[OpsJAWS: やってみようシリーズ] Splunk Cloudで Splunk Appsをつかってみた
Partner SA 酒徳です、さて本日のやってみようシリーズは、Splunk Cloud第4段です。Splunk Cloudを使ったSplunk Appsの使い方についてSCSK内藤様にご説明頂きます。
みなさん、こんにちは。SCSKの内藤です。Splunk Cloudの使い方Part4では、Part3のCloudTrailログの取り込みに引き続き、今回はAWS用のSplunkApps(Splunk App for AWS)を用いた可視化画面の一部をご紹介させていただきます。
サービス・製品の説明と特徴
- Splunk Cloudは、業界をリードするマシンデータ分析プラットフォームのSplunk EnterpriseをSaaS形式でご利用いただくことができるサービスです。クラウド、オンプレミス環境問わず、テクノロジーインフラ、セキュリティーシステム、及びビジネスアプリケーションから生成されるあらゆるマシンデータを、簡単に収集、分析、アクションすることができます。
- Splunk Cloudは稼働率100%のSLAをご提供します。1日数GBのデータ収集から始め、10TB以上の収集規模にまでスケール可能であり、SOC2 Type2やISO 27001認定(*)取得済みの高度にセキュアな環境で安心してデータ分析を実施していただけます。(*)http://www.splunk.com/view/splunk-achieves-iso-27001-certification-for-splunk-cloud/SP-CAAAPGG
設定(構築)する内容
Part3では「Splunk Add-on for AWS」というSplunkAppsをインストールし、簡単なサーチでのログ分析ができるところまでご紹介いたしました。今回は、「Splunk App for AWS」というSplunkAppsを使い、新たに作らなくてもAppsに標準搭載されているダッシュボードやレポート、リアルタイムの可視化を提供するアラートなどをいくつかご紹介させていただきます。また、以降の操作手順はPart3の操作が問題なくクリアできていることを前提で進めていきたいと思います。
参考:Part1:「Splunk Cloud」をはじめてみた
1. はじめに、Splunk Cloudへログイン
2. Splunk Apps 「Splunk App for AWS」のインストール
Part3と同様に、ホーム画面にて、Appの横に表示されたギアマークをクリックします。
「他のAppを参照」をクリックすると、インストールするAppを選択する画面へ遷移します。
App一覧画面の検索欄に「AWS」と入力して検索すると、AWSに関連するAppsが表示されます。今回導入するAppsは「Splunk App for AWS」です。
インストール実行の前にログインアカウント名とパスワードを入力します。入力が完了したら、「Login and Install」をクリックします。
Appsのインストール作業はPart3でもご紹介しましたが、非常に簡単ですね!「完了」ボタンをクリックすると、ホーム画面が表示されます。
正常に「Splunk App for AWS」がインストールされました。
3. Description、Configログの取得設定
Part3でインストールしたAppsを用いて、DescriptionログとConfigログの取得設定を行います。DescriptionログはEC2インスタンスの起動ステータスやインスタンス名/プライベートIP/パブリックIPなどの基本情報が出力されるログです。Configログは既存のAWSリソースを検出し、構成詳細情報と共にいつどのようにリソースが構成されたかが確認可能になるAWS管理サービスのログです。
ホーム画面にてApps「Splunk Add-on for AWS」のアイコンをクリックします。
Inputs画面にて、「Create New Input」ボタンをクリックします。プルダウンメニューから「Description」を選択してください。
Nameには、任意の名前を入力してください。AWS AccountとAWS Regionはそれぞれプルダウンメニューから該当するものを選択します。
Settingsタブからデフォルトの設定値を確認し、必要に応じて変更して下さい。Appsの可視化画面ではデフォルトでmainインデックスの統計結果を表示する設定になっています。ここではデフォルト設定(既定値)のまま「Create」ボタンをクリックします。
続けて、Inputs画面にて、「Create New Input」ボタンをクリックします。プルダウンメニューから「Config」を選択してください。
Nameには、任意の名前を入力してください。AWS AccountとAWS Regionはそれぞれプルダウンメニューから該当するものを選択します。
TemplatesタブからSQS Queue Nameを選択します。
Settingsタブはデフォルト値を確認し、必要に応じて変更して下さい。ここではデフォルト設定(既定値)のまま「Create」ボタンをクリックします。以上でDescription ログとConfigログの取得設定が完了です!
