Splunkでのイベント作成

このドキュメントでは、Nexthink Webhookを設定して、HTTP Event Collector (HEC) へイベントを送信する方法を示します。

Splunkで

Splunk HTTP Event Collectorにデータを送信するために以下の手順を完了してください：

1. Splunkサーバーにログインしてください。

2. 設定に進み、次にデータ入力、そしてHTTP Event Collectorに進んで、グローバル設定を選択してください。

3. グローバル設定を編集してください：

   • すべてのトークンオプションに対して有効ボタンをクリックしてください。

   • HTTPSを介してSplunkにデータを送信したい場合は、SSLを有効にするチェックボックスをクリックしてください。 データストリーマーを構成してTransport Layer Security (TLS)を使用する必要があります。

   • HTTPポート番号フィールドで、HECがリッスンするポート番号を指定してください。

   • 保存をクリックしてください。

4. 設定、次にデータ入力に進んでください。

5. HTTP Event Collectorの行で新規追加をクリックして、新しいHECトークンを作成してください。

   • 名前フィールドにHECトークンの名前を指定してください。

   • この入力が生成するイベントのソース名を置き換える場合、ソース名のオーバーライドフィールドに値を指定してください。

   • 次に、インデックスセクションで、SplunkがHECイベントデータを格納するインデックスを選択してください。 データを実稼働インデックスに送信する前に確認するためにテストインデックスを使用することをお勧めします。

Nexthinkで

Nexthinkのウェブインターフェースから：

• Webhookのコネクタ資格情報を設定する

• Webhookを設定してSplunkにメッセージを投稿する

Splunkのコネクタ資格情報を設定する

コネクタ資格情報設定ページから、Splunkで作成した接続の情報を使用してフィールドを記入してください。

1. プロトコルのドロップダウンからHTTPSオプションを選択してください。

2. ルート https://prdXXXXXXXX.splunkcloud.com:80XX をURLアドレスフィールドに貼り付けてください。

3. 認証のドロップダウンからベアラートークンオプションを選択してください。

4. ヘッダープレフィックスフィールドにSplunkと入力してください。

5. Splunk接続からHECトークンをコピーしてトークンフィールドに貼り付けてください。

6. 資格情報を保存してください。

SplunkのWebhook設定

Webhook設定ページから、Splunkで作成した接続情報とNexthinkで定義したコネクタ資格情報を使用してフィールドを記入してください。

1. Webhook NQL条件の設定 ドキュメントに従って、NQL条件に入力してください。 以下のクエリーを確認してください。

   • NQL条件を設定した後、ペイロードのために許可されたプレースホルダーがシステムによって列挙されます。

1. 資格情報ドロップダウンから、Splunk用に作成したコネクタ資格情報を選択してください。

2. メソッドドロップダウンからPOSTを選択してください。

3. Splunk接続からURLアドレスを除いたエンドポイントをリソースフィールドにコピーして貼り付けてください。 例：services/collector

4. ペイロードに送信したいメッセージを追加してください。 以下の例を確認してください。

   • ペイロードに含まれるいくつかのプロパティはクエリパラメータとして追加できます。

     例えば、index を リソース フィールドでクエリパラメータとして指定できます：services/collector?index=main

1. テストを送信して情報がSplunkに表示されることを確認してください。 以下の画像を参照してください。

   • 検索タブを使用してSplunkでイベントを見つけてください。