Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Splunk から転送される Windows イベントの収集

イベントを収集するには、Windows エンド ポイントでイベントを JSA コンソール と Splunk インデクサーに転送するように構成できます。

Splunk 導入のアグリゲーション ノードから Windows イベントを転送することは推奨されません。Spunk フォワーダを使用して Windows イベント データを JSA に送信します。複数の Windows エンド ポイントから JSA にイベントを転送する Splunk インデクサーは、Splunk インデクサーの IP アドレスでイベントの真のソースを曖昧にします。ログ ソースで不正な IP アドレスの関連付けが発生しないようにするには、Windows エンド ポイント システムを更新して、インデクサーと JSA コンソールの両方に転送します。

Splunk イベントは、TCP マルチライン syslog プロトコルを使用した Microsoft Windows セキュリティ イベント ログ DSM を使用して解析されます。プロトコルで設定された正規表現は、Splunk イベントがイベント ペイロードのどこで開始または終了するかを定義します。イベント パターンにより、 JSA は未加工の Windows イベント ペイロードを、 JSA が読み取り可能な単一行のイベントとしてアセンブルできます。Windows イベントの収集に必要な正規表現は、ログ ソース構成で概説されています。

Splunk syslog イベントのイベント収集を設定するには、以下のタスクを完了する必要があります。

  1. JSA アプライアンスで、Microsoft Windows セキュリティ イベント ログ DSM を使用するようにログ ソースを構成します。

    メモ:

    Splunk イベントのログ ソースを 1 つ設定する必要があります。 JSA は、最初のログ ソースを使用して、より多くの Windows エンド ポイントを自動検出できます。

  2. Splunk アプライアンスで、Windows インスタンス上の各 Splunk Forwarder を構成して、Windows イベント データを JSA コンソール または イベント コレクターに送信します。

    Splunk Forwarder を設定するには、props.conf、transforms.confoutput.conf 設定ファイルを編集する必要があります。イベント転送の詳細については、Splunk のマニュアルを参照してください。

  3. Splunk アプライアンスと、イベントの取得を担当する JSA コンソール またはマネージド ホスト間の通信をファイアウォール ルールでブロックしていないことを確認します。

  4. JSA アプライアンスで、[ログ アクティビティ] タブを確認して、Splunk イベントが JSA に転送されることを確認します。