コンテンツにスキップ

Splunk Heavy Forwarder🔗

Secureworks® Taegis™ XDR で Splunk Heavy Forwarder からデータを受信するには、Splunk forwarder を設定して、必要なログを syslog 経由で Taegis™ XDR Collector に送信する必要があります。

注意

XDR は Splunk Heavy Forwarder の転送をサポートしていますが、お使いの Splunk 環境で Linux サーバー上の Syslog-ng または Rsyslog を使用してネットワーク機器からログを受信している場合は、Splunk Heavy Forwarder を使用する代わりに、その Syslog-ng または Rsyslog サーバーを設定してログを XDR コレクターに転送する方が効率的な場合があります。

Splunk Heavy Forwarder から XDR へデータを送信するには、Splunk Heavy Forwarder の outputs.conf ファイルを更新します。ただし、inputs.conf または transforms.conf ファイルでカスタムの _TCP_ROUTING 定義を使用している場合は、特定の入力や sourcetype を XDR Collector に向けるように、それらも更新する必要があります。

Splunk Heavy Forwarder🔗

以下の設定を outputs.conf にコピーし、サーバーの宛先をお客様の Taegis™ XDR Collector の FQDN または IP に置き換えてください。

[tcpout]
defaultGroup=taegis

[tcpout:taegis]
useSSL = false
sendCookedData=false
negotiateNewProtocol=false
server=IP/HostnameOfOn-Prem Collector:601

注意

TCP ポート 601 はコレクターが syslog を収集するために使用しているため、変更しないでください。

Splunk Heavy Forwarder の詳細については、Splunk ドキュメントサイトの Forwarding Data を参照してください。

注意

Splunk Heavy Forwarder 経由で転送されるログは、各ソースの設定ページで指定されたフォーマットである必要があります。 例えば、Microsoft Windows Event Log は Microsoft Windows Event Log で指定されている通り、「Snare over Syslog」フォーマットである必要があります。