Red Hat Summit第2章 レポートおよび自動化アプリケーションの Hybrid Cloud Console との統合
Hybrid Cloud Console を Splunk、ServiceNow、Event-Driven Ansible、または PagerDuty に接続して、他のデータソースを管理している場所でイベント通知を受信して管理します。
2.1. Splunk 用の Red Hat Insights アプリケーションのインストールと設定
Splunk 用の Red Hat Insights アプリケーションは、選択した Hybrid Cloud Console イベントを Splunk に転送します。アプリケーションは Hybrid Cloud Console とシームレスに統合されるため、他のデータソースを管理するのと同じように、Splunk アプリケーション側でのデータ処理に集中できます。インテグレーションが設定されると、Red Hat Hybrid Cloud Console を開かなくても、Splunk ダッシュボードから Hybrid Cloud Console 通知を表示および管理できるようになります。
サポートへの問い合わせ
Splunk 用の Red Hat Insights アプリケーションに問題がある場合は、Red Hat にサポートを依頼してください。Help (? アイコン) > Open a support case をクリックするか、? > Support options から他のオプションを表示し、Hybrid Cloud Console から直接 Red Hat サポートケースを開くことができます。
Splunk ではトラブルシューティングは行いません。Splunk 用の Red Hat Insights アプリケーションは、Red Hat によって完全にサポートされています。
前提条件
Splunk のログイン認証情報がある。
-
Splunk Cloud Platform では、Splunk Cloud Administrator
sc-adminロールが必要です。 -
Splunk Enterprise では、
adminロールが必要です。adminロールの作成の詳細、Splunk ドキュメントの Create secure administration credentials を参照してください。
-
Splunk Cloud Platform では、Splunk Cloud Administrator
- Hybrid Cloud Console の組織管理者パーミッションがある。
2.1.1. Splunk 用 Red Hat Insights アプリケーションのインストール
Splunk 用の Red Hat Insights アプリケーションをインストールして設定し、Splunk を Hybrid Cloud Console と統合して、Splunk が Hybrid Cloud Console からイベント通知を受信できるようにします。セットアップの自動化では、次のタスクが実行されます。
- Organization Administrator 権限を使用して、Notifications administrator ロールを持つユーザーグループを作成します。ユーザーグループを手動で作成することもできます。手動設定の詳細は、Hybrid Cloud Console アカウントでの Notifications administrator グループの手動設定 を参照してください。
- Splunk HEC URL と HEC トークンを使用して、インテグレーションタイプ Splunk で SPLUNK_AUTOMATION と呼ばれる新しいインテグレーションを作成します。
- RHEL バンドルに SPLUNK_AUTOMATION_GROUP という新しい動作グループを作成します。このグループには、SPLUNK_AUTOMATION Splunk インテグレーションに通知を送信するアクションが含まれています。
- 新しい動作グループ SPLUNK_AUTOMATION_GROUP をすべての Hybrid Cloud Console サービスに割り当てます。これにより、すべてのサービスから Splunk にイベントが転送されます。現在、動作グループは、Advisor、Policies、Drift、Compliance、Malware Detection、Patch、および Vulnerability サービスからのイベントを転送します。
Splunk が Hybrid Cloud Console からの通知の受信を開始すると、Red Hat Insights アプリケーションの Splunk ダッシュボードにイベントアクティビティーが表示されます。各番号には、Hybrid Cloud Console へのハイパーリンクが含まれています。
前提条件
- Hybrid Cloud Console の組織管理者パーミッションがある。
Splunk のログイン認証情報がある。
-
Splunk Cloud Platform にアプリケーションをインストールするには、Splunk Cloud 管理者の
sc-adminロールが必要です。 -
Splunk Enterprise にアプリケーションをインストールするには、
adminロールが必要です。adminロールの作成の詳細、Splunk ドキュメントの Create secure administration credentials を参照してください。
-
Splunk Cloud Platform にアプリケーションをインストールするには、Splunk Cloud 管理者の
- ブラウザーでポップアップブロッカーが無効になっている。
手順
Splunk 用 Red Hat Insights アプリケーションをインストールします。
- Splunk にログインします。
- ホームページでフィルターボックスで Red Hat Insights を検索し、選択します。
-
Install をクリックします。インストールプロセスが完了すると、
