Splunkを利用している人々は、どこに情報を集め、調べた上で実装、利用したりするのでしょうか?
最適なパートナーがいれば、そのパートナーに任せることは可能ですが、自社でナレッジをため、利用するために、自社で情報を共有し、人材を育てるのが最適です。ただ、闇雲に利用するとしても、使い方や、アーキテクチャや仕様の確認、課題などで壁にぶち当たったときに、調べる術を持っている必要があります。
Splunkでは、様々な情報をパブリックに公開しています。そして、それらの情報に単純にたどり着けないことを耳にします。このブログでは、現在公開されているSplunkの情報をまとめてみたいと思います。
Splunk製品の最新ドキュメントが公開されている情報サイトです。
カテゴリごとで、ドキュメントリンクがまとめられています。検索ボックスからキーワードでの検索も可能です。
ドキュメントは、過去バージョンの情報も確認可能です。
Google検索などで、検索した場合、過去のドキュメントが参照されることがまれにあります。
その場合は、ドキュメントバージョンを変更することで、(例えば、Latest Releaseを選択する)最新バージョンの資料にすることが可能です。
とくに、Splunk CloudとSplunk Enterpriseでは機能差がありますので、表示しているドキュメントのProductとバージョンをご確認ください。
また、Splunk Enterpriseのみですが、日本語に翻訳したPDF資料もダウンロード可能です。
ただし、残念ながら、HTMLドキュメントよりも、若干古い場合があります。最新の情報は、HTMLドキュメント(英語)をご確認することを推奨します。
Splunk開発者向けのドキュメントサイトもあります。
このサイトは、ドキュメントだけでなく、開発者用ライセンスの申請や、開発者ツールのダウンロードなども可能です。
Splunk Lanternとは、Splunkの利用方法(ユースケース)をまとめたサイトです。
利用方法のTipsや、適用例などがまとまっています。
ユースケースごとにカテゴライズされており、SecurityおよびIT運用、O11yでの利用方法で、まとめられています。
それらとは別に、Splunk製品概要、Splunk Cloudへの移行、データソースの情報がまとめられています。
ユースケースに合わせて、必要なデータソース、サンプルのSPLなどが記載されているため、利用用途にあわせたユースケースがある場合は、より明確になると思います。
例:AWS環境を利用していて、S3を今後監視する要件がある場合
IT Use Case Guidance - Cloud Monitoring - Managing an Amazon Web Service environmentを選択
どういったデータソースを取得すべきか、対象が何かにより、設定方法例が確認可能
例:AWS S3で公開設定になっているバケットを検出したい場合
“Public S3 bucket identification”を選択すると、どういったデータソースが必要で、検出するためのサンプルSPLが確認できます。
一般的なユースケースと4つのカテゴリで分けられたユースケースが登録済みです。
セキュリティ同様、一般的なユースケースのリンクと4つのカテゴリに分かれてユースケースがまとめられています。
一般的なユースケースと2つのカテゴリで分けられたユースケースが登録済みです。
このサイトで表示されているのは、Splunk Observability Cloudを利用する場合のユースケースです。ここに登録されている情報は、Splunk EnterpriseやSplunk Cloudでの利用を想定しているものではありません。
コミュニティベースの問い合わせサイトです。
例えば、同じような現象が他環境でできていないか、エラーメッセージをベースに検索することで、その時の対処方法等を確認することが可能で、また、質問することも可能です。質問するには、Splunkアカウントが必要です。
質問は、英語がベストですが、日本語でも可能です。日本人の方が答えてくれることもありますし、海外の方がGoogle翻訳などを利用して回答してくれたりもします。日本語で質問する場合は、Message TagsにJapaneseといれるようにしてください。
ただし、障害時の問い合わせは、サポートに問い合わせするのがベストです。どちらかというと、サポートに問い合わせしづらい質問がベターだと思います。
例えば、“特定のデータ・フォーマットを処理する場合のSPLの書き方を聞くなど”ですね。
注意事項として、Splunk Answersは、Communityという位置づけです。必ず返答があるというわけではないです。
回答者は、あくまでも自身がもっているノウハウや情報を提供してもらうだけのため、責任を負うわけではないので、注意してください。
言わずと知れたSplunk Appsのエコシステムです。
現在は、Splunk Enterprise / Splunk Cloudだけでなく、Splunk SOARのAppの情報もポストされています。
よって、キーワードで検索するとSplunk Enterprise/CloudとSOARのAppがリストされます。
例えば、CISCOでキーワード検索すると、下記のようなAppがリストされます。
