コンテンツにスキップ

Splunk Heavy Forwarder🔗

Secureworks® Taegis™ XDR で Splunk Heavy Forwarder からデータを受信するには、Splunk forwarder を設定して、必要なログを syslog 経由で Taegis™ XDR Collector に送信する必要があります。

注意

XDR は Splunk Heavy Forwarder の転送をサポートしていますが、お客様の Splunk 環境で Linux サーバー上の Syslog-ng または Rsyslog を使用してネットワーク機器からのログを受信している場合は、Splunk Heavy Forwarder を使用するのではなく、その Syslog-ng または Rsyslog サーバーを設定してログを XDR コレクターに転送する方が効率的な場合があります。

Splunk Heavy ForwarderをXDRにデータ送信するには、Splunk Heavy Forwarderのoutputs.confファイルを更新する必要があります。ただし、inputs.conftransforms.confファイルでカスタムの_TCP_ROUTING定義を使用している場合は、特定の入力やsourcetypeがXDR Collectorを指すように、それらも更新する必要があります。

Splunk Heavy Forwarder🔗

以下の設定を outputs.conf にコピーし、サーバーの宛先をお客様の Taegis™ XDR Collector の FQDN または IP に置き換えてください。

[tcpout]
defaultGroup=taegis

[tcpout:taegis]
useSSL = false
sendCookedData=false
negotiateNewProtocol=false
server=IP/HostnameOfOn-Prem Collector:601

注意

TCP ポート 601 はコレクターが syslog を収集するために使用しているため、変更しないでください。

Splunk Heavy Forwarder の詳細については、Splunk ドキュメントサイトの Forwarding Data を参照してください。

注意

Splunk Heavy Forwarder 経由で転送されるログは、各ソースの設定ページで指定された形式である必要があります。 例えば、Microsoft Windows Event Log は Microsoft Windows Event Log で指定されている「Snare over Syslog」形式でフォーマットする必要があります。