Splunk Live 2014 Tokyo で発表した資料です。

1. 情報システム部が
SPLUNKを使うとどうなるか？
（事例をまじえて紹介）
Splunk Live 2014
@snicker_jp

2. お品書き
• 自己紹介
• Splunkとは？
• 導入編
• 事例
 App

3. 自己紹介
@snicker_jp
blog
 なのまる
 情報システム部門で働いています
 ☆入賞コンテスト
 インストールマニアックス
 チューニングマニアックス
 ☆インプット
IT勉強会によく参加しています！した
 ☆アウトプット
 「元うなぎ屋」というブログをやっています

4. おことわり
 ・私が「実際に使ってみた！」という内容で
話します
 ・対象者：
 私のような「情報システム部門」の人です
 ・ちなみに私は、コードを一切書けません！

5. Splunkとは？
• ログの統合基盤
収集、インデックス、検索、レポート、アラートなどの機能
を持っています
• デスクトップ検索のサーバー版のようなもの
「検索窓」で、いろいろできる、SQLライクなコマンドや関
数が使える
• 性能監視にも使える
Cacti,Nagiosほどではないが、グラフ化を確認することも可能
• ライセンス
機能制限のある「無償版」と有償の「エンタープライズ版」
がある
概要は
要らないですよね！

6. ライセンス
機能 無償版 有償版
1日に収集できる最大のロ
グ容量
500MB ライセンスに応じて
検索スケジュールの実行 X 〇
検索や閾値に基づくア
ラート
X 〇
分散検索、展開サーバ X 〇
アクセス制御と複数ユー
ザアカウント
X 〇
他のSplunkへのデータ転
送／受信
〇 〇
開発用API 〇 〇
容量制限回数 過去30日に2回まで
（3回以上でロック）
過去30日に4回まで
（5回以上でロック）
http://www.splunk.com/view/free-vs-enterprise/SP-CAAAE8W
http://www.macnica.net/splunk/test_def.html/
http://splunk.intellilink.co.jp/product/details-3

7. て、事で
1年以上前に入れ
てみました！

8. その顛末をブログに！
• Splunk Universal Forwarder を使って外部サーバーからログを取得する
このページだけで、6,000字超！
• Splunk のパスワードリセット方法
• Splunk の通信をSSL対応させてみた

9. 要は、
初期導入でハマったんです・・・
• 初期はデフォルトで、SSL通信構成です！
でも、自分が入れた頃はSSL構成の日本語ドキュメント
ない！＞＜
• 初期パスワードの後、入れたパスワード忘れた・・・
(´・ω・｀)
• SSL構成のやり方教えてもらったよ！
出来たよ！でも、社内LANだよ！ｗ
他にも・・・
・スループット調整
・sourcetype
・検索コマンド

10. と、まあこんな事
ありながら
出来ました～
٩(๑❛ᴗ❛๑)۶

11. 事例
• 「Apps」を使って、構築
「Apps」はSplunkのコミュニティベース
で開発されている
「テンプレート」のようなもの
・データの取り込み対象
・ソースタイプ
・グラフなどのレポート
・検索テンプレート
などが、含まれます。

12. Splunk Base 「Apps」
http://apps.splunk.com/

13. 規模
•社員数 300名
•PC 300台超
•情報システム部門 15名
内 技術者 4名

14. ミッション
•ネットワークの安定稼
働
•情報漏洩の危険性を最
小限に抑える
スタッフが円滑に作業に集中できる！

15. 作業者からの希望
• 楽にやりたいことを実現し
たい
• 少人数でも、要望に答えら
れる環境づくり
• 後世にも引き継ぎやすい環
境構築

16. 事例
•Splunk for Postfix
•*NIX
•Search(既定) のURL共有
•Splunk for Squid
•yum repository for Splunk

17. Client
☆Splunk for Postfix
 社内Mailサーバーの兆候監視
 ・複数台構成の一部
internet
ログ一括収集

18. ☆Splunk for Postfix
 ダッシュボード画面 ・比較的 検索テンプレートが豊富
・レポートもキレイ！

19. ☆ *NIX
 UNIX系のサーバー状況モニタ
・サーバー内で取得
・一括取得も可能

20. ☆*NIX
 画面例：

21. ☆*NIX
 例：
・差分表示
・変更履歴 取得が可能

22. ☆ Search
 標準App「検索」
標準機能！

23. こんな事ありませんか！？
・業務システム
・振込処理など金銭に係る処理
・ネットワーク上は誰でもアクセス可能

24. こんなことありませんか！？
 例：監査対応の月次アクセス監視
金銭が関わるシステムなど
報告書
提出
ログ
「grep」
鈴木さん！
いつものお願
いします♡
出来ました～！
^^;
はい、は～い！
事務職♡

25. ちょっと・・・すぐとは言え
・作業止められると、集中力切れるし (´・ω・｀)
・エンジニア休めないよ！(´・ω・｀)
それに、
小細工したみたいな
疑いかけられたくないし

26. それなら、いいのあるわよ！
© 2011 Microsoft Corporation All Rights Reserved.
URL共有機能！☆

27. こうなりました！
 例：監査対応の月次アクセス監視
金銭が関わるシステムなど
報告書
提出
鈴木さん、居ない！
でも、Splunkあるわ！
画面から取得
事務職♡

28. ドヤっ！w

29. と、
とっても便利で
した！

30. Client
☆Splunk for Squid
 社内からインターネットへの
Proxy兆候監視DMZ
internet
ログ一括収集

31. ☆Splunk for Squid
 ダッシュボード画面

32. ☆Splunk for Squid
 Proxyからわかること事例

33. ☆Splunk for Squid
 Proxyからわかること事例
CRL
証明書失効リスト
Certificate Revocation List

34. ☆Splunk for Squid
 Proxyからわかること事例
変な通信をする
クライアント
がいないかチェック

35. ☆Splunk for Squid
 Proxyからわかること事例
どのクライアントか
らの接続が多いか？
調査して、おかしな
ソフトが入っていな
いか？

36. ☆Splunk for Squid
 Proxyからわかること事例
どのクライアントか
らの接続が多いか？
調査して、おかしな
ソフトが入っていな
いか？

37. 昨日7/2
Splunk 6.1.2 リリース！
おめでとうございます！

38. ここで、
アップデート
面倒じゃないで
すか？ セキュリティ対策な
どでアップデートし
たい

39. Forwarderサーバーいっぱい
i386
x86_64

40. 私
☆yumrepositoryforSplunkUniversalForwarder
 すべてのサーバーがRedHat系Linuxだった
ため、yumのrepositoryを作ったDMZ
internet
yum
repositoy
ログ一括収集

41. 便利
と、
思っているのは
私だけ

43. 要は、
Splunkで何を実現したかったか！
• 「一時切り分け」は誰でもできるように！（事務
員の方でも！）
• それによって、人員が少なくても業務がまわる！
• 工数が減って「ゴール」が一緒ならいいんじゃ
ないか！
• テンションが上がる製品を使って仕事がしたい！

44. 困りごと
• まだ、
ケーススタディ(検索の保存)が
たくさんは用意できてないです。
• まだまだ「検索」について、共有したいです。
• ユーザーグループの発足、待ってます！
• 導入については
「＃Splunk」で検索

45. ご清聴
ありがとうございました！
Thank you！