ログ管理splunkにシステムログを取り込む

外部サーバのログを取得するには、「Splunk Universal Forwarder」というツールを利用する。あらゆるOSに対応していて、実に優秀な製品だ。
ツールを使わなくても、自身のシステムログを取得することも可能です。
今回は、外部サーバのログを取得するための前準備と、自身のローカルシステムログを取得するための準備を行います。
外部サーバのログりについては、環境が整い次第、後日ブログります。

１）splunk appsから、「Splunk Add-on for Microsoft Windows」を探すことになります。

２）左上の検索画面から「windows」と入力すれば、右側画面のトップに該当Appsが表示される。インストールをクリックします。

３）あっさりとインストールされます。

４）インストールされているかの状況は、AppからAppの管理をクリックします。

５）インストールされました。

６）設定から、データの取り込みを行います。
自身のローカルサーバーであれば、「データ入力」を。他のサーバであれば「転送と受信」の設定を行います。

７）今回の検証では、ローカルPCだけで行うため、「データ入力」だけでいいんだけれども、他マシンのログも取得する、「Splunk Universal Forwarder」のメリットも生かすため、両方の設定を行ってみる。まずは、「転送と受信」の設定から。ローカル情報だけで良い場合には、17）に進んでください。

データの受信から「受信の設定」をクリック

８）新規作成から、今回は、ForwarderのTCPポート番号9997を入力しておく。

９）9997番で待受となった。

10）Splunk Universal Forwarder サイトに行き、ソフトをインストールします。

11）デフォルトではApplication、Security、Security Event logが有効となっている。取得したいログを増やしたければ、カスタマイズオプションから選択直す必要がある。

12）Deployment Serverを選択。splunkサーバーを入力。

13）監視したいサーバReceiving Serverを選択。１台でまかなっているため、双方同じものを入れる。

14）インストールします。

15）UACが聞かれるので、「はい」をクリックします。

16）finish！インストールが完了しました。この後、どうするか？後日ブログります。

17）さて、ローカル情報を取得する方法について説明します。６）からデータ入力を選択します。
Windowsイベント・ログをクリックします。

18）対象サーバを選択した上で「次へ」をクリックします。

19）監視するログを選択します。利用できるアイテムの項目をクリックするだけで選択されます。次へをクリックします。

20）準備完了しました。確認をクリックします。

21）問題なければ、実行をクリックします。

22）サーチ開始をクリックすることで、解析が可能になります。

23）データサマリーをみると、18）で設定したホスト名が表示されている。as リネーム名義はできればいいんですが、まだわかりませんorz

24）データが入力されていることを確認できました。

25）イベントビューアのログがsplunkに取り込まれていることが確認できました。

こー見てみると、splunkって楽じゃねぇ？と思ってしまった。
CSVからExcelに取り込んで、フィルタオプションで探していく、っていう作業を簡単にしてくれた。便利だなぁ・・・