Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

SplunkをMist Webhookと統合する

Splunkは、クラウドまたはオンプレミスでホストできます。マネージドSplunkクラウドを実行している場合は、HECを構成するためにSplunkサポートでチケットを発行する必要があります。セルフサービスのSplunk、またはSplunk Enterprise(オンプレミス)の場合、次の手順は、MistからWebhookを受信するようにHTTPイベントコレクション(HEC)を構成するのに役立ちます。

HEC は、Splunk がデータのペイロードを含む HTTP POST リクエストを受信するためのメソッドです。これにより、Mistのようなクラウドサービスが、Webhookを使用してSplunkにデータを送信できるようになります。Webhooks には、Mist クラウドから Splunk インスタンスへの IP 到達可能性が必要です。つまり、HTTP ポートが開いている Splunk サーバーのパブリックにアクセス可能な URL が必要です。

Splunk での HEC の設定

  1. Splunk GUI で、[設定] > [データ入力] に移動します。
  2. [HTTP イベント コレクター] > [新規追加] に移動します。
  3. 名前とソース名の上書きを指定します。

    組織で Splunk 出力グループを使用している場合は、適切な出力グループを選択します。それ以外の場合は、[出力グループ] の選択を無視します。

  4. [次へ] をクリックします。
  5. 次のフィールドを設定します。
    1. [ソース] タイプで、[選択] ボタンをクリックし、メニューから [_json] を選択します。
    2. アプリ コンテキストの場合は、[検索とレポート] タブをクリックします。
    3. [インデックス] で、[使用可能なアイテム] リストから [ネットワーク] を選択します。
      例で行ったように既存のインデックスの種類を使用することも、独自のインデックスの種類を作成することもできます。
  6. [確認] をクリックします。
  7. 設定を確認し、[送信] をクリックします。
  8. トークン値を記録します。これは、Mist Webhook の設定で必要になります。
  9. [設定] > [データ入力] > [HTTP イベント コレクター] に戻ります。
  10. 右上隅にある [グローバル設定] をクリックします。
  11. 既定の [ソースの種類] を [_json] に指定します。

    ポート 8088 がデフォルトです。必要に応じて、既定のインデックスを指定できます。

    これで Splunk での HEC 設定は完了です。
  12. Splunk HEC の設定をテストするには、Linux CLI で次のコマンドを実行します。Linux マシンは、ネットワーク経由で Splunk インスタンスに到達できる必要があります。

前の手順の結果は、 {"テキスト":"成功","コード":0} のようになります。成功メッセージが表示されない場合は、Splunk インスタンスの HEC ポートをブロックしているファイアウォールがないことを確認します。

Splunk インスタンスを指すように Mist ウェブフックを設定する

始める前に

Mist の設定を完了するためには、以下の情報を用意しておく必要があります。

  • Splunk HEC インスタンスの FQDN
  • HEC がリッスンしているポート番号 (デフォルトは 8088)
  • Splunk HEC トークン

Mist のウェブフックは、組織レベルまたはサイトレベルのいずれかで設定できます。この例では、組織レベルの Webhook を設定し、サブスクライブするトピックは "監査"、"アラーム"、および "デバイスイベント" になります。

  1. 組織の Mist ポータルにログインします。
  2. [組織] > [設定] に移動し、組織 ID をコピーします。
  3. [https://api.mist.com/api/v1/orgs/:org_id/webhooks] に移動します。
    手記:

    上記の URL の「org_id」を実際の組織 ID に置き換える必要があります。
  4. 次の JSON コードブロックで、次の置換を行います。

    • SPLUNK インスタンスの FQDN を <FQDN に置き換えます>

    • Splunk インスタンスが <PORT をリッスンしているポートに置き換えます>

    • <SPLUNK トークンの代わりに実際の Splunk トークンを使用してください>

  5. 置換後、JSON のブロック全体をコピーして、ページの下部にある [コンテンツ] ボックスに貼り付けます。
  6. 準備ができたら、[投稿]ボタンをクリックします。
これで、設定がウィンドウの一番上のフィールドにあり、 id フィールドにデータが含まれていることを確認できます。

これにより、Mist と Splunk が通信できることが確認されました。

関連項目