検索ヘッド・クラスターに必要な構成

概要

Recorded Future Add-on for Splunk Enterprise Securityは、Splunkシステム内のSearch Heads上で実行するように設計されています。 検索ヘッドクラスタ(SHC)の場合、インストール手順はSHCの標準的な手順であり、デプロイヤノードにインストールしてからSHCノードを展開する必要があります。

アプリを展開する前に、SHC 構成の一貫性を確保するために、以下の必要な構成変更を行う必要があります。

アプリは、SHCで操作されていることを検出します。 SHCのキャプテンノードのみが、リスクリストとアラートを更新するためのモジュラー入力を実行します。

必要な構成

SHC 全体で一貫性のある構成を維持するには、SHC 間で同期される構成ファイルの種類の一覧を変更する必要があります。 次の 2 つの追加の構成ファイルが必要です。

• input.conf には、リスクリストと ALER の更新に使用される構成済みのモジュール入力が含まれています。
• ta_recorded_future_settings.conf には、構成 API キー (暗号化) とさまざまなアプリ固有の設定が含まれています。

Splunkでは、現時点では必要な構成設定でアプリを出荷できないため、この構成はクライアントが行う必要があります。

次のスタンザは、 で$SPLUNK_HOME/etc/system/local/server.conf必要です。

[シュクラスタリング]
conf_replication_include.ta_recorded_future_settings = trueです
conf_replication_include.入力 = true

この変更が行われ、アプリがデプロイされると、任意の SCH 検索ヘッド ノードに接続してセットアップを実行できます。