Network Security で Splunk と連携する方法は以下の通りです。

1．Trend Micro Cloud One の管理コンソールにログインし、Network Security を選択します。

2．左ペインより [Network]→[Appliance] を選択します。

3．該当のアプライアンス名を選択します。

4．[Splunk]タブを選択し、歯車アイコン [Edit Configuration] を押下します。

　

5．[Syslog State] を [Enabled] にします。

　

6．[Server]フィールドに Splunk サーバの IP アドレスまたはホスト名を入力します。

7．[Port]フィールドに 1~65535 のポートを使用します。

8．サーバで暗号化を使用する場合は、[Certificate]を有効にし、CA 証明書を指定します。
　※CA 証明書の検証が必要な場合は、Splunk との連携設定をする前に CA 証明書を追加してください。

9．[保存]を押下します。

10．[Network]→[Appliance] ページの該当アプライアンス欄で [Splunk Status] が Pending となります。
　※仮想アプライアンスが接続を確立しようとしているときのアプライアンスの Splunk ステータスが表示されます。

　

11．項番4 の Splunk 設定画面に戻り、[Status]の[Refresh]を押下します。

　

12．Network Security が Splunk に正常に接続されると、[Connection Successful]ステータスに変わります。

接続時に何らかのエラーが発生すると、[Connection Failed] ステータスに変わります。

　

　※エラーが発生した場合、[Connection Failed] ステータスの後ろに失敗原因のメッセージが表示されます。
　　また、Network Security に SSH 接続にて SuperUser 権限でログインし以下のコマンドを実行することで
　　エラーの詳細情報をシステムログに表示できます。
　　
　　Network Security{}show log-file system

また、Splunk の設定を削除するには、項番 4 の Splunk 設定画面にてごみ箱アイコン [Delete Configuration] を押下します。
その後 [State] が [Disabled] に変わります。

API を使用して Splunk サーバへ接続する場合は、下記参考情報の API リファレンスのリモート syslogAPI を参照してください。

=====
参考情報
API reference Guide 
=====