- 依 Splunk 提供的 Splunk Enterprise Admin Manual (Splunk Enterprise 管理員手冊) 所述方式修改 inputs.conf 檔案。
下列代碼塊是 inputs.conf 檔的示例。您可以在編輯檔案時用它作為參考:
[tcp-ssl://8888]
connection_host = ip
index = wandera
source = WanderaThreat
sourcetype = syslog
disabled = 0
[SSL]
serverCert = C:\Program Files\Splunk\etc\auth\mycerts\tcpinputserver.pem
在此示例中,Splunk 將接聽 TCP 連接埠 8888 的加密資料。SSL 一節是強制使用伺服器憑證必須的。
- 重新啟動 Splunk 並確認 splunkd.log 沒有錯誤。
- 配置防火牆,允許從威脅事件流 IP 位址到設定的 Splunk TCP 連接埠的外部連線。
可在 Threat Events Stream (威脅事件流) 配置頁面的 Advanced Settings (進階設定) 下找到 IP 位址。
- 在Jamf Security Cloud中,前往。
- 選取Threat Events Stream(威脅事件串流)。
- 選取 作為 Streaming Target (串流目標)。
- 新增為您的 Splunk 實例所配置的 Server Hostname/IP (伺服器主機名稱/IP) 和 Port (連接埠)。
- 按一下Test Configuration(測試配置)。
- 如果測試成功,您可以使用切換按鈕啟用威脅事件流。
- 按一下Save (儲存)。
系統會將偵測到的威脅即時傳送到您的 Splunk 實例。如果您在兩個單獨的檔案中具有伺服器憑證和金鑰,則可能會出現Splunk記錄檔(splunkd.log)錯誤「無法讀取金鑰檔」。可使用下列終端機命令 (在範例檔 server_cert.pem 和 server.key 上),將憑證和金鑰合併成一個檔案來解決此問題: