Cisco WSA Splunk アプリケーションのインストレーション、セットアップ、およびユーザ ガイド Cisco WSA Splunk アプリケーション
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月12日
章のタイトル: インストールおよびセットアップ
インストールおよびセットアップ
•
「はじめに」
• 「作業の概要」
• 「システム要件」
• 「Cisco Web セキュリティ アプライアンス用 Splunk アプリケーションのインストール/更新」
• 「(任意)部門のメンバーシップ クエリーをセットアップ」
• 「(任意)スケジュール済 PDF レポートのセットアップ」
• 「追加資料」
はじめに
Cisco Web セキュリティ アプライアンス用 Splunk には、カスタマイズされた Splunk アプリケーション、および Cisco Web セキュリティ アプライアンスから収集されたログ データをポーリングする Splunk サーバが含まれます。このアプリケーションは、Cisco Web セキュリティ アプライアンスからの大容量データに対する解析機能を提供するために設計されたレポートとダッシュボードを提供します。
アプリケーションは、Cisco Web セキュリティ アプライアンスからデータを受信し、デフォルト/メイン インデックスに保存します。また、要約を生成し、サマリー インデックスに保存します。ユーザは、事前定義済みレポートを使用して、これらのデータを閲覧することができます。また、flashtimeline ビューおよび Web トラッキング フォームを使用して、アドホック検索を実行できます。
作業の概要
ステップ 1 「Splunk のインストールと設定」
ステップ 2 「Cisco Web セキュリティ アプライアンス用 Splunk アプリケーションのインストール/更新」
ステップ 3 「ログ ファイルのフォルダ構造を作成」
ステップ 4 「履歴データのインポートおよびインデックス作成」
ステップ 5 「継続的なデータ転送の設定」(Cisco Web セキュリティ アプライアンスのセットアップなど)
Splunk ソフトウェア
ダウンロード
Splunk ソフトウェアは、www.splunk.com から無料でダウンロードできます。
Splunk ソフトウェアのインストールおよび使用に関する包括的なドキュメントは、Splunk の Web サイト docs.splunk.com から入手できます。
サポートされる機能およびサポートされない機能
|
|
|
|
|---|---|---|
Cisco Web セキュリティ アプライアンス用 Splunk アプリケーションに含まれるフォーム ベースの検索/Web トラッキング ツール。 |
||
マニュアル
このマニュアルでは、Cisco Web セキュリティ アプライアンス用 Splunk アプリケーションの使用について説明します。Splunk 製品自体のマニュアルは、Splunk Web サイトで入手できます(http://docs.splunk.com)。
システム要件
Splunk インスタンス
Splunk の最新のシステム要件については、Splunk の Web サイトを参照してください。http://docs.splunk.com/Documentation/Splunk/latest/Installation/Systemrequirements
Cisco Web セキュリティ アプライアンス用 Splunk アプリケーション
プラットフォーム要件:参照ハードウェアは、製品グレードであり、かつ、Cisco のサポート対象となるためには次の最低限の仕様を満たす必要があります。
• Intel x86/64 ビット チップ アーキテクチャ(2 CPU、4 コア、2.5 ~ 3 Ghz)
• 300GB SAS ハードディスク X 4、10,000 rpm、RAID10(800 IOPS 以上)
• 標準 1Gb イーサネット NIC、管理ネットワーク用セカンド NIC(オプション)
(注) Splunk はディスクの I/O に抑制されることが多いため、ストレージ ハードウェアを選択するときは必ずそれを第一に考慮します。
ファイル システムは、NTFS または EXT2/3 でフォーマットされたローカル ディスク ボリュームでの実行を前提としています。独立した OS ボリュームを、業界のベスト プラクティスにあわせて作成する必要があります。Splunk は、可能な限り論理ボリューム上にインストールする必要があります。
サイズ変更およびスケーリングの推奨事項
• 基本構成は、単一階層アーキテクチャで、1 台のサーバで以下の Splunk の通常のコア機能の 3 つの部分すべてを提供する構成です。
• インデックス付きデータ量の推定要件が 100k/ユーザ(推定値: 100GB/日)を超える場合、Splunk のインフラストラクチャには調整が必要です。
