Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

SplunkとMist Webhookの統合

Splunkは、クラウドまたはオンプレミスでホストできます。マネージドSplunkクラウドを実行している場合は、Splunkサポートにチケットを発行してHECを設定する必要があります。セルフサービス、Splunk、またはSplunk Enterprise(オンプレミス)の場合、次の手順は、MistからWebhookを受信するようにHTTPイベントコレクション(HEC)を構成するのに役立ちます。

HECは、Splunkがデータのペイロードを含むHTTP POSTリクエストを受信できるようにする方法です。これにより、MistなどのクラウドサービスがWebhookを使用してSplunkにデータを送信できるようになります。Webhookには、Mist CloudからSplunkインスタンスへのIP到達可能性が必要です。つまり、HTTP ポートが開いている Splunk サーバーのパブリックにアクセス可能な URL が必要です。

SplunkでのHECの設定

  1. Splunk GUIで、[Settings (設定)] > [Data Inputs](データ入力)に移動します。
  2. [HTTP Event Collector] } [Add New] に移動します。
  3. [名前] と [ソース名のオーバーライド] を指定します。

    組織でSplunk出力グループを使用している場合は、適切な出力グループを選択します。それ以外の場合は、「出力グループ」の選択を無視します。

  4. 次へ」をクリックします。
  5. 次のフィールドを設定します。
    1. 「ソース・タイプ」で、「選択」ボタンをクリックし、メニューから「_json」を選択します。
    2. [App] コンテキストで、[Search & Reporting] タブをクリックします。
    3. [インデックス] で、[使用可能なアイテム] リストから [ネットワーク] を選択します。
      例で行ったように既存のインデックスタイプを使用することも、独自のインデックスタイプを作成することもできます。
  6. 確認」をクリックします。
  7. 設定を確認し、「送信」をクリックします。
  8. トークン値を記録します。これは、Mist Webhook の設定に必要になります。
  9. [Settings] > [Data Inputs] > [HTTP Event Collector] に戻ります。
  10. 右上隅の[グローバル設定]をクリックします。
  11. デフォルトの [ソースの種類] を [_json] に指定します。

    ポート 8088 がデフォルトです。必要に応じて、デフォルトのインデックスを指定できます。

    これでSplunkでのHEC設定は完了です。
  12. Linux CLI で次のコマンドを実行することで、Splunk HEC 構成をテストできます。Linux マシンは、ネットワーク経由で Splunk インスタンスに到達できる必要があります。

前の手順の結果は、 {"text":"Success","code":0} のようになります。成功メッセージが表示されない場合は、SplunkインスタンスのHECポートをブロックしているファイアウォールがないことを確認します。

Splunkインスタンスを指すようにMist Webhookを構成する

始める前に

Mistの設定を完了するために、次の情報を用意する必要があります。

  • Splunk HEC インスタンスの FQDN
  • HEC がリッスンしているポート番号 (デフォルトは 8088)
  • Splunk HECトークン

Mist の Webhook は、組織レベルまたはサイトレベルで設定できます。この例では、組織レベルのWebhookを構成し、サブスクライブするトピックは「監査」、「アラーム」、および「デバイスイベント」になります。

  1. 組織の Mist ポータルにログインします。
  2. [組織] } [設定] に移動し、組織 ID をコピーします。
  3. https://api.mist.com/api/v1/orgs/:org_id/webhooks に移動します。
    手記:

    上記の URL の "org_id" を実際の組織 ID に置き換える必要があります。

  4. 次の JSON コードブロックで、次の置換を行います。
    • {FQDN of SPLUNK}をSplunkインスタンスの完全修飾ドメイン名(FQDN)に置き換えてください

    • Splunkインスタンスがリッスンしているポートを{PORT}に置き換えてください

    • {SPLUNK TOKEN}を実際のSplunkトークンに置き換えてください

  5. 置換後、JSON のブロック全体をコピーし、ページ下部の [コンテンツ] ボックスに貼り付けます。
  6. 準備ができたら、[POST]ボタンをクリックします。
これで、設定がウィンドウの一番上のフィールドにあり、 id フィールドにデータが含まれていることを確認できます。

これにより、MistとSplunkが通信できることが確認されました。