第1章 Splunk 用の Red Hat Insights アプリケーションのインストールと設定

Splunk 用の Red Hat Insights アプリケーションは、選択した Hybrid Cloud Console イベントを Splunk に転送します。アプリケーションは Hybrid Cloud Console とシームレスに統合されるため、他のデータソースを管理するのと同じように、Splunk アプリケーション側でのデータ処理に集中できます。インテグレーションが設定されると、Red Hat Hybrid Cloud Console を開かなくても、Splunk ダッシュボードから Hybrid Cloud Console 通知を表示および管理できるようになります。

サポートへの問い合わせ

Splunk 用の Red Hat Insights アプリケーションに問題がある場合は、Red Hat にサポートを依頼してください。Help (? アイコン)> Open a support case をクリックするか、? > Support options から他のオプションを表示し、Hybrid Cloud Console から直接 Red Hat サポートケースを開くことができます。

Slack ではトラブルシューティングは行いません。Splunk 用の Red Hat Insights アプリケーションは、Red Hat によって完全にサポートされています。

前提条件

  • Splunk のログイン認証情報がある。

    • Splunk Cloud Platform では、Splunk Cloud Administrator sc-admin ロールが必要です。
    • Splunk Enterprise では、admin ロールが必要です。admin ロールの作成の詳細、Splunk ドキュメントの Create secure administration credentials を参照してください。
  • Hybrid Cloud Console の組織管理者パーミッションがある。

1.1. Splunk 用 Red Hat Insights アプリケーションのインストール

Splunk 用の Red Hat Insights アプリケーションをインストールして設定し、Splunk を Hybrid Cloud Console と統合して、Splunk が Hybrid Cloud Console からイベント通知を受信できるようにします。セットアップの自動化では、次のタスクが実行されます。

  • Organization Administrator 権限を使用して、Notifications administrator ロールを持つユーザーグループを作成します。ユーザーグループを手動で作成することもできます。手動設定の詳細は、Hybrid Cloud Console アカウントでの Notifications administrator グループの手動設定 を参照してください。
  • Splunk HEC URL と HEC トークンを使用して、インテグレーションタイプ Splunk で SPLUNK_AUTOMATION と呼ばれる新しいインテグレーションを作成します。
  • RHEL バンドルに SPLUNK_AUTOMATION_GROUP という新しい動作グループを作成します。このグループには、SPLUNK_AUTOMATION Splunk インテグレーションに通知を送信するアクションが含まれています。
  • 新しい動作グループ SPLUNK_AUTOMATION_GROUP をすべての Hybrid Cloud Console サービスに割り当てます。これにより、すべてのサービスから Splunk にイベントが転送されます。現在、動作グループは、Advisor、Policies、Drift、Compliance、Malware Detection、Patch、および Vulnerability サービスからのイベントを転送します。

Splunk が Hybrid Cloud Console からの通知の受信を開始すると、Red Hat Insights アプリケーションの Splunk ダッシュボードにイベントアクティビティーが表示されます。各番号には、Hybrid Cloud Console へのハイパーリンクが含まれています。

img evnt splunk dashboard2

前提条件

  • Hybrid Cloud Console の組織管理者パーミッションがある。
  • Splunk のログイン認証情報がある。

    • Splunk Cloud Platform にアプリケーションをインストールするには、Splunk Cloud 管理者の sc-admin ロールが必要です。
    • Splunk Enterprise にアプリケーションをインストールするには、admin ロールが必要です。admin ロールの作成の詳細、Splunk ドキュメントの Create secure administration credentials を参照してください。
  • ブラウザーでポップアップブロッカーが無効になっている。

手順

  1. Splunk 用 Red Hat Insights アプリケーションをインストールします。

    1. Splunk にログインします。
    2. ホームページでフィルターボックスで Red Hat Insights を検索し、選択します。
    3. Install をクリックします。インストールプロセスが完了すると、Install successful というメッセージが表示されます。
    4. ホームページで、Settings メニュー (歯車アイコン) をクリックします。Apps ページが開きます。
    5. filter ボックスに Red Hat Insights と入力し、虫眼鏡をクリックします。アプリケーションが検索結果に表示されます。
    6. メインページで、画面の左側にある Apps 見出しの下にある Find more apps をクリックします。Browse More Apps ページが開きます。
    7. フィルターボックスに Red Hat Insights と入力し、Enter キーを押します。Red Hat Insights が検索結果に表示されます。
    8. Red Hat Insights を選択します。
    9. Install をクリックします。
    10. Splunk のユーザー名とパスワードを確認または入力し、Agree and Install をクリックします。インストールプロセスが完了すると、Complete ダイアログボックスが開きます。
  2. Splunk 用の Red Hat Insights アプリケーションを設定します。

