情報システム部がSPLUNKを使うとどうなるか？（事例をまじえて紹介）

Splunk Live 2014@snicker_jp

お品書き

•自己紹介

• Splunkとは？

•導入編

• 事例

App

自己紹介

@snicker_jp

blog

なのまる

情報システム部門で働いています

☆入賞コンテスト

インストールマニアックス

チューニングマニアックス

☆インプットIT勉強会によく参加しています！した

☆アウトプット

「元うなぎ屋」というブログをやっています

おことわり

・私が「実際に使ってみた！」という内容で話します

・対象者：

私のような「情報システム部門」の人です

・ちなみに私は、コードを一切書けません！

Splunkとは？

• ログの統合基盤収集、インデックス、検索、レポート、アラートなどの機能を持っています

• デスクトップ検索のサーバー版のようなもの「検索窓」で、いろいろできる、SQLライクなコマンドや関数が使える

• 性能監視にも使えるCacti,Nagiosほどではないが、グラフ化を確認することも可能

• ライセンス機能制限のある「無償版」と有償の「エンタープライズ版」がある

概要は要らないですよね！

ライセンス

機能 無償版 有償版

1日に収集できる最大のログ容量

500MB ライセンスに応じて

検索スケジュールの実行 X 〇

検索や閾値に基づくアラート

X 〇

分散検索、展開サーバ X 〇

アクセス制御と複数ユーザアカウント

X 〇

他のSplunkへのデータ転送／受信

〇 〇

開発用API 〇 〇

容量制限回数 過去30日に2回まで（3回以上でロック）

過去30日に4回まで（5回以上でロック）

http://www.splunk.com/view/free-vs-enterprise/SP-CAAAE8Whttp://www.macnica.net/splunk/test_def.html/http://splunk.intellilink.co.jp/product/details-3

て、事で1年以上前に入れてみました！

その顛末をブログに！

• Splunk Universal Forwarderを使って外部サーバーからログを取得する

このページだけで、6,000字超！

• Splunkのパスワードリセット方法

• Splunkの通信をSSL対応させてみた

要は、初期導入でハマったんです・・・

• 初期はデフォルトで、SSL通信構成です！でも、自分が入れた頃はSSL構成の日本語ドキュメントない！＞＜

• 初期パスワードの後、入れたパスワード忘れた・・・(´・ω・｀)

• SSL構成のやり方教えてもらったよ！出来たよ！でも、社内LANだよ！ｗ

他にも・・・・スループット調整・sourcetype・検索コマンド

と、まあこんな事ありながら出来ました～

٩(๑❛ᴗ❛๑)۶

事例

•「Apps」を使って、構築「Apps」はSplunkのコミュニティベースで開発されている「テンプレート」のようなもの・データの取り込み対象・ソースタイプ・グラフなどのレポート・検索テンプレートなどが、含まれます。

Splunk Base 「Apps」

http://apps.splunk.com/

規模

•社員数 300名

•PC 300台超

•情報システム部門 15名内技術者 4名

ミッション

•ネットワークの安定稼働

•情報漏洩の危険性を最小限に抑える

スタッフが円滑に作業に集中できる！

作業者からの希望

•楽にやりたいことを実現したい•少人数でも、要望に答えられる環境づくり

•後世にも引き継ぎやすい環境構築

事例

•Splunk for Postfix

•*NIX

•Search(既定)のURL共有

•Splunk for Squid

•yum repository for Splunk

Client

☆Splunk for Postfix 社内Mailサーバーの兆候監視

・複数台構成の一部

internet

ログ一括収集

☆Splunk for Postfix

ダッシュボード画面 ・比較的検索テンプレートが豊富・レポートもキレイ！

☆ *NIX

UNIX系のサーバー状況モニタ

・サーバー内で取得・一括取得も可能

☆*NIX

画面例：

☆*NIX

例：

・差分表示・変更履歴取得が可能

☆ Search

標準App「検索」

標準機能！

こんな事ありませんか！？

・業務システム・振込処理など金銭に係る処理・ネットワーク上は誰でもアクセス可能

こんなことありませんか！？ 例：監査対応の月次アクセス監視

金銭が関わるシステムなど

報告書提出

ログ「grep」

鈴木さん！

いつものお願いします♡

出来ました～！^^;

はい、は～い！

事務職♡

ちょっと・・・すぐとは言え

・作業止められると、集中力切れるし (´・ω・｀)・エンジニア休めないよ！(´・ω・｀)

それに、小細工したみたいな疑いかけられたくないし

それなら、いいのあるわよ！

© 2011 Microsoft Corporation All Rights Reserved.

URL共有機能！☆

こうなりました！ 例：監査対応の月次アクセス監視

金銭が関わるシステムなど

報告書提出

鈴木さん、居ない！でも、Splunkあるわ！

画面から取得

事務職♡

ドヤっ！w

と、

とっても便利でした！

Client

☆Splunk for Squid 社内からインターネットへの

Proxy兆候監視D

MZ

internet

ログ一括収集

☆Splunk for Squid

ダッシュボード画面

☆Splunk for Squid

Proxyからわかること事例

☆Splunk for Squid

Proxyからわかること事例

CRL証明書失効リストCertificate Revocation List

☆Splunk for Squid

Proxyからわかること事例

変な通信をするクライアント

がいないかチェック

☆Splunk for Squid

Proxyからわかること事例

どのクライアントからの接続が多いか？

調査して、おかしなソフトが入っていないか？

☆Splunk for Squid

Proxyからわかること事例

どのクライアントからの接続が多いか？

調査して、おかしなソフトが入っていないか？

昨日7/2Splunk 6.1.2 リリース！

おめでとうございます！

ここで、アップデート

面倒じゃないですか？ セキュリティ対策な

どでアップデートしたい

Forwarderサーバーいっぱい

i386

x86_64

私

☆yum repository for Splunk Universal Forwarder

すべてのサーバーがRedHat系Linuxだったため、yumのrepositoryを作った

DM

Z

internet

yumrepositoy

ログ一括収集

便利

と、思っているのは

私だけ

要は、Splunkで何を実現したかったか！

• 「一時切り分け」は誰でもできるように！（事務員の方でも！）

• それによって、人員が少なくても業務がまわる！

• 工数が減って「ゴール」が一緒ならいいんじゃないか！

• テンションが上がる製品を使って仕事がしたい！

困りごと

• まだ、ケーススタディ(検索の保存)がたくさんは用意できてないです。

• まだまだ「検索」について、共有したいです。

• ユーザーグループの発足、待ってます！

• 導入については「＃Splunk」で検索

ご清聴ありがとうございました！

Thank you！