内容でない場合は、バナーの⽩い [<< ] ボタンをクリックして、ウィザードの前のス
テップに戻ります。そうでない場合は、緑⾊の [送信][送信] ボタンをクリックします。
[成功] ページが表⽰され、指定されたファイルまたはディレクトリのインデックス作成が開始されます。
ファイルやディレクトリからのデータの取り込みの詳細は、このマニュアルの「ファイルとディレクトリのモニ ター」を参照してください。
ファイルとディレクトリ - リモート ファイルとディレクトリ - リモート
リモート・マシンから Splunk Enterprise にログを取り込むもっとも簡単な⽅法は、ユニバーサル・フォワーユニバーサル・フォワー ダー
ダー を使⽤することです。フォワーダーは、データを⽣成しているマシン上にインストールして、インデクサー にデータを送信するように設定します。フォワーダーはデータを取得して、イベントをインデクサーに転送しま す。インデクサーはイベントを処理、保管して、サーチで利⽤できるようにします。
これには、2 つのステップがあります。
1.
1. リモートマシン上にフォワーダーを設定し、データの転送先となるインデクサーを設定します。「フォワー ダー」のレシピを参照してください。
2.
2. データをモニターするように、フォワーダーの⼊⼒を設定します。この作業は、インデクサー上にデータがある 場合と同様です。ただし、フォワーダーには Splunk Web がないため、⼊⼒の設定には CLICLI を使⽤するか、また
は inputs.conf を直接編集する必要があります。
ファイルをモニターするための⼊⼒の設定については、このマニュアルの「ファイルとディレクトリのモニ ター」を参照してください。
フォワーダーの設定に関するその他の情報は、このマニュアルの「フォワーダーを使ったデータの取り込 み」を参照してください。
Syslog - TCP/UDP Syslog - TCP/UDP
Splunk Enterprise は TCP/UDP ポートで、1 つまたは複数のマシンの syslog サービスから送られてくるデータ を待ち受けることができます。これらのホストからの syslog データを収集して、⼿軽にサーチ、レポート、およ びアラートを利⽤することができます。
TCP または UDP 経由で syslog データを取得するには、syslog データが到着するネットワークポートで待機す るように、Splunk Enterprise を設定します。
A. [新規追加] ページに移動 A. [新規追加] ページに移動
ネットワーク⼊⼒は、Splunk Web の [データの追加] ページから追加します。このマニュアルの「データの追加
⽅法は?」を参照してください。
2 種類の⽅法でこのページを表⽰できます。
Splunk ホーム Splunk 設定
Splunk 設定を使⽤する場合:
Splunk 設定を使⽤する場合:
1.
1. Splunk Web の右上にある [設定][設定] をクリックします。
2.
2. [設定] ポップアップの [データ] セクションで、[データ⼊⼒][データ⼊⼒] をクリックします。
3.
3. [TCP][TCP] または [UDP][UDP] を選択します。
4.
4. [新規][新規] ボタンをクリックして、⼊⼒を追加します。
Splunk ホームを使⽤する場合:
Splunk ホームを使⽤する場合:
1.
1. Splunk ホームの [データの追加][データの追加] リンクをクリックします。
'2.ローカル・マシンのネットワーク・ポートをモニターするには、ローカル・マシンのネットワーク・ポートをモニターするには、 [モニター] を、またはを、または 他のマシンから ネットワーク・データを受け取る場合は [転送][転送] をクリックします。
注意:
注意: ファイルの転送には、追加設定が必要です。
3.
3. [転送][転送] を選択した場合、この⼊⼒を適⽤するフォワーダーのグループを選択または作成します。このマニュア ルの「データの転送」を参照してください。
'4.緑⾊緑⾊ の [次へ][次へ] ボタンをクリックします。
B. ネットワーク⼊⼒の指定 B. ネットワーク⼊⼒の指定 1.
1. 左パネルで、[TCP / UDP][TCP / UDP] をクリックして、⼊⼒を追加します。
2.
2. TCP または UDP ⼊⼒を選択するには、[TCP][TCP] または [UDP][UDP] ボタンをクリックします。
2.
