Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

SplunkとMist Webhooksの統合

以下の手順に従って、Splunkを設定し、ジュニパー Mist™からSplunkインスタンスへのWebhookを設定します。

Splunkは、データのペイロードを含むHTTP POSTリクエストを受信するために、HTTP Event Collection(HEC)を使用します。これにより、Mistなどのクラウドサービスは、Webhookを使用してSplunkにデータを送信できます。

HECの実装方法は、Splunkサービスによって異なります。

  • マネージドSplunk Cloudを実行している場合、HECを設定するには、Splunkサポートにチケットを提出する必要があります。

  • セルフサービスSplunkまたはSplunk Enterprise(オンプレミス)を使用している場合は、次の手順を使用して、MistからWebhookを受信するようにHECを設定できます。

SplunkでのHECの設定

始める前に: Webhooksには、Mist CloudからSplunkインスタンスへのIP到達可能性が必要です。つまり、HTTPポートが開いた状態で、Splunkサーバー用にパブリックにアクセス可能なURLが必要です。

  1. Splunk GUIで、[Settings]> [Data Inputs]に移動します。
  2. HTTPイベントコレクター>新規追加に移動します。
  3. 名前と送信元名の上書きを指定します。

    組織でSplunk出力グループを使用している場合は、適切な出力グループを選択してください。それ以外の場合は、出力グループの選択を無視します。

  4. 次へをクリックします。
  5. 以下のフィールドを設定します。
    1. ソースタイプでは、選択ボタンをクリックし、構造化にカーソルを合わせて、リストから_jsonを選択します。
    2. 新しいインデックスを作成し、ネットワークという名前を付けます。[インデックスデータタイプ] で [メトリクス] を選択し、[アプリ] で [検索とレポート] を選択します。
    新しいインデックスを保存したら、[使用可能なアイテム] リストからクリックすると、[選択したアイテム] リストに表示されます。
  6. レビューをクリックします。
  7. 設定を確認し、送信をクリックします
  8. トークン値を記録します。これは、Mist Webhookの設定に必要になります。
  9. 設定 } データ入力 } HTTPイベントコレクターに戻ります。
  10. 右上隅にあるグローバル設定をクリックします。
  11. デフォルトのソースタイプを_jsonに指定します。

    ポート8088がデフォルトです。必要に応じて、デフォルトのインデックスを指定できます。

    これでSplunkでのHECの設定は完了です。
  12. Linux CLIで以下のコマンドを実行して、Splunk HEC設定をテストします。Linux マシンは、ネットワーク経由で Splunk インスタンスにアクセスできる必要があります。

前の手順の結果は、 {"text":"Success","code":0}のようになります。成功メッセージが表示されない場合は、SplunkインスタンスでHECポートをブロックしているファイアウォールがないことを確認します。

Splunkインスタンスを指すようにMist Webhookを構成する

始める前に

Mistの設定を完了するには、以下の情報を準備しておく必要があります。

  • Splunk HECインスタンスのFQDN
  • HECがリッスンしているポート番号(デフォルトは8088)
  • Splunk HECトークン

MistのWebhookは、組織レベルまたはサイトレベルのいずれかで設定できます。この例では、組織レベルのWebhookを設定し、サブスクライブするトピックは「監査」、「アラーム」、「デバイスイベント」になります。

  1. 組織のMistポータルにログインします。
  2. 組織}設定に移動し、組織IDをコピーします。
  3. https://api.mist.com/api/v1/orgs/:org_id/webhooks に移動します。
    注:

    上記のURLの「org_id」を実際の組織IDに置き換える必要があります。
  4. 次のJSONコードブロックで、以下の置換を行います。

    • Splunkインスタンスの完全修飾ドメイン名(FQDN)を{SPLUNKのFQDN}に置き換えます。

    • Splunkインスタンスがリッスンしているポートを代わりに{PORT}します

    • 実際のSplunkトークンを{SPLUNK TOKEN}に置き換えます。

    注:プレースホルダーの値を、FQDN、ポート、トークンなどの実際の値に置き換えます。
  5. 置換後、JSONのブロック全体をコピーして、ページの下部にあるコンテンツボックスに貼り付けます。
  6. 準備ができたら、[POST]ボタンをクリックします。
これで、設定がウィンドウの上部フィールドにあり、 id フィールドにデータが含まれていることを確認できるようになりました。

これで、MistとSplunkが通信できることが確認できます。

関連項目