При использовании распределенной схемы развертывания необходимо настроить Forwarder App в соответствии со структурой используемой распределенной среды Splunk. Например, могут потребоваться следующие изменения настройки: изменение адреса Kaspersky CyberTrace Service, используемого приложениями, или добавление новых источников событий для Forwarder App. Для Search Head App может потребоваться настройка адресов электронной почты для информационных сообщений.
Действия по настройке для Forwarder App и Search Head App
Для Forwarder App, возможно, потребуется выполнить следующие действия:
9998
. Для всех остальных Forwarder App это правило необходимо отключить путем указания значения true
для параметра disabled
для этого правила в конфигурационном файле Forwarder App. IP-адрес и порт Forwarder App, получающего события от Kaspersky CyberTrace, необходимо указать на вкладке Settings > Service в веб-интерфейсе Kaspersky CyberTrace.Для Search Head App может потребоваться выполнение следующих действий:
После внесения изменений в конфигурационные файлы перезапустите Splunk.
Редактировать следует только те конфигурационные файлы Forwarder App и Search Head App, которые описаны в этом разделе. Редактирование других конфигурационных файлов может привести к непредсказуемому поведению.
Конфигурационные файлы (распределенное развертывание)
В следующей таблице приведены конфигурационные файлы, используемые Forwarder App и Search Head App в следующих вариантах распределенной схемы развертывания:
Конфигурационные файлы Forwarder App и Search Head App
Приложение |
Конфигурационный файл |
Правила по умолчанию |
---|---|---|
Forwarder App |
|
Получает данные из источников на порт Получает события от Kaspersky CyberTrace на порт |
Forwarder App |
|
Пересылает данные на |
Forwarder App |
|
Парсинг данных, полученных на |
Search Head App |
|
Правила для шаблонов информационных сообщений. |
Правила парсинга данных по умолчанию
Способ парсинга входящих данных, применяемый в Splunk, задается в файле props.conf. По умолчанию в нем задаются следующие параметры:
Например, если входящие данные состоят из последовательности «%data_1%\n\n%data_2%»
, а перенос строки состоит из одного или нескольких символов \n
, Splunk разбивает эту последовательность на два события (%data_1%
и %data_2%
).
Ниже приведены правила по умолчанию, используемые в Forwarder App для парсинга входящих данных.
TIME_PREFIX = ^ MAX_TIMESTAMP_LOOKAHEAD = 17 TIME_FORMAT = %b %d %H:%M:%S LINE_BREAKER = ([\n]+) SHOULD_LINEMERGE = false |
В Universal Forwarder парсинг событий не предусмотрен. Настройки парсинга из props.conf не будут работать в Universal Forwarder. В этом случае парсинг событий будет выполняться непосредственно на индексаторе. См. Шаг 1. Установка приложений Forwarder App и Search Head App.
Изменение адреса и порта для пересылки данных в Kaspersky CyberTrace Service
По умолчанию в Forwarder App настроена пересылка данных в Kaspersky CyberTrace Service по адресу 127.0.0.1:9999
.
Чтобы изменить адрес и порт для пересылки данных в Kaspersky CyberTrace Service,
в конфигурационном файле outputs.conf
в разделе [tcpout:service9999]
укажите новые значения адреса и порта для Kaspersky CyberTrace Service в параметре server
.
В следующем примере задается адрес Kaspersky CyberTrace Service 192.0.2.100:9999
.
[tcpout:service9999] disabled=false server = 192.0.2.100:9999 sendCookedData = false |
Добавление новых источников событий
Чтобы добавить новые источники событий, отредактируйте файлы конфигурации приложения inputs.conf и props.conf.
Чтобы добавить новый источник событий, выполните следующие действия:
service9999
.Все данные из этого источника будут пересылаться в Kaspersky CyberTrace Service.
Убедитесь, что данные из нового источника событий успешно обрабатываются регулярными выражениям, используемыми Kaspersky CyberTrace.
Ниже приведен пример добавления адреса :3001
в качестве источника события; в примере задается, что данные с адреса :3001
должны обрабатываться, как и другие входные данные в схеме интеграции по умолчанию (в этой схеме форвардер, индексатор и search head установлены на одном сервере).
# в inputs.conf [tcp://:3001] _TCP_ROUTING = service9999
# в props.conf [source::tcp:3001] TIME_PREFIX = ^ MAX_TIMESTAMP_LOOKAHEAD = 17 TIME_FORMAT = %b %d %H:%M:%S LINE_BREAKER = ([\n]+) SHOULD_LINEMERGE = false |
Если для Splunk Forwarder уже настроено получение событий из разных источников событий и требуется отправлять события в Kaspersky CyberTrace Service, выполните действия в следующем порядке. Это возможно, если в поле server
конфигурационного файла outputs.conf приложения Forwarder App заданы IP-адрес и порт, указанные в элементе InputSettings > ConnectionString
конфигурационного файла Kaspersky CyberTrace Service.
Настройка пересылки событий в Kaspersky CyberTrace Service:
%SPLUNK_HOME%/etc/system/local/inputs.conf
), в поле defaultGroup
добавьте запятую и строку service9999
.В этом случае следует проверить логику пересылки событий и убедиться в том, что Splunk не отправляет события, поступающие из Kaspersky CyberTrace Service, обратно в Kaspersky CyberTrace Service.
Если файл конфигурации inputs.conf содержит параметр _TCP_ROUTING
для тех источников событий, события из которых отправляются в Kaspersky CyberTrace Service, добавьте запятую и строку service9999
в параметр _TCP_ROUTING
.
При необходимости настройки ScannersCount в Kaspersky CyberTrace можно изменить в соответствии с архитектурой Splunk.
Настройка Forwarder App для отправки событий в индексы
По умолчанию события, отправляемые из Forwarder App в Kaspersky CyberTrace Service, не регистрируются в индексах. Это поведение можно изменить путем настройки Forwarder App.
Чтобы настроить в Forwarder App отправку событий в индекс main, выполните следующие действия:
%SPLUNK_HOME%\etc\system\local\outputs.conf
найдите имя целевой группы, используемой для отправки событий в один или несколько индексаторов. Здесь %SPLUNK_HOME%
соответствует каталогу установки Splunk.По умолчанию для этой группы задано имя «default-autolb-group»:
[tcpout: default-autolb-group]
inputs.conf
, приложением Forwarder App, найдите раздел с правилом маршрутизации TCP service9999
:_TCP_ROUTING = service9999
Например, если имя целевой группы — «default-autolb-group», правило необходимо изменить следующим образом:
_TCP_ROUTING=service9999, default-autolb-group
Настройка шаблонов информационных сообщений
Дополнительную информацию о настройке шаблонов предупреждений см. в подразделе «Настройка шаблонов информационных сообщений» раздела Шаг 2 (необязательный). Настройка Kaspersky CyberTrace App.
В начало