WHOIS API Splunkアプリケーションチュートリアル | プラットフォーム | WHOIS API | WhoisXML API

SplunkのWHOIS APIアプリケーションチュートリアル SplunkのWHOIS APIアプリケーションチュートリアル

Whois XML APIはSplunkのためのアプリケーションです。Splunk内からドメイン名やIPアドレスのWHOIS検索を行うことができます。

前提条件

Splunk Enterpriseがインストールされ、設定されている必要があります。詳細につきましては、公式ドキュメントをご参照ください。

拡張機能を設定

1. Splunkにログインする

Splunkにログインします。

2. アプリケーションをダウンロードインストールしてください。これは Splunk内から行うことができます(https://splunkbase.splunk.com/app/4404)。

アプリケーションをダウンロードし、インストールします。これは、Splunk 内から行うことができます。

3. アプリケーションをインストールしたら、すぐに設定を開始できます。

アプリケーションをインストールしたら、すぐに設定を開始できます。

3.1 Appsページで設定することも可能です。アプリケーション名の隣にあるSet upをクリックします。

アプリケーションの設定は、Appsページでも行えます。アプリケーション名の近くにある[設定]をクリックします。

4. APIキーを入力しSaveをクリックします。

アプリケーションの設定は、Appsページでも行えます。アプリケーション名の近くにある[設定]をクリックします。

拡張機能を使う

1. Splunkにデータを追加。このチュートリアルでは、ドメイン名を含む CSVファイルを使用しますが、Splunkの公式ドキュメントに記載されている他のアプローチでもご自由にお使いいただけます。Settings>Add dataにお進みください。

「設定」→「データを追加」に進みます。

2.Upload files from my computerをクリックします。

「コンピューターからファイルをアップロードする」をクリックします。

3.ファイルを選択し、Nextをクリックします。

ファイルを選択し、[次へ]をクリックします。

4. タイムスタンプ抽出(ビューでの対応したSplunkオプションの名前)を Currentと設定し、CSVのカラム名を記入します。SV のカラム名を入力します。Nextをクリックし、ソースタイプの変更を保存するかどうかを選択します

タイムスタンプ抽出(ビュー上の対応するSplunkオプションの名前)をCurrentとして設定し、CSVカラム名を記入する必要があります。次に、[次へ] をクリックし、ソースタイプの変更を保存するかどうかを選択します。

5. 画面上の Input Settingsページで、データを保存するインデックスを選択します。 次に Reviewをクリックしてください。

入力設定ページで、データを保存するインデックスを選択します。次に、「レビュー」をクリックします。

6. 確認が終わったら Start searchingをクリックするか、そのまま Apps>Search & Reportingに進んでください。検索の後に lookup節を追加することもできます。次に、期間を選択しSearchアイコンをクリックしてください。

確認後、「Start searching」をクリックするか、「Apps」→「Search & Reporting」に進んでください。
検索クエリの後に検索語を追加できます。次に期間を選択し、「検索」アイコンをクリックします。

7. 結果が表示されたら、各イベントを展開してエンリッチドプロパティを確認することができます。より包括的な検索を行うには、対応する公式ドキュメントをご参照ください。

結果が表示されたら、各イベントを展開し、エンリッチドプロパティを確認できます。

8. WHOIS Lookupのページ内で、すぐにWHOIS検索を実行することもできます。

Apps>WhoisXML API for Splunk>WHOIS Lookupにお進みください。カンマで区切られた1つ以上のドメイン名またはIPv4アドレスを入力します。 表示されている フィールドを選択しフォームを送信します。

カンマ区切りのドメイン名またはIPv4アドレスを1つ以上入力します。表示されているフィールドを選択し、フォームを送信します。