検索ヘッドクラスタに必要な構成

Overview

Splunk Enterprise Security の Recorded Future アドオンは、Splunk システム内の検索ヘッドで実行するように設計されています。サーチ ヘッド クラスター (SHC) の場合、インストール手順は SHC の標準の手順です。つまり、デプロイヤー ノードにインストールしてから、SHC ノードをデプロイする必要があります。

アプリを展開する前に、SHC 構成の一貫性を確保するために、以下の必要な構成変更を行う必要があります。

アプリは SHC 上で操作されていることを検出します。SHC のキャプテン ノードのみが、リスクリストとアラートを更新するためのモジュラー入力を実行します。

必要な構成

SHC 全体で一貫した構成を維持するには、SHC 全体で同期される構成ファイル タイプのリストを変更する必要があります。次の 2 つの追加構成ファイルが必要です。

• input.conf には、リスクリストとアラートを更新するために使用される構成済みのモジュール入力が含まれています。
• ta_recorded_future_settings.conf には、API キー (暗号化済み) とさまざまなアプリ固有の設定が含まれています。

Splunk では現時点では、アプリが必要な構成設定で出荷されることは許可されていないため、この構成はクライアントが行う必要があります。

$SPLUNK_HOME/etc/system/local/server.confには次のスタンザが必要です。

[shclustering]
 conf_replication_include.ta_recorded_future_settings = true
 conf_replication_include.inputs = true

この変更が行われ、アプリが展開されると、任意の SCH 検索ヘッド ノードに接続してセットアップを実行できるようになります。