13장. Splunk와 통합

절차

1. Splunk 대시보드에서 설정 데이터 추가로 이동합니다.
2. Monitor 를 클릭합니다.
3. 데이터 추가 페이지에서 HTTP 이벤트 수집기 를 클릭합니다.
4. 이벤트 수집기 의 이름을 입력한 다음 다음 > 을 클릭합니다.
5. 기본 입력 설정을 수락하고 검토 > 를 클릭합니다.
6. 이벤트 수집기 속성을 검토하고 Submit >.
7. 이벤트 수집기 의 토큰 값을 복사합니다. Kubernetes용 Red Hat Advanced Cluster Security에서 Splunk와의 통합을 구성하려면 이 토큰 값이 필요합니다.

절차

1. RHACS 포털에서 플랫폼 구성 통합 으로 이동합니다.
2. Notifier Integrations 섹션까지 아래로 스크롤하여 Splunk 를 선택합니다.
3. New Integration (새 통합추가)을 클릭합니다.
4. Integration Name 의 이름을 입력합니다.
5. HTTP 이벤트 수집기 URL 필드에 Splunk URL 을 입력합니다. HTTPS의 경우 443 이 아닌 경우 포트 번호를 지정해야 합니다. HTTP의 경우 80 입니다. URL 끝에 URL 경로 /services/collector/event 도 추가해야 합니다. 예를 들어 https://<splunk-server-path>:8088/services/collector/event.

6. HTTP 이벤트 수집기 토큰 필드에 토큰 을 입력합니다.

   참고

   Red Hat Advanced Cluster Security for Kubernetes 버전 3.0.57 이상을 사용하는 경우 경고 이벤트에 대한 사용자 정의 소스 유형 및 감사 이벤트를 위한 소스 유형을 지정할 수 있습니다.

7. 테스트 (확인표 아이콘)를 선택하여 테스트 메시지를 보내 Splunk과의 통합이 작동하는지 확인합니다.
8. 만들기 (저장 아이콘)를 선택하여 구성을 생성합니다.

절차

1. RHACS 포털에서 플랫폼 구성 정책 으로 이동합니다.
2. 경고를 보낼 하나 이상의 정책을 선택합니다.
3. Bulk actions 에서 알림 사용을 선택합니다.

4. 알림 활성화 창에서 Splunk 알림기를 선택합니다.

   참고

   다른 통합을 구성하지 않은 경우 시스템에서 알림자가 구성되지 않은 메시지를 표시합니다.

5. Enable 을 클릭합니다.