分散型デプロイメントのスキームでは、お使いの分散型 Splunk 環境の構成に基づき、Forwarder App と Search Head App をインストールする必要があります。アプリをインストールするコンピューターを選択する方法についての詳細は、「分散型連携スキームについて」を参照してください。
Forwarder App は以下のファイルからインストールされます:
%service_dir%/integration/splunk/Kaspersky-CyberTrace-App-for-Splunk_Forwarder.tar.gz
%service_dir/integration/splunk/Kaspersky-CyberTrace-App-for-Splunk_Universal-Forwarder.tar.gz
Search Head App は、ファイル %service_dir%/integration/splunk/Kaspersky-CyberTrace-App-for-Splunk_Search-Head.tar.gz
からインストールされます。
アプリのインストール
Forwarder App for Heavy Forwarder と Search Head App は Splunk Web からインストールされます。アプリケーションファイル名のみがインストールプロセスで異なります。
Splunk Universal Forwarder には Splunk Web インターフェイスがないため、Forwarder App for Universal Forwarder はホストに直接インストールされます。
Forwarder App for Heavy Forwarder または Search Head App をインストールするには:
[Manage Apps]ボタン
[Install app from file]ボタン
[Choose File]ボタン
[Upload]ボタン
このステップは、Splunk のバージョンによっては省略できます。Splunk に[Restart required]ウィンドウが表示されない場合、このステップを省略します。
[Restart Splunk]
アプリリストに表示される Kaspersky Search Head App for Splunk
Forwarder App for Universal Forwarder をインストールするには:
ディレクトリ %SPLUNK_HOME%/etc/apps/Splunk_TA_Kaspersky-CyberTrace-App-for-Splunk-Universal-Forwarder に、ディレクトリ default、metadata、static とファイル README.txt が存在することを確認します。
ファイル %SPLUNK_HOME%/etc/system/local/inputs.conf が既に存在する場合は、手動で構成します。
既定では、このグループの名前は default-autolb-group です。ファイル %SPLUNK_HOME%/etc/system/local/outputs.conf で、Indexer グループの実際の名前を確認できます。既定の inputs.conf の設定では、Splunk Universal Forwarder の内部ログは Kaspersky CyberTrace を含むすべてのソースに転送されます。上記のステップでは、Splunk のログが Indexer にのみ転送されるようにすることができます。
以下は、ファイル %SPLUNK_HOME%/etc/system/local/inputs.conf のコンテンツの例です:
[monitor://%SPLUNK_HOME%/var/log/splunk/splunkd.log] _TCP_ROUTING = default-autolb-group index = _internal
[monitor://%SPLUNK_HOME%/var/log/splunk/metrics.log] _TCP_ROUTING = default-autolb-group index = _internal |
%SPLUNK_HOME%/bin/splunk restart
ファイルが存在しない場合は新たに作成します。
Universal Forwarder はイベントを解析できず、props.conf で定義されている解析設定は Universal Forwarder で実行されないため、このステップは必須です。この場合、イベントは Indexer で直接解析されます。
%SPLUNK_HOME%/bin/splunk restart