My Tracking

読者です 読者をやめる 読者になる 読者になる

My Tracking

記憶力の低下が気になるアラフォー男の備忘録

docker上で「 Splunk 」を動かす

引き続き、dockerに関する備忘録。

仕事でも、セキュリティの一環として、 ログの相関分析やビッグデータ活用などをキーワードに、 SIEM(Security Information and Event Management) 装置の類の 検討が行われている。下記の書籍なんかでも

紹介されている「Splunk」の学習環境をdokcerを使用して、 簡単に構築できないかものかと考え試してみた際の備忘録。

目次

参照URL

手順においては、下記のURLの通り。

https://hub.docker.com/r/splunk/splunk/

docker imageの取得

Splunkのdockerイメージを取得する。

[root@docker docker]# docker pull splunk/splunk

Splunkのコンテナ起動

以下の通り、Splunkのコンテナを起動する。

[root@docker docker]# docker run -d -e "SPLUNK_START_ARGS=--accept-license" -e "SPLUNK_USER=root" -p "8000:8000" splunk/splunk
df315d4555e4672602e5bbfae85c752b53944cfdcbaccd5c8a92830b59d18f62
[root@docker docker]#```

Splunkの管理画面からの設定

Splunkの管理画面にアクセスする。

http://dockerホストのIP:8000/

「admin」と初期パスワード「changeme」を入力し、

パスワードを変更し、

OKを押し、

OKを押し、

Skipすると

とりあえず、DashBoardに行き着く

SplunkのDashBoardを日本語化するには、

上記のように、SplunkのDashBoardが英語表記となっている。 大抵、アカウントの設定などで、言語環境を変えらえれるのかと思って、 いろいろ調べたところ、下記の方の記事の通り、 URLそのものを変えてアクセスすればよいとのこと。

azushink.hatenablog.com

あとは、実際にいろいろなデータを食わせながら、 先述の書籍などでお勉強。