ログ管理splunkにシステムログを取り込む

外部サーバのログを取得するには、「Splunk Universal Forwarder」というツールを利用する。あらゆるOSに対応していて、実に優秀な製品だ。
ツールを使わなくても、自身のシステムログを取得することも可能です。
今回は、外部サーバのログを取得するための前準備と、自身のローカルシステムログを取得するための準備を行います。
外部サーバのログりについては、環境が整い次第、後日ブログります。

1)splunk appsから、「Splunk Add-on for Microsoft Windows」を探すことになります。

splunk

2)左上の検索画面から「windows」と入力すれば、右側画面のトップに該当Appsが表示される。インストールをクリックします。

splunk

3)あっさりとインストールされます。

splunk

4)インストールされているかの状況は、AppからAppの管理をクリックします。

splunk

5)インストールされました。

splunk

6)設定から、データの取り込みを行います。
自身のローカルサーバーであれば、「データ入力」を。他のサーバであれば「転送と受信」の設定を行います。

splunk

7)今回の検証では、ローカルPCだけで行うため、「データ入力」だけでいいんだけれども、他マシンのログも取得する、「Splunk Universal Forwarder」のメリットも生かすため、両方の設定を行ってみる。まずは、「転送と受信」の設定から。ローカル情報だけで良い場合には、17)に進んでください。

データの受信から「受信の設定」をクリック

splunk

8)新規作成から、今回は、ForwarderのTCPポート番号9997を入力しておく。

splunk

9)9997番で待受となった。

splunk

10)Splunk Universal Forwarder サイトに行き、ソフトをインストールします。

splunk

11)デフォルトではApplication、Security、Security Event logが有効となっている。取得したいログを増やしたければ、カスタマイズオプションから選択直す必要がある。

splunk

12)Deployment Serverを選択。splunkサーバーを入力。

splunk

13)監視したいサーバReceiving Serverを選択。1台でまかなっているため、双方同じものを入れる。

splunk

14)インストールします。

splunk

15)UACが聞かれるので、「はい」をクリックします。

splunk

16)finish!インストールが完了しました。この後、どうするか?後日ブログります。

splunk

17)さて、ローカル情報を取得する方法について説明します。6)からデータ入力を選択します。
Windowsイベント・ログをクリックします。

splunk

18)対象サーバを選択した上で「次へ」をクリックします。

splunk

19)監視するログを選択します。利用できるアイテムの項目をクリックするだけで選択されます。次へをクリックします。

splunk

20)準備完了しました。確認をクリックします。

splunk

21)問題なければ、実行をクリックします。

splunk

22)サーチ開始をクリックすることで、解析が可能になります。

splunk

23)データサマリーをみると、18)で設定したホスト名が表示されている。as リネーム名義はできればいいんですが、まだわかりませんorz

splunk

24)データが入力されていることを確認できました。

splunk

25)イベントビューアのログがsplunkに取り込まれていることが確認できました。

splunk

こー見てみると、splunkって楽じゃねぇ?と思ってしまった。
CSVからExcelに取り込んで、フィルタオプションで探していく、っていう作業を簡単にしてくれた。便利だなぁ・・・

 

 

 

未分類