https://www.splunk.com
  • Splunkサイト
    • Splunk Answers
    • ブログ
    • Community
    • .conf
    • Developers
    • Documentation
    • Splunk.com
    • Splunkbase
    • サポート
    • トレーニング
    • User Groups
    • ビデオ
https://www.splunk.com
  • ブログ
  • カテゴリー
    カテゴリー
    • .conf & .conf Go
    • お客様 & コミュニティ
    • DevOps
    • 業種・業界
    • IT
    • 経営陣
    • Learn
    • パートナー
    • データプラットフォーム
    • セキュリティ
    • Splunk for Good
    • Splunk Life
    • Tips
    Category Spot Image
    電子書籍
    外形監視のベストプラクティス Synthetic Monitoringの紹介

    Webサイトのパフォーマンスが広告収入、ユーザーエンゲージメント、SEOランキングに与える影響、外形監視を使ったソリューションを紹介

    詳細はこちら
  • ライター
    ライター
    • Splunk
    • Guest
    • Huaibo Zhao
    • 臼杵 真矢
    • 江藤 愛
    • 大谷 和紀
    • 大森 明央
    • 岡 大
    • 甲斐 逸郎
    • 加藤 教克
    • 肥垣津 雄日
    • 近藤 洋平
    • 塚本 政彦
    • 長島 広隆
    • 仲間 力
    • 野村 健
    • 福澤 公之
    • 藤盛 秀憲
    • 松本 志恆
    • 村田 達宣
    • 矢崎 誠二
    • 山内 一洋
    • 山村 悟史
    • 横田 聡
    • Gary Steele
    • Spiros Xanthos
    • Garth Fort
    • Simon Davies
    • Ryan Kovar
    • Jane Wong
    • ライター一覧
    Author Spot Image
    電子書籍
    SIEM導入ガイド

    適切なSIEMソリューションがどのように役立つかを解説した最新版

    電子書籍を読む
  • メール配信
  • 無料トライアル
https://www.splunk.com 無料トライアル
ブログ
カテゴリー
  • .conf & .conf Go
  • お客様 & コミュニティ
  • DevOps
  • 業種・業界
  • IT
  • 経営陣
  • Learn
  • パートナー
  • データプラットフォーム
  • セキュリティ
  • Splunk for Good
  • Splunk Life
  • Tips
ライター
  • Splunk
  • Guest
  • Huaibo Zhao
  • 臼杵 真矢
  • 江藤 愛
  • 大谷 和紀
  • 大森 明央
  • 岡 大
  • 甲斐 逸郎
  • 加藤 教克
  • 肥垣津 雄日
  • 近藤 洋平
  • 塚本 政彦
  • 長島 広隆
  • 仲間 力
  • 野村 健
  • 福澤 公之
  • 藤盛 秀憲
  • 松本 志恆
  • 村田 達宣
  • 矢崎 誠二
  • 山内 一洋
  • 山村 悟史
  • 横田 聡
  • Gary Steele
  • Spiros Xanthos
  • Garth Fort
  • Simon Davies
  • Ryan Kovar
  • Jane Wong
  • ライター一覧
メール配信
Splunkサイト
  • Splunk Answers
  • ブログ
  • Community
  • .conf
  • Developers
  • Documentation
  • Splunk.com
  • Splunkbase
  • サポート
  • トレーニング
  • User Groups
  • ビデオ
TIPS & TRICKS

Microsoft AzureのデータをSplunkに取り込む

Share:

Microsoft Azureサービスこのブログに関心を持たれた方は、さまざまなMicrosoft AzureサービスのデータをSplunkにどうやって取り込んだらよいのかお悩みなのではないでしょうか。Azureサービスの数が増え続け、データへのアクセス方法もいろいろある中、どういったデータが提供され、そのデータをSplunkにどのように取り込めるのかを把握することは、雲を掴むことに挑もうとするような無謀な話に聞こえるかもしれません(「クラウド」にかけてみました)。

このブログでは、Azureデータはどのように提供されるのか、Azureデータにはどうやってアクセスするのかを説明し、初期設定のままですぐにAzureデータを収集できるSplunkアドオンについて紹介します。では、さっそく本題に入りましょう。