Install successfulというメッセージが表示されます。 - ホームページで、Settings メニュー (歯車アイコン) をクリックします。Apps ページが開きます。
- filter ボックスに Red Hat Insights と入力し、虫眼鏡をクリックします。アプリケーションが検索結果に表示されます。
- ホームページで、画面の左側にある Apps 見出しの下にある Find more apps をクリックします。Browse More Apps ページが開きます。
- フィルターボックスに Red Hat Insights と入力し、Enter キーを押します。Red Hat Insights が検索結果に表示されます。
- Red Hat Insights を選択します。
- Install をクリックします。
- Splunk のユーザー名とパスワードを確認または入力し、Agree and Install をクリックします。インストールプロセスが完了すると、Complete ダイアログボックスが開きます。
Splunk 用の Red Hat Insights アプリケーションを設定します。
- Complete ダイアログボックスで、Open the App をクリックします。App configuration ページが開きます。
Continue to app setup ページ をクリックします。Set up integration with Red Hat Insights ページが開きます。このページには、HTTP イベントコレクター (HEC) 名とデフォルトのインデックスフィールドが含まれています。
- Create Red Hat Default Index で Settings > Index をクリックします。Indexes ページが新しいタブで開きます。
- Indexes ページで、New Index をクリックします。
-
Name フィールドにインデックスの名前を入力します (例:
redhatinsights)。 - Max raw data size および Searchable retention (days) フィールドに値を入力します。
- Save をクリックします。作成したインデックスが Indexes リストに表示されます。これは、デフォルトで有効になっています。
-
最初の Splunk 画面の Set up integration with Red Hat ページで、HEC 名フィールドに HEC の名前を入力します (例:
redhatinsights)。 -
Default インデックスフィールドに、先ほど作成したインデックスの名前を入力します (例:
redhatinsights)。 - Next をクリックします。
- Review をクリックしてから Submit をクリックします。作成した HEC 名が HEC 名フィールドに表示されます。
Next をクリックして、HEC URL と HEC トークンを作成します。
Insights で Splunk 統合を設定します。
- Copy をクリックして、Splunk Enterprise に HEC URL 値をコピーします。
Next: Configure Splunk integration in Insights をクリックします。新しいブラウザータブで Hybrid Cloud Console が開きます。
注記このボタンは、HEC URL または HEC トークンの Copy ボタンをクリックするまで無効になります。
- Hybrid Cloud Console で、Settings > Integrations に移動します。
- Reporting & Automation タブをクリックします。
- Add Integration をクリックします。
- Splunk をクリックした後、Next をクリックします。
- インテグレーションの名前を入力します (例: SPLUNK_INTEGRATION)。
- HEC URL の値を Endpoint URL フィールドに貼り付けます。
Secret token フィールドに Splunk HTTP イベントコレクタートークンを入力します。
注記コンソールの新しいタブが開かない場合は、ブラウザーのポップアップブロッカーを無効にしてください。
必要に応じて、ポートを追加します。Splunk Cloud Platform のデフォルトポートは 443 です。Splunk Enterprise と Splunk Cloud の無料トライアルのデフォルトポートは 8088 です。
オプション: Splunk Cloud を使用している場合は、Splunk Cloud 形式と一同じように、Integrations ページの Splunk HEC URL フィールドに貼り付けた HEC URL を編集します。
Google Cloud Platform (GCP) を除くすべてのクラウド上の Splunk Cloud Platform には次の形式を使用します。
<protocol>://http-inputs-<host>.splunkcloud.com:<port>
<protocol>://http-inputs-<host>.splunkcloud.com:<port>Copy to Clipboard Copied! Toggle word wrap Toggle overflow Google Cloud Platform (GCP) 上の Splunk Cloud Platform には次の形式を使用します。
<protocol>://http-inputs.<host>.splunkcloud.com:<port>
<protocol>://http-inputs.<host>.splunkcloud.com:<port>Copy to Clipboard Copied! Toggle word wrap Toggle overflow 以下のプレースホルダーを置き換えます。
-
protocol:httpまたはhttpsのいずれか -
