1.Splunkについて
Splunkは様々なマシンデータ(ログ)を収集・インデックス化して、データを分析・視覚化を行うためのソフトウェアです。また、Splunkはscikit-learnと連携させることも可能ですから、機械学習を用いたデータ分析や、異常検知によるアラート作成等も行えます。
例としてマルウェアに感染したパソコンがあったとして、感染前に何を行なっていたかログから確認するとしましょう。まずはWEBアクセスログからどのようなサイトを閲覧していたか調べるとします。通常、WEBアクセスログの主キーとなる情報はタイムスタンプとIPアドレスになりますから、DHCPでIPアドレスを払い出している環境下であれば、DHCPサーバにログインしてdhcpログを該当者のパソコンのMACアドレスでgrepして該当者のIPアドレスを調べ、WEBアクセスログが保存されているサーバにログインしてまたgrepする、と言った手順になるかと思います。あ、エンドポイントの操作ログも確認しないと、じゃあ次のサーバは・・・となって担当者の負担は大きくなります。
この一連の作業は時間もかかりますし、それぞれのサーバ管理者も別になりますから、担当者間の調整がとても面倒になりがちです。そこでSplunkです。必要なログをあらかじめ投入する仕組み作りをしておけば、インシデント発生時にもお手軽にログ調査が行えるのです。また、Splunkなら個々のログを個別に検索することももちろん可能ですが、複数種類のログを一気通貫で検索することもできます。上の例で言えば該当者のIDからWEBアクセスログ、エンドポイント操作ログを一気に検索が可能です。
長々と書いてしまいましたが、Splunkを一言で言うと、複数種類のログに対して強力なgrepコマンドが使え、その結果を視覚化したり、統計的な処理が行える環境と言ったところでしょうか。
2.Splunkの利用について
Splunkは1日当りに取り込むログの容量に応じて課金されるEnterprise版と、1日当たりの取り込み量が500MBに制限されている課金無しのFree版があります。これらの違いについては以下リンクに詳細が記載されておりますが、ユーザアカウントを使い分けることが可能だったり、アラート機能があったり、複数のSplunkサーバでクラスターを組んで分散サーチが可能になるなど魅力的な機能が多々ありますが、正直個人ユースであればFree版でも十分すぎるほどです。
https://www.splunk.com/ja_jp/products/splunk-enterprise/free-vs-enterprise.html
3.Splunkのインストール
SplunkはWindows版、Linux版、Mac版があるのでパソコンを持っていれば環境を作ることができます。
では、Macを例にSplunkをインストールしてみましょう。といってもパッケージ化されているのでとても簡単です。
①ユーザ登録とインストーラのダウンロード
以下のリンクにアクセスし、ユーザ登録とインストーラのダウンロードを行なってください。
https://www.splunk.com/en_us/homepage.html
②インストール
一般的なインストールのため詳細は省きます。
③Splunkへのアクセス
SplunkはWEBアプリケーションなので、ブラウザから以下のURLにアクセスします。
http://localhost:8000/
④ログイン
以下の画面が表示されますので、記載されている通りのユーザ名とパスワードを入力してください。
これでMacにSplunkの環境が導入できました。あとは調査したいログを取り込んでサーチ(検索)するだけです。
続きはまた次回書きます。