Шаг 2. Настройка Forwarder App и Search Head App (распределенное развертывание)

При использовании распределенной схемы развертывания необходимо настроить Forwarder App в соответствии со структурой используемой распределенной среды Splunk. Например, могут потребоваться следующие изменения настройки: изменение адреса Kaspersky CyberTrace Service, используемого приложениями, или добавление новых источников событий для Forwarder App. Для Search Head App может потребоваться настройка адресов электронной почты для информационных сообщений.

Действия по настройке для Forwarder App и Search Head App

Для Forwarder App, возможно, потребуется выполнить следующие действия:

• Изменить адрес и порт для пересылки событий в Kaspersky CyberTrace Service. См. подраздел «Изменение адреса и порта для пересылки данных в Kaspersky CyberTrace Service» ниже.
• Настроить Forwarder App для отправки событий в один или несколько индексаторов. По умолчанию события, отправляемые из Forwarder App в Kaspersky CyberTrace Service, не регистрируются в индексах. См. подраздел «Настройка Forwarder App для отправки событий в индексы» ниже.
• Если используется несколько приложений Forwarder App, только одно приложение Forwarder App должно получать события от Kaspersky CyberTrace на порт 9998. Для всех остальных Forwarder App это правило необходимо отключить путем указания значения true для параметра disabled для этого правила в конфигурационном файле Forwarder App. IP-адрес и порт Forwarder App, получающего события от Kaspersky CyberTrace, необходимо указать на вкладке Settings > Service в веб-интерфейсе Kaspersky CyberTrace.
• Добавить новые источники событий. См. подраздел «Добавление новых источников событий» ниже.

Для Search Head App может потребоваться выполнение следующих действий:

• Добавление адресов электронной почты в шаблоны информационных сообщений.

После внесения изменений в конфигурационные файлы перезапустите Splunk.

Редактировать следует только те конфигурационные файлы Forwarder App и Search Head App, которые описаны в этом разделе. Редактирование других конфигурационных файлов может привести к непредсказуемому поведению.

Конфигурационные файлы (распределенное развертывание)

В следующей таблице приведены конфигурационные файлы, используемые Forwarder App и Search Head App в следующих вариантах распределенной схемы развертывания:

• Один индексатор, несколько форвардеров
• Несколько индексаторов, несколько форвардеров

  Конфигурационные файлы Forwarder App и Search Head App

  Приложение	Конфигурационный файл	Правила по умолчанию
  Forwarder App	\default\inputs.conf	Получает данные из источников на порт 3000 и пересылает их в соответствии с параметрами, заданными в файле outputs.conf. Получает события от Kaspersky CyberTrace на порт :9998.
  Forwarder App	\default\outputs.conf	Пересылает данные на 127.0.0.1:9999 (адрес Kaspersky CyberTrace Service).
  Forwarder App	\default\props.conf	Парсинг данных, полученных на :3000 и :9998. Описание правил парсинга данных по умолчанию приведено в подразделе «Правила парсинга данных по умолчанию» ниже.
  Search Head App	\default\savedsearches.conf	Правила для шаблонов информационных сообщений.

Правила парсинга данных по умолчанию

Способ парсинга входящих данных, применяемый в Splunk, задается в файле props.conf. По умолчанию в нем задаются следующие параметры:

• Определяется способ извлечения меток времени из входящих данных.
• Определяется разделитель (перенос строки) между событиями для входящих данных.

  Например, если входящие данные состоят из последовательности «%data_1%\n\n%data_2%», а перенос строки состоит из одного или нескольких символов \n, Splunk разбивает эту последовательность на два события (%data_1% и %data_2%).

Ниже приведены правила по умолчанию, используемые в Forwarder App для парсинга входящих данных.

В Universal Forwarder парсинг событий не предусмотрен. Настройки парсинга из props.conf не будут работать в Universal Forwarder. В этом случае парсинг событий будет выполняться непосредственно на индексаторе. См. Шаг 1. Установка приложений Forwarder App и Search Head App.

Изменение адреса и порта для пересылки данных в Kaspersky CyberTrace Service

По умолчанию в Forwarder App настроена пересылка данных в Kaspersky CyberTrace Service по адресу 127.0.0.1:9999.

