[이는 Splunk Enterprise용 Recorded Future 앱 v4.0.x용입니다.]

앱 다운로드

최신 버전의 기록된 미래 Splunk Enterprise용 앱은 splunkbase에서 사용할 수 있습니다.

앱 초기 설정

앱이 Splunk 서버에 설치되면 구성->글로벌 구성에서 앱의 초기 설정이 수행됩니다.

구성 보기에는 세 개의 창이 있습니다: 프록시, 로깅 및 애드온 설정입니다.

Splunk 앱에서 API 키, 프록시 설정 및 API URL을 보고 구성하려면 사용자에게 'list_storage_passwords' 기능이 필요합니다. 로깅 수준을 변경하려면 사용자에게 'admin_all_objects' 기능이 필요합니다.

앱이 작동하려면 애드온 설정 창에서 API 키를 구성해야 합니다.

프록시

Splunk 서버가 프록시를 사용하여 인터넷에 액세스하는 경우 여기에서 구성해야 합니다. 프록시를 사용하지 않는 경우 사용 확인란을 선택하지 않은 상태로 둡니다.

호스트와 포트는 항상 설정되어 있어야 합니다. 프록시에 인증이 필요한 경우 여기에서 사용자 이름과 비밀번호를 설정해야 합니다. 인증을 사용하지 않는 경우 이 필드는 비워 두어야 합니다.

로깅

추가 로깅이 필요한 경우 여기에서 로그 수준을 조정할 수 있습니다.

권장 로그 수준은 정보입니다.

통합 로그는 표준 Splunk 로그 디렉터리($SPLUNK_HOME/var/log/splunk)에 기록됩니다. 다음 로그 파일이 생성됩니다(앱 구성 및 사용량에 따라 모두 존재하지 않을 수도 있음):

• ta_recordedfuture_cyber_recorded_future_risk_list.log
• ta_recordedfuture_cyber_recorded_future_alerts.log
• ta_recordedfuture_cyber_rest.log

이러한 파일에 로그인된 이벤트는 Splunk 서버에서 파일로 보거나 Splunk GUI를 통해 볼 수 있습니다.

검색 예시:

index=_* source="/opt/splunk/var/log/splunk/ta_recordedfuture_cyber_recorded_future_alerts.log"

애드온 설정

앱의 올바른 작동에 필요한 기록된 미래 API 키는 API 키 필드에 입력합니다.

드물지만 일부 상황에서 기록된 미래 API의 URL을 변경해야 할 수도 있습니다. 기록된 미래 지원팀에서 그렇게 하라고 지시하는 경우 기록된 미래 API URL 필드에 URL을 입력해야 합니다.

추가 도움말

레코딩된 미래 정보 서비스 컨설턴트가 추가 질문과 조언에 대해 기꺼이 도와드릴 것입니다.  누군지 모르는 경우 [email protected]으로 문의하실 수도 있습니다.

스플렁크 지원팀에 문의하지 마세요 "스플렁크 엔터프라이즈를 위한 기록된 미래".