各Appの右上(この場合は、タイル表示)に、どのプロダクトのものかわかるようになっていますので、ダウンロードする際は必ず確認してください。
予め、このページの下部に表示されるボタンを選択し、対象Appのみ表示させるようにしてください。
ほとんどの場合、各App / Add-onのDetailsタブに、対応するドキュメントリンクが記載されています。App / Add-onを利用する場合は、それらの資料を確認するようにしてください。
また、代表的なユースケース紹介AppとしてSplunk Security Essentialsというのがあります。
このAppには、セキュリティの様々なサンプルユースケースが登録されています また、それらのユースケースを、様々なフレームワーク(Cyber Kill ChainやMitre Att&ckなど)に沿った形でフィルターが可能です。
用途に合わせて利用方法や、必要なデータソースを確認可能ですので、セキュリティ用途でSplunkを利用する場合には、こちらのAppの利用も検討ください。
Splunkに追加の機能をリクエストするサイトです。
追加の機能だけではなく、機能改善なども要望することが可能です。
繰り返しになりますが、機能としてほしい機能、改善要望などを登録することが可能となっています。すでに登録されているIdeaに投票(Vote)します。弊社の製品開発担当チームは、多くの要望が集まった機能については実装することを検討します。
Ideaには、ステータス(ステータスでFilterができます)が設定され、例えばIn Developmentになると近い将来のバージョンに実装される予定になります。
機能改善に直結しますので、良い要望には、Voteをお願いします!
社員もVoteできますが、お客様の声のほうがPriorityが高くなります。
その名の通り、ブログです。いま、皆さんが見られているサイトです。
https://www.splunk.com/en_us/blog
ブログでは、世界情勢に合わせた内容のもの(最近ですと、Log4jの脆弱性や、ウクライナ情勢など)や、Tips & Trickなど、Splunkを利用する上で知っておくと便利な記事が多く掲載されています。
また、日本独自のブログも用意されています。
ブログを検索する場合は、右上にあるサーチアイコンから、キーワード検索するか、もしくは、サイトの下部にあるExplore Blog Postsから、日時や、カテゴリ、Authorで検索する必要があります。
最近のセキュリティ動向で新しいブログが投稿されることが多いので、ホットなセキュリティ脆弱性の問題などが発生した場合は、日時でフィルターをかけたり、カテゴリでフィルターをかけると、関連する記事などがリストされやすいと思います。
例えば、カテゴリのTips & Tricks ログは、Netflowデータや、クラウドからのデータ取得方法やSAML連携方法など、ステップバイステップで記載しているものもあります。
Splunk Stream を利用した Netflow データの取り込み例:
https://www.splunk.com/en_us/blog/tips-and-tricks/splunking-netflow-with-splunk-stream-part-1-getting-netflow-data-into-splunk.html
Google Cloud からのデータ連携方法例:
https://www.splunk.com/en_us/blog/security/elevate-your-cloud-security-posture-with-splunk-and-google-cloud.html
これらは、あくまで一例です。
Splunk Docsの資料よりも、ステップバイステップで書かれていることが多いため、こちらのほうがわかりやすいこともありますので、設定にこまったら、こちらのブログも参照ください。
Splunkの利用方法(ステップバイステップ)や、事例紹介などを映像で確認できます。特に、Splunk初心者向けのコンテンツも充実しているため、はじめて利用する方は、こちらは必見。
下記のメニューで言語設定ができ、様々な言語を選択することが可能です。
日本語コンテンツには、日本語で説明しているビデオもありますが、英語コンテンツに日本語字幕がついているものもあります。
一番情報が充実しているのは、英語のコンテンツです。
言語の勉強に利用するのもありかもですね。
Happly Splunking!
Splunkプラットフォームは、データを行動へとつなげる際に立ちはだかる障壁を取り除いて、オブザーバビリティチーム、IT運用チーム、セキュリティチームの能力を引き出し、組織のセキュリティ、レジリエンス(回復力)、イノベーションを強化します。
Splunkは、2003年に設立され、世界の21の地域で事業を展開し、7,500人以上の従業員が働くグローバル企業です。取得した特許数は1,020を超え、あらゆる環境間でデータを共有できるオープンで拡張性の高いプラットフォームを提供しています。Splunkプラットフォームを使用すれば、組織内のすべてのサービス間通信やビジネスプロセスをエンドツーエンドで可視化し、コンテキストに基づいて状況を把握できます。Splunkなら、強力なデータ基盤の構築が可能です。