将 OpManager 与 Splunk 集成以实现集中式日志分析
OpManager 可与 Splunk 集成,将关键网络事件、审计记录、访问日志和告警以实时方式转发,并作为 syslog 推送。通过此集成,OpManager 可作为集中监控点,使 Splunk 能够收集、分析和关联事件数据,从而发现威胁、简化事件响应流程,并提升整体网络可靠性。
配置 OpManager - Splunk 集成
配置 OpManager Splunk 集成的步骤
- 进入 Settings → General Settings → Integrations → Splunk。
- 点击 Configure。
- 输入 Hostname/IP Address 和 Port Number。
- 注意: 使用 RFC-5424 来转发日志。
- 勾选 Send Access Logs 复选框,将访问日志文件转发至 Splunk。
- 选择所需的审计模块,将其日志转发至 Splunk。
- 接受 Splunk 的隐私政策,然后点击 Save 完成与 OpManager 的集成。
注意:
- 使用 UDP/syslog 协议来转发日志。
- 确保 Splunk 已配置为监听指定的 UDP 端口。
配置通知配置文件
您可以设置通知配置文件,根据已定义的条件,自动将告警转发到 Splunk 平台。
按照以下步骤进行配置:
- 进入 Settings -> Notifications -> Notification profiles
- 点击右上角的 Add 新增通知配置文件,并选择 SIEM -> Splunk。
- 为所需参数提供输入,例如 Format、Severity、Facility、Description 和变量。
- 如果启用 Structured message 选项,请以键值对形式提供所需的输入。
- 您可以使用 Test Action 选项向已配置的主机和端口发送示例 syslog 消息,以验证配置。
配置通知模板
您可以在 OpManager 中创建通知模板,以定义在告警触发时如何发送告警,并在告警关联规则中使用这些模板,在出现特定事件模式时收到通知。
- 进入 Settings -> Notifications -> Notification templates
- 点击 Add,导航至 SIEM 并选择 Splunk 以添加通知模板。
- 输入所需参数,包括 Template Name、Format、Severity、Facility、Description 和相关 Variables。
- 如果启用 Structured Message 选项,请务必提供所需的键值对输入。
- 要验证模板,点击 Test Action。
- 点击 Save。
注意: 有关在告警详情中使用的可替换标签的更多信息,请参阅 dynamic variables 页面。
感谢您的反馈!