Whois XML APIはSplunkのためのアプリケーションです。Splunk内からドメイン名やIPアドレスのWHOIS検索を行うことができます。
前提条件
Splunk Enterprise をインストールして設定しておく必要があります。詳しくは公式ドキュメントをご参照ください。
拡張機能を設定
1. Splunk にログインします。
![Splunkにログインします。 Splunkにログインします。](https://whois.whoisxmlapi.com/images/whoisapi/blogs/splunk-tutorial/1.jpg)
2. アプリケーションをダウンロード、インストールしてください。これは Splunk内から行うことができます(https://splunkbase.splunk.com/app/4404)。
![アプリケーションをダウンロードし、インストールします。これは、Splunk 内から行うことができます。 アプリケーションをダウンロードし、インストールします。これは、Splunk 内から行うことができます。](https://whois.whoisxmlapi.com/images/whoisapi/blogs/splunk-tutorial/2.jpg)
3. アプリケーションをインストールしたら、すぐに設定を開始できます。
![アプリケーションをインストールしたら、すぐに設定を開始できます。 アプリケーションをインストールしたら、すぐに設定を開始できます。](https://whois.whoisxmlapi.com/images/whoisapi/blogs/splunk-tutorial/3_1.jpg)
3.1 Appsページで設定することも可能です。アプリケーション名の隣にあるSet upをクリックします。
![Appsページでアプリケーションを設定することもできます。アプリケーション名の近くにある「設定」をクリックします。 Appsページでアプリケーションを設定することもできます。アプリケーション名の近くにある「設定」をクリックします。](https://whois.whoisxmlapi.com/images/whoisapi/blogs/splunk-tutorial/3_2.jpg)
4. APIキーを入力 し、「保存」をクリックします。
![Appsページでアプリケーションを設定することもできます。アプリケーション名の近くにある「設定」をクリックします。 Appsページでアプリケーションを設定することもできます。アプリケーション名の近くにある「設定」をクリックします。](https://whois.whoisxmlapi.com/images/whoisapi/blogs/splunk-tutorial/4.jpg)
拡張機能を使用
1. Splunkにデータを追加。このチュートリアルでは、ドメイン名を含む CSVファイルを使用しますが、Splunkの公式ドキュメントに記載されている他のアプローチでもご自由にお使いいただけます。Settings>Add dataにお進みください。
![「設定」→「データを追加」に進みます。 「設定」→「データを追加」に進みます。](https://whois.whoisxmlapi.com/images/whoisapi/blogs/splunk-tutorial/5_1.jpg)
2.Upload files from my computerをクリックします。
![「コンピューターからファイルをアップロードする」をクリックします。 「コンピューターからファイルをアップロードする」をクリックします。](https://whois.whoisxmlapi.com/images/whoisapi/blogs/splunk-tutorial/5_2.jpg)
3.ファイルを選択し、Nextをクリックします。
![ファイルを選択し、[次へ]をクリックします。 ファイルを選択し、[次へ]をクリックします。](https://whois.whoisxmlapi.com/images/whoisapi/blogs/splunk-tutorial/6.jpg)
4. タイムスタンプ抽出(ビューでの対応したSplunkオプションの名前)を Currentと設定し、CSVのカラム名を記入します。SV のカラム名を入力します。Nextをクリックし、ソースタイプの変更を保存するかどうかを選択します
![タイムスタンプ抽出(ビュー上の対応するSplunkオプションの名前)をCurrentとして設定し、CSVカラム名を記入する必要があります。次に、[次へ] をクリックし、ソースタイプの変更を保存するかどうかを選択します。 タイムスタンプ抽出(ビュー上の対応するSplunkオプションの名前)をCurrentとして設定し、CSVカラム名を記入する必要があります。次に、[次へ] をクリックし、ソースタイプの変更を保存するかどうかを選択します。](https://whois.whoisxmlapi.com/images/whoisapi/blogs/splunk-tutorial/7.jpg)
5. 画面上の Input Settingsページで、データを保存するインデックスを選択します。 次に Reviewをクリックしてください。
![入力設定ページで、データを保存するインデックスを選択します。次に、「レビュー」をクリックします。 入力設定ページで、データを保存するインデックスを選択します。次に、「レビュー」をクリックします。](https://whois.whoisxmlapi.com/images/whoisapi/blogs/splunk-tutorial/8.jpg)
6. 確認が終わったら Start searchingをクリックするか、そのまま Apps>Search & Reportingに進んでください。検索の後に lookup節を追加することもできます。次に、期間を選択しSearchアイコンをクリックしてください。
![確認後、「Start searching」をクリックするか、「Apps」→「Search & Reporting」に進んでください。 確認後、「Start searching」をクリックするか、「Apps」→「Search & Reporting」に進んでください。](https://whois.whoisxmlapi.com/images/whoisapi/blogs/splunk-tutorial/9.jpg)
![検索クエリの後に検索語を追加できます。次に期間を選択し、「検索」アイコンをクリックします。 検索クエリの後に検索語を追加できます。次に期間を選択し、「検索」アイコンをクリックします。](https://whois.whoisxmlapi.com/images/whoisapi/blogs/splunk-tutorial/10.jpg)
7. 結果が表示されたら、各イベントを展開してエンリッチドプロパティを確認することができます。より包括的な検索を行うには、対応する公式ドキュメントをご参照ください。
![結果が表示されたら、各イベントを展開し、エンリッチドプロパティを確認できます。 結果が表示されたら、各イベントを展開し、エンリッチドプロパティを確認できます。](https://whois.whoisxmlapi.com/images/whoisapi/blogs/splunk-tutorial/11.jpg)
8. WHOIS Lookupのページ内で、すぐにWHOIS検索を実行することもできます。
Apps>WhoisXML API for Splunk>WHOIS Lookupにお進みください。カンマで区切られた1つ以上のドメイン名またはIPv4アドレスを入力します。 表示されている フィールドを選択しフォームを送信します。
![カンマ区切りのドメイン名またはIPv4アドレスを1つ以上入力します。表示されているフィールドを選択し、フォームを送信します。 カンマ区切りのドメイン名またはIPv4アドレスを1つ以上入力します。表示されているフィールドを選択し、フォームを送信します。](https://whois.whoisxmlapi.com/images/whoisapi/blogs/splunk-tutorial/12.jpg)