%201.png){kind=logo}
Splunk インテグレーション
概要
QueryPie は、Splunk を通じて監査ログを外部システムに送信する機能を提供しています。
統合の設定にはシステム管理者権限が必要です。
推奨される Syslog-Splunk アーキテクチャ
Splunk 連携推奨アーキテクチャ
Syslog-Splunk 連携の推奨アーキテクチャは以下の通りです。
Splunk にデータを送信する前の初期収集に専用の Syslog サーバーを使用する。
Universal Forwarder または Heavy Forwarder を使用してデータを Splunk に送信する。
QueryPie では、ユーザーの利便性を考慮して TCP、UDP、HTTP、HTTPS プロトコルを使用した直接送信が可能ですが、この構成は Splunk が推奨していないことに注意してください。
また、Splunk は Syslog を収集するための SC4S (Splunk Connector for Syslog) も別途提供しています。
Splunk インテグレーションの設定
Administrator > General > System > Integrations メニューに移動します。
Splunkタイルをクリックして、詳細設定ページにアクセスします。デスティネーション情報を入力するポップアップを開くには、
[設定]ボタンをクリックします。
(左) TCP / UDP 設定画面 (右) HTTP / HTTPS 設定画面
以下の詳細を入力して、デスティネーション情報を作成します。
Destination Name (宛先名): Syslog の受信者を識別するために適切な名前を入力します。
プロトコル: Splunk にデータを送信するプロトコルを TCP (デフォルト)、UDP、HTTP、HTTPS から選択します。
UDP はパケット長に制限があり、安全性が低いため、TCP を推奨します。
Splunk で HTTP Event Collector (HEC) を使用する場合、デフォルトは HTTPS です。
HTTPS ではなく HTTP を使用する必要がある場合は、まず Splunk の HEC 設定で SSL オプションを無効にする必要があります。HTTP を選択する場合は、以下のフィールド値も入力する必要があります:
HEC Host: Splunk サーバのホスト名または IP アドレスを入力します。
HEC トークン: Splunk HEC トークンの値を入力します。
宛先アドレス (ホスト名):Splunk サーバーまたはフォワーダーの IP アドレスまたはホスト名を入力します。HTTP / HTTPS プロトコルの場合、このフィールドは HEC Host 入力に置き換えられます。
ポート: Syslog サーバーのリスニングポートを指定します (デフォルトは TCP / UDP の 514 です)。
Splunk HEC ポート番号を入力する前に、Splunk の設定を確認してください。
Splunk メニューで HTTP / HTTPS プロトコルが選択されている場合:
Splunk HTTP Event Collector のグローバルオプションで設定されているポート番号を入力します。デフォルトのポートは 8088 です。
Splunk Cloud ユーザーの場合は 443 を入力します。
HEC トークン: HTTP および HTTPS プロトコルの場合、Splunk HEC セットアップ時に生成されたトークン値を入力する必要があります。
テスト接続: TCP、HTTP、HTTPS プロトコルでは、ターゲットとの通信状態をテストできます。
UDPプロトコルの性質上、通信状態の確認ができないため、このボタンは無効になります。
イベント項目選択: 送信するイベント項目を選択できます。チェックボックスSelect all event items を選択すると、後で追加される可能性のあるものも含めて、利用可能なすべてのイベントが送信されます。
syslog ヘッダーを無効にする:このオプションを使用すると、syslog ヘッダー情報なしでログを送信できます(デフォルトはYes)。このオプションは、一部の SIEM が syslog ヘッダー付きの JSONを解析するのが困難な場合に便利です。HTTP と HTTPS プロトコルでは、このオプションは使用できず、ログは常に syslog ヘッダーなしで送信されることに注意してください。
Description : 設定の簡単な説明を入力します(最大 100文字)。
OKボタンをクリックして保存します。Syslog 送信は、保存後すぐには開始されません。
ログの送信を開始するには、ページ左上の:토글:スイッチをアクティブに切り替えます。
このトグルボタンは、メンテナンスなどのために一時的に送信を停止する場合にも使用できます。
Syslog ログを送信する必要がなくなった場合は、
削除ボタンを使用して設定を削除できます。ただし、削除する前にまずトグルを非アクティブにする必要があります。:토글off:
注意事項
ライセンスによっては、QueryPie が Syslog 経由で送信するイベント項目が異なる場合があります。
イベント項目 | DAC | SAC | KAC |
|---|---|---|---|
ユーザアクセス履歴 | O | O | O |
アクティビティログ | O | O | O |
管理者役割履歴 | O | O | O |
監査ログエクスポート | O | O | O |
DB アクセス履歴 | O | 該当なし | 該当なし |
クエリ監査 | O | 該当なし | 該当なし |
DML スナップショット | O | 該当なし | 該当なし |
DB アクセス制御ログ | O | 該当なし | 該当なし |
アカウントロック履歴 | O | 該当なし | 該当なし |
サーバーアクセス履歴 | 該当なし | O | 該当なし |
サーバーコマンド監査 | 該当なし | O | 該当なし |
サーバーセッションログ | 該当なし | O | 該当なし |
サーバーアクセスコントロールログ | 該当なし | O | 該当なし |
ワークフローログ | O | O | O |
承認待ちログ | O | O | O |
監査依頼 | 該当なし | 該当なし | O |
Kubernetes ロール履歴 | N/A | 該当なし | O |
Pod Session Recordings は、Request Audit のPods / execリソース呼び出し履歴とエントリが重複するため、Syslog 送信ではサポートされていません。