앱 초기 설정
앱이 Splunk 서버에 설치되면 구성 → 구성에서 초기 설정을 마무리합니다.
구성 보기에는 세 개의 창이 있습니다: 설정, 위험 목록 및 알림 규칙입니다.
설정 보기에서 연결 API 액세스 권한과 작동 중인 API 엔드포인트로 API 키를 구성합니다.
앱이 작동하려면 설정 창에서 API 키를 구성해야 합니다. 사용자는 앱에서 API 키 및 프록시 설정을 구성하려면 'list_storage_passwords' 기능이 필요합니다.
설정
여기에서 위험 목록 및 알림 규칙을 제외한 모든 설정이 구성됩니다. 가능한 최소 구성은 여기에서 API 키를 설정하는 것입니다.
인증서 유효성 검사를 비활성화해야 하는 경우(예: Splunk 컴퓨터와 인터넷 사이에 있는 네트워킹 장치가 SSL 인증서를 수정하는 경우), "SSL 확인" 확인란을 선택 취소하여 이 작업을 수행할 수 있습니다.
스플렁크 서버에 인터넷 액세스를 위해 프록시가 필요한 경우 프록시 확인란을 선택해야 합니다. 그러면 입력해야 하는 새 필드가 표시됩니다. 사용자 이름과 비밀번호는 프록시에 인증이 필요한 경우에만 구성해야 합니다. 프록시 호스트 및 포트는 필수 설정입니다.
레코딩된 미래 지원팀은 드물게 사용자에게 레코딩된 미래 API에 대해 다른 URL을 사용하도록 지시할 수 있으며, 이 경우 레코딩된 미래 API URL을 수정해야 합니다.
로깅에는 5가지 수준이 있습니다: 중요, 오류, 경고, 정보 및 디버그입니다.
권장 로그 수준은 정보입니다. 녹화된 미래 앱의 문제를 신고하려면 일시적으로 디버그로 변경하여 문제 해결에 사용할 수 있는 추가 로그를 수집하세요.
기록된 미래 앱에서 생성된 로그는 기본 Splunk 로그 디렉터리 $SPLUNK_HOME/var/log/splunk에 위치하며 다음 파일에 기록됩니다:
- ta_recordedfuture_cyber_rest.log
로그 파일에 포함된 정보는 Splunk GUI에서 보거나 Splunk 서버에서 파일로 볼 수 있습니다.
검색 예시:
index=_* source="/opt/splunk/var/log/splunk/ta_recordedfuture_cyber_rest.log"
다른 탭에 대한 자세한 내용은 해당 도움말 페이지에서 확인할 수 있습니다.
추가 도움말
"스플렁크용 레코디드 퓨처 앱"은 레코디드 퓨처에서 개발했습니다.
자세한 정보 및 지원은 지원 웹 사이트( support.recordedfuture.com)에서 확인할 수 있습니다.