SplunkとMist Webhookの統合
Splunkは、クラウドまたはオンプレミスでホストできます。マネージドSplunkクラウドを実行している場合は、Splunkサポートにチケットを発行してHECを設定する必要があります。セルフサービス、Splunk、またはSplunk Enterprise(オンプレミス)の場合、次の手順は、MistからWebhookを受信するようにHTTPイベントコレクション(HEC)を構成するのに役立ちます。
HECは、Splunkがデータのペイロードを含むHTTP POSTリクエストを受信できるようにする方法です。これにより、MistなどのクラウドサービスがWebhookを使用してSplunkにデータを送信できるようになります。Webhookには、Mist CloudからSplunkインスタンスへのIP到達可能性が必要です。つまり、HTTP ポートが開いている Splunk サーバーのパブリックにアクセス可能な URL が必要です。
SplunkでのHECの設定
前の手順の結果は、 {"text":"Success","code":0} のようになります。成功メッセージが表示されない場合は、SplunkインスタンスのHECポートをブロックしているファイアウォールがないことを確認します。
Splunkインスタンスを指すようにMist Webhookを構成する
始める前に
Mistの設定を完了するために、次の情報を用意する必要があります。
- Splunk HEC インスタンスの FQDN
- HEC がリッスンしているポート番号 (デフォルトは 8088)
- Splunk HECトークン
Mist の Webhook は、組織レベルまたはサイトレベルで設定できます。この例では、組織レベルのWebhookを構成し、サブスクライブするトピックは「監査」、「アラーム」、および「デバイスイベント」になります。
これにより、MistとSplunkが通信できることが確認されました。