インストール
アプリはSplunkbaseから入手できます。SplunkBaseから直接インストールすることも、手動でダウンロードしてインストールすることもできます。
設定
アプリを Splunk サーバーにインストールしたら、設定する必要があります。構成
メニューは、構成›アプリ設定にあります。
-
アプリケーションが Recorded Future の API に接続されていることを確認します。「ステータス:確認済み」は
接続が成功したときに表示されます。
-
ステータスが検証されていない場合は、接続にプロキシが必要になる可能性があります。プロキシ経由の接続を有効にするには、「プロキシ サーバー経由で接続」をチェックします。
-
必須フィールドを入力してください。プロキシ サーバーで認証が必要な場合は、有効なユーザー名とパスワードを入力します。それ以外の場合は、これらのフィールドを空白のままにします。
-
[API URLを確認]をクリックして接続します。ステータスが「検証済み」になっているはずです。そうでない場合は、プロキシ設定を確認してください。
- Recorded Future の担当者から依頼があった場合にのみ、API URL を変更したり、SSL 検証を無効にしたりしてください。
-
API トークンを入力します。入手するには、Recorded Future にお問い合わせください。
-
[APIトークンの確認]をクリックします。
検索ヘッドクラスタにインストールする
アプリは、検索ヘッド クラスターで実行されているかどうかを検出し、キャプテン ノードのみがリスク リストとアラートを取得するように自動的に確認します。
-
パッケージを、 Search Head Cluster のデプロイヤーの$SPLUNK_HOME/etc/shcluster/appsにダウンロードします。
-
パッケージを解凍します。例:
tar zxvfp 記録された未来アプリ-Splunk_240.tgz -
パッケージ ファイルを削除します。
rm 記録された未来アプリ-Splunk_240.tgz -
新しいアプリをクラスター ノードにプッシュします。
splunk は shcluster-bundle を適用します...
-
任意の Search Head Cluster ノードに接続し、通常の初期構成手順に従います。アプリはクラスター内のすべてのノードに構成を伝播します。