2. [ポート][ポート] フィールドにポート番号を⼊⼒します。
注意:
注意: Splunk Enterprise を実⾏するユーザーには、ポートへのアクセス権が必要です。ストック UNIXシステ ムで 1024 未満のポートで待ち受ける場合、Splunk Enterprise を root として実⾏する必要があります。
153
3.
3. 必要に応じて、[ソース名上書き][ソース名上書き] フィールドに、デフォルト値に優先する新たなソース名を⼊⼒します。
重要:
重要: この値を変更する前に、Splunk サポートにお問い合わせください。
4.
4. TCP ⼊⼒の場合 [次からの接続のみを受け付け][次からの接続のみを受け付け] フィールドで、ポートがすべてのホストからの接続を受け付 けるか、または 1 台のホストからの接続を受け付けるかを指定することができます。
1 台のホストからの接続のみを受け付ける場合は、そのホストのホスト名または IP アドレスを指定しま す。ワイルドカードを使⽤して、複数のホストを指定できます。
5.
5. [次へ][次へ] をクリックして、[⼊⼒設定][⼊⼒設定] ページで作業を続⾏します。
C. ⼊⼒の設定 C. ⼊⼒の設定 [⼊⼒設定]
[⼊⼒設定] ページでは、ソースタイプ、アプリケーション・コンテキスト、デフォルトのホスト値、およびイン デックスを指定できます。これらのパラメータは省略することができます。
1.
1. [ソースタイプ] [ソースタイプ] を設定します。これは、イベントに追加されるデフォルトのフィールドです。ソースタイプ は、タイムスタンプやイベント境界などの、処理する特徴の決定に⽤いられます。Splunk の⾃動ソースタイプ設 定に優先する設定を⾏うには、このマニュアルの「ソースタイプの⾃動割り当てに優先する設定」を参照してくだ さい。
2.
2. ホストホスト 名の値を設定します。さまざまな選択肢があります。
IP:
IP: ⼊⼒プロセッサが、リモートサーバーの IP アドレスでホストを再書き込みするように設定します。
DNS:
DNS: ホスト名にリモートサーバーの DNS エントリを設定します。
カスタム:
カスタム: ホストにユーザー定義ラベルを設定します。
ホスト値の設定の詳細は、「ホストについて」を参照してください。
注意:
注意: [ホスト][ホスト] は、イベントの hosthost フィールドの設定のみを⾏います。Splunk Enterprise にネットワー ク上の特定のホストを探すように指⽰するものではありません。
3.
3. この⼊⼒のデータを保管するインデックスインデックス を設定します。異なる種類のイベントを取り扱うために、複数のイ ンデックスを定義している場合を除き、この値は「default」のままにしてください。ユーザーデータ⽤のイン デックスに加えて、Splunk Enterprise にはさまざまなユーティリティインデックスが存在しています。これらの インデックスも、このドロップダウンボックスに表⽰されます。
4.
4. 緑⾊の [確認][確認] ボタンをクリックします。
D. 選択項⽬の確認 D. 選択項⽬の確認
⼊⼒設定をすべて指定したら、選択内容をレビューすることができます。Splunk Enterprise には、モニターのタ イプ、ソース、ソースタイプ、アプリケーション・コンテキスト、インデックスなど (これ以外が表⽰されること もあります) の、選択したオプションが表⽰されます。
設定を確認します。意図通りの内容でない場合は、灰⾊の [<< ] ボタンをクリックして、ウィザードの前のステップ に戻ります。そうでない場合は、緑⾊の [送信][送信] ボタンをクリックします。
[成功] ページが表⽰され、指定されたネットワーク⼊⼒のインデックス作成が開始されます。
ネットワークからのデータの取得の詳細は、このマニュアルの「TCP および UDP ポートからのデータの取得」
を参照してください。
Windows イベントログ - ローカル Windows イベントログ - ローカル
Splunk Enterprise はローカル Windows のイベント・ログを収集できます。この⼊⼒を使って、セキュリティに 関するアラートを⽣成したり、Windows システムの状態を判断するために特定のイベント ID をサーチしたりす ることができます。
ローカルイベントログデータを取得するには、イベントログサービスを指定します。
A. [新規追加] ページに移動 A. [新規追加] ページに移動
Windows イベント・ログ⼊⼒は、Splunk Web の [新規追加] ページから追加します。このマニュアルの「データ の追加⽅法は?」を参照してください。
2 種類の⽅法でこのページを表⽰できます。
Splunk ホーム Splunk 設定
Splunk 設定を使⽤する場合:
Splunk 設定を使⽤する場合:
1.
