SplunkとNetFlow その2

ことのはじまり

Splunk Add-on for NetFlowを使ってSplunkで直接NetFlowを取り込む方法を書きましたが、2019/03のSplunk社のBlogにてEnd of Supportが発表されていました。
https://www.splunk.com/blog/2019/03/18/end-of-availability-splunk-built-apps-and-add-ons.html

代替手段はStreamらしいので、今回はStreamを使って取り込んてみます。

設定

何も考えず(Docmentも読まずに)にStream をインストールして、Appを開くととりあえず怒られしまいます。環境はec2のAmazon Linuxで非rootユーザーでsplunkを動作させています。

shellを叩く必要があるとのことで、とりあえず叩きます。（Defaultでsplunkユーザーはsudoersに入ってないので事前に visudo で追加しておきます。）

shell実行後、Stream App上で「Redetect」をクリックすると正常であれば以下のような画面になります。

設定に移り、NetFlowを有効にします。

NetFlowコレクタとして動作させるための追加設定については如何に記載があります。
https://docs.splunk.com/Documentation/StreamApp/latest/DeployStreamApp/ConfigureFlowcollector

Documentに従って、/opt/splunk/etc/apps/Splunk_TA_stream/local/streamfwd.conf を以下のように設定して、splunkを再起動します。

[streamfwd]
netflowReceiver.0.ip = 172.31.27.223
netflowReceiver.0.port = 2055
netflowReceiver.0.decoder = netflow

Ciscoルーターの設定は前回と同じなので、port番号は2055を使ってます。

できあがり

途中、何度か再起動してたりするので何か気づいていないハマりどころがある気がしますが、StreamをFlowコレクタとして使うことで、NetFlowの可視化ができました。
フィールドもSplunk Add-on for NetFlowとくらべるとこちらの方がみやすい気がします。