Azureデータはどのように提供されるのか

Azureデータは、主に次の3つの方法で提供されます。

ストレージアカウント

ストレージアカウントは、Azureが登場した当初、標準的だった方法です。基本的に、Microsoftはサービスのデータを別の場所にあるストレージ(ストレージアカウント)にダンプします。たとえば、仮想マシンのイベントログを入手したい場合、Azureは指定されたストレージアカウントにイベントログをダンプします。ストレージアカウントはVMとは別のサービスであるため、VMについてのデータはVMを削除したあとも残ります。ストレージアカウントは独自のしくみでセキュリティを確保し、データを保持しますが、ここでは深くは触れません。独立したストレージアカウントにデータをダンプして、そこからデータを取得するようにソースサービスを設定できる、ということだけ押さえておいてください。

Event Hubs

標準といえば、ほとんどのAzureサービスで新たな標準となったのがEvent Hubsです。Event Hubsとは、保持期間の比較的短い、拡張性に優れたメッセージバスであると言えるでしょう。Azureは、前述したストレージアカウントと同様の方法で、(Azure Monitorと呼ばれるサービスを使用して) Event Hubにデータをダンプできます。ただし、Event Hubにデータを収集するのは、他のサービスが取得するためであり、Event Hubsにイベントが保持される期間はさほど長くありません(通常は24時間から7日)。また、Event Hubsは、データの受信や配信の負荷に応じてスケールアップまたはスケールダウンできます。

ヒント:Pub/Sub、Kafka、プロデューサー、コンシューマーといった用語になじみがある場合は、概念は同じと考えて差し支えありません。なじみがないと言う方は、今の話は忘れていただき、もう少し詳しく知りたいと思われた場合は、これらの用語をWebで検索してみてください。

REST API

Azureデータの3つ目の提供方法は、REST APIです。数多くのREST APIがありますが、  Splunkを利用されている方は「リスト」処理を実行することが多いでしょう。  こちらのページには、Azure VMを操作するためのAPIがすべて掲載されていますので、お役立てください。Microsoft Azure Add-on for Splunk (あとでもう少し詳しく触れます)は、「すべてをリスト」処理を使用して、Azure内にあるすべてのVMのリストを取得します。  この情報は、Splunk IT Service Intelligence (ITSI)やSplunk Enterprise Securityでエンティティとして使用できるほか、Splunkの他のデータソースと相関付けることもできます。

入手できるデータの種類

Azureデータの3つの主な提供方法がわかったところで、入手できるデータの種類について簡単に触れておきましょう。 ここでは、すべてのデータソースを網羅したリストを提供することはできないので、Splunkでよく利用されるソースをいくつか挙げます。  

  • アクティビティデータ [REST]または[Event Hub]:基本的には、誰がいつ何をしたかというデータです。  たとえば、Azureポータルにログオンして、新しいVMを作成すると、このVMを作成した行為がアクティビティログに取り込まれます。
  • リソースデータ [REST]:このデータソースには、使用しているサービスが取り込まれます。  アクティビティデータが「起こったこと」ならば、リソースデータは「存在しているもの」です。  たとえば、仮想マシン、ストレージアカウント、パブリックIPアドレスなどは、いずれもリソースです。
  • 認証データ [REST]または[Event Hub]:こちらについては、ほとんど説明の必要がないでしょうが、多要素認証データ、セルフサービスパスワードリセットデータ、条件付きアクセスポリシーデータ、Azure Active Directoryの全データなどを取得できることを付け加えておきたいと思います。
  • ネットワークセキュリティグループ(NSG)のフローログ [ストレージアカウント]:このソースは、接続元および接続先IPアドレス、ポート、プロトコルなどを含むネットワークトレースのようなものです。このトピックについて詳しくは、こちらのブログ記事(英語)をご覧ください。
  • WebアプリケーションおよびApplication Insights [ストレージアカウント]:Webアプリケーションデータには、Webサーバーのデータ(ホステッドまたは共有)とWebアプリケーションのデータが含まれます。Application Insightsは、アプリケーションパフォーマンス管理(APM)データです。
  • コストおよび消費量 [REST]:このデータソースには、使用中のサービスと、その使用コストに関する詳しいデータが含まれます。また、VM予約に関する推奨事項が含まれることもあります。これはVMのコスト削減に役立ちます。
  • アラート [REST]または[Event Hub]:サービスアラートとセキュリティアラートの両方を、アクティビティログの一環として取得できます。  サービスアラートは、リージョン内のサービスが低下した場合などに送信されます。たとえば、利用しているリージョン内でストレージサービスが何かの影響を受けた場合、サービスアラートと関連メッセージが生成されます。セキュリティアラートは、たとえばグローバル管理者が1人しかいないような場合にMicrosoftから送られてきます。
  • メトリクス [REST]:Azureは大量のメトリクスを提供しています。  Microsoftが提供しているメトリクスの全リストについては、こちらをご覧ください。

