Splunk-WindowsおよびLinuxのログを収集するためのエージェントのインストール

さまざまなデータをSplunkにロードする方法についてよく質問されます 。 最も一般的な関心のあるソースの1つは、オペレーティングシステムの問題を追跡および管理できるWindowsおよびLinuxのログでした。 Splunkにデータをアップロードすることにより、数十または数百の異なるソースがある場合でも、1か所ですべてのシステムの動作を分析できます。







この記事では、WindowsおよびLinuxからSplunkにデータをダウンロードして、さらに処理および分析する方法を順を追って説明します。

基本的なインフラストラクチャを構成する

データの収集を開始するには、次のシステム要素が必要です。

• Splunk-インデクサー
• Windowsサーバー
• Linuxサーバー

Splunkにログをアップロードするには、最初にインデクサーを設定する必要があります。これには以下が必要です。











この段階で、インデクサーの予備設定を完了し、WindowsおよびLinuxマシンにエージェントをインストールします。

WINDOWS

ログをダウンロードするための汎用ツールは、特別なエージェントであるSplunk Universal Forwarderです。 Universal Forwarderは、機能が大幅に制限されたSplunk Enterpriseのバージョンであり、その唯一のタスクはホストからデータを収集して送信することです。



こちらからダウンロードできます。







上の写真は、Universal ForwarderがWindowsとLinux、Solarisと他のオペレーティングシステムの両方にインストールできることを示しています。



1. Universal Forwarderをインストールします





Deployment Serverとして、「Send to indexer」アプリケーションを作成したSplunkインデクサーのIPアドレスまたは名前を指定します。 デフォルトのポートは8089です。 「インデクサーに送信」がこれらの機能を実行するため、受信インデクサーセクションは空白のままになります。



2.次のステップは、Splunkに戻り、「インデクサーに送信」アプリケーションのサーバークラスを定義することです。



サーバークラスは、どのターゲットクライアントマシン間でどのアプリケーションを配布するかを示すルールに似ています。 サーバーのさまざまなクラスの形成基準は、マシンのタイプ、OS、地理的領域、またはアプリケーションのタイプである場合があり、クラスは重複する場合があります。 （詳細は公式ウェブサイトで見つけることができます）



設定-フォワーダー管理-編集アクション-新しいクラスを追加します。







3.保存後、配布するアプリケーションを追加するよう求められます。これは、いわゆるクライアントと呼ばれるシステムをターゲットにして、配布先となるものです。







アプリケーションセクションに「 インデクサーに送信 」 を追加します。







4.次に、クライアントを追加します。 クライアントは、Universal ForwarderをインストールしたWindowsマシンになります。 Universal Forwarderが正しくインストールされていれば、 Deployment Serverに接続されているクライアントのリストにマシンが表示されます 。 Include（whitelist）に入れます 。







5. _internalインデックスの内容を見ると、すべてが正しく機能するかどうかを確認できます。 「インデクサーに送信」をサーバークラスに追加すると、Universal Forwarderはそこで内部ログの送信を開始します。 また、このインデックスでは、エージェントが適切に機能しているかどうかをさらに監視できます。



6.次に、 SplunkBase Webサイトから特別なアドオンをダウンロードします。これにより、Windowsの操作に関するデータを収集できます。



7. Splunk-Indexerにアプリケーションをインストールします（ アプリ-アプリの管理-ファイルからアプリをインストール ）

デフォルトでは、ディレクトリ... \ Splunk \ etc \ apps \ Splunk_TA_windowsにインストールされますが、このアプリケーションを展開サーバーにアクセスできるようにdeployment-appsフォルダーにコピーして、同じ方法で他のマシンに送信できるようにする必要がありますおよび「インデクサーに送信」。 （ 重要 ：データに必要なインデックスがインデクサー上に形成されるように、appsフォルダーにも保持する必要があります）。



8.次に、アプリケーションを事前設定する必要があります。

ディレクトリに移動します... \ Splunk \ etc \ deployment-apps \ Splunk_TA_windows

その中にサブディレクトリ「ローカル」を作成します（ 重要 ：ローカルディレクトリ内の構成ファイルを常に変更します）。



inputs.confファイルをコピーします。 .. \ Splunk \ etc \ deployment-apps \ Splunk_TA_windows \ default \ inputs.confはローカルディレクトリにあります。



必要なデータのインデックス作成をオンにします。 これを行うために、 ローカルディレクトリからテキストエディタを介してinputs.confファイルにいくつかの変更を加えます。 ファイルの必要なブロックで、disabled = 1の値をdisabled = 0に置き換えます。 アプリケーション、セキュリティ、システムのシステムログを追加しましょう。







9.次に、Splunk-indexerで、先ほど作成したサーバークラスをアプリケーションに追加します。 （ 設定-フォワーダー管理-アプリ-Splunk_TA_Windows-「+」-Windows Forwarder ）







10. 展開サーバーを再起動します 。これは、ディレクトリ... / splunk / binからコマンドラインを使用して実行できます。

 ./splunk reload deploy-server
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

データがアップロードされているかどうかを確認します。 （ 設定-インデックス ）wineventlogインデックスに含まれている必要があります。 図からわかるように、現時点で最後にダウンロードされたデータには3分前のタイムスタンプがあります。

