今回はSplunk上でSysdigのログをグラフィカルに表示できるSysdig App for Splunkを使用してみたので、手順をご紹介します。
Sysdig App for Splunkのインストール
-
Splunk UIにログインします。
-
他のAppのサーチ をクリックします。.
-
“sysdig” で検索します。
4. Sysdig Add-on for Splunkの インストール をクリックします。
詳細情報:
5. Sysdig App for Splunkの インストール をクリックします。
詳細情報:
インストール時には Splunk.com の認証情報を入力する必要があります。
Sysdig SecureからSplunkへのイベントの転送設定
下記手順をご参照ください。
連携設定のSource Typeは空欄のままにしてください。
イベントが問題なく転送できていることを、下記の検索ワードで確認します。
source="http:sysdig"
Sysdig App for Splunkの使用
セキュリティイベントを発生させる
- Sysdig UIにログインします。
- Policy > Runtime Policy に移動します。
- トグルボタンで Sysdig Runtime Notable Events ポリシーを有効化します。
4. 以下のコマンドでセキュリティイベントを発生させます。
kubectl run nginx --image=nginx
kubectl exec -it nginx -- bash
touch /dev/aaa
Sysdig App for Splunk UIでの確認
Appメニューから Sysdig App for Splunk を開きます。
Sysdig App for Splunk画面では、Sysdig App for Splunk をインストールした後に発生したイベントのみが表示されます。
Policy Events Overview画面
イベントが表示されないときは、先ほど発生したセキュリティイベントがSplunkに問題なく転送できていることを、サーチ 画面で下記の検索ワードを使用して確認します。
source="http:sysdig"
Sysdig App for Splunkを追加した後の時間のセキュリティイベントが記録されていることを確認してください。記録されていない場合は、SysdigからSplunkへの転送(連携)設定に問題があります。
Activity Audit Overview画面
Audit Tap Overview Tab
Audit Tapイベントの転送を有効にするためには、Sysdig Supportに連絡する必要があります
まとめ
Sysdig App for Splunkを使用して、Splunk上でSysdigのログを簡単にグラフィカルに表示できることを確認できました。