パロアルトネットワーク用に Splunk を構成する方法

パロアルトネットワーク用に Splunk を構成する方法

164094
Created On 09/25/18 17:36 PM - Last Modified 06/06/23 20:37 PM


Symptom


このリンクは、Splunk セキュリティ レポートおよび分析ツールの概要へのリンクです。PANW .

Environment


PANW ファイアウォールと管理

Resolution


この記事は非推奨です。 すべてのドキュメントは、次の場所で入手できます。 https://splunk.paloaltonetworks.com/

 

概要

Splunk for Palo Alto Networks は、セキュリティ レポートおよび分析ツールであり、Palo Alto Networks と Splunk のコラボレーションの成果です。 このドキュメントでは、Palo Alto Networks 用に Splunk を構成する方法について説明し、Splunk を初めて構成する際の問題のほとんどをカバーしています。

ノート:次の Splunk サイトからパロアルトネットワーク用の Splunk を直接ダウンロードします。 http://apps.splunk.com/app /491/ . に応じてOSSplunk を実行しているサーバーの場合、Splunk Web サイトのインストールに関する推奨事項に従ってください。

 

インデクサーとサーチヘッドが別々にある場合は、それらすべてにアプリケーションをインストールしてください。

 

手順

Splunk サーバー上:

Palo Alto Networks 次世代Firewallはデフォルトで syslog に udp/514 を使用しますが、このポートは他の syslog でよく使用されるため、例では udp/5514 を使用します。 任意のポートを選択します。 TCP とSSLsyslog はPAN-OS6.0 以降。

 

  1. Splunk のinputs.conf ファイルの設定を確認し、他の構成が Splunk を使用していないことを確認します。UDPまたTCPsyslog 用に選択したポートfirewall. 次のディレクトリにあるinputs.confを確認してください。

    ノート: Splunk で優先順位をチェックする方法の詳細については、Splunk Enterprise Admin Manual の「構成ファイルの優先順位」セクションを参照してください。

    • $SPLUNK_HOME/etc/apps/SplunkforPaloAltoNetworks/local/
    • $SPLUNK_HOME/etc/system/local/
  2. input.conf ファイルで、次の構成を追加します。 にとってUDPsyslogs、必ず次の行を含めてくださいno_appending_timestamp = true .
    [udp://5514]
    インデックス = pan_logs
    ソースタイプ = pan_log
    接続ホスト = ip
    no_appending_timestamp = true
  3. Splunk for Palo Alto Networks を実行しているサーバーで Splunk サービスをリセットします。app .

 

データ入力を構成したら、app .

 

初めて実行するappWebUI からセットアップ画面が表示されます。 カスタム コマンドを使用する場合にのみ資格情報が必要です。パンタグ、パンブロック、パンアップデート. のWildFireAPIのみ必要ですWildFireSplunk のインデックス作成を希望する購読者WildFireマルウェア サンプルが分析されると、クラウドからの分析レポートが表示されます。 これらの資格情報は、他の Splunk 資格情報が保存されるのと同じ方法で暗号化を使用して Splunk に保存されます。

 

これらの追加機能を使用しない場合は、[保存] をクリックしてセットアップ画面をスキップしてください。

  • [アプリ] > [Splunk for Palo Alto Networks] に移動します。
  • Palo Alto Networks の適切なユーザー名とパスワードの資格情報を追加します。firewallそしてそのWildFireAPI鍵。
    スクリーン ショット 2014 年 1 月 5 日 2.43.48PM .png

ノート:にログイン後、WildFireポータルにとってWildFireサブスクライバは、にアクセスしますWildFireAPIアカウントの下のキー。 キーをコピーしてWildFireAPIキー (例を参照)。

 

Palo Alto Networks デバイスの場合:

Splunk サイトでのセットアップが完了したら、Palo Alto Networks デバイスをセットアップして、syslog を Splunk に送信します。

  1. [デバイス] > [サーバー プロファイル] > [Syslog] に移動します。
  2. Splunk サーバーの詳細を構成します。UDPポート (この例では 5514)。
    2014 年 1 月 5 日 3.16.13 のスクリーンショットPM.png
    ノート:カスタム ログ形式を設定しないでください。 ログはデフォルトのフォーマットである必要があり、そうでない場合、Splunk はログを解析しません。
  3. でロギング メカニズムを設定します。firewall syslog サーバーを使用します。 たとえば、セキュリティを構成します。policy Splunk syslog サーバーを使用するログ転送プロファイルを持つルール。 または、firewall設定またはシステム イベントを Splunk syslog サーバーに記録します。 安全policyルールは [ポリシー] > [セキュリティ] の下にあります。 その他の設定可能な syslog イベントは、[デバイス] > [ログ設定] の下にあります。

 

構成をテストする

すべてが機能していることをテストする最も簡単な方法は、firewallすべての構成イベントを syslog に記録します。 [デバイス] > [ログ設定] > [構成とコミット] に移動します。 設定変更を行うと、firewall構成イベントの syslog を生成します。 syslog を生成するために変更をコミットする必要はありません。コミットされていない構成への変更により、ログが生成されます。 Splunk for Palo Alto Networks に移動して、ログが Splunk に到達したことを確認できます。appをクリックし、ナビゲーション バーの [検索] をクリックして、次のように入力します。

