Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

SplunkをMist Webhookと統合する

Splunkは、クラウドまたはオンプレミスでホストできます。マネージドSplunkクラウドを実行している場合は、HECを構成するためにSplunkサポートでチケットを発行する必要があります。セルフサービスのSplunk、またはSplunk Enterprise(オンプレミス)の場合、次の手順は、MistからWebhookを受信するようにHTTPイベントコレクション(HEC)を構成するのに役立ちます。

HEC は、Splunk がデータのペイロードを含む HTTP POST リクエストを受信するためのメソッドです。これにより、Mistのようなクラウドサービスが、Webhookを使用してSplunkにデータを送信できるようになります。Webhooks には、Mist クラウドから Splunk インスタンスへの IP 到達可能性が必要です。つまり、HTTP ポートが開いている Splunk サーバーのパブリックにアクセス可能な URL が必要です。

Splunk での HEC の設定

  1. Splunk GUIで、[設定]>[データ入力]に移動します
  2. HTTPイベントコレクター>新規追加に移動します
  3. 名前とソース名の上書きを指定します。

    組織で Splunk 出力グループを使用している場合は、適切な出力グループを選択します。それ以外の場合は、[出力グループ] の選択を無視します。

  4. [次へ] をクリックします
  5. 次のフィールドを設定します。
    1. [ソースの種類] で [選択] ボタンをクリックし、メニューから [_json] を選択します
    2. [アプリ] コンテキストの場合は、[検索とレポート] タブをクリックします
    3. [インデックス] で、[使用可能なアイテム] リストから [ネットワーク] を選択します
      例で行ったように既存のインデックスの種類を使用することも、独自のインデックスの種類を作成することもできます。
  6. [レビュー]をクリックします。
  7. 設定を確認し、[送信] をクリックします
  8. トークン値を記録します。これは、Mist Webhook の設定で必要になります。
  9. [設定] > [データ入力] > [HTTP イベント コレクター] に戻ります
  10. 右上隅にある[グローバル設定]をクリックします
  11. 既定の [ソースの種類] を [_json] に指定します。

    ポート 8088 がデフォルトです。必要に応じて、既定のインデックスを指定できます

    これで Splunk での HEC 設定は完了です。
  12. Splunk HEC の設定をテストするには、Linux CLI で次のコマンドを実行します。Linux マシンは、ネットワーク経由で Splunk インスタンスに到達できる必要があります。

前の手順の結果は、 {"テキスト":"成功","コード":0} のようになります。成功メッセージが表示されない場合は、Splunk インスタンスの HEC ポートをブロックしているファイアウォールがないことを確認します。

Splunk インスタンスを指すように Mist ウェブフックを設定する

始める前に

Mist の設定を完了するためには、以下の情報を用意しておく必要があります。

  • Splunk HEC インスタンスの FQDN
  • HEC がリッスンしているポート番号 (デフォルトは 8088)
  • Splunk HEC トークン

Mist のウェブフックは、組織レベルまたはサイトレベルのいずれかで設定できます。この例では、組織レベルの Webhook を設定し、サブスクライブするトピックは "監査"、"アラーム"、および "デバイスイベント" になります。

  1. 組織の Mist ポータルにログインします。
  2. [組織>設定]に移動し、組織IDをコピーします
  3. [https://api.mist.com/api/v1/orgs/:org_id/webhooks] に移動します。
    メモ:

    上記の URL の「org_id」を実際の組織 ID に置き換える必要があります。

  4. 次の JSON コードブロックで、次の置換を行います。
    • SPLUNK の <FQDN) を Splunk インスタンスの完全修飾ドメイン名 (FQDN) に置き換えます>

    • Splunk インスタンスが <PORT をリッスンしているポートに置き換えます>

    • 実際の Splunk トークンを <SPLUNK トークンに置き換えます>

  5. 置換後、JSON のブロック全体をコピーして、ページ下部の [コンテンツ] ボックスに貼り付けます
  6. 準備ができたら、[投稿]ボタンをクリックします。
これで、設定がウィンドウの一番上のフィールドにあり、 id フィールドにデータが含まれていることを確認できます。

これにより、Mist と Splunk が通信できることが確認されました。