Splunk ダッシュボードの作成
前提条件:
Splunk に警告をエクスポートするには、Sophos Linux Sensor (SLS) を設定する必要があります。 Splunk への警告のエクスポートを参照してください。
Splunk ダッシュボードの作成
Splunk に警告をエクスポートするように SLS を設定したら、このような警告を使用して、必要に応じてカスタマイズされたダッシュボードを設定できます。次の手順を実行します。
-
Splunk にログインします。
-
「Search」をクリックします。
-
以下に表示されているように、ボックスにクエリを入力してイベントを検索します。
例: sourcetype=access_* status=200
検索結果が表示されたら、これを使用して警告を作成できます。
-
「Save As」をクリックし、「Report」を選択します。
-
「View」をクリックして、詳細を表示します。このポップアップで、設定の編集を続行できます。
-
レポートが作成されたら、「Add to Dashboard」をクリックします。
Dashboard: 新しいダッシュボードを作成したり、既存のダッシュボードにレポートを追加したりできます。
Dashboard ID: 固有の ID。これを後で変更することはできません。
Dashboard Permissions: アプリケーションのユーザーすべてにレポートを共有する、またはプライベート表示用に予約する場合に選択できます。
Panel Powered By: 「Inline Search」または「Report」を選択できます。各オプションの上にカーソルを移動すると、オプションの詳細が表示されます。
-
「Save」をクリックします。以下のメッセージが表示されます。
-
「View Dashboard」をクリックします。
データの表示方法を変更できます。
-
「Edit」をクリックした後、「Select Visualization」をクリックします。項目の上にカーソルを移動すると、各オプションでのデータの表示方法についての簡単な説明が表示されます。
例: 円グラフを選択すると、ダッシュボードのビューが変わります。
注
ソースは HTML ビューで直接編集できます。
-
「Add input」をクリック して、ダッシュボードを微調整するためのコントロールを追加します。
-
「Add Panel」をクリックして、ダッシュボードにさらにパネルを追加します。これによって、新しいパネルを追加したり、既存のレポートから選択したり、他のダッシュボードから閉じたりすることができます。
例: 既存のダッシュボードからパネルを複製する:
-
変更を保存後、これをホームダッシュボードに指定することもできます。
これによって、アプリケーションのホームページが設定されます。
これは、タイトルの横にある歯車アイコンをクリックすることで、いつでも変更できます。
-
ダッシュボードで順序を並び変えるには、パネルをクリックしてドラッグします。
-
検索結果をダッシュボードに直接追加できます。「Save As」をクリックし、「Dashboard Panel」を選択します。
以後、必要に応じて、ダッシュボードパネルを編集またはさらに追加できます。