いつもの前置き
・Splunkには色々なAppがある。
・とはいえコミュニティサポート(英語)のAppは始めるまでにちょっと敷居が高い。
・そこで私がトライした内容は後学のために共有したいと思いここに書き残します。
・ゆるい情報なので参考程度でご勘弁。
Google Driveの利用状況の可視化できてますか?
最近利用が増えている、 GSuite(Gmail、 Google Driveなど)の利用状況を可視化するために、 API経由で情報を収集する方法があるが、スクリプトを一から作るのは大変なので、 Splunk Baseにある先人の知恵を借りてみました。
今回使うAppは2つ。
・G Suite For Splunk
・Input Add On for G Suite App
セットアップ手順
Gsuiteの設定
- 検証のための事前準備 1. GSuiteのトライアル契約(Business Edition) ※15日間無償トライアル可能 2. ドメインの取得(1000円/年) *今回検証のために泣く泣く契約
- GCP(Google Cloud Platform)にアクセス https://console.cloud.google.com/
- 任意のプロジェクトを作成
- プロジェクトメニュー内のAPI&ServiceよりLibraryを選択、Admin SDK API と Google Drive APIを選択し有効化
5. 再度、プロジェクトメニュー内のAPI&Serviceより、Credentialsを選択
6. OAuth client IDを作成
7. Application Typeはotherを指定
8.作成した OauthのClient IDと Client secretをメモしておく
Splunk設定(SHと IDX/HFが別々の場合を想定)
- SHにApp(G Suite for Splunk)、 IDX/HFに IA add-on(IA-GSuiteForSplunk)をインストール ※Appと IA addonは別々のサーバで動かす必要がある
-
IA add-onにて API連携の設定をセットし、エラーメッセージがないことを確認
OauthのClient IDと Client secretはここで使用詳細なセットアップ手順はIA-GSuiteForSplunk内に記載された下記内容を参考にしてください。
下記例は、google drive用のログ取集と、その他(ログイン、トークン利用状況)などを収集するモジュールは分けて設定(モジュールによって収集頻度が変わるため)
App側では、何も設定せずにconfigurationページにてsaveのみ行う
HFから Appに転送されたイベントを元に Appのダッシュボードにデータが表示される
Google Driveの利用状況可視化のためには自分でサーチを作る必要あり(デフォルトのダッシュボードセットではできない)
ハマったポイント
・AppとIAはSHとIDX(またはHF)に分けてインストールする必要がある点
→説明書きにも書いてあったのですが、SHにもAPPとIAを両方インストールしていたせいでエラーが発生していました。
・GSuiteのBusiness EditionでないとGoogle Driveのレポートを収集できない