こんにちは。torippy1024です。
先日(2025/1/23)、Splunk Enterprise Security 8.0.2がリリースされ、splunkbaseからダウンロードできるようになりました。
というわけで、初期インストール手順(アップグレード手順ではない)を試してみることにしました。
そんなに難しい手順ではなかったです。
公式ドキュメントは以下です。
https://docs.splunk.com/Documentation/ES/8.0.2/Install/Overview
導入環境とハードウェア要件
導入環境は以下です。
以前書いた記事(https://qiita.com/torippy1024/items/0496269c51582ca8708d )に対して、新しくEnterprise Security用のSearch Headを追加し、そこにEnterprise Security 8.0.2をインストールします。
Enterprise Securityを導入する際には、専用のSearch Headを用意する要件があるので、それに従います。
https://docs.splunk.com/Documentation/ES/8.0.2/Install/DeploymentArchitectures
ES用Search Headのハードウェア要件は以下を参照してください。
なんだかやたらCPU/メモリを消費するように書かれていますが、これはESの特性上、大量のサーチを実行したりイベント作成などを大量に実行する必要があるためと考えられます。
https://docs.splunk.com/Documentation/ES/latest/Install/Requirements
インストールだけだったら8vCPU/16GBメモリ程度で動作します。
(最初は3vCPU/4GBメモリで試したみたのですが、さすがにスペック不足でインストールエラーが発生してしまっていました)
ES用Search Headのインストール(Linux)
まず、ES用Search HeadインスタンスにSearch Head(Splunk Enterprise)をインストールします。
既存のSearch Headと同じ手順でインストールできます。
(ただし、業務やセキュリティ要件が異なると、既存のSearch Headとロール/ユーザー設定を変える必要性も出てくるので注意してください。既存Seach HeadとES用Seach Headはそれぞれ単体で動作しており、ナレッジオブジェクトやロール/ユーザー設定は同期しないことに注意してください)
https://qiita.com/torippy1024/items/0496269c51582ca8708d#4shsearch-head%E3%81%A8%E3%81%97%E3%81%A6%E3%81%AE%E8%A8%AD%E5%AE%9A
Enterprise Security 8.0.2のインストール
公式ドキュメントのES8.0.2インストール手順は以下の通りです。
https://docs.splunk.com/Documentation/Splunk/8.0.2/Installation/InstallonLinux
(1)Splunk Enterprise Securityファイルのダウンロード
splunkbaseより、ESインストールファイルのダウンロードします。数百MBくらいの容量でそこそこ大きいので注意してください。
splunkアカウントが必要ですが、まあ
https://splunkbase.splunk.com/app/263
(2)事前設定変更
ドキュメントの手順によると、以下でインストーラー容量のWebアップロード制限の拡大設定をやれと記載されていますので設定変更しておきます。
(GUIでなくCLIでインストールする場合は不要かもしれません)
https://docs.splunk.com/Documentation/ES/8.0.2/Install/InstallSplunkES#Install_Splunk_Enterprise_Security
sudo -u splunk vi /opt/splunk/etc/system/local/web.conf
(以下のように記載。[settings]stanzaがすでにある場合はその下に、ない場合はそれも追記)
---
[settings]
max_upload_size = 2048
---
sudo -u splunk cat /opt/splunk/etc/system/local/web.conf
(以下のように表示されることを確認)
---
[settings]
max_upload_size = 2048
---
sudo -u splunk cat /opt/splunk/bin/splunk restart
設定変更後は再起動するようにしてください。
(3)CLIによるインストール
splunkbaseより取得したESインストールファイル(splunk-enterprise-security_802.spl)をSearch Headに転送し、コマンドラインにてESをインストールします。
sudo -u splunk cat /opt/splunk/bin/splunk install app splunk-enterprise-security_802.spl
sudo -u splunk cat /opt/splunk/bin/splunk restart
設定変更後は念の為再起動しておきます。
(4)GUIによる継続インストール
CLIによるインストールが完了したら、ES用Search Headにログインし、「Enterprise Security」Appを起動します。
「Continue to setup page」-「Start Configuration Proccess」と選択していきます。
「setup complete」と表示されたら初期インストールは完了です。
Home画面にはこれまでのES7.2と比べてあまり変化はありません。
これまでのIncident Review画面は、Analyst Queueという名称に変更になっています。
それ以外にもES8.0.2では、Open Cybersecurity Schema Framework(OCSF)に準拠するためいくつかの用語に変更が加わったようです。
https://www.splunk.com/ja_jp/blog/conf-splunklive/introducing-the-siem-of-the-future-splunk-enterprise-security-8-0.html
これら用語の変化については、別記事でまとめたいと思います。
以上です。