Splunkでは、ログの検索結果に応じてメール通知やスクリプト実行を行う「アラート」と呼ばれる機能がある。アラート機能を使うことで、例えば、「パスワード失敗のログを検知してメール送信を行う」といったことが実現できる。
今回は、実際にSplunkのアラート機能を使って、「パスワード失敗のログを検知してメール送信を行う」設定をしてみた。なお、アラート設定はSplunkの管理GUIのみを使って設定することができる。
環境
- Splunk : 8.0.5
Splunkアラート設定手順
1. メール送信設定
アラート機能でメール送信する場合は、事前にメールサーバを設定しておく。管理GUIにて「設定」→「サーバー設定」→「メール設定」にて設定する。
最低限設定する必要がある項目は以下の通り。
| 設定項目 | 設定値 |
|---|---|
| メールホスト | メールサーバのIPアドレスを指定 |
| リンクホスト名 | 送信メールに記載されるURL生成時のSplunk本体のホスト名またはIPアドレスを設定 |
| メース送信形式 | メール送信元に設定するメールアドレスを設定 (英語では「Send emails as」という設定項目であり、「メール送信形式」という日本語訳がおかしい) |
2. ログをサーチ
アラートに使用する検索条件を作るため、「新規サーチ」の画面にてサーチを行う。今回は例として以下をサーチ文として設定した。
index=* Failed Password
3. アラートを作成
検索結果に問題がないことを確認したのち、「名前を付けて保存」→「アラート」を選択、「アラートとして保存」画面を表示させる。
1時間に1回パスワード失敗のログの出力有無を確認し、ログの出力件数が0より大きい場合はメール送信を行う設定を行う。
| 設定項目 | 設定値 |
|---|---|
| タイトル | Failed password |
| アラートタイプ | スケジュール済み |
| 時間範囲 | Last 60 minutes |
| Cron式 | 0 * * * * |
| 失効 | 24時間 |
| 次の条件の時にアラートを生成 | 結果数が0より大きい |
| 生成条件 | 各結果に対して1回 |
| アクション | メール送信 |
| 宛先 | <アラートの送信先メールアドレスを指定> |
4. アラートの動作確認
実際にログイン失敗を発生させ、アラートにてメール送信がされることを確認してみよう。
以下の通り、「Splunk Alert: Failed password」というメール件名でメールが送信されていることがわかる。
「View results」のリンクをクリックすると、Splunkのサーチ画面が表示される。
まとめ
Splunkのアラート機能を使うことで、特定のログ出力条件に応じてメール通知を行うことができた。今回は1台のサーバのログを検索するだけなので単純な設定となっており、正直SplunkでなくてもスクリプトやZabbixなどでも実現できる。
しかしSplunkの場合は、多数の機器から集約したログ情報を用いた複雑なログ検索の結果を用いてアクションを実行することもできるので、そのような場合に有用な機能となるだろう。
0 件のコメント:
コメントを投稿