SPLUNK は SIEM(Security Information Management) に分類されるセキュリティ製品です。ログを一か所に集めて相関分析します。ライバルとしては IBM の QRadar が有名ですね。サイバー攻撃から守るため、万が一マルウェアに侵入された場合に検知するためにSIEMは必要です。体験版もあるので是非活用してください。なお、 SPLUNK UF(クライアント、要するにログを送信する機器)側は基本的に無償です。
ダウンロード元ページのURL:https://www.splunk.com/ja_jp/download/universal-forwarder.html
ダウンロードした splunk-7.2.3-06d57c595b80-x64-release.msi を実行します。
(バージョンによりファイル名が異なる可能性があります。)
次のような警告画面が表示される場合は、実行するソフトウェア名とメーカを再確認します。問題ない場合は[はい]を実行します。
(1)「UniversalForwarder Setup」が表示されます。
ライセンス同意書をよく確認します。同意できない場合はインストールをキャンセルします。
[ Check this box to accept the License Agreement ] をクリックします。
(2)「Default Installation Options」が表示されます。
[ Customize Options ] をクリックします。
(3)「Install UniversalForwarder to:」が表示されます。
必要ならインストール先のフォルダ(ディレクトリ)を変更します。デフォルトのインストール先フォルダは"C:\Program Files\SplunkUniversalForwarder"です。
[ Next ] をクリックします。
(4)「UniversalForwarder Setup」が表示されます。
デフォルトの証明書以外を使用するなら以下でファイルとパスワードを指定します。指定しない場合はデフォルトの SPLUNK の証明書が使用されます。
[ Next ] をクリックします。
(5)「The user you install UniversalForwarder as determines what data it has access to」が表示されます。
SPLUNK universal forwader サービスが使用するアカウントを指定します。デフォルトでは Local System が選択されます。
参考まで サービスの構成は以下の通りです。
SERVICE_NAME: SplunkForwarder
DISPLAY_NAME: SplunkForwarder Service
TYPE : 10 WIN32_OWN_PROCESS
STATE : 4 RUNNING
(STOPPABLE, NOT_PAUSABLE, ACCEPTS_SHUTDOWN)
WIN32_EXIT_CODE : 0 (0x0)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0
[ Next ] をクリックします。
(6)「UniversalForwarder Setup」が表示されます。
送信する Windows イベントログやパフォーマンスデータを指定します。設定を行うと記録されたイベントログや性能データが SPLUNK サーバに送信されます。アプリケーションログ、セキュリティログ、システムログ、Forwader Events Log,Setup Log などの指定が可能です。
[ Next ] をクリックします。
(7)「UniversalForwarder Setup」が表示されます。
SPLUNK のユーザ及びパスワードを指定します。これは Windows ユーザではありません。
以下のようにコマンドによっては認証を求められます。
C:\Program Files\Splunk\bin>splunk list forward-server
Splunk username: testuser
Password:
Login failed
C:\Program Files\Splunk\bin>splunk list forward-server
Splunk username: testuser
Password:
Active forwards:
None
Configured but inactive forwards:
10.0.0.2:9990
[ Next ] をクリックします。
(8)「UniversalForwarder Setup」が表示されます。
Deployment Server のホスト名あるいは IPアドレスとポート番号を指定します。ポート番号をデフォルトから変更する場合はポート番号を指定します。
[ Next ] をクリックします。
(9)「UniversalForwarder Setup」が表示されます。
Receiving Indexer のホスト名あるいは IPアドレスとポート番号を指定します。ポート番号をデフォルトから変更する場合はポート番号を指定します。このサーバにイベントログや性能データが送信されます。
[ Next ] をクリックします。
(10)「Click Install to begin the installation. Click Back to review or change any of your installation settings. Click Cancel to exit the wizard.」が表示されます。
準備が完了したのでインストールを開始します。
[ Install ] をクリックします。
(11)「UniversalForwarder was succesfully installed. Click the buttons below to learn more or click Finish to exit the wizard.」が表示されます。
[ Finish ] をクリックします。
以上でインストールが完了します。
[便利なソフトウェアのダウンロード一覧] - [Splunk Universal Forwader] - [Splunk Universal Forwaderのインストール手順]