Splunk

Splunk スキーマを使用すると、Splunk 検索パイプラインからの結果をアラームおよびメトリックとして DX Operational Intelligence (DX OI)に送信できます。このスキーマは、イベント データを収集するために定期的に Splunk をポーリングします(デフォルトでは 300 秒ごと)。
Splunk スキーマでは、以下のモニタリング データを取り込むことができます。
  • インベントリ
  • メトリック
  • アラーム
  • トポロジ
このセクションでは、以下の情報について説明します。
サポートされているバージョン
Splunk と DX OI の統合では、以下のバージョンがサポートされています。
製品
サポートされているバージョン
Splunk
7.2
統合の設定
Splunk と DX OI 統合には、以下の手順が含まれます。
  • Splunk 環境の設定
  • RESTMon の設定
Splunk 環境の設定
Splunk 環境では、特定の統合手順を実行する必要はありません。ただし、以下の要件を満たしていることを確認してください。
  • アクティブな Splunk アカウントを持っていること。
  • Splunk は、ポート 443 を介して外部エンドポイントにリクエストを行うことができます。
詳細については、「Splunk のドキュメント」を参照してください。
RESTMon の設定
RESTMon を設定するには、OI 接続の詳細を更新し(以前に行っていない場合)、プロファイル情報を
restmon.json
ファイルに追加します。RESTMon を設定する前に、以下の要件が満たされていることを確認してください。
  • DX OI にアクセスできること。
  • RESTMon が正常にインストールおよび展開されていること。詳細については、「」を参照してください。
  • RESTMon が正常にインストールおよび展開されていること。
プロファイルの追加
プロファイルを追加するには、Splunk 環境に接続するようにプロファイルを設定し、Swagger の を使って
restmon.json
ファイルにプロファイルを追加します。
splunk_profile.json
ファイルは
<restmon\profile>
フォルダにあります。プロファイルを追加すると、Splunk 用のスキーマが自動的にアップロードされ、データ取り込みが開始されます。
この情報は、
restmon.json
ファイルに直接追加することもできます。
Splunk プロファイルには、以下のセクションが含まれています。
Profile
profile
セクションでは、プロファイル関連の情報を定義します。以下のスニペットは、profile セクションのサンプルです。
{ "name" : "splunk", "active" : "yes", "schema" : "splunk", "polling_interval_secs" : "300", "inventory_topology_fullsync_interval_mins" : "1440", "topology_ttl_mins" : "2880", "httpReqRetryCount":"5", "httpReqRetryInterval" : "1" }
名前
説明
タイプ
name
プロファイルの名前を示します。
文字列
Splunk
active
データ処理が有効かどうかを示します。プロファイルを有効にするには「
yes
」を入力します。
ブール
yes
schema
スキーマの名前を示します。スキーマに指定する名前は、restmon.json ファイルで指定されたスキーマ属性と同じである必要があります。
文字列
Splunk
polling_interval_secs
ポーリング間隔を秒単位で示します。
整数
300
inventory_topology_fullsync_interval_mins
完全同期の間隔を分単位で示します。
整数
1440
topology_ttl_min
レコードがキャッシュされる TTL (Time-to-Live)を分単位で示します。
整数
2880
tenantname
DX Operational Intelligence テナント名を示します。
文字列
TenantName
httpReqRetryCount
HTTP 接続の再試行回数を示します。
整数
5
httpReqRetryInterval
HTTP 接続の再試行間隔を示します。0 に設定すると、HTTP 接続の再試行間に再試行は行われません。
整数
1
restapiconnectdetails
restapiconnectdetails
セクションに、Splunk 環境の REST エンドポイントの詳細を入力します。以下のスニペットは、
restapiconnectdetails
セクションのサンプルです。
{ "type" : "https", "hostname" : "", "port" : "8089", "authentication" : "Basic", "username" : "", "password" : "", "realmdomain" : "", "token" : "", "httptimeout" : "30000", "checkcert" : "no" }
名前
説明
タイプ
type
DX OI によるデータ転送タイプを示します。値: HTTP または HTTPS。
文字列
https
hostname
REST エンドポイントのホスト名または IP アドレスを示します。
文字列
https://splunk.example.com
port
REST エンドポイントのポート番号を示します。
整数
8089
authentication
認証タイプを示します。Splunk の統合では、
Basic
を設定できます。以下の認証タイプのいずれかを設定することもできます。
  • none:
    許可は必要ありません。
  • basic:
    ユーザ名とパスワードを入力します。
  • NTLM:
    ユーザ名とパスワードを入力します。
  • digest:
    ユーザ名、パスワード、レルムドメインを入力します。
  • OAuth2:
    token パラメータにアクセス トークンを入力します。
  • bearer:
    token パラメータにベアラ トークンを入力します。
  • urltoken:
    token パラメータにトークンを入力します。
文字列
basic
username
ユーザ名を示します。認証タイプが basic または NTLM の場合にのみ適用されます。
文字列
password
パスワードを示します。認証タイプが basic または NTLM の場合にのみ適用されます。
文字列
realmdomain
トークンでエンコードする DNS レルムまたはドメインを示します。認証タイプが digest の場合にのみ適用されます。
文字列
token
認証タイプが OAuth2 の場合はアクセス トークン、bearer の場合はベアラ トークンを示します。
文字列
httptimeout
タイムアウトの値をミリ秒単位で示します。
整数
60
checkcert
証明書が有効であり、信頼できることを確認するために、証明書を検証することを示します。
ブール
no
monitored_groups
monitored_groups
セクションでは、モニタするグループを指定します。以下のスニペットは、
monitored_groups
セクションのサンプルです。
{ "Search" : "yes", "Search_Inventory" : "no" }
詳細な手順については、「」を参照してください。
Splunk スキーマのアップロード
プロファイルを追加すると、スキーマが自動的にアップロードされます。更新または編集したスキーマをアップロードする場合のみ、この手順を実行します。
詳細な手順については、「」を参照してください。
DX OI でのデータの表示
取り込んだデータは、DX OI ののページで閲覧し、サービス、RAW、異常のアラームに関するインサイトを得ることができます。
詳細については、「」を参照してください。