2024年3月29日 / 最終更新日時 : 2024年4月1日 yokohama ITスキル

dockerでSplunk環境構築

こちらを参考にしました。

https://splunk.github.io/docker-splunk/SETUP.html

インストールから起動

$ docker pull splunk/splunk:latest

イメージの確認

$ docker images
REPOSITORY                                      TAG                            IMAGE ID       CREATED        SIZE
splunk/splunk                                   latest                         55679cea600a   29 hours ago   2.07GB

起動

$ docker run -d -p 8000:8000 -p 9997:9997 -p 8089:8089 -e "SPLUNK_START_ARGS=--accept-license" -e "SPLUNK_PASSWORD=password" --name splunk splunk/splunk:latest

ステータスの確認

$ docker exec -it -u splunk splunk /opt/splunk/bin/splunk status
splunkd is running (PID: 1958).
splunk helpers are running (PIDs: 1959 2077 2184 2240).

バージョンの確認

$ docker exec -it -u splunk splunk /opt/splunk/bin/splunk version
Splunk 9.0.9 (build 6315942c563f)

ブラウザからアクセス(http://localhost:8000)

admin / password でログイン

Splunkでの受信の設定確認

上記の手順で起動していれば、以下の手順でwebから、9997が開いていることが確認できます。

Windowsにフォワーダーをインストール

以下から、ダウンロードします。Splunkのアカウント登録が必要です。

https://www.splunk.com/ja_jp/download/universal-forwarder.html

ダウンロードした、.msiファイルを使用してインストールを進めます。

このままいきます。

とりあえず、全て転送してみます。

universal forwarder用のアカウントを作る必要があるので、Usernameは、とりあえず uf にしました。パスワードはランダム生成にチェックをいれました。

デプロイメントサーバーとインデクサーのIPを指定します。今回はAll in Oneなので同じIPでポートはデフォルトのまま。

動いているか確認します。

Splunk側の受信設定

Universal FowarderがインストールされているPCが表示されればOKです。受信したいPCを選択します。

全て追加します。

indexはデフォルトでいってみます。

成功したっぽいです。

カテゴリー
ITスキルTheat Hunting
タグ

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

ITスキル

前の記事

dockerでOpenCTIサーバー構築
2024年3月25日
ゲーム

次の記事

【Java版】マルチプレイでチートコマンドを使えるようにする
2024年3月30日