正常に設定完了した場合、下図のように表示されます。
5. 可視化画面(ダッシュボード)を確認してみよう!
ホーム画面に戻り、先ほどインストールしたApps「Splunk App for AWS」のアイコンをクリックします。
Overviewsの概要が表示されました。AWS上のVPCやインスタンス数、ストレージサイズなどの統計情報が確認できますね。
では、試しに「Configuration Changes」のUPDATESの数字をクリックしてみましょう。
リソース・タイプのプルダウンから「すべて」を選択します。
直近でUPDATEが行われたリソース16個の詳細がはっきりしました。今回の例では「AWS:EC2:Instance」が9個「AWS:EC2:NetworkInterface」が7個だということがわかります。
もう一つ画面を見てみましょう。Securityタブから「Security Groups」をクリックします。
下図の円グラフはSecurity Groupに対する作成、削除、更新などのアクション操作の割合を表したものです。Part3でご紹介しましたCloudTrailログの統計結果が円グラフで表示されています。
このようにApps「Splunk App for AWS」をインストールするだけで、無料で可視化の画面を利用することができ、さらにレポートやアラート通知することも可能です。レポートやアラートはApps「Splunk App for AWS」に標準で搭載されているものもあり、サーチタブの「レポート」、「アラート」から確認することができます。ご興味がある方はぜひ見てみて下さい!
まとめ
Part4はいかがでしたでしょうか?今回はAWSのApps「Splunk App for AWS」を使って、収集したログの統計結果を確認していきました。可視化された画面はデフォルトで用意されているので、新たにダッシュボード作成することなく、ただAppsをインストールするだけで可視化できるというのは非常に便利ですね。
次回Part5でも引き続き、Apps「Splunk App for AWS」を使い、今度はセキュリティ観点でAWS auditログにフォーカスしたご紹介をしていきたいと思います。
参考情報
- Splunk Cloudの導入実績
世界中のお客様の、セキュリティ分析、ビジネス業務分析、ITオペレーション分析などのSplunk Cloud活用事例は以下サイトをご参照下さい。
http://www.splunk.com/en_us/customers.html#filter/filter1/CloudSolutions
- ライセンス体系とコスト
Splunk Cloudは1日に取込むデータ量に応じた課金体系となっています。
http://www.splunk.com/en_us/products/pricing.html#tabs/cloud
- お問い合わせ先
- Splunk Cloudご利用に際してのお問い合わせは下記宛先までお願い致します。
- SCSK株式会社 Splunk製品担当(https://www.scsk.jp/product/common/splunk/)
03-5166-2826
- SCSKでは、Splunk導入に関する設計、構築、サポート等トータルサービスをご提供いたします。業種問わず様々なお客様への幅広い導入実績から、ニーズに合った最適なサービスをご提案させていただきます。
また、サポート体制も整っておりますので、導入後の運用もご安心下さい。
お気軽に上記お問い合わせ先までご連絡下さい。
- またSplunk Cloudでの設定やサーチに関しての技術的なご質問は、以下コミュニティサイトも是非ご利用下さい。日本語でのご質問も可能です。
https://answers.splunk.com/ - その他技術情報
Splunk Cloud製品ドキュメントページ(英語)
http://docs.splunk.com/Documentation/SplunkCloud
Splunk Searchチュートリアル(日本語)※パート2以降参照下さい。
http://docs.splunk.com/images/d/da/Splunk-6.3.0-ja_JP-SearchTutorial.pdf
****
OpsJAWS メインページはこちら。
クラウド運用にご興味ある方は、こちらからOpsJAWSに登録ください。
コメント