    1. Complete ダイアログボックスで、Open the App をクリックします。App configuration ページが開きます。
    2. Continue to app setup ページ をクリックします。Set up integration with Red Hat Insights ページが開きます。このページには、HTTP イベントコレクター (HEC) 名とデフォルトのインデックスフィールドが含まれています。

      img evnt splunk start2

    3. Create Red Hat Default IndexSettings > Index を クリックします。Indexes ページが新しいタブで開きます。
    4. Indexes ページで、New Index をクリックします。
    5. Name フィールドにインデックスの名前を入力します (例: redhatinsights)。
    6. Max raw data size および Searchable retention (days) フィールドに値を入力します。
    7. Save をクリックします。作成したインデックスが Indexes リストに表示されます。これは、デフォルトで有効になっています。
    8. 最初の Splunk 画面の Set up integration with Red Hat ページで、HEC 名フィールドに HEC の名前を入力します (例: redhatinsights)。
    9. Default インデックスフィールドに、先ほど作成したインデックスの名前を入力します (例: redhatinsights)。
    10. Next をクリックします。
    11. Review をクリックしてから Submit をクリックします。作成した HEC 名が HEC 名 フィールドに表示されます。
    12. Next をクリックして、HEC URL と HEC トークンを作成します。

      img evnt create hec

  3. Insights で Splunk 統合を設定します。

    1. Copy をクリックして、Splunk Enterprise に HEC URL 値をコピーします。
    2. Next: Configure Splunk integration in Insights をクリックします。新しいブラウザータブで Hybrid Cloud Console が開きます。

      注記

      このボタンは、HEC URL または HEC トークンの Copy ボタンをクリックするまで無効になります。

    3. Hybrid Cloud Console で、Settings > Integrations に移動します。
  1. HEC URL の値を Splunk HEC URL フィールドに貼り付けます。

    注記

    コンソールの新しいタブが開かない場合は、ブラウザーのポップアップブロッカーを無効にしてください。

  2. 必要に応じて、ポートを追加します。Splunk Cloud Platform のデフォルトポートは 443 です。Splunk Enterprise と Splunk Cloud の無料トライアルのデフォルトポートは 8088 です。

    img evnt paste hec in hcc2

  3. オプション: Splunk Cloud を使用している場合は、Splunk Cloud 形式と一同じように、Integrations ページの Splunk HEC URL フィールドに貼り付けた HEC URL を編集します。

    • Google Cloud Platform (GCP) を除くすべてのクラウド上の Splunk Cloud Platform には次の形式を使用します。

      <protocol>://http-inputs-<host>.splunkcloud.com:<port>/<endpoint>
    • Google Cloud Platform (GCP) 上の Splunk Cloud Platform には次の形式を使用します。

      <protocol>://http-inputs.<host>.splunkcloud.com:<port>/<endpoint>

      以下のプレースホルダーを置き換えます。

    • protocol: http または https のいずれか
    • host: HEC を実行する Splunk Cloud Platform インスタンスの名前の後にドメイン .splunkcloud.com が続きます。
    • port: HEC ポート番号 (Splunk Cloud Platform インスタンスではデフォルトで 443)。
    • endpoint: 使用する HEC エンドポイント。多くの場合、JSON 形式のイベントには /services/collector/event エンドポイントを、生のイベントには services/collector/raw エンドポイントを使用します。

      例 :

    • JSON を使用した GCP 上の Splunk Cloud Platform:

      https://http-inputs.myhost.splunkcloud.com:443/services/collector/event
    • raw イベントを使用した AWS での Splunk Cloud 無料トライアル:

      https://http-inputs-otherhost.splunkcloud.com:443/services/collector/raw
      1. 設定プロセスを完了します。
  4. Splunk の HEC Token 値をコピーし、Hybrid Cloud Console の Integrations ページの Splunk HEC Token フィールドに貼り付けます。
  5. Hybrid Cloud Console で、Run configuration をクリックします。Hybrid Cloud Console はインテグレーションをセットアップし、動作グループを作成して、Hybrid Cloud Console イベントを動作グループに関連付けます。ページの右側にあるステータスメッセージセクションには、これらの各アクションのステータスが表示されます。

    img evnt run config in hcc

  6. セットアップが正常に完了したら、Next: Review をクリックします。アプリケーションは、Splunk integration in Insights completed というメッセージを返します。

    img evnt hcc config complete

  7. Go back to the Splunk application をクリックします。これにより、Splunk の Red Hat とのインテグレーションのセットアップ画面にリダイレクトされます。
  8. Finish set up をクリックして、Splunk でのセットアップを完了します。

    img evnt splunk setup complete

  9. Go to dashboard をクリックして、Splunk ダッシュボードにリダイレクトします。

    img evnt splunk dashboard

    注記

    Insights のセットアッププロセス中にインテグレーション設定が失敗した場合は、Red Hat サポートにお問い合わせください。

    1. Splunk ダッシュボードで Hybrid Cloud Console イベントのリストを表示するには、イベントタブをクリックします。各イベントは Hybrid Cloud Console にハイパーリンクされています。

      splunk events log