
外部サーバのログを取得するには、「Splunk Universal Forwarder」というツールを利用する。あらゆるOSに対応していて、実に優秀な製品だ。
ツールを使わなくても、自身のシステムログを取得することも可能です。
今回は、外部サーバのログを取得するための前準備と、自身のローカルシステムログを取得するための準備を行います。
外部サーバのログりについては、環境が整い次第、後日ブログります。
1)splunk appsから、「Splunk Add-on for Microsoft Windows」を探すことになります。
2)左上の検索画面から「windows」と入力すれば、右側画面のトップに該当Appsが表示される。インストールをクリックします。
3)あっさりとインストールされます。
4)インストールされているかの状況は、AppからAppの管理をクリックします。
5)インストールされました。
6)設定から、データの取り込みを行います。
自身のローカルサーバーであれば、「データ入力」を。他のサーバであれば「転送と受信」の設定を行います。
7)今回の検証では、ローカルPCだけで行うため、「データ入力」だけでいいんだけれども、他マシンのログも取得する、「Splunk Universal Forwarder」のメリットも生かすため、両方の設定を行ってみる。まずは、「転送と受信」の設定から。ローカル情報だけで良い場合には、17)に進んでください。
データの受信から「受信の設定」をクリック
8)新規作成から、今回は、ForwarderのTCPポート番号9997を入力しておく。
9)9997番で待受となった。
10)Splunk Universal Forwarder サイトに行き、ソフトをインストールします。
11)デフォルトではApplication、Security、Security Event logが有効となっている。取得したいログを増やしたければ、カスタマイズオプションから選択直す必要がある。
12)Deployment Serverを選択。splunkサーバーを入力。
13)監視したいサーバReceiving Serverを選択。1台でまかなっているため、双方同じものを入れる。
14)インストールします。
15)UACが聞かれるので、「はい」をクリックします。
16)finish!インストールが完了しました。この後、どうするか?後日ブログります。
17)さて、ローカル情報を取得する方法について説明します。6)からデータ入力を選択します。
Windowsイベント・ログをクリックします。
18)対象サーバを選択した上で「次へ」をクリックします。
19)監視するログを選択します。利用できるアイテムの項目をクリックするだけで選択されます。次へをクリックします。
20)準備完了しました。確認をクリックします。
21)問題なければ、実行をクリックします。
22)サーチ開始をクリックすることで、解析が可能になります。
23)データサマリーをみると、18)で設定したホスト名が表示されている。as リネーム名義はできればいいんですが、まだわかりませんorz
24)データが入力されていることを確認できました。
25)イベントビューアのログがsplunkに取り込まれていることが確認できました。
こー見てみると、splunkって楽じゃねぇ?と思ってしまった。
CSVからExcelに取り込んで、フィルタオプションで探していく、っていう作業を簡単にしてくれた。便利だなぁ・・・