SplunkをMist Webhookと統合する
Splunkは、クラウドまたはオンプレミスでホストできます。マネージドSplunkクラウドを実行している場合は、HECを構成するためにSplunkサポートでチケットを発行する必要があります。セルフサービスのSplunk、またはSplunk Enterprise(オンプレミス)の場合、次の手順は、MistからWebhookを受信するようにHTTPイベントコレクション(HEC)を構成するのに役立ちます。
HEC は、Splunk がデータのペイロードを含む HTTP POST リクエストを受信するためのメソッドです。これにより、Mistのようなクラウドサービスが、Webhookを使用してSplunkにデータを送信できるようになります。Webhooks には、Mist クラウドから Splunk インスタンスへの IP 到達可能性が必要です。つまり、HTTP ポートが開いている Splunk サーバーのパブリックにアクセス可能な URL が必要です。
Splunk での HEC の設定
前の手順の結果は、 {"テキスト":"成功","コード":0} のようになります。成功メッセージが表示されない場合は、Splunk インスタンスの HEC ポートをブロックしているファイアウォールがないことを確認します。
Splunk インスタンスを指すように Mist ウェブフックを設定する
始める前に
Mist の設定を完了するためには、以下の情報を用意しておく必要があります。
- Splunk HEC インスタンスの FQDN
- HEC がリッスンしているポート番号 (デフォルトは 8088)
- Splunk HEC トークン
Mist のウェブフックは、組織レベルまたはサイトレベルのいずれかで設定できます。この例では、組織レベルの Webhook を設定し、サブスクライブするトピックは "監査"、"アラーム"、および "デバイスイベント" になります。
これにより、Mist と Splunk が通信できることが確認されました。