В этой главе кратко описывается порядок интеграции Kaspersky CyberTrace со Splunk.
О схемах интеграции
Возможны две схемы интеграции Kaspersky CyberTrace со Splunk:
В однокомпонентной схеме интеграции Kaspersky CyberTrace Service и экземпляр Splunk настраиваются и работают на одном и том же сервере или на разных серверах.
В распределенной схеме интеграции Kaspersky CyberTrace Service, Search Head App и Forwarder App устанавливаются в распределенной среде Splunk, при этом сервис и приложения настраиваются для взаимодействия друг с другом.
Порядок интеграции Kaspersky CyberTrace со Splunk по однокомпонентной схеме интеграции
Чтобы интегрировать Kaspersky CyberTrace со Splunk по однокомпонентной схеме интеграции, выполните следующие действия:
В однокомпонентной схеме интеграции Kaspersky CyberTrace и экземпляр Splunk устанавливаются на одном и том же сервере или на разных серверах. По умолчанию приложение Kaspersky CyberTrace App для Splunk устанавливается на одном сервере с Kaspersky CyberTrace. Однако рекомендуется устанавливать Kaspersky CyberTrace на отдельный сервер; в этом случае сервис Kaspersky CyberTrace Service необходимо настроить во время установки, а приложение Kaspersky CyberTrace для Splunk должно быть настроено на шаге 2 (ниже).
Этот шаг не является обязательным. Если пропустить этот шаг, Kaspersky CyberTrace App для Splunk будет использовать конфигурацию по умолчанию. События в CyberTrace в этом случае отправляться не будут.
По умолчанию приложение Kaspersky CyberTrace App для Splunk использует порт 9999
для отправки событий в Kaspersky CyberTrace и порт 9998
для получения событий от Kaspersky CyberTrace. Если эти порты используются другим приложением, необходимо изменить порт либо в Kaspersky CyberTrace App для Splunk, либо в этом другом приложении.
Этот шаг не является обязательным. Если пропустить этот шаг, скрипт поиска будет использовать конфигурацию по умолчанию.
Перед изменением каких-либо настроек процесса сопоставления необходимо выполнить проверку работоспособности.
Порядок интеграции со Splunk по схеме распределенной интеграции
Чтобы интегрировать Kaspersky CyberTrace со Splunk по схеме распределенной интеграции, выполните следующие действия:
В схеме распределенного развертывания Kaspersky CyberTrace можно установить на один из серверов, на которых уже установлен Forwarder или Indexer, либо на отдельный сервер.
В схеме распределенного развертывания во время установки необходимо настроить Kaspersky CyberTrace Service для получения событий от других объектов Splunk, таких как форвардеры и индексаторы, и отправлять свои собственные события в тот индексатор, в котором хранится индекс, используемый Kaspersky CyberTrace App для Splunk.
Этот шаг не является обязательным. Если пропустить этот шаг, скрипт поиска будет использовать конфигурацию по умолчанию.
Перед изменением каких-либо настроек процесса сопоставления необходимо выполнить проверку работоспособности.