• 別の Splunk インスタンスを追加して設定を調整することにより、新しいインフラストラクチャでは、(データのロード バランシング後)インデックス作成および検索パフォーマンスが向上し、ストレージおよび保存容量の向上が提供されます。
• 専用のフォワーダ サーバが Splunk のインフラストラクチャに追加され、WSA のログ ファイルをモニタし、ロード バランシングを使用して複数のインデクサにログ データを転送するように設定されています。
• 10 万ユーザを超える環境の実装および構成を支援するため、シスコは、Cisco Web セキュリティ アプライアンスのお客様のために Splunk プロフェッショナル サービスを実行します。
1 万ユーザの Cisco Web セキュリティ アプライアンス デバイスに対するログ ボリュームの試算によると、収集データ量は非圧縮で 10 GB/日です。インデックスの作成後、データは推定 2.5 GB/日に圧縮されます(インデックス作成済みストレージ使用量)。Splunk インスタンスは、500 GB のボリューム サイズに基づいて、約 200 日間分のインデックス データを保持します。
|
|
|
|
|
|---|---|---|---|
(注) アレイ内の推定ログ ボリュームおよび中規模容量のドライブに基づくガイドライン。
|
|
|
|
|
|---|---|---|---|
|
|
|
|---|---|
Splunk のインストールと設定
これらのタスクはこのマニュアルの範囲外ですが、Cisco Web セキュリティ アプライアンス用 Splunk アプリケーションを使用するには実行する必要があります。これらのタスクを実行するには、Splunk の Web サイト上のマニュアルを参照してください。
|
|
|
|---|---|
| 1. 2. 3. 4. |
関連項目:「追加資料」 |
(任意)AD/LDAP との関連付けを行うには以下の手順を実行します。 1. 2. 3. |
|
認証/許可に関する注意事項
Splunk の基本的な認証
Splunk のローカル認証が、設定されている他の認証オプションよりも優先します。
• 1 件のユーザ アカウント:admin は変更不可です。設定、テスト、トラブルシューティングを行うためにこのアカウントを使用します。
• Splunk にそのグループ DN をインポートします。
• 最適なデフォルトの Splunk の役割をそのグループ DN にマッピングするか、またはより適切な役割を作成してマッピングします。
要件がシンプルな場合、たとえば、少数のユーザのみが Splunk データを閲覧できる場合は、ローカル認証を使用するだけでも構いません。
Cisco Web セキュリティ アプライアンス用 Splunk アプリケーションのインストール/更新
Cisco Web セキュリティ アプライアンス用 Splunk アプリケーションのインストール/更新
• Cisco Web セキュリティ アプライアンス用 Splunk アプリケーションのバージョンをアップグレードする場合、旧バージョンのアプリケーションをアンインストールします。
• Cisco Web セキュリティ アプライアンス用 Splunk アプリケーションの zip または tar ファイルを受け取ります。
ステップ 1 Splunk Web 内では、[管理者(Manager)] > [アプリケーション(Apps)] > [ファイルからアプリケーションをインストール(Install Apps from File)] の順に進みます。
ステップ 2 ブラウズし、Cisco Web セキュリティ アプライアンス用 Splunk アプリケーションの zip または tar ファイルを選択します。
ステップ 3 アプリケーションが正常にインポートされたとの通知を確認します。
ステップ 4 Splunk を再起動します:[管理者(Manager)] > [サーバコントロール(Server Controls)] > [再起動(Restart)]。
ステップ 6 [管理者(Manager)] > [アプリケーション(Apps)] の順に進み、Cisco WSA Splunk アプリケーションが表示および有効化されていることを確認します。
コンフィギュレーションベスト プラクティス
• Cisco Web セキュリティ アプライアンス アプライアンス上で統一したタイムゾーンを設定します。
検索結果に表示される時間は、Splunk インスタンスの「ローカルの」時間を表しています。初期設定では、Cisco Web セキュリティ アプライアンス ログへの Splunk 入力は、すべて TZ = GMT に設定されます。
ログ ファイルのフォルダ構造を作成
|
|
|
|
|---|---|---|
履歴データのインポートおよびインデックス作成
サマリー スクリプトのデフォルトは、90 日分の履歴を集約します。デフォルトでは、サマリー スクリプトは 8 つのコアを使用します。
