Deployment Architecture

クライアント管理の方法について,クライアントのログオン、ログオフの情報収集について About client management method, about client logon and logoff information collection

keisuke_kanamar
New Member

クライアント端末をSplunk 上で管理する方法を教えてください。
バージョンはSplunk Enterprise 7.1.2となります。

agentなどをインストールする必要があるかと思いますが、
どのようにインストールを行えばよいのでしょうか?,Splunk Enterprise 7.1.2を使用しています。

クライアント端末74台のログイン、ログオフの情報収集を行いたいです。
そのために、まず管理クライアントをサーバに登録が必要かと思いますが、設定方法を教えてください

English translation:

How do I manage client terminals on Splunk?
The version is Splunk Enterprise 7.1.2.

I think that it is necessary to install agent etc.
How do I install it? , I am using Splunk Enterprise 7.1.2.

I would like to collect information on 74 client terminals logging in and logging off.
Therefore, I think that it is necessary to register the management client to the server first, please tell me how to set it

0 Karma

tkomatsubara_sp
Splunk Employee
Splunk Employee

AD でドメイン認証している場合は、ADサーバにWindows版のSplunkを入れれば、簡単にイベントログが取得できます。
AD でドメイン認証していない場合は、各端末からログを集める必要がありますが、方法は、

1.各端末にWindows 版 Universal Forwarderを入れて、別途Splunkサーバを1台たて、このSplunkサーバにイベントログを転送して集める
2.別の仕組み(いろんなエンドポイントのソフトがありますので)でイベントログを集めて、集めたサーバ上にWindows 版 Universal Forwarderを入れて、別途Splunkサーバを1台たて、このSplunkサーバにイベントログを転送して集める

になります。

0 Karma

HiroshiSatoh
Champion

クライアントPCとはサーバではなくてユーザが利用しているパソコンですか?

であれば、あまりUFをインストールしてイベントログを取得したというケースはないと思います。OSはWindowsだと思うのでWindowsの機能を利用して収集するのが一般的だと思います。

以下のリンクを参考までに見て下さい。
https://www.haruru29.net/blog/collect-event-logs-by-event-subscription/

このような方法で1台のWindowsサーバにイベントログを集めてUFをインストールしてイベントログをSplunkに収集できると思います。もし、SplunkサーバがWindwosであればSplunkサーバにイベントログを集めればUFも不要です。

0 Karma

sudosplunk
Motivator

Hi there,

You should first install Splunk Universal forwarders (splunk agents which are used to collect data) on your client terminals

After that, you need to specify the deployment server (DS) that you want the client to connect to; as described here.

Configure outputs on forwarders.

Verify all your clients are connected and making calls to DS. Go to "Forwarder Management" under settings and check "Phone Home" column in "Clients" tab.

Figure out where your data is located on host(s) (AKA deployment client).

Create a deployment app. This app must have inputs.conf and any other necessary .conf (usually props.conf and transforms.conf) files.

Deploy this app to deployment client.

Verify data in splunk.

Please refer to splunk docs/answers if you're struck.

0 Karma
Get Updates on the Splunk Community!

Index This | I am a number, but when you add ‘G’ to me, I go away. What number am I?

March 2024 Edition Hayyy Splunk Education Enthusiasts and the Eternally Curious!  We’re back with another ...

What’s New in Splunk App for PCI Compliance 5.3.1?

The Splunk App for PCI Compliance allows customers to extend the power of their existing Splunk solution with ...

Extending Observability Content to Splunk Cloud

Register to join us !   In this Extending Observability Content to Splunk Cloud Tech Talk, you'll see how to ...