アプリへの Splunk インスタンスの追加
Splunk インスタンスをアプリケーションに追加して、モニターおよび分析のためにデータ・ソースを QRadar® に転送できるようにします。
手順
- 単一の Splunk インスタンスを追加するには、以下の手順を実行します。
- 「 Splunkからの転送 (Forwarding from Splunk)」 タブに移動し、 Splunk Instances > 「単一 Splunk インスタンスの追加 (Add Single Splunk Instance)」をクリックします。
- IP またはホスト名、 Splunk インスタンスのポート番号、および Splunk インスタンスのユーザー資格情報を入力します。
- 証明書の検証 を 偽に設定します。
- 追加 > 閉じるをクリックします。
- 複数の Splunk インスタンスを追加するには、以下の手順を実行します。
- 「 Splunkからの転送」 タブに移動して、 Splunk 「インスタンス」 > 「複数の Splunk インスタンスの追加」をクリックします。
- サンプル CSV ファイルをダウンロードし、 Splunk インスタンスの IP/ ホスト名とポート番号を追加して、各 Splunk インスタンスのサンプル・ユーザー資格情報を置き換えます。 Splunk Deployment Server を使用している場合は、それに接続して、 Splunk デプロイメント環境に存在するすべての Splunk サーバーをリストした CSV ファイルを生成できます。 このファイルにリストされた各サーバーの名前とパスワードを追加し、ファイルをアプリケーションにアップロードします。注:
- CSVファイルには、ホスト名(DNS)、IPアドレス、ポート番、ユーザー名、パスワードのフィールドが含まれています。 ホスト名またはIP アドレスのいずれかでファイルのインポート方法を選択できます。 システムのデフォルトはホスト名でインポートします。 各行には、ホスト名またはIPアドレスのみが必要です。 一部の行にはホスト名のみ指定できるが、その他の行にはIPアドレスのみ指定できます。 ホスト名でインポートすることを選択したが、IPアドレスしか使用できない場合は、IPアドレスにインポートされます。 IP アドレスによるインポートを選択したが、ホスト名のみが使用可能な場合は、ホスト名にインポートされます。
- 既存のインスタンスを上書きすることを選択した際、以前にアップロードされたファイルと異なる場合、ユーザー名とパスワードが更新されます。