Шаг 2. Настройка Forwarder App и Search Head App (распределенное развертывание)
01 октября 2024
ID 167080
При использовании распределенной схемы развертывания необходимо настроить Forwarder App в соответствии со структурой используемой распределенной среды Splunk. Например, могут потребоваться следующие изменения настройки: изменение адреса Kaspersky CyberTrace Service, используемого приложениями, или добавление новых источников событий для Forwarder App. Для Search Head App может потребоваться настройка адресов электронной почты для информационных сообщений.
Действия по настройке для Forwarder App и Search Head App
Для Forwarder App, возможно, потребуется выполнить следующие действия:
- Изменить адрес и порт для пересылки событий в Kaspersky CyberTrace Service. См. подраздел «Изменение адреса и порта для пересылки данных в Kaspersky CyberTrace Service» ниже.
- Настроить Forwarder App для отправки событий в один или несколько индексаторов. По умолчанию события, отправляемые из Forwarder App в Kaspersky CyberTrace Service, не регистрируются в индексах. См. подраздел «Настройка Forwarder App для отправки событий в индексы» ниже.
- Если используется несколько приложений Forwarder App, только одно приложение Forwarder App должно получать события от Kaspersky CyberTrace на порт
9998
. Для всех остальных Forwarder App это правило необходимо отключить путем указания значенияtrue
для параметраdisabled
для этого правила в конфигурационном файле Forwarder App. IP-адрес и порт Forwarder App, получающего события от Kaspersky CyberTrace, необходимо указать на вкладке Settings > Service в веб-интерфейсе Kaspersky CyberTrace. - Добавить новые источники событий. См. подраздел «Добавление новых источников событий» ниже.
Для Search Head App может потребоваться выполнение следующих действий:
После внесения изменений в конфигурационные файлы перезапустите Splunk.
Редактировать следует только те конфигурационные файлы Forwarder App и Search Head App, которые описаны в этом разделе. Редактирование других конфигурационных файлов может привести к непредсказуемому поведению.
Конфигурационные файлы (распределенное развертывание)
В следующей таблице приведены конфигурационные файлы, используемые Forwarder App и Search Head App в следующих вариантах распределенной схемы развертывания:
- Один индексатор, несколько форвардеров
- Несколько индексаторов, несколько форвардеров
Конфигурационные файлы Forwarder App и Search Head App
Правила парсинга данных по умолчанию
Способ парсинга входящих данных, применяемый в Splunk, задается в файле props.conf. По умолчанию в нем задаются следующие параметры:
- Определяется способ извлечения меток времени из входящих данных.
- Определяется разделитель (перенос строки) между событиями для входящих данных.
Например, если входящие данные состоят из последовательности
"%data_1%\n\n%data_2%"
, а перенос строки состоит из одного или нескольких символов\n
, Splunk разбивает эту последовательность на два события (%data_1%
и%data_2%
).
Ниже приведены правила по умолчанию, используемые в Forwarder App для парсинга входящих данных.
В Universal Forwarder парсинг событий не предусмотрен. Настройки парсинга из props.conf не будут работать в Universal Forwarder. В этом случае парсинг событий будет выполняться непосредственно на индексаторе. См. Шаг 1. Установка приложений Forwarder App и Search Head App.
Изменение адреса и порта для пересылки данных в Kaspersky CyberTrace Service
По умолчанию в Forwarder App настроена пересылка данных в Kaspersky CyberTrace Service по адресу 127.0.0.1:9999
.
Чтобы изменить адрес и порт для пересылки данных в Kaspersky CyberTrace Service,
в конфигурационном файле outputs.conf
в разделе [tcpout:service9999]
укажите новые значения адреса и порта для Kaspersky CyberTrace Service в параметре server
.
В следующем примере задается адрес Kaspersky CyberTrace Service 192.0.2.100:9999
.
Добавление новых источников событий
Чтобы добавить новые источники событий, отредактируйте файлы конфигурации приложения inputs.conf и props.conf.
Чтобы добавить новый источник событий, выполните следующие действия:
- В файле inputs.conf укажите новый источник событий, который использует правило маршрутизации TCP
service9999
.Все данные из этого источника будут пересылаться в Kaspersky CyberTrace Service.
- В файле props.conf укажите способ обработки данных из этого источника.
- Перезапустите Splunk.
Убедитесь, что данные из нового источника событий успешно обрабатываются регулярными выражениям, используемыми Kaspersky CyberTrace.
Ниже приведен пример добавления адреса :3001
в качестве источника события; в примере задается, что данные с адреса :3001
должны обрабатываться, как и другие входные данные в схеме интеграции по умолчанию (в этой схеме форвардер, индексатор и search head установлены на одном сервере).
Если для Splunk Forwarder уже настроено получение событий из разных источников событий и требуется отправлять события в Kaspersky CyberTrace Service, выполните действия в следующем порядке. Это возможно, если в поле server
конфигурационного файла outputs.conf приложения Forwarder App заданы IP-адрес и порт, указанные в элементе InputSettings > ConnectionString
конфигурационного файла Kaspersky CyberTrace Service.
Настройка пересылки событий в Kaspersky CyberTrace Service:
- В файле outputs.conf, который используется для пересылки событий из Splunk (это может быть либо файл outputs.conf пользовательского приложения Splunk, либо файл
%SPLUNK_HOME%/etc/system/local/inputs.conf
), в полеdefaultGroup
добавьте запятую и строкуservice9999
.В этом случае следует проверить логику пересылки событий и убедиться в том, что Splunk не отправляет события, поступающие из Kaspersky CyberTrace Service, обратно в Kaspersky CyberTrace Service.
Если файл конфигурации inputs.conf содержит параметр
_TCP_ROUTING
для тех источников событий, события из которых отправляются в Kaspersky CyberTrace Service, добавьте запятую и строкуservice9999
в параметр_TCP_ROUTING
. - Перезапустите Splunk.
При необходимости настройки ScannersCount в Kaspersky CyberTrace можно изменить в соответствии с архитектурой Splunk.
Настройка Forwarder App для отправки событий в индексы
По умолчанию события, отправляемые из Forwarder App в Kaspersky CyberTrace Service, не регистрируются в индексах. Это поведение можно изменить путем настройки Forwarder App.
Чтобы настроить в Forwarder App отправку событий в индекс main, выполните следующие действия:
- Найдите Forwarder, который требуется настроить. Этот Forwarder обычно представляет собой хост с установленным Forwarder App. Необходимо настроить все Forwarder'ы, используемые в распределенной схеме интеграции.
- На форвардере в файле
%SPLUNK_HOME%\etc\system\local\outputs.conf
найдите имя целевой группы, используемой для отправки событий в один или несколько индексаторов. Здесь%SPLUNK_HOME%
соответствует каталогу установки Splunk.По умолчанию для этой группы задано имя «default-autolb-group»:
[tcpout: default-autolb-group]
- В файле
inputs.conf
, приложением Forwarder App, найдите раздел с правилом маршрутизации TCPservice9999
:_TCP_ROUTING = service9999
- Добавьте в это правило имя целевой группы.
Например, если имя целевой группы — «default-autolb-group», правило необходимо изменить следующим образом:
_TCP_ROUTING=service9999, default-autolb-group
- Перезапустите Splunk на форвардере.
Настройка шаблонов информационных сообщений
Дополнительную информацию о настройке шаблонов предупреждений см. в подразделе «Настройка шаблонов информационных сообщений» раздела Шаг 2 (необязательный). Настройка Kaspersky CyberTrace App.