条件を決める
まず、アラートの検索条件を決めます。
いまのテストでは Windows へのログオンをアラート条件にします。
Windows のログオンイベントはイベントログの EventCode = 4624 ですので、これを検索条件にして検索をしてみます。
Apps は Search & Reporting で行います。
ログオンのイベントが抽出された結果がでます。
ちなみにセキュリティイベントログから取ってきています。
アラートの作成
これで検索条件が合ってればアラートを作成します。
この Search & Reporting のウインドウ右上の方に[Save As]というのがあり、そこから[Alert]が保存できるようになっています。
Alert type: Real Time
Trigger condition: Per-Result
※Alert type を Scheduled にすると、毎週日曜の 6:00 にアラートするといった時間の指定ができます。
※Trigger condition の Per-Result は何分間に何回発生したらといった発生件数やDBサーバ上のログインのみアラートするといったホストの条件を加えることができます。
このあと、メールを送るのか、スクリプトを実行するのかといったアクションの設定もして、アラートを作成します。
アラートの設定の確認
作ったアラートは[Settings]の[Searches, reports, and alerts]で確認できます。
設定を見直します
Search: EventCode = 4624
[Time range]
未設定(ブランク)
[Schedule and alert]
Schedule this search: チェック
Run every: minute
Run as: Owner
[Aleart]
Condition: always
Alert mode: Once per result (Once per search にすればまとめて1通のイベント)
Throttling: 利用しない(1回イベントが発生したらしばらく同じイベントはアラートしない)
[Alert actions]
Send email: 有効(Enable)にする
To: test@splunk.local (テスト用メールサーバ建てた。25番ポート。)
Run a script: スクリプトを実行することができる。対象フォルダは $SPLUNK_HOME\bin\scripts\
メールサーバの指定
メールサーバは[Setting]-[Server settings]で行いました。
[Email settings]
Mail host: localhost
Send emails as: splunk (差出人の記載文字列)
トリガーされたアラートの確認
トリガーされたアラートのログは[Activity]-[Triggered Alerts]のところで確認できるかな。
でも、メールサーバを Black Jumbo Dog で、メールクライアントは nPOPQ で用意してみました。
Splunk のページに戻る
0 件のコメント:
コメントを投稿