host: HEC を実行する Splunk Cloud Platform インスタンスの名前の後にドメイン.splunkcloud.comが続きます。 port: HEC ポート番号 (Splunk Cloud Platform インスタンスではデフォルトで 443)。例:
JSON を使用した GCP 上の Splunk Cloud Platform:
https://http-inputs.myhost.splunkcloud.com:443
https://http-inputs.myhost.splunkcloud.com:443Copy to Clipboard Copied! Toggle word wrap Toggle overflow raw イベントを使用した AWS での Splunk Cloud 無料トライアル:
https://http-inputs-otherhost.splunkcloud.com:443
https://http-inputs-otherhost.splunkcloud.com:443Copy to Clipboard Copied! Toggle word wrap Toggle overflow
設定プロセスを完了します。
- Splunk の HEC Token 値をコピーし、Hybrid Cloud Console の Integrations ページの Splunk HEC Token フィールドに貼り付けます。
Hybrid Cloud Console で、Run configuration をクリックします。Hybrid Cloud Console はインテグレーションをセットアップし、動作グループを作成して、Hybrid Cloud Console イベントを動作グループに関連付けます。ページの右側にあるステータスメッセージセクションには、これらの各アクションのステータスが表示されます。
セットアップが正常に完了したら、Next: Review をクリックします。アプリケーションは、
Splunk integration in Insights completedというメッセージを返します。
- Go back to the Splunk application をクリックします。これにより、Splunk の Red Hat とのインテグレーションのセットアップ画面にリダイレクトされます。
Finish set up をクリックして、Splunk でのセットアップを完了します。
Go to dashboard をクリックして、Splunk ダッシュボードにリダイレクトします。
注記Insights のセットアッププロセス中にインテグレーション設定が失敗した場合は、Red Hat サポートにお問い合わせください。
Splunk ダッシュボードで Hybrid Cloud Console イベントのリストを表示するには、イベントタブをクリックします。各イベントは Hybrid Cloud Console にハイパーリンクされています。
2.1.2. HEC トークンの有効化
Splunk が Hybrid Cloud Console イベントを受け取る前に、HEC トークンを有効にする必要があります。
前提条件
- Hybrid Cloud Console の組織管理者パーミッションがある。
Splunk のログイン認証情報がある。
-
Splunk Cloud Platform では、Splunk Cloud Administrator
sc-adminロールが必要です。 -
Splunk Enterprise では、
adminロールが必要です。adminロールの作成の詳細、Splunk ドキュメントの Create secure administration credentials を参照してください。
-
Splunk Cloud Platform では、Splunk Cloud Administrator
手順
- Splunk ホームページから、Settings に移動します。
Data Inputs を選択し、HTTP Event Collector を選択します。HTTP Event Collector ページには、HEC、そのトークン値、セットアップ中に選択した対応するインデックス、および HEC のステータスが表示されます。
ページの右上隅にある Global Settings をクリックします。グローバル設定の編集ダイアログボックスが表示されます。
Enabled を選択します。これにより、セットアッププロセス中に自動的に作成された HEC トークンが有効になります。
注記HEC トークンは、デフォルトの HTTP ポート番号 8088 を使用します。別のポート (Splunk Cloud のポート 443 など) を使用している場合は、一致するように Hybrid Cloud Console Splunk インテグレーションを更新する必要があります。
関連情報
- Splunk Cloud での HEC トークンの詳細は、Splunk ドキュメントの Splunk Cloud Platform での HTTP イベントコレクターの設定 を参照してください。
- Splunk Enterprise での HEC のセットアップと使用の詳細は、Splunk Enterprise ドキュメントの Splunk Enterprise での HTTP イベントコレクターのセットアップと使用 を参照してください。
2.1.3. Hybrid Cloud Console アカウントでの Notifications administrator グループの手動設定
Splunk 自動インストール/セットアッププロセス用の Red Hat Insights アプリケーションは、Hybrid Cloud Console アカウントで Notifications administrator のロールとグループを自動的に設定します。ただし、Notifications administrator を手動で作成することもできます。
前提条件
Organization Administrator ロールで Hybrid Cloud Console にログインしている。
