Sysdig SecureのSplunkへのイベント転送を試したので、手順をご紹介します。
今回はSplunk Cloudの無料トライアルアカウントに対する転送をテストしました。
Sysdig Secureの該当ドキュメントは以下になります。
https://docs.sysdig.com/en/docs/sysdig-secure/secure-events/event-forwarding/forwarding-to-splunk/
Splunk Cloudのトライアルアカウント作成
まず、下記URLからSplunk Cloudの無料トライアルアカウントを申し込みます。
https://www.splunk.com/ja_jp/download/splunk-cloud.html
作成したトライアルアカウントのURLは以下のようになります。
Splunk Cloud Platform URL: https://.splunkcloud.com
Event Collectorトークンの作成
Splunk Cloud PlatformでEvent Collectorトークンを作成します。
HTTPイベントコレクターを選択し、名前(例:sysdig)を入力して「次へ>」をクリックします。
Sysdig UIでのイベント転送設定
Sysdig UIにログインし、Integrations > Outbound > Event Forwardingに移動します。
画面右上のAdd Integrationをクリックし、HEC(Splunk)を選択します。
Integration Name:
このSplunk連携につける任意の名前(例:yo-Splunk)
URL:
Splunk Cloud PlatformのHEC URIを入力します。
Splunk Cloud Platform無料トライアルの場合は、以下のURLとなります。
https://<host>.splunkcloud.com:8088/services/collector/event
(例:https://prd-p-xxxx.splunkcloud.com:8088/services/collector/event)
下記Splunkドキュメントにはホスト名の前に"http-inputs-"を付けるように指示がありますが、不要です。"http-inputs-"を付けるとイベント転送ができません。
https://docs.splunk.com/Documentation/Splunk/9.0.4/Data/UsetheHTTPEventCollector#Send_data_to_HTTP_Event_Collector_on_Splunk_Cloud_Platform
転送先のURLやポート番号は、Splunk Enterpriseや商用版のSplunk Cloud Platformの場合は異なります。詳細は下記Splunkドキュメントをご参照ください。
https://docs.splunk.com/Documentation/Splunk/9.0.4/Data/UsetheHTTPEventCollector#Send_data_to_HTTP_Event_Collector_on_Splunk_Cloud_Platform
Token:
先ほどSplunk側で作成したEvent Collectorトークン値を入力します。
Certificate:
今回はテストなのでNone
のままとします。
Index:
Splunk側のIndex名を入力します。デフォルトのIndex名はdefault
です。
Source Type:
イベントのデータ構造を指定します。
今回は空欄のままにします。空欄の場合はデータタイプごとにソースタイプを持ちます。
Data to Send:
Splunkに転送するデータを指定します。
Sysdigプラットフォームの監査ログやSysdig Secureのイベントログなど、複数指定できます。
Allow insecure connections:
今回はAllow
にチェックを入れて、自己署名による接続を許可します。
Enabled:
Splunkへの転送を有効化します。
有効化する前に、その下のTest Integration
で接続テストに成功する必要があります。
Test Integration
で接続テストに成功し、Enabledで有効化した後に、Saveで設定を保存します。
接続テストに失敗する場合は、下記Curlコマンドでも接続を試してみてください。
curl --insecure https://<host名>.splunkcloud.com:8088/services/collector/event -H "Authorization: Splunk <SplunkのEvent Collector Token値>" -d '{"event": "hello world"}'
下記レスポンスが返ってきた場合は接続に成功しています。
{"text": "Success", "code": 0}
Splunk UI上でのSysdigイベント転送の確認
source="http:sysdig"
で検索すると、転送されたイベントが表示されます。
まとめ
転送先として設定するHEC URIの設定で、Splunkドキュメントの指示どおりではうまく転送できずに戸惑いましたが、最終的には問題なくSysdig SecureのイベントをSplunkに転送できることを確認しました。