リナックス

Linuxのセキュリティを改善するツールの1つは、監査済み監査サブシステムです。 その助けを借りて、すべてのシステムイベントに関する詳細情報を取得できます。 Splunkでインデックスを作成するのは、このシステムによって生成されたデータです。



（Linux CentOSのコードが表示されます）



1.マシンに監査システムが事前にインストールされているかどうかを確認し、インストールされていない場合はインストールします。

 sudo yum list audit audit-libs sudo yum install audit audit-libs
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

追跡する新しいルールを追加します。

 sudo auditctl -w /etc/ -p wa -k test_audit
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

機能を使用してその可用性を確認できます。

 auditctl -l
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

auditdによって生成されたログは、ファイルに分類されます。

 cd /var/log/audit/audit.log cat audit.log
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

2.次に、 Universal Forwarderをインストールします。 リンクでディストリビューションを見つけることができます。



.rpmファイルをダウンロードする必要があります。ダウンロードした後、wgetリンクを取得できます。

 yum install wget cd /tmp/ wget -O splunkforwarder-7.0.3-fa31da744b51-linux-2.6-x86_64.rpm 'https://www.splunk.com/bin/splunk/DownloadActivityServlet?architecture=x86_64&platform=linux&version=7.0.3&product=universalforwarder&filename=splunkforwarder-7.0.3-fa31da744b51-linux-2.6-x86_64.rpm&wget=true' rpm -i splunkforwarder-7.0.3-fa31da744b51-linux-2.6-x86_64.rpm
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

3.次に、splunkの操作を担当する新しいユーザーを作成します。

 adduser splunk
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

4.作成したユーザーに権限を付与し、UniversalForwarderに代わって実行します。

 chown -R splunk:splunk /opt/splunkforwarder/ /opt/splunkforwarder/bin/splunk enable boot-start -user splunk
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

5. Windowsの一部のように、フォワーダーを構成し、 Deployment Serverを指定します。これは、IPアドレスまたは名前Splunk-indexer /

 /opt/splunkforwarder/bin/splunk set deploy-poll <IP- Splunk Indexer> :8089 -auth admin:changeme /opt/splunkforwarder/bin/splunk edit user admin -password <  > -auth admin:changeme /opt/splunkforwarder/bin/splunk restart
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

6.フォワーダーが次のように機能するかどうかを確認できます。

  cd /opt/splunkforwarder/bin/ ./splunk status
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

7.次に、Splunk-indexerに移動し、特別なアドオンをインストールして、Linuxからログを転送できるようにします。 配布リンクをダウンロードできます。



8.インストール後、次のアドレス../splunk/etc/apps/Splunk_TA_nixにアプリケーションのあるフォルダーが見つかります。 Splunk_TA_nixフォルダーをアプリからdeployment-appsにコピーします 。 このアプリケーションが展開サーバーで使用可能として表示されるため。



ディレクトリ... / deployment-apps / Splunk_TA_nixで、ローカルフォルダーを作成し、input.confファイルを../Splunk_TA_nix/defaultフォルダーからそこにコピーします。



ファイル... / deployment-apps / Splunk_TA_nix / local / input.confで、テキストエディターを使用して、収集するフォルダーのデータを表示する変更を行います。 私たちの場合、これは/ var / log / auditです。



input.confにはセクション[monitor：/// var / log]があり、disabled = 1からdisabled = 0に変更する必要があります（重要：必要なフォルダーがホワイトリストにない場合は、ホワイトリストにあることを確認しますが、追加する必要があります）



9.次に、Deploymentサーバーが新しいクライアントであるLinuxマシンを検出したかどうかを確認します。 （ 設定-フォワーダー管理-クライアント ）。



そうでない場合は、マシンの名前（ホスト名）を確認する必要があります。マシンインデクサーの名前と一致する場合は、変更する必要があります。変更しないとエラーが発生します。

 cd /etc/hosts cat hosts hostname test.testdomain.com
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

10.次に、Linuxに関連する新しいサーバークラスを作成します。

設定-フォワーダー管理-サーバークラス-新しいサーバークラス







11.「インデクサーに送信」および「Splunk_TA_nix」アプリケーションをこのクラスに追加し、Linuxマシンをクライアントとして追加します。







ユニバーサルフォワーダー（ユニバーサルフォワーダーを使用するユーザー）が監視する必要のあるフォルダーにアクセスできない場合、ファイルはダウンロードされないことに注意してください。 したがって、この点を考慮してアクセスを許可する必要があります。



12.最後に、 展開 サーバー rを再起動する必要があります。これは、ディレクトリ... / splunk / binからコマンドラインを使用して実行できます。

 ./splunk reload deploy-server
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

上記の操作を実行した後、OSインデックスにロードされるLinuxログを受け取ります。

おわりに

したがって、詳細な分析と処理のために、WindowsおよびLinuxからSplunkにログをロードする方法を示しました。 この情報がお役に立てば幸いです。



このトピックに関するすべての質問とコメントに回答させていただきます。 また、この分野、または一般的なマシンデータ分析の分野に特に興味がある場合は、特定のタスクのために既存のソリューションを完成させる準備ができています。 これを行うには、コメントにそれについて書くか、当社のウェブサイトのフォームからリクエストを送信してください。