k2-ornata

Splunkの管理ポートの番号を変えたら Virus Totalの vt4splunkコマンドが使えなくなった件

by

keitsu
in
このエントリーをはてなブックマークに追加
Pocket

こういった状況になることは普通はないと思いますが、Splunk 管理ポート(デフォルトはTCP:8089)を変えてしまい、Virus Total の Addon からVirus Totalのサイトへのソケット接続に失敗するようになってしまったので、教訓として記載しておきます。

発生事象

Splunk の検索フィールドから以下のSPL文を実行させようとしました。

| makeresults
| eval testip="8.8.8.8"
| vt4splunk ip=testip

すると、以下のエラーが発生しました。

ConnectionRefusedError at /Applications/Splunk/lib/python3.7/socket.py, line 716 : [Errno 61] Connection refused

解決方法

以下の設定ファイルの編集し、管理ポートを8089に戻します。

/Applications/Splunk/etc/system/local/web.conf

設定ファイルの中身は以下のようになっていて、「mgmtHostPort」のところで管理ポートが指定されています。

[settings]
enableSplunkWebSSL = 0
mgmtHostPort = 127.0.0.1:8089

この後、Splunkを再起動すると問題なく「vt4splunk」のコマンドが使えるようになりました。

Related posts:

  1. AbuseIPDBのSplunk用AddonであるAbuseIPDB Checkを使ってみた
  2. Snort3をMacにインストールしてみた
  3. Splunk FreeにSecurity EssentialのAppをインストールしてみた
  4. Splunk社が提供するBOTS環境でSPL言語を勉強する

Comments

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

CAPTCHA