インストールしてみたので、構築メモ

Step1:インストール
インストールするのは、APPとAPP-addonの2つ
 1:Palo Alto Networks App   ( https://splunkbase.splunk.com/app/491/ )
 2:Palo Alto Networks Add-on ( https://splunkbase.splunk.com/app/2757/ )
 
インストールは管理画面から簡単に可能。
管理画面の左上にある「App」をクリックして「他のAppのサーチ」をクリック

 CAP_021


画面左にサーチバーがあるので「Paloalto」で検索を実施。
下記キャプチャのとおり、APPとAPP-addonの2種類HITするので
2つともインストールを実施。

CAP_009


インストール後にHome画面の「App」をクリックすると「Paloalto Networks」がインストールされています。

CAP_012


クリックすると初期設定されていない画面が表示されるので、APP設定を実施。

CAP_013
 
 ユーザ名、パスワード、WildFireのAPI Keyを入力します。
※ユーザは下記の設定を利用するために使うらしいです。
 ・Sync user login events with User-ID
 ・Share context with Dynamic Address Groups
 ・Update metadata from content packs
  →ちゃんと使う人はSplunk専用のユーザを作成して、「User-ID Agent」のみ許可させるのが適切
   参考URL「http://pansplunk.readthedocs.org/en/latest/getting_started.html」 


これだけだと、Syslogを受信してくれません。
Splunk側でSYSLOGを受信する設定を実施します。

APPバージョンによってインストールフォルダが変わりますが、下記のとおり。
※最近インストールすれば、5.Xになります。

App versioninputs.conf location
5.x$SPLUNK_HOME/etc/apps/Splunk_TA_paloalto/local/inputs.conf
3.x or 4.x$SPLUNK_HOME/etc/apps/SplunkforPaloAltoNetworks/local/inputs.conf
上記のフォルダに「inputs.conf」というconfファイルを作成します。
※「local」というフォルダはインストール直後は作成されていないため、自分で作成します。

inputs.confには下記の設定を書く。
--------------------------------------------------------
## App version 5.x or Add-on

[udp://514]
sourcetype = pan:log
no_appending_timestamp = true
--------------------------------------------------------
※514がほかのSplunkAPPで使用していないこと

その後、Splunkのサービスを再起動。
※Web画面上だと 「設定→サーバコンソール」から再起動が可能

再起動直後に netstatしてみるとUDP514がオープンしていればOK。

CAP_022
 
TOP画面にPaloalto Networksのロゴが追加されています。
クリックするとAPP画面に移動が可能。

CAP_015

まだ、Paloalto側の設定をしていないので、ログは0です。
続いて、PaloaltoのSYSLOG設定して、Splunkにログを飛ばします。
うまく受信できていると下記のようにログがリアルタイムでカウントされます。

CAP_019
 
これで、初期設定は終わり。