 

index=pan_logs sourcetype=pan_config

 

Splunk が syslog をfirewallそれらを正しく解析すると、構成イベントの syslogs がここに表示され、firewall構成。

 

トラブルシューティングの手順

1. すべての初期設定が完了していることを確認します

  • 上記の手順に従ってinputs.confが設定されていることを確認します
  • input.conf には「no_appending_timestamp = true」という行が必要です
  • 同じポートを使用する他の入力については、他のinputs.conf構成を確認してください
  • 次のことを確認してくださいfirewallカスタム ログ形式を使用していない (デフォルトを使用する必要があります)
  • ことを確認してくださいfirewallシステム イベント、設定イベント、トラフィック イベントなどをログに記録するように設定されています。
  • の時計を確認してください。firewallと Splunk サーバーは同じです。それらが異なる場合、ログは正しく表示されません。
  • を使用する場合TCPまたSSLsyslog 用のポート、試してくださいUDP代わりに最初に切り替えてからTCPまたSSL一度UDP取り組んでいます

 

2. ログがインデックス化されていることを確認する

で説明されている方法を使用します。構成をテストするいくつかのsyslogを生成します。 Splunk for Palo Alto Networks に移動して、ログが Splunk サーバーに到達していることを確認します。appをクリックし、ナビゲーション バーの [検索] をクリックして、次のように入力します。

index=pan_logs

 

ログが表示されない場合は、ログが正しくインデックス化されていません。 次の手順を使用して、問題を見つけます。

  • から設定を確認します。トラブルシューティング上記のセクション。
  • 検索期間を [全期間] に切り替えます。 ログが表示される場合は、ログのタイムスタンプが正しいことを確認します。 時間が間違っている場合は、Splunk サーバーの時計とfirewall同じだ。
  • Splunk サーバーで tcpdump または Wireshark を使用して、ログが実際に到達していることを確認します。 また、pan_logs インデックスが存在することを確認します。

 

3. ログが正しく解析されていることを確認する

上記のセクションで説明した方法を使用します。構成をテストするいくつかのsyslogを生成します。 Splunk for Palo Alto Networks に移動して、ログが Splunk サーバーに到達していることを確認します。appで、ナビゲーション バーの [検索] をクリックし、次の検索を入力します。

index=pan_logs sourcetype=pan_config

 

手順 2 でログが表示されたが、現在はログが表示されない場合は、試してください。 sourcetype=pan_logsそれ以外のソースタイプ=pan_config .その変更後にログが表示されるようになった場合、ログは正しく解析されていません。

  • 上の syslog サーバー設定でカスタム ログ形式を使用していないことを確認します。firewall .
  • input.conf ファイルが「no_appending_timestamp = true」という行で構成されていることを確認します
  • Palo Alto Networks デバイスと Splunk の間でサードパーティの syslog フォワーダーを使用している場合は、フォワーダーがログを変更していないことを確認します。

 

4. 加速と要約のインデックス作成を確認する

スクリーンショット 2014 年 1 月 5 日 3.41.23PM .png

ダッシュボードにデータが入力されていることを確認します。 概要ダッシュボードはアクセラレーションを使用しないため、この時点で機能するはずです。 データが表示されない場合は、トラブルシューティングに戻ります。 他のすべてのダッシュボードでは、Splunk サーバーへの syslog の 5 ~ 8 分後に、ダッシュボードにデータが入力されるはずです。 ダッシュボードにデータが入力されている場合は、アクセラレーションとサマリーのインデックス作成が機能しています。 そうでない場合は、次の点を確認してください。

 

App バージョン 4.0 以前:

用途TSIDX加速のために。

  • ログ収集用に保存された検索がsavedsearches.conf ファイルにあることを確認します。 それらが変更または上書きされていないことを確認してください。

 

App バージョン 4.1 以降:

高速化のためにデータ モデルを使用します。

  • [設定] > [データ モデル] > [パロアルト ネットワーク ログ] でデータ モデルのアクセラレーション設定を確認し、アクセラレーション設定を編集して、かなり長い時間枠で有効になっていることを確認します。
  • Palo Alto Networks のログ データ モデルの横にある矢印をクリックし、データ モデルのビルド パーセンテージを確認します。 100% またはそれに非常に近い値である必要があります。
  • ビルドの割合が 90% 未満で止まっている場合、原因は Splunk サーバーのリソースが制限されていて、他のアプリによって消費されている可能性があります。 Splunk かどうかを確認するCIMまたはSplunkESアプリは Splunk サーバーで実行されています。 そうである場合は、両方のアプリを無効にしてみて、ビルドの割合が 90% を超えているかどうかを確認してください。 その場合は、Splunk サポートにケースを開いて、アプリ間のリソース競合の問題を報告し、続行方法についてアドバイスを受けてください。

 

所有者:アレクソフ
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClGwCAK&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language