Windwos サーバのログを Splunk Cloud に送信するプロセス
完成系のアーキテクチャは以下になります。
Universal Forwarder というのが、サーバにインストールするログ収集のエージェントで、Indexer は Splunk Cloud 内のログ保管 & インデックス化をするストレージになります。
また、Universal Forwarder は Splunk 独自のプロトコルで over SSL/TLS(クライアント認証有り)で暗号化して tcp/9997 送信ポート → パブリックインターネット経由で Splunk Cloud と接続します。 AWS の場合は、セキュリティグループのアウトバンドルールもこれに合わせて変更する必要がございます。
Universal Forwarder のハードウェア要件については以下になります。
- CPU:1.5Ghz
- RAM:512MB
- Disk 空き容量:5GB
こちらから Universal Forwarder をダウンロードしてホストにインストールしていきます。
インストーラを起動すると、まずライセンスの同意にチェックを入れます。次に UniversalForwarder の用途として、Splunk Cloud を選択します。
次にインストール先フォルダを指定します。デフォルトのまま進めます。
今回は、Local System にインストールします。(Domain・Virtual アカウントにもインストールすることができます。)
どのログを送信するか選択します。今回はイベントログだけにします。(候補にないフォルダのログは "Path to monitor" でログのファイルパスを指定します。)
Universal Forwarder のユーザ名とパスワードを設定します。
-
※このクレデンシャルについての注意点
- Splunk Cloud や Splunk Web とは別に Universal Forwarder を管理するために新たに作成するクレデンシャルです。
- Universal Forwarder をインストールするホストごとに作成する必要があります。
- 後に Splunk Cloud Platform と認証するために使用するのでメモしておいてください。
Deployment Server というのは、複数の Universal Forwarder を管理することが出来るスタンドアロンなサーバのデーモンです。今回は用意してないので、そのまま Next で進みます。
インストールしますか?の確認画面です。 Install で進みます。
インストールプロセス画面です。
インストール完了画面です。Finish で閉じます。
次に Universal Forwarder が Splunk Cloud と接続するために認証情報をインストールします。App > Universal Forwarder を選択します。
ステップ3の "Download Universal Forwarder Credentials" を選択して認証情報をダウンロードしてサーバの任意の場所に配置します。
そしたら、以下を参考に認証情報を Universal Forwarder へインストールします。
# 以下のコマンドでインストールします。
UniversalForwarderインストールフォルダパス\bin\splunk.exe install app splunkclouduf.splのファイルパス
# 以下クレデンシャルを求められるので、UniversalForwarder のインストール時に入力した username と password を入力する。
Splunk username:
Password:
App 'C:\Users\Administrator\Desktop\splunkclouduf.spl' installed
You need to restart the Splunk Server (splunkd) for your changes to take effect.
# 上記の通り、再起動します。
splunk.exe restart
# デーモンが再起動され、Starting になれば成功です。
SplunkForwarder: Stopped
Splunk> Map. Reduce. Recycle.
Checking prerequisites...
Checking mgmt port [8089]: open
Checking conf files for problems...
Done
Checking default conf files for edits...
Validating installed files against hashes from 'C:\Program Files\SplunkUniversalForwarder\splunkforwarder-9.2.0.1-d8ae995bf219-windows-64-manifest'
All installed files intact.
Done
All preliminary checks passed.
Starting splunk server daemon (splunkd)...
SplunkForwarder: Starting (pid 5164)
Done
ここまででログ収集プロセスが完了しました。Splunk Cloud コンソールで確認してみましょう。
App > Search & Reporting で検索画面を表示します。
サーチバーに index=* として、データを検索してみると、以下の様に Eventlogs が取り込まれていることを確認できました。
まとめ
今回は、Windows Server のログを Splunk Cloud に送信してみました。この先のログの整理や分析方法、可視化などについては後日執筆して、このブログにリンクしておきます。
また、企業様においては Syslog サーバへの送信方法 / Syslog サーバ → Splunk Cloud への送信方法でしたり、プロキシを経由させて送信する方法などの実用的なインストールプロセス・方法にご興味がおありかと思いますので、こちらについても順次、執筆していきます。