情報システム部がsplunk を使うとどうなるか?
DESCRIPTION
Splunk Live 2014 Tokyo で発表した資料です。TRANSCRIPT
情報システム部がSPLUNKを使うとどうなるか?(事例をまじえて紹介)
Splunk Live 2014@snicker_jp
お品書き
•自己紹介
• Splunkとは?
•導入編
• 事例
App
自己紹介
@snicker_jp
blog
なのまる
情報システム部門で働いています
☆入賞コンテスト
インストールマニアックス
チューニングマニアックス
☆インプットIT勉強会によく参加しています!した
☆アウトプット
「元うなぎ屋」というブログをやっています
おことわり
・私が「実際に使ってみた!」という内容で話します
・対象者:
私のような「情報システム部門」の人です
・ちなみに私は、コードを一切書けません!
Splunkとは?
• ログの統合基盤収集、インデックス、検索、レポート、アラートなどの機能を持っています
• デスクトップ検索のサーバー版のようなもの「検索窓」で、いろいろできる、SQLライクなコマンドや関数が使える
• 性能監視にも使えるCacti,Nagiosほどではないが、グラフ化を確認することも可能
• ライセンス機能制限のある「無償版」と有償の「エンタープライズ版」がある
概要は要らないですよね!
ライセンス
機能 無償版 有償版
1日に収集できる最大のログ容量
500MB ライセンスに応じて
検索スケジュールの実行 X 〇
検索や閾値に基づくアラート
X 〇
分散検索、展開サーバ X 〇
アクセス制御と複数ユーザアカウント
X 〇
他のSplunkへのデータ転送/受信
〇 〇
開発用API 〇 〇
容量制限回数 過去30日に2回まで(3回以上でロック)
過去30日に4回まで(5回以上でロック)
http://www.splunk.com/view/free-vs-enterprise/SP-CAAAE8Whttp://www.macnica.net/splunk/test_def.html/http://splunk.intellilink.co.jp/product/details-3
て、事で1年以上前に入れてみました!
その顛末をブログに!
• Splunk Universal Forwarderを使って外部サーバーからログを取得する
このページだけで、6,000字超!
• Splunkのパスワードリセット方法
• Splunkの通信をSSL対応させてみた
要は、初期導入でハマったんです・・・
• 初期はデフォルトで、SSL通信構成です!でも、自分が入れた頃はSSL構成の日本語ドキュメントない!><
• 初期パスワードの後、入れたパスワード忘れた・・・(´・ω・`)
• SSL構成のやり方教えてもらったよ!出来たよ!でも、社内LANだよ!w
他にも・・・・スループット調整・sourcetype・検索コマンド
と、まあこんな事ありながら出来ました~
٩(๑❛ᴗ❛๑)۶
事例
•「Apps」を使って、構築「Apps」はSplunkのコミュニティベースで開発されている「テンプレート」のようなもの・データの取り込み対象・ソースタイプ・グラフなどのレポート・検索テンプレートなどが、含まれます。
Splunk Base 「Apps」
http://apps.splunk.com/
規模
•社員数 300名
•PC 300台超
•情報システム部門 15名内技術者 4名
ミッション
•ネットワークの安定稼働
•情報漏洩の危険性を最小限に抑える
スタッフが円滑に作業に集中できる!
作業者からの希望
•楽にやりたいことを実現したい•少人数でも、要望に答えられる環境づくり
•後世にも引き継ぎやすい環境構築
事例
•Splunk for Postfix
•*NIX
•Search(既定)のURL共有
•Splunk for Squid
•yum repository for Splunk
Client
☆Splunk for Postfix 社内Mailサーバーの兆候監視
・複数台構成の一部
internet
ログ一括収集
☆Splunk for Postfix
ダッシュボード画面 ・比較的検索テンプレートが豊富・レポートもキレイ!
☆ *NIX
UNIX系のサーバー状況モニタ
・サーバー内で取得・一括取得も可能
☆*NIX
画面例:
☆*NIX
例:
・差分表示・変更履歴取得が可能
☆ Search
標準App「検索」
標準機能!
こんな事ありませんか!?
・業務システム・振込処理など金銭に係る処理・ネットワーク上は誰でもアクセス可能
こんなことありませんか!? 例:監査対応の月次アクセス監視
金銭が関わるシステムなど
報告書提出
ログ「grep」
鈴木さん!
いつものお願いします♡
出来ました~!^^;
はい、は~い!
事務職♡
ちょっと・・・すぐとは言え
・作業止められると、集中力切れるし (´・ω・`)・エンジニア休めないよ!(´・ω・`)
それに、小細工したみたいな疑いかけられたくないし
それなら、いいのあるわよ!
© 2011 Microsoft Corporation All Rights Reserved.
URL共有機能!☆
こうなりました! 例:監査対応の月次アクセス監視
金銭が関わるシステムなど
報告書提出
鈴木さん、居ない!でも、Splunkあるわ!
画面から取得
事務職♡
ドヤっ!w
と、
とっても便利でした!
Client
☆Splunk for Squid 社内からインターネットへの
Proxy兆候監視D
MZ
internet
ログ一括収集
☆Splunk for Squid
ダッシュボード画面
☆Splunk for Squid
Proxyからわかること事例
☆Splunk for Squid
Proxyからわかること事例
CRL証明書失効リストCertificate Revocation List
☆Splunk for Squid
Proxyからわかること事例
変な通信をするクライアント
がいないかチェック
☆Splunk for Squid
Proxyからわかること事例
どのクライアントからの接続が多いか?
調査して、おかしなソフトが入っていないか?
☆Splunk for Squid
Proxyからわかること事例
どのクライアントからの接続が多いか?
調査して、おかしなソフトが入っていないか?
昨日7/2Splunk 6.1.2 リリース!
おめでとうございます!
ここで、アップデート
面倒じゃないですか? セキュリティ対策な
どでアップデートしたい
Forwarderサーバーいっぱい
i386
x86_64
私
☆yum repository for Splunk Universal Forwarder
すべてのサーバーがRedHat系Linuxだったため、yumのrepositoryを作った
DM
Z
internet
yumrepositoy
ログ一括収集
便利
と、思っているのは
私だけ
要は、Splunkで何を実現したかったか!
• 「一時切り分け」は誰でもできるように!(事務員の方でも!)
• それによって、人員が少なくても業務がまわる!
• 工数が減って「ゴール」が一緒ならいいんじゃないか!
• テンションが上がる製品を使って仕事がしたい!
困りごと
• まだ、ケーススタディ(検索の保存)がたくさんは用意できてないです。
• まだまだ「検索」について、共有したいです。
• ユーザーグループの発足、待ってます!
• 導入については「#Splunk」で検索
ご清聴ありがとうございました!
Thank you!