いつもの前置き
・Splunkには色々なAppがある。
・とはいえコミュニティサポート(英語)のAppは始めるまでにちょっと敷居が高い。
・そこで私がトライした内容は後学のために共有したいと思いここに書き残します。
・ゆるい情報なので参考程度でご勘弁。
Splunk MobileがGW最中にリリースされました
・利用App
Splunk Cloud Gateway
https://splunkbase.splunk.com/app/4250/
Splunk Mobile (iOS)
https://itunes.apple.com/us/app/splunk-mobile/id1420299852?mt=8
2019/04/30のプレスリリース(Splunk Expands Data Access with Splunk Connected Experiences and Splunk Business Flow:英語)によると、SplunkコネクテッドエクスペリエンスとSplunkビジネスフローが発表された模様。その中の一つにこのSplunk Mobileが含まれている
「Splunkからのアラートチェックのためにパソコン起動して、VPNつないで・・・はあ、面倒くさい。」
Splunkでスマートにアラート監視をしているものの、社内のSplunkにログインするまでに手間暇かかっているユーザーにとって朗報です。
モバイル(Android、iOS)上の専用アプリからSplunkのアラートチェックとダッシュボードが閲覧できるようになりました。
(2019.06.11追記) 通信イメージ
画像元: https://docs.splunk.com/Documentation/Mobile/1.3.0/Overview/Security
- Cloud BridgeというSplunk社が用意する中継サーバーが、mobileと Splunkインスタンスの間にはいる。
- 自社のSplunkからoutboundのhttps通信(prod.spacebridge.spl.mobi) のみ許可すればOK
- この間の通信はSSL暗号化されており、Cloud Bridge内では署名の検証のみ行い、メッセージの中身を読み取ることはないようです。(https://docs.splunk.com/Documentation/Mobile/1.3.0/Overview/Security)
早速セットアップして使ってみよう
Splunkサーバにて
まずはapp(Splunk Cloud Gateway)をインストール
まずは設定にて、Splunk Mobileの機能を有効化
モバイルにて
App Store(iOS)にて、Splunk Mobileをインストールし、アプリを起動
Register Codeをメモ
再び、Splunkにて
Register Codeを入力し、任意のデバイス名を記載してRegister
SplunkサーバのログインID/Passを入力しContinue
登録完了
再び、モバイルにて
Registerが完了した模様
アラートアクションの設定
任意のアラートのアクションを設定する際に、「Send to mobile」を設定
アラート発生、その時、モバイルでは?
来ました。アラートメッセージ
アラートを開くと、任意のダッシュボードも開けます。これで見たいダッシュボードをセットすればPC開かずに初動対応ができそう。
(2019/05/06追記)なんかmobileからSplunkサーバへの疎通がうまくいかなくなった。そんなときは。
app内のダッシュボードをチェックしてconnectivityを確認してみよう。基本的にgreenのメッセージであればOK。Redになっていたら要チェック。
まとめ
- ダッシュボードにはtokenもセットできるので、特定のIPやホスト名をプルダウンで選択して調査もできる
- 従来のslack通知連携やメール通知とあわせて、モバイル通知は出先のチェックには有効かも
- 1つのモバイルから複数のSplunk Cloud Gateway Appを登録できない模様。代表となるSH1台を登録する必要がありそう。
おまけ(LanScope Cat AppをSplunk Mobile上で見てみた)
「転職サイトよく見とるやつがいるなー」
「よし、「taro*」でフィルタかけて見てみよう」
「Taroさんの操作ログを調査してみよう」
「がっつりUSBにデータ書き込んでるなー。。」