(任意)サマリー スクリプトのカスタマイズ
• Linux: $SPLUNK_HOME/etc/apps/CiscoWSA/bin /summary.sh
• Windows: X:\$SPLUNK_HOME\etc\apps\CiscoWSA\bin\summary.vbs
time $Spath/bin/splunk cmd python $Spath/bin/fill_summary_index.py -app SplunkforCiscoIronportWSA -namefile $Spath/etc/apps/SplunkforCiscoIronportWSA/bin/summary.jobs -et -90d -lt now -j 8 -dedup true
ステップ 3 開始日、終了日およびサマリー スクリプトで使用されるコア数をカスタマイズします。
|
|
|
|
|---|---|---|
終了日。要約を終了する履歴日の数。デフォルト値の now は、現在の日付で終了します。デフォルト値の -1d は、昨日のデータで終了します。 |
||
(任意)インポート時間の推測
ステップ 1 プラットフォーム ハードウェアの推奨要件に基くと、各サマリージョブの 5M イベント(未加工データ 2GB)に対して 4 分かかります。
例:25M の履歴イベントを表す 10GB ファイルについては、各サマリー ジョブに対する実行が 20 分かかると想定されます。
ステップ 2 Cisco Web セキュリティ アプライアンス用 Splunk アプリケーションで使用される 27 個のサマリージョブを可能にします。
履歴データのインポートおよびインデックス作成
• 「Splunk のインストールと設定」に記載された設定のタスクを完了します。
• フィールドの抽出が正しいことを確認します。「フィールドの抽出」を参照してください。
• フォルダ構造を理解します。「ログ ファイルのフォルダ構造を作成」 を参照してください。
• (任意)「(任意)インポート時間の推測」を参照してください。
ステップ 1 ログ ファイルのフォルダ構造に、履歴ログ ファイルをコピーします。
(注) デフォルトでは、これらのログは、データがインデックス化されたのち、削除されます。
ステップ 2 コマンド プロンプトから、サマリー スクリプトを実行します:
Linux: $SPLUNK_HOME/etc/apps/CiscoWSA/bin /summary.sh
Windows: X:\$SPLUNK_HOME\etc\apps\CiscoWSA\bin\summary.vbs
ステップ 3 Splunk のフォルダに移動し、画面が表示されたら、Splunk のローカル管理者の資格情報を入力します。
ステップ 4 データがインポートされていることを確認します:
a. Splunk Web に、admin としてログインします。
c. [ステータス(Status)] > [インデックス アクティビティ(Index Activity)] > [インデックス アクティビティ概要レポート(Index Activity Overview report)] に進みます。
ステップ 5 履歴データのインポートが Splunk 評価ライセンスで実行された場合、アカウント用にダウンロードしたエンタープライズ デフォルト ライセンスをインストールし、非プロダクション ライセンスをすべて削除してください。
継続的なデータ転送の設定
Splunk でデータ入力を設定
• ログ ファイルへのパスを把握します(「ログ ファイルのフォルダ構造を作成」)。
ステップ 1 Splunk Web 内で、[管理者(Manager)] > [データ入力(Data Inputs)] > [ファイルとディレクトリ(Files and Directories)] と進みます。
ステップ 2 CiscoWSA とラベル付けされた入力をすべて無効にします。
ステップ 3 $SPLUNK_HOME/etc/apps/CiscoforIronportWSA/default/inputs.conf というファイルを以下のフォルダにコピーします。
$SPLUNK_HOME/etc/apps/CiscoforIronportWSA/local/
ステップ 4 テキスト エディタを使用して、$SPLUNK_HOME/etc/apps/CiscoforIronportWSA/local/inputs.conf を開きます。
ステップ 5 入力方法およびログ ソースに対応するセクションを見つけて、パスを編集します。
|
|
|
|
|---|---|---|
ステップ 6 同じセクション内で、無効に設定する値を編集します: disabled = false 。
ステップ 9 Splunk Web 内で、[管理者(Manager)] > [データ入力(Data Inputs)] > [ファイルとディレクトリ(Files and Directories)] と進みます。
