Splunk 上の “Axur Data Connector” アドオン | Axur

Axur プラットフォームは Splunk とのネイティブ統合 機能を備えています。この機能により、運用効率、インシデント対応能力、IT インフラの可視性 を大幅に向上させることが可能です。

Splunk とは？

Splunk は、大量のデータを収集・分析・可視化するためのプラットフォームです。
データの相関分析やリアルタイムでのインサイト取得を実現し、課題の早期発見・判断を容易にします。
詳細は公式サイトをご覧ください：https://www.splunk.com/

Splunk は、IT、セキュリティ、運用チームによって広く利用されており、主な機能は以下の通りです：

統合を実装するには、以下の手順に従ってください：

1. Splunk Marketplace から Axur Data Connector をダウンロード

2. Splunk 上でアドオンを開き、「Inputs」タブに移動

3. 「Create New Input」ボタンをクリック

4. ドロップダウンの選択ボックスで、以下の画像のようにチケット入力または認証情報入力を作成するオプションを選択してください。

認証情報フィードの設定はバージョン1.0.4以降で利用可能です。

5. 以下のように情報を入力：

※Axur以外にもデータソースがある場合は、専用のインデックスを作成することを推奨します。作成方法：Settings > Indexes > New index

Axur プラットフォームの「API Keys」タブで API キーを生成し、コピー＆ペーストしてください。

Test mode（テストモード）を有効にすると、フィードのポインタが進まず、同じデータを繰り返し取得できます。動作確認後は、必ずチェックを外して 本稼働に移行してください。

⚠️ 注意：フィードが返すデータは、API キーを持つユーザーがアクセス可能なデータに限定されます。
例：フィッシングのインシデントに対して権限がない場合、その種別のデータは取得されません。

⚠️ 注意: データの取り込みを有効にするには、補助プログラムをお使いのIDMまたはHeavy Forwarderにインストールする必要があります。

これで設定完了です！

設定後、最初のクエリが実行されるまで少し待機してください。その後、Splunk 上にイベントが表示されます。

フィードの「Input」で設定したクエリ間隔によっては、新しいデータがまだない可能性があります。
「Feeds」ページでステータスを確認してください：
- 緑：過去24時間にリクエストあり
- 黄：過去24時間にリクエストなし
- 空白：一度もリクエストされていない

状態が緑の場合：設定は正しいが、イベントが一致していない、またはユーザーに権限がない可能性があります。
状態が黄または空白の場合：Splunk 側の設定に誤りがある可能性があります。設定手順を再確認してください。

アドオンをインストールした後、設定を反映させるには Splunk のサービス再起動 が必要な場合があります：

Axur Data Connector を バージョン 2.0.0 にアップグレードした後にフィードが動作しなくなった場合、これは想定された挙動です。

このバージョンでは 破壊的変更（breaking change） が導入されました。
統合では Feed ID の代わりに Feed URL が必要になっています。

問題を解決する手順:

⚠️ 管理者権限が必要です。問題が解決しない場合は、Splunk のログファイルを確認するか、技術サポートにお問い合わせください。

ご不明点があれば、いつでも [email protected] までお気軽にご連絡ください 😊