LoginSignup
0

Sysdig App for Splunkを使ってみた

Last updated at Posted at 2023-04-07

今回はSplunk上でSysdigのログをグラフィカルに表示できるSysdig App for Splunkを使用してみたので、手順をご紹介します。

Sysdig App for Splunkのインストール

  1. Splunk UIにログインします。

  2. 他のAppのサーチ をクリックします。.
    image.png

  3. “sysdig” で検索します。

image.png

4. Sysdig Add-on for Splunkの インストール をクリックします。
詳細情報: 

5. Sysdig App for Splunkの インストール をクリックします。
詳細情報:

インストール時には Splunk.com の認証情報を入力する必要があります。
image.png

Sysdig SecureからSplunkへのイベントの転送設定

下記手順をご参照ください。

連携設定のSource Typeは空欄のままにしてください。

イベントが問題なく転送できていることを、下記の検索ワードで確認します。

source="http:sysdig"

image.png

Sysdig App for Splunkの使用

セキュリティイベントを発生させる

  1. Sysdig UIにログインします。
  2. Policy > Runtime Policy に移動します。
  3. トグルボタンで Sysdig Runtime Notable Events ポリシーを有効化します。
    image.png

4. 以下のコマンドでセキュリティイベントを発生させます。

kubectl run nginx --image=nginx

kubectl exec -it nginx -- bash

touch /dev/aaa
image.png

Sysdig App for Splunk UIでの確認

Appメニューから Sysdig App for Splunk を開きます。
image.png

Sysdig App for Splunk画面では、Sysdig App for Splunk をインストールした後に発生したイベントのみが表示されます。

Policy Events Overview画面

image.png

イベントが表示されないときは、先ほど発生したセキュリティイベントがSplunkに問題なく転送できていることを、サーチ 画面で下記の検索ワードを使用して確認します。
source="http:sysdig"

Sysdig App for Splunkを追加した後の時間のセキュリティイベントが記録されていることを確認してください。記録されていない場合は、SysdigからSplunkへの転送(連携)設定に問題があります。

Activity Audit Overview画面

image.png
image.png

Audit Tap Overview Tab

Audit Tapイベントの転送を有効にするためには、Sysdig Supportに連絡する必要があります

image.png
image.png

まとめ

Sysdig App for Splunkを使用して、Splunk上でSysdigのログを簡単にグラフィカルに表示できることを確認できました。

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
0