先日、Splunk上でSnort3を動作させ、ネットワークのログを取得してみました。その時の記事は以下の通りです。
そこで今回はこのSnort3のログをSplunkに取り込んでみたいと思います。なお、SplunkはSnort3と同じく私のiMacにあらかじめインストールしてあります。
1.データの追加
おそらくSplunk起動直後は以下のような画面が表示されているはずですので、右ペインから「データの追加」を選択します。
2.データ入手方法の指定
1.の画面から「データの追加」を選択すると以下のような画面が表示されますので、最下部からデータの入手方法を指定します。
今回はMac上で生成されたログなので「モニター」を選択しました。
3.ソースの指定
次にSplunkに取り込むソース(ファイルとディレクトリ)を具体的に指定します。
今回は左のペインから「ファイルとディレクトリ」を選択し、右のペインで取り込むデータの「ディレクトリとファイル名」を選択します。
また、今回は一時的に作成したデータなので、「1回インデックスを作成」を選択しました。
選択が終わったら上部の「次へ」ボタンを押します。
4.ソースタイプの指定
ソースを指定するとデータの取り込みイメージが表示されますので、左のペインからソースタイプを指定します。
なお、同種のソース(例えばサーバAのsyslogとサーバBのsysylogなど)は取得する場所は異なっても、同じソースタイプにしておくと良いと思います。
今回はSnortのログなので対応するソースタイプとして「Snort3」を新規に作成しています。(以前作っていたので、以下の画面ではプルダウンから選択していますが。。。)
5.ホストの指定
次に以下の画面が表示されますので、真ん中あたりの「ホストフィールド」の値を確認し、問題なければ上部の「確認」を押してください。
6.取り込みデータの確認
最後にこれまでの設定の確認画面が表示されますので、設定内容に問題ないことを確認し、上部の「実行」を押します。
データの取り込みが正しく行われると、以下の画面が表示されますので「サーチ開始」を押します。
7.データサマリーの確認
なお、1.の「Splunk スタート画面」の左ペインのAppリストから「Search&Reporting」を選択し、先ほど取り込んだデータを含めたデータサマリーを確認することができます。
「Search&Reporting」を選択すると以下の画面が表されますので、「データサマリー」ボタンを押します。
すると以下のデータサマリー画面が表示されますので、その中から「ソース」のタブを選択すると、先ほど選んだファイルが登録されていることが確認できます。
以上、Splunkにデータを取り込む際の流れを記載させていただきました。
ご参考
できればこの作業を行う際に、上の図のタブとして表示されている「ホスト」「ソース」「ソースタイプ」の意味を理解しておくことをお勧めします。
なお今回の場合は、ざっくり記載すると以下の認識になるかと思います。
ホスト・・・取り込んだデータを生成したサーバ(今回は私のiMac)
ソース・・・取り込んだデータが置かれていたディレクトリとファイル名(今回はSnortの出力ファイル)
ソースタイプ・・・取り込んだデータのファイル形式(今回はSnortのファイル形式)
コメントを残す