LoginSignup
2
0

More than 1 year has passed since last update.

@yotake(yotake)inSysdig Japan合同会社

Sysdig SecureのSplunk連携

Last updated at Posted at 2023-02-22

Sysdig SecureのSplunkへのイベント転送を試したので、手順をご紹介します。
今回はSplunk Cloudの無料トライアルアカウントに対する転送をテストしました。
Sysdig Secureの該当ドキュメントは以下になります。
https://docs.sysdig.com/en/docs/sysdig-secure/secure-events/event-forwarding/forwarding-to-splunk/

Splunk Cloudのトライアルアカウント作成

まず、下記URLからSplunk Cloudの無料トライアルアカウントを申し込みます。
https://www.splunk.com/ja_jp/download/splunk-cloud.html

作成したトライアルアカウントのURLは以下のようになります。

Splunk Cloud Platform URL: https://.splunkcloud.com

Event Collectorトークンの作成

Splunk Cloud PlatformでEvent Collectorトークンを作成します。

設定 > データの追加に移動します。
image.png

モニター」を選択します。
image.png

HTTPイベントコレクターを選択し、名前(例:sysdig)を入力して「次へ>」をクリックします。
image.png

デフォルト設定のまま「確認>」をクリックします。
image.png

実行>」をクリックします。
image.png

トークンが作成されます。作成されたトークン値を確認します。
image.png

Sysdig UIでのイベント転送設定

Sysdig UIにログインし、Integrations > Outbound > Event Forwardingに移動します。
image.png

画面右上のAdd Integrationをクリックし、HEC(Splunk)を選択します。
image.png

設定画面で、以下の値を入力します。
image.png

Integration Name:
このSplunk連携につける任意の名前(例:yo-Splunk)

URL:
Splunk Cloud PlatformのHEC URIを入力します。
Splunk Cloud Platform無料トライアルの場合は、以下のURLとなります。
https://<host>.splunkcloud.com:8088/services/collector/event
(例:https://prd-p-xxxx.splunkcloud.com:8088/services/collector/event)

下記Splunkドキュメントにはホスト名の前に"http-inputs-"を付けるように指示がありますが、不要です。"http-inputs-"を付けるとイベント転送ができません。
https://docs.splunk.com/Documentation/Splunk/9.0.4/Data/UsetheHTTPEventCollector#Send_data_to_HTTP_Event_Collector_on_Splunk_Cloud_Platform

転送先のURLやポート番号は、Splunk Enterpriseや商用版のSplunk Cloud Platformの場合は異なります。詳細は下記Splunkドキュメントをご参照ください。
https://docs.splunk.com/Documentation/Splunk/9.0.4/Data/UsetheHTTPEventCollector#Send_data_to_HTTP_Event_Collector_on_Splunk_Cloud_Platform

Token:
先ほどSplunk側で作成したEvent Collectorトークン値を入力します。

Certificate:
今回はテストなのでNoneのままとします。

Index:
Splunk側のIndex名を入力します。デフォルトのIndex名はdefaultです。

Source Type:
イベントのデータ構造を指定します。
今回は空欄のままにします。空欄の場合はデータタイプごとにソースタイプを持ちます。

Data to Send:
Splunkに転送するデータを指定します。
Sysdigプラットフォームの監査ログやSysdig Secureのイベントログなど、複数指定できます。

Allow insecure connections:
今回はAllowにチェックを入れて、自己署名による接続を許可します。

Enabled:
Splunkへの転送を有効化します。
有効化する前に、その下のTest Integrationで接続テストに成功する必要があります。

Test Integrationで接続テストに成功し、Enabledで有効化した後に、Saveで設定を保存します。

接続テストに失敗する場合は、下記Curlコマンドでも接続を試してみてください。

curl --insecure https://<host名>.splunkcloud.com:8088/services/collector/event -H "Authorization: Splunk <SplunkのEvent Collector Token値>" -d '{"event": "hello world"}'

下記レスポンスが返ってきた場合は接続に成功しています。
{"text": "Success", "code": 0}

Splunk UI上でのSysdigイベント転送の確認

Search & Reportingをクリックします。
image.png

source="http:sysdig"で検索すると、転送されたイベントが表示されます。
image.png

まとめ

転送先として設定するHEC URIの設定で、Splunkドキュメントの指示どおりではうまく転送できずに戸惑いましたが、最終的には問題なくSysdig SecureのイベントをSplunkに転送できることを確認しました。

2
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
2
0