いつもの前置き
・Splunkには色々なAppがある。
・とはいえコミュニティサポート(英語)のAppは始めるまでにちょっと敷居が高い。
・そこで私がトライした内容は後学のために共有したいと思いここに書き残します。
・ゆるい情報なので参考程度でご勘弁。
BOXのログ収集App
Boxのログ収集には2通りのやり方があります。両方の Appそれぞれで BoxのREST APIに対してアクセスをしてログを取ってきます。そのためFWのポリシーではoutboundのhttps通信を許可する必要があります。
-
Box App for Splunk
主にダッシュボードが充実しているがCIMに準拠していないため他のログと相関検索する際に検索がしづらい -
Splunk Add-on for Box (Splunk build)
CIMに準拠したフィールドを自動抽出。サンプルのレポートもあるため参考にしながらどのようなログが見えるか確認できる。
Splunkサポートを受けたければ Splunk buildのSplunk Add-on for Boxをまず利用してデータを取り込むことを推奨。Box App for Splunkはダッシュボード作成の参考に利用するのも良い。
参考ガイド
下記手順はBoxの無償トライアルライセンスでも試せます。
https://www.box.com/ja-jp/pricinga
上記 URLよりBusiness ライセンス(クレジットカード登録求められますがトライアル期間中にキャンセルすることで費用は請求されません)で試すことができます。
-
Boxイベントログ取得までの所用時間目安:
設定は0.5h-1.0h、ログが取り込まれるまで1日程度時間がかかる場合があります -
Splunk Add-on for Boxのログ取得手順は Splunk社のサイトにて説明があります。
-
その他参考 URL: Boxの利用状況をSplunkで可視化する
設定手順
Box developersサイト側設定
-
Splunk連携用のAppを作成,(カスタムアプリを選択
https://app.box.com/developers/console
-
標準OAuth.2.0を選択
-
任意の名前で作成
-
作成したAppのOAuth2.0資格情報をメモし、リダイレクトURLにSplunkのURL(https)のパスを入力
-
アプリケーションスコープではすべてチェックを有効
-
許可する送信元を設定、以上。
Splunk側設定
- Splunkの Search Head(search時のフィールド抽出用)とIndexer又はForwarderサーバ(API取得を行う)にAdd-Onをインストール
- IndexerかForwarderにインストールしたAdd-OnのSetUpをクリック
- クライアント IDと機密コードを入力し保存
- ダイアログが表示されたら「Boxへのアクセスを許可」を選択します
- splunkメニューに右上の[設定]-[データ入力]から[Splunk Add-on for Box]をクリック
- 全ての項目をenableに設定
- しばらく時間が経つと定期的にログを収集しSplunkにデータが入ってきます
-
設定から10時間程度経過して初回のログ収集が実施されることを確認
sourcetype=box:* |eval diff = _indextime - _time
|eval indextime=strftime(_indextime,"%Y-%m-%d %H:%M:%S")
|table _time indextime diff sourcetype source_item_name event_type
-
参考ダッシュボードパネルはView Objectsより見れます
-
ダッシュボード用のパネル一覧
-
APIのエラー有無を確認できるパネルもあるので有効にすることを推奨します。
参考ダッシュボードサンプル