ステップ 10 Splunk Web で、入力内容が一覧表示および有効化され、正しいパスが設定されていることを確認します。
ステップ 11 Splunk Web で、各入力項目のソース タイプを wsa_accesslogs に手動で設定します。
|
|
|
|---|---|
[その他の設定(More settings)] > [ソース タイプの設定(Set the source type)] > [マニュアル(Manual)] |
ステップ 12 Splunk Web では、入力の場合、[その他の設定(More settings)] > [インデックス(Index)] > [初期設定(Default)] を選択します。
Cisco Web セキュリティ アプライアンスからのログ転送を確立
• ログ ファイルへのパスを把握します(「ログ ファイルのフォルダ構造を作成」)。
• 転送の頻度を決定します。60 分単位以下には設定できません。
• Cisco Web セキュリティ アプライアンスの Web インターフェイスを開きます。
ステップ 1 Cisco Web セキュリティ アプライアンスの Web インターフェイスで、
[システム管理(System Administration)] > [サブスクリプション(Log Subsctiptions)] に移動します。
ステップ 2 [ログ設定を追加...(Add Log Subscription...)] をクリックします。
|
|
|
|
|---|---|---|
(注) [ログ設定を追加(Add Log Subscription)] ページからアクセスできるオンライン ヘルプでは、すべての設定に関する詳細情報をアップデートします。
(任意)部門のメンバーシップ クエリーをセットアップ
部門メンバーの要件を満たすセットアップ手順を次の条件で実行:
• Splunk の役割にバインドした AD/LDAP グループを使用します。
部門メンバーシップ レポートをセットアップ
• Linux ユーザ:次のコマンドを使用して、ldapsearch ツールをインストールします。
sudo yum install openldap-clients
ステップ 1 メンバーシップ スクリプトの AD/LDAP グループ ベース DN を特定します。
a. テキスト エディタで適切なメンバーシップ スクリプトを開きます。
– Linux:$SPLUNK_HOME/etc/apps/CiscoWSA/bin/discovery.py
– Windows:X:\ $SPLUNK_HOME \ etc \ App \ CiscoWSA \ bin \ discovery.vbs
strUser = 'cn=service_account,cn=Users,dc=my_directory,dc=net'
strPassword = 'service_account_password'
strGroupOUs = 'Group base DN;Group base DN;Group base DN'
ステップ 2 inputs.conf スクリプトにより、メンバーシップ スクリプトの使用を可能にします。
a. テキスト エディタで、inputs.conf スクリプトを開きます。
$SPLUNK_HOME/etc/apps/CiscoforIronportWSA/local/inputs.conf
c. 無効を false に設定します: disabled = false
ステップ 3 ユーザ データの departments.csv にスクリプトが入力されたことを確認します。
職務別の部門レポートへのアクセスを制限
• ユーザのデータ閲覧が特定の部門またはグループからのデータに制限されている場合、レイヤ 4 トランスポート モニタ(L4TM)データを利用できるのは管理者のみに限られることを理解します。これは、L4TM データが部門または役割にリンクされていないためです。
ステップ 1 Splunk Web で、[管理者(Manager)] > [アクセス コントロール(Access controls)] > [役割(Roles)] に移動します。
ステップ 2 [新規(New)] をクリックするか、既存の役割を編集します。
例:営業部門データの閲覧だけに役割を限定する場合は、制限検索条件のフィールドに「department=sales」と入力します。
トラブルシューティング
ヒント • Linux ユーザ:ldapsearch ツールが Splunk ユーザのパスにあることを確認します。 • departments.csv ファイルがアプリケーションの参照フォルダに存在することを確認します。
• Windows ユーザ:「option explicit」をコメントアウトし、エラーの発生と原因についてより具体的な情報を示します。
• バインド サービスのアカウント名が正しいことを確認します。
• 正しいバインド パスワードが入力されていることを確認します。
