1. 目的
Splunk Add-on for Amazon Web Servicesは、Splunk社が作成した公式のAWSアドオンツールで、以下の操作を実行することができます。AWS上の操作ログを取得することが主なユースケースですが、S3上のデータをインプットすることもできます。
- Configuration snapshots, configuration changes, and historical configuration data from the AWS Config service.
- Metadata for your AWS EC2 instances, reserved instances, and EBS snapshots.
- Compliance details, compliance summary, and evaluation status of your AWS Config Rules.
- Assessment Runs and Findings data from the Amazon Inspector service.
- Management and change events from the AWS CloudTrail service.
- VPC flow logs and other logs from the CloudWatch Logs service.
- Performance and billing metrics from the AWS CloudWatch service.
- Billing reports that you have configured in AWS.
- S3, CloudFront, and ELB access logs.
- Generic data from your S3 buckets.
- Generic data from your Kinesis streams.
- Generic data from SQS.
2. 初期設定
Splunk管理画面で「他のAppをサーチ」を押下して、Splunk Add-on for Amazon Web Servicesを選択してインストールします(以下はインストール済の画面となります)。
Splunk Add-on for Amazon Web Servicesを起動して、「Configuration」のタブへ移動し、「追加」を押下します。
S3操作用のIAMユーザーの情報を入力し初期設定が完了です。
3. S3からのデータ取得方法
「Input」のタブへ移動し、「Create New Input」を押下し、プルダウン一覧から「Generic Data Type -> Generic S3」を押下します。
初期設定時に登録したAWSアカウントと対象のS3バケット、データ取得に関わる情報を入力したら設定が完了です。
この画面で設定した要領でS3からのデータをSPlunkのIndexerに取り込みます。
以上