アラートAPIを使用してSplunkで記録された将来のアラートを表示する
はじめに
With the new Alert API introduced in 2018, clients can access their Recorded Future alerts programmatically. In this support page, we outline how Splunk Integration clients can use the Alert API to incorporate alerts into Splunk. For a general overview of how to use the Alert API, check out this support page.
このアドオン機能は、Recorded Futureの(コア)Splunk Enterprise Integration Application(https://splunkbase.splunk.com/app/2629/ 参照)の3.xバージョンがインストールされていることを前提としています。 また、本連携アプリケーションのv4.x(2018年9月リリース)では、「アラート」ダッシュボードが標準パッケージに組み込まれます。
基本的な手順
- The alerts.py file should be places in the bin directory of the Recorded Future App.
- ファイルをsplunk:splunkにchownする必要があるかもしれません
- 755にchmodファイルする必要があるかもしれません
- .conf files should be placed into local directory of the Recorded Future App.
- ファイルを splunk:splunk に chown する必要があるかもしれません
- May need to adjust path in files if splunk home directory is not /opt/splunk/
- Copy xml file into the local/data/ui/views directory of the Recorded Future App.
- ファイルを splunk:splunk に chown する必要があるかもしれません
- May need to adjust permissions for access, set global view (all apps, everyone read, admin write)
- Will need to add to default navigation for visibility in the app
The scripts should pull the api key stored in the kv store,
nothing should need to be entered. If you have any
issues during the setup or configuration, please schedule
a remote session through your account team. The user
for the API key must have alerts shared with them in order
to pull the alerts from the API.