• ポート 389 経由でリモート マシンにテスト接続します。
• 正しい属性がメンバー名に設定されていることを確認します。
(任意)スケジュール済 PDF レポートのセットアップ
(注) スケジュール済 PDF レポートには、ネットワークで実行する Splunk の Linux ベース インスタンスが必要です。最小インストール用となります。ただし、Splunk がフォワーダとして構成された Linux 標準イメージ(インデックスまたは Web インタフェースは不要)が、PDF 生成のための複数の Splunk インスタンスの役割を果たします。
Splunk Web ユーザは、ダッシュボード、ビュー、検索またはレポートから、スケジュールされた PDF を生成できます。この機能を有効化するには、PDF レポートのサーバ アプリケーションを Splunkbase からダウンロードし、シングル Linux ホストを通じて Splunk インスタンスにインストールする必要があります。さらに、PDF レポートを送信できるようにするために、内部の電子メール サーバを Splunk 内に構成します。
スケジュール済みレポートのセットアップ
ステップ 1 PDF レポート サーバのアドオンを Splunk からダウンロードし、インストールします。
http://splunk-base.splunk.com/apps/22348/pdf-report-server-install-on-linux-only
ステップ 2 Linux ディストリビューション向けの Xvfb X サーバ、xauth およびフォントがインストールされていることを確認します。これらはほとんどの Linux ディストリビューションに含まれていますが、デフォルトではインストールされません。Red Hat では、次のように入力します。
yum install Xvfb xauth bitstream-vera-fonts
ステップ 3 Splunk Web を Linux ホスト上で起動します。
ステップ 4 [管理者(Manager)] > [システム設定(System Settings)] > [電子メール アラート設定(Email Alert Settings)] に移動します。
ステップ 5 [PDF レポート サーバを使用(Use PDF Report Server)] のボックスをチェックします。
ステップ 7 メール サーバの設定で、Splunk が相互作用している SMTP サーバに関連する情報を入力または更新し、警告の電子メールを送信できるようにします。
ステップ 8 SMTP メール ホスト サーバを識別します。
ステップ 9 SMTP サーバが必要とする認証ユーザ名/パスワードを提供します。
ステップ 10 (任意)SMTP サーバと通信する際に、Splunk が SSL または TLS を使用することを指定します。
ステップ 11 電子メールの形式で、Splunk が送信する電子メールの形式を設定します。
「送信者」のフィールドに表示される名前を定義し(初期設定では Splunk)、電子メールの件名行の形式を設定できます(初期設定では Splunk アラート:$name$ - アラートの基になっている検索の名前が $name$ として表示される)。すべてのアラート用電子メールの形式をマネジャーレベルで設定し、また、アラートのメールがインライン結果を提供するか否かを設定できます。
PDF レポート サーバの通信先となる Splunk Web インスタンスのホスト名が DNS で解決できない場合は、IP アドレスまたはそのホスト名を、リンクのホスト名フィールドに入力します。これにより、Splunk Web の PDF レポート サーバへのアクセスと、電子メールで送信された PDF レポート中のリンクの正常な動作が確保されます。フィールドが空白の場合、Splunk はホスト名の自動検出を試行します。
ステップ 12 Splunk コア サービス ポートの変更方法: %SPLUNK_HOME% \ bin ディレクトリから: splunk set splunkd-port ####
追加資料
• Splunk ライセンスのインストール: http://www.splunk.com/base/Documentation/latest/Admin/Installalicense
• Splunk ライセンス違反: http://www.splunk.com/base/Documentation/latest/Admin/Aboutlicenseviolations
• Splunk データのバックアップ: http://www.splunk.com/base/Documentation/latest/admin/Backupindexeddata
• データのアーカイブ方法: http://www.splunk.com/base/Documentation/latest/Admin/Automatearchiving
フィードバック