Чтобы изменить адрес и порт для пересылки данных в Kaspersky CyberTrace Service,

в конфигурационном файле outputs.conf в разделе [tcpout:service9999] укажите новые значения адреса и порта для Kaspersky CyberTrace Service в параметре server.

В следующем примере задается адрес Kaspersky CyberTrace Service 192.0.2.100:9999.

Добавление новых источников событий

Чтобы добавить новые источники событий, отредактируйте файлы конфигурации приложения inputs.conf и props.conf.

Чтобы добавить новый источник событий, выполните следующие действия:

1. В файле inputs.conf укажите новый источник событий, который использует правило маршрутизации TCP service9999.

   Все данные из этого источника будут пересылаться в Kaspersky CyberTrace Service.

2. В файле props.conf укажите способ обработки данных из этого источника.
3. Перезапустите Splunk.

Убедитесь, что данные из нового источника событий успешно обрабатываются регулярными выражениям, используемыми Kaspersky CyberTrace.

Ниже приведен пример добавления адреса :3001 в качестве источника события; в примере задается, что данные с адреса :3001 должны обрабатываться, как и другие входные данные в схеме интеграции по умолчанию (в этой схеме форвардер, индексатор и search head установлены на одном сервере).

Если для Splunk Forwarder уже настроено получение событий из разных источников событий и требуется отправлять события в Kaspersky CyberTrace Service, выполните действия в следующем порядке. Это возможно, если в поле server конфигурационного файла outputs.conf приложения Forwarder App заданы IP-адрес и порт, указанные в элементе InputSettings > ConnectionString конфигурационного файла Kaspersky CyberTrace Service.

Настройка пересылки событий в Kaspersky CyberTrace Service:

1. В файле outputs.conf, который используется для пересылки событий из Splunk (это может быть либо файл outputs.conf пользовательского приложения Splunk, либо файл %SPLUNK_HOME%/etc/system/local/inputs.conf ), в поле defaultGroup добавьте запятую и строку service9999.

   В этом случае следует проверить логику пересылки событий и убедиться в том, что Splunk не отправляет события, поступающие из Kaspersky CyberTrace Service, обратно в Kaspersky CyberTrace Service.

   Если файл конфигурации inputs.conf содержит параметр _TCP_ROUTING для тех источников событий, события из которых отправляются в Kaspersky CyberTrace Service, добавьте запятую и строку service9999 в параметр _TCP_ROUTING.

2. Перезапустите Splunk.

При необходимости настройки ScannersCount в Kaspersky CyberTrace можно изменить в соответствии с архитектурой Splunk.

Настройка Forwarder App для отправки событий в индексы

По умолчанию события, отправляемые из Forwarder App в Kaspersky CyberTrace Service, не регистрируются в индексах. Это поведение можно изменить путем настройки Forwarder App.

Чтобы настроить в Forwarder App отправку событий в индекс main, выполните следующие действия:

1. Найдите Forwarder, который требуется настроить. Этот Forwarder обычно представляет собой хост с установленным Forwarder App. Необходимо настроить все Forwarder'ы, используемые в распределенной схеме интеграции.
2. На форвардере в файле %SPLUNK_HOME%\etc\system\local\outputs.conf найдите имя целевой группы, используемой для отправки событий в один или несколько индексаторов. Здесь %SPLUNK_HOME% соответствует каталогу установки Splunk.

   По умолчанию для этой группы задано имя «default-autolb-group»:

   [tcpout: default-autolb-group]

3. В файле inputs.conf, приложением Forwarder App, найдите раздел с правилом маршрутизации TCP service9999:

   _TCP_ROUTING = service9999

4. Добавьте в это правило имя целевой группы.

   Например, если имя целевой группы — «default-autolb-group», правило необходимо изменить следующим образом:

   _TCP_ROUTING=service9999, default-autolb-group

5. Перезапустите Splunk на форвардере.

Настройка шаблонов информационных сообщений

Дополнительную информацию о настройке шаблонов предупреждений см. в подразделе «Настройка шаблонов информационных сообщений» раздела Шаг 2 (необязательный). Настройка Kaspersky CyberTrace App.