注記メールアドレスが Red Hat ログインと同じでない場合、メールアドレスで Hybrid Cloud Console にログインすることはできません。詳細は、ログインの検索 を参照してください。
手順
- Settings > Identity & Access Management をクリックします。
- Identity & Access Management で、必要に応じて User Access を展開し、Groups を選択します。
- Create group をクリックします。Name and description ページが表示されます。
-
グループの名前 (例:
splunknotifgroup) を入力し、説明を入力して、Next をクリックします。Add roles ページが開きます。 -
Notifications administrator ロールを追加するには、検索ボックスに
notifと入力します。 - 検索結果から Notifications administrator を選択し、Next をクリックします。Add Members ページが開きます。
- このグループに追加するユーザーを選択します。検索ボックスを使用すると、特定の名前を検索できます。
- Next をクリックします。Review Details ページが開きます。
- 情報を確認し、Submit をクリックしてグループを作成します。
- Exit をクリックします。Groups ページが開きます。
検証
- 検索ボックスに新しいグループ名を入力します。
- グループ名をクリックします。グループのページが開きます。
- Roles タブで、グループに Notifications administrator ロールがあることを確認します。
- Members タブをクリックして、グループに正しいメンバーが含まれていることを確認します。
2.1.4. Splunk インテグレーションの手動設定
Splunk 自動インストール/セットアッププロセス用の Red Hat Insights アプリケーションは、Hybrid Cloud Console アカウントへの Splunk インテグレーションを自動的に設定します。この手順は、インテグレーションを手動で設定する場合に使用してください。
前提条件
- Splunk Cloud または Splunk Enterprise からの HTTP イベントコレクター (HEC) URL がある。
- Splunk Cloud または Splunk Enterprise から HEC トークン値を取得している。
Notifications administrator ロールで Hybrid Cloud Console にログインしている。
注記メールアドレスが Red Hat ログインと同じでない場合、メールアドレスで Hybrid Cloud Console にログインすることはできません。詳細は、ログインの検索 を参照してください。
- Splunk インスタンスに、グローバルに信頼された証明書機関 (CA) によって署名された SSL 証明書がある。
手順
- Hybrid Cloud Console で、Settings > Integrations に移動します。
- Reporting & Automation タブを選択します。
- Add integration をクリックします。
- インテグレーションタイプとして Splunk を選択し、Next をクリックします。
-
新しいインテグレーションの名前を Integration name フィールドに入力します (例:
redhat_splunk)。 Endpoint URL フィールドに、Splunk HEC エンドポイント URL を追加します。
-
Splunk Enterprise の場合、Splunk はデフォルトでポート 8088 を使用します。例:
https://<splunk-endpoint>:8088 Splunk Cloud の場合、Splunk はポート 443 を使用します。Splunk Cloud on AWS または GCP の詳細は Send data to HTTP Event Collector を参照してください。
注記サービスは
<endpoint>(httpパス) を自動的に追加します。エンドポイント URL のフォーム入力に含める必要はありません。以下の例は、Splunk プラットフォームの正しいポート番号を持つエンドポイント URL を示しています。
-
オンプレミス (Splunk Enterprise):
https://splunk.company.com:8088 -
Splunk Cloud (AWS 上):
https://http-inputs-mycompany.splunkcloud.com:443 -
Splunk Cloud (GCP 上):
https://http-inputs.mycompany.splunkcloud.com:443
-
オンプレミス (Splunk Enterprise):
-
Splunk Enterprise の場合、Splunk はデフォルトでポート 8088 を使用します。例:
- Secret token フィールドに、Splunk HEC トークンの値を追加します。
- Next をクリックします。
- インテグレーションの詳細を確認し、Submit をクリックします。
関連情報
- Splunk Cloud での HEC トークンの詳細は、Splunk ドキュメントの Splunk Cloud Platform での HTTP イベントコレクターの設定 を参照してください。
- Splunk Cloud のポート設定の詳細は、HTTP イベントコレクターへのデータの送信 を参照してください。
- Splunk Enterprise での HEC のセットアップと使用の詳細は、Splunk Enterprise ドキュメントの Splunk Enterprise での HTTP イベントコレクターのセットアップと使用 を参照してください。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}