검색 헤드 클러스터에 필요한 구성

개요

Splunk 엔터프라이즈 보안을 위한 기록된 미래 애드온은 Splunk 시스템 내의 검색 헤드에서 실행되도록 설계되었습니다. 검색 헤드 클러스터(SHC)의 경우, 설치 절차는 SHC의 표준 설치 절차, 즉 배포자 노드에 설치한 다음 SHC 노드를 배포해야 합니다.

앱을 배포하기 전에 SHC 구성 일관성을 보장하기 위해 아래 필수 구성 변경을 수행해야 합니다.

앱이 SHC에서 작동하는 것을 감지합니다. SHC의 캡틴 노드만이 위험 목록과 알림을 업데이트하기 위한 모듈식 입력을 실행합니다.

필수 구성

SHC 전체에서 일관된 구성을 유지하려면 SHC 전체에서 동기화되는 구성 파일 유형 목록을 수정해야 합니다. 두 개의 추가 구성 파일이 필요합니다:

• 위험 목록 및 알림을 업데이트하는 데 사용되는 구성된 모듈식 입력이 들어 있는 input.conf입니다.
• 구성 API 키(암호화된) 및 다양한 앱별 설정이 포함된 ta_recorded_future_settings.conf를 생성합니다.

현재 Splunk에서는 앱이 필수 구성 설정과 함께 제공되는 것을 허용하지 않으므로 이 구성은 클라이언트에서 수행해야 합니다.

SPLUNK_HOME/etc/system/local/server.conf에 다음 구절이 필요합니다:

[shclustering]
conf_replication_include.ta_recorded_future_settings = true
conf_replication_include.inputs = true

이 변경이 완료되고 앱이 배포되면 SCH 검색 헤드 노드 중 하나에 연결하여 설정을 수행할 수 있습니다.