インストールしてみたので、構築メモ
Step1:インストール
インストールするのは、APPとAPP-addonの2つ
1:Palo Alto Networks App ( https://splunkbase.splunk.com/app/491/ )
2:Palo Alto Networks Add-on ( https://splunkbase.splunk.com/app/2757/ )
インストールは管理画面から簡単に可能。
管理画面の左上にある「App」をクリックして「他のAppのサーチ」をクリック
画面左にサーチバーがあるので「Paloalto」で検索を実施。
下記キャプチャのとおり、APPとAPP-addonの2種類HITするので
2つともインストールを実施。
インストール後にHome画面の「App」をクリックすると「Paloalto Networks」がインストールされています。
クリックすると初期設定されていない画面が表示されるので、APP設定を実施。
ユーザ名、パスワード、WildFireのAPI Keyを入力します。
※ユーザは下記の設定を利用するために使うらしいです。
参考URL「http://pansplunk.readthedocs.org/en/latest/getting_started.html」
これだけだと、Syslogを受信してくれません。
Splunk側でSYSLOGを受信する設定を実施します。
APPバージョンによってインストールフォルダが変わりますが、下記のとおり。
※最近インストールすれば、5.Xになります。
上記のフォルダに「inputs.conf」というconfファイルを作成します。
※「local」というフォルダはインストール直後は作成されていないため、自分で作成します。
inputs.confには下記の設定を書く。
--------------------------------------------------------
Step1:インストール
インストールするのは、APPとAPP-addonの2つ
1:Palo Alto Networks App ( https://splunkbase.splunk.com/app/491/ )
2:Palo Alto Networks Add-on ( https://splunkbase.splunk.com/app/2757/ )
インストールは管理画面から簡単に可能。
管理画面の左上にある「App」をクリックして「他のAppのサーチ」をクリック
画面左にサーチバーがあるので「Paloalto」で検索を実施。
下記キャプチャのとおり、APPとAPP-addonの2種類HITするので
2つともインストールを実施。
インストール後にHome画面の「App」をクリックすると「Paloalto Networks」がインストールされています。
クリックすると初期設定されていない画面が表示されるので、APP設定を実施。
ユーザ名、パスワード、WildFireのAPI Keyを入力します。
※ユーザは下記の設定を利用するために使うらしいです。
・Sync user login events with User-ID
・Share context with Dynamic Address Groups
・Update metadata from content packs
→ちゃんと使う人はSplunk専用のユーザを作成して、「User-ID Agent」のみ許可させるのが適切参考URL「http://pansplunk.readthedocs.org/en/latest/getting_started.html」
これだけだと、Syslogを受信してくれません。
Splunk側でSYSLOGを受信する設定を実施します。
APPバージョンによってインストールフォルダが変わりますが、下記のとおり。
※最近インストールすれば、5.Xになります。
App version | inputs.conf location |
---|---|
5.x | $SPLUNK_HOME/etc/apps/Splunk_TA_paloalto/local/inputs.conf |
3.x or 4.x | $SPLUNK_HOME/etc/apps/SplunkforPaloAltoNetworks/local/inputs.conf |
※「local」というフォルダはインストール直後は作成されていないため、自分で作成します。
inputs.confには下記の設定を書く。
--------------------------------------------------------
## App version 5.x or Add-on
[udp://514]
sourcetype = pan:log
no_appending_timestamp = true
--------------------------------------------------------
※514がほかのSplunkAPPで使用していないこと
その後、Splunkのサービスを再起動。
※Web画面上だと 「設定→サーバコンソール」から再起動が可能
再起動直後に netstatしてみるとUDP514がオープンしていればOK。
TOP画面にPaloalto Networksのロゴが追加されています。
クリックするとAPP画面に移動が可能。
まだ、Paloalto側の設定をしていないので、ログは0です。
続いて、PaloaltoのSYSLOG設定して、Splunkにログを飛ばします。
うまく受信できていると下記のようにログがリアルタイムでカウントされます。
これで、初期設定は終わり。[udp://514]
sourcetype = pan:log
no_appending_timestamp = true
--------------------------------------------------------
※514がほかのSplunkAPPで使用していないこと
その後、Splunkのサービスを再起動。
※Web画面上だと 「設定→サーバコンソール」から再起動が可能
再起動直後に netstatしてみるとUDP514がオープンしていればOK。
TOP画面にPaloalto Networksのロゴが追加されています。
クリックするとAPP画面に移動が可能。
まだ、Paloalto側の設定をしていないので、ログは0です。
続いて、PaloaltoのSYSLOG設定して、Splunkにログを飛ばします。
うまく受信できていると下記のようにログがリアルタイムでカウントされます。
コメント