Windows サーバのイベントログを Splunk Cloud に送信してみた

Windows サーバのイベントログを Splunk Cloud に送信してみた

皆さんこんにちはアライアンス事業部のさくまです。今回は Splunk Cloud のトライアルアカウントを使って、Windows サーバのログを Splunk Cloud に送信する方法をご紹介します。
#Splunk
#SIEM
#セキュリティ
佐久間昇吾

佐久間昇吾

facebook logohatena logotwitter logo
Clock Icon2024.02.16

Windwos サーバのログを Splunk Cloud に送信するプロセス

完成系のアーキテクチャは以下になります。

Universal Forwarder というのが、サーバにインストールするログ収集のエージェントで、Indexer は Splunk Cloud 内のログ保管 & インデックス化をするストレージになります。

また、Universal Forwarder は Splunk 独自のプロトコルで over SSL/TLS(クライアント認証有り)で暗号化して tcp/9997 送信ポート → パブリックインターネット経由で Splunk Cloud と接続します。 AWS の場合は、セキュリティグループのアウトバンドルールもこれに合わせて変更する必要がございます。

Universal Forwarder のハードウェア要件については以下になります。

  • CPU:1.5Ghz
  • RAM:512MB
  • Disk 空き容量:5GB

こちらから Universal Forwarder をダウンロードしてホストにインストールしていきます。

インストーラを起動すると、まずライセンスの同意にチェックを入れます。次に UniversalForwarder の用途として、Splunk Cloud を選択します。

次にインストール先フォルダを指定します。デフォルトのまま進めます。

今回は、Local System にインストールします。(Domain・Virtual アカウントにもインストールすることができます。)

どのログを送信するか選択します。今回はイベントログだけにします。(候補にないフォルダのログは "Path to monitor" でログのファイルパスを指定します。)

Universal Forwarder のユーザ名とパスワードを設定します。

    ※このクレデンシャルについての注意点

  • Splunk Cloud や Splunk Web とは別に Universal Forwarder を管理するために新たに作成するクレデンシャルです。
  • Universal Forwarder をインストールするホストごとに作成する必要があります。
  • 後に Splunk Cloud Platform と認証するために使用するのでメモしておいてください。

Deployment Server というのは、複数の Universal Forwarder を管理することが出来るスタンドアロンなサーバのデーモンです。今回は用意してないので、そのまま Next で進みます。

インストールしますか?の確認画面です。 Install で進みます。

インストールプロセス画面です。

インストール完了画面です。Finish で閉じます。

次に Universal Forwarder が Splunk Cloud と接続するために認証情報をインストールします。App > Universal Forwarder を選択します。

ステップ3の "Download Universal Forwarder Credentials" を選択して認証情報をダウンロードしてサーバの任意の場所に配置します。

そしたら、以下を参考に認証情報を Universal Forwarder へインストールします。

# 以下のコマンドでインストールします。
UniversalForwarderインストールフォルダパス\bin\splunk.exe install app splunkclouduf.splのファイルパス
# 以下クレデンシャルを求められるので、UniversalForwarder のインストール時に入力した username と password を入力する。
Splunk username:
Password:
App 'C:\Users\Administrator\Desktop\splunkclouduf.spl' installed
You need to restart the Splunk Server (splunkd) for your changes to take effect.
# 上記の通り、再起動します。
splunk.exe restart
# デーモンが再起動され、Starting になれば成功です。
SplunkForwarder: Stopped

Splunk> Map. Reduce. Recycle.

Checking prerequisites...
        Checking mgmt port [8089]: open
        Checking conf files for problems...
        Done
        Checking default conf files for edits...
        Validating installed files against hashes from 'C:\Program Files\SplunkUniversalForwarder\splunkforwarder-9.2.0.1-d8ae995bf219-windows-64-manifest'
        All installed files intact.
        Done
All preliminary checks passed.

Starting splunk server daemon (splunkd)...

SplunkForwarder: Starting (pid 5164)
Done

ここまででログ収集プロセスが完了しました。Splunk Cloud コンソールで確認してみましょう。

App > Search & Reporting で検索画面を表示します。

サーチバーに index=* として、データを検索してみると、以下の様に Eventlogs が取り込まれていることを確認できました。

まとめ

今回は、Windows Server のログを Splunk Cloud に送信してみました。この先のログの整理や分析方法、可視化などについては後日執筆して、このブログにリンクしておきます。

また、企業様においては Syslog サーバへの送信方法 / Syslog サーバ → Splunk Cloud への送信方法でしたり、プロキシを経由させて送信する方法などの実用的なインストールプロセス・方法にご興味がおありかと思いますので、こちらについても順次、執筆していきます。

Share this article

facebook logohatena logotwitter logo

関連記事

Google CloudのログをPub/SubからPULLしてSplunkに連携する

Google CloudのログをPub/SubからPULLしてSplunkに連携する

User avatar
根本夏瑠
2024.11.12
Splunk Core Certified Power User (SPLK-1002) を受けた話し

Splunk Core Certified Power User (SPLK-1002) を受けた話し

User avatar
酒井剛
2024.11.08
マルチクラウド環境をSplunkで可視化分析してみた!

マルチクラウド環境をSplunkで可視化分析してみた!

User avatar
酒井剛
2024.11.06
[小ネタ] Splunk マルチアカウントで便利なAWSの分析

[小ネタ] Splunk マルチアカウントで便利なAWSの分析

User avatar
酒井剛
2024.11.01
Classmethod's white logo
Facebook's logo
X's logo
YouTube's logo

© Classmethod, Inc. All rights reserved.