SplunkからAzureのデータにアクセスする方法

Azureデータの提供方法と、入手できるデータの種類はわかりましたが、そのデータをどうやってSplunkに取り込むのでしょうか。一番簡単なのは、アドオンを利用する方法です。よく使用されているアドオンには、Splunk Add-on for Microsoft Cloud ServicesとMicrosoft Azure Add-on for Splunkの2つがあります。

ところで、データの種類についての説明箇所に[ストレージアカウント]、[Event Hub]、[REST]というタグが付いていることに気づかれたでしょうか。このタグは、使用するアドオンを判断するヒントとして活用できます。次をご覧ください。

Splunk Add-on for Microsoft Cloud Services

  • アクティビティデータとアラート [REST] [Event Hub]
  • 認証データ [Event Hub]
  • NSGのフローログ [ストレージアカウント]
  • WebアプリケーションおよびApplication Insights [ストレージアカウント]
     

Microsoft Azure Add-on for Splunk

  • リソースデータ [REST]
  • 認証データ [REST]
  • コストおよび消費量 [REST]
  • メトリクス [REST]
     

パターンがあるのに気づかれたでしょうか。Splunk Add-on for Microsoft Cloud Servicesは、Event Hubs、ストレージアカウント、アクティビティログと統合されます。Microsoft Azure Add-on for Splunkは、さまざまなREST APIと統合されます。  なお、Splunk Add-on for Microsoft Cloud Servicesは、REST APIまたはEvent Hubを介してアクティビティログを取得できます。  どちらの方法でも取得できるデータは同じです。

データの流れ(GDI)図

百聞は一見にしかずということで、ここまでの話を図にしたサンキーダイアグラムを掲載します。お役に立てば幸いです。

データの流れ(GDI)を示すサンキーダイアグラム
ヒント:画像をクリックするとインタラクティブな図が表示されます。

あわせて「Microsoft AzureへのSplunk Enterpriseの導入」やMicrosoft Azure監視ソリューションページもご覧ください。

このブログはこちらの英語ブログの翻訳、庄司 大助によるレビューです。

April 13, 2021
Jason Conger
Posted by

Jason Conger

TAGS
Cloud Cloud Monitoring
Show All Tags
Show Less Tags

Related Posts

SPLUNK ON TWITTER
  • @Splunk
  • @splunkanswers
  • @SplunkforGood
  • @SplunkDocs
  • @splunkdev
  • @splunkgov
SPLUNK ON FACEBOOK
  • @Facebook
SPLUNK ON INSTAGRAM
  • Follow us on Instagram
SPLUNK ON LINKEDIN
  • Follow us on LinkedIn
SPLUNK ON YOUTUBE
  • Subscribe to our Channel
SPLUNK ON SLIDESHARE
  • Follow us on SlideShare
Splunk製品
  • Splunk Cloud Platform
  • Splunk Enterprise
  • Splunk IT Service Intelligence
  • Splunk On-Call
  • Splunk Enterprise Security
  • Splunk SOAR
  • Splunk Infrastructure Monitoring
  • Splunk APM
ソリューション
  • オブザーバビリティ
  • セキュリティ
  • プラットフォーム
お客様事例
リソース
  • E-book
  • アナリストレポート
  • ホワイトペーパー
  • ウェビナー
  • ビデオ
お問い合わせ
  • サポート
  • 営業へのお問い合わせ
Splunk Sites
  • Splunk Answers
  • 日本語ブログ
  • Community
  • .conf
  • Developers
  • Documentation
  • Splunkbase
  • SplunkLive!
  • T-shirt Store
  • トレーニング
  • User Groups
Splunk
Sitemap | Privacy
© 2005-2023 Splunk Inc. All rights reserved.
Splunk、Splunk>およびTurn Data Into Doingは、米国およびその他の国におけるSplunk Inc.の商標または登録商標です。他のすべてのブランド名、製品名、または商標は、それぞれの所有者に帰属します。