検索
サポートコンソール開発者トライアルの開始お問い合わせ

第13章 Splunk との統合

download PDF

Splunk を使用している場合は、Red Hat Advanced Cluster Security for Kubernetes から Splunk にアラートを転送し、Splunk 内から違反、脆弱性検出、コンプライアンス関連データを表示できます。

重要

現在、Splunk インテグレーションは IBM Power (ppc64le) および IBM Z (s390x) ではサポートされていません。

ユースケースに応じて、次の方法を使用して、Red Hat Advanced Cluster Security for Kubernetes を Splunk と統合できます。

これらの統合オプションの一方または両方を使用して、Red Hat Advanced Cluster Security for Kubernetes を Splunk と統合できます。

13.1. HTTP イベントコレクターの使用

HTTP イベントコレクターを使用して、Red Hat Advanced Cluster Security for Kubernetes から Splunk にアラートを転送できます。

HTTP イベントコレクターを使用して Red Hat Cluster Security for Kubernetes を Splunk と統合するには、次の手順に従います。

  1. Splunk に新しい HTTP イベントコレクターを追加し、トークン値を取得します。
  2. トークン値を使用して、Red Hat Advanced Cluster Security for Kubernetes で通知を設定します。
  3. 通知を送信するポリシーを特定し、それらのポリシーの通知設定を更新します。

13.1.1. Splunk に HTTP イベントコレクターを追加する

Splunk インスタンスの新しい HTTP イベントコレクターを追加し、トークンを取得します。

手順

  1. Splunk ダッシュボードで、Settings Add Data に移動します。
  2. Monitor をクリックします。
  3. Add Data ページで、HTTP Event Collector をクリックします。
  4. イベントコレクターの Name を入力し、Next > をクリックします。
  5. デフォルトの Input Settings を受け入れて、Review > をクリックします。
  6. イベントコレクターのプロパティーを確認し、Submit > をクリックします。
  7. イベントコレクターの Token Value をコピーします。このトークン値は、Red Hat Advanced Cluster Security for Kubernetes で Splunk との統合を設定するために必要です。

13.1.1.1. HTTP イベントコレクターの有効化

イベントを受信する前に、HTTP イベントコレクタートークンを有効にする必要があります。

手順

  1. Splunk ダッシュボードで、Settings Data inputs に移動します。
  2. HTTP Event Collector をクリックします。
  3. Global Settings をクリックします。
  4. 開いたダイアログで、Enabled をクリックし、Save をクリックします。

13.1.2. Red Hat Advanced Cluster Security for Kubernetes での Splunk 統合の設定

トークン値を使用して、Red Hat Advanced Cluster Security for Kubernetes に新しい Splunk 統合を作成します。

手順

  1. RHACS ポータルで、Platform Configuration Integrations に移動します。
  2. Notifier Integrations セクションまでスクロールダウンし、Splunk を選択します。
  3. New Integration (add アイコン) をクリックします。
  4. Integration Name の名前を入力します。
  5. Splunk URL を HTTP Event Collector URL フィールドに入力します。HTTPS の場合は 443、HTTP の場合は 80 でない場合は、ポート番号を指定する必要があります。また、URL の最後に URL パス /services/collector/event を追加する必要があります。たとえば、https://<splunk-server-path>:8088/services/collector/event です。

  6. HTTP Event Collector Token フィールドにトークンを入力します。

    注記

    Red Hat Advanced Cluster Security for Kubernetes バージョン 3.0.57 以降を使用している場合は Source Type for Alert イベントと Source Type for Audit イベントのソースタイプを指定できます。

  7. Test を選択してテストメッセージを送信し、Splunk との統合が機能していることを確認します。
  8. Create を選択して設定を生成します。

13.1.3. ポリシー通知の設定

システムポリシーのアラート通知を有効にします。

手順

  1. RHACS ポータルで、Platform Configuration Policy Management に移動します。
  2. アラートの送信先となるポリシーを 1 つ以上選択します。
  3. Bulk actionsEnable notification を選択します。

  4. Enable notification ウィンドウで、Splunk 通知機能を選択します。

    注記

    他の統合を設定していない場合、システムは通知機能が設定されていないメッセージが表示します。

  5. Enable をクリックします。
注記
  • Red Hat Advanced Cluster Security for Kubernetes は、オプトインベースで通知を送信します。通知を受信するには、最初に通知機能をポリシーに割り当てる必要があります。
  • 通知は、特定のアラートに対して 1 回だけ送信されます。ポリシーに通知機能を割り当てた場合、違反によって新しいアラートが生成されない限り、通知は受信されません。

  • Red Hat Advanced Cluster Security for Kubernetes は、次のシナリオに対して新しいアラートを作成します。

    • ポリシー違反は、デプロイメントで初めて発生します。
    • ランタイムフェーズのポリシー違反は、そのデプロイメントのポリシーに対する以前のランタイムアラートを解決した後のデプロイメントで発生します。
Red Hat logoGithubRedditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

© 2024 Red Hat, Inc.