1. Splunk Web の右上にある [設定][設定] をクリックします。
2.
2. [設定] ポップアップの [データ] セクションで、[データ⼊⼒][データ⼊⼒] をクリックします。
3.
3. [ローカル・イベント・ログの収集][ローカル・イベント・ログの収集] をクリックします。
4.
4. [新規][新規] ボタンをクリックして、⼊⼒を追加します。
Splunk ホームを使⽤する場合:
Splunk ホームを使⽤する場合:
1.
1. Splunk ホームの [データの追加][データの追加] リンクをクリックします。
2.
2. ローカル Windows マシンのイベント・ログ・データをモニターするには、[モニター][モニター] をクリックします。他 の Windows マシンからイベント・ログ・データを転送するには、[転送][転送] をクリックします。[データの追加 -ソースの選択] ページが表⽰されます。
3.
3. [転送][転送] を選択した場合、この⼊⼒を適⽤するフォワーダーのグループを選択または作成します。このマニュア ルの「データの転送」を参照してください。
4.
4. 緑⾊の [次へ][次へ] ボタンをクリックします。
B. ⼊⼒ソースの選択 B. ⼊⼒ソースの選択
1.1. 左側のパネルで、[ローカル・イベント・ログ][ローカル・イベント・ログ] を探して選択します。
2.
2. [イベント・ログの選択][イベント・ログの選択] リスト・ボックスで、この⼊⼒でモニターするイベント・ログ・チャネルを探しま す。
3.
3. モニターする各イベント・ログ・チャネルを、それぞれ 1 回クリックします。Splunk Enterprise は、チャネ ルを [利⽤可能な項⽬] ウィンドウから [選択項⽬] ウィンドウに移動します。
4.
4. チャネルの選択を解除するには、[選択項⽬] ウィンドウでその名前をクリックします。Splunk Enterprise は、
チャネルを [選択項⽬] ウィンドウから [利⽤可能な項⽬] ウィンドウに移動します。
5.
5. すべてのイベント・ログを選択/選択解除するには、[すべて追加] または [すべて削除] リンクをクリックしま す。重要:重要: すべてのチャネルを選択すると⼤量のデータのインデックスを作成することになり、ライセンスの上 限を超えてしまう可能性があります。
6.
6. 緑⾊の [次へ][次へ] ボタンをクリックします。
C. ⼊⼒の設定 C. ⼊⼒の設定
[⼊⼒設定][⼊⼒設定] ページでは、アプリケーション・コンテキスト、デフォルトのホスト値、およびインデックスを指定 できます。これらのパラメータは省略することができます。
1.
1. この⼊⼒の適切なアプリケーション・コンテキストアプリケーション・コンテキスト を選択します。
2.
2. ホストホスト 名の値を設定します。さまざまな選択肢があります。ホスト値の設定の詳細は、「ホストについて」を 参照してください。
注意:
注意: [ホスト][ホスト] は、イベントの hosthost フィールドの設定のみを⾏います。Splunk Enterprise にネットワー ク上の特定のホストを探すように指⽰するものではありません。
3.
3. データを保管するインデックスインデックス を設定します。異なる種類のイベントを取り扱うために、複数のインデックス を定義している場合を除き、この値は「default」のままにしてください。ユーザーデータ⽤のインデックスに加 えて、Splunk Enterprise にはさまざまなユーティリティインデックスが存在しています。これらのインデックス も、このドロップダウンボックスに表⽰されます。
4.
4. 緑⾊の [確認][確認] ボタンをクリックします。