こんにちは。torippy1024です。
Splunk Cloudに、MCP(Model Context Protocol)サーバー機能が実装されたようですので、実際に使って試してみます。
MCPって何?という方は以下を参考ください。
https://modelcontextprotocol.io/introduction
非常にいい加減な説明をすると、生成AIなどのMCPクライアントが、外部システムにアクセスするためのインターフェースを提供するのがMCPサーバーです。
つまり、Splunk CloudのMCPサーバーが実装されたということは、生成AIがSplunk Cloud上のサーチなどを実行し、結果を分析することができるようになったということになります。
これまでSplunkでは、AI Assistant for SPL、AI Assistant for Security、AI Assistant for Observabilityといった機能を提供していました。これらは、SplunkのバックグラウンドにAIやLLMのモデルがいる構造でした。
MCPサーバーは、逆に生成AIがSplunk Cloudを操作するための機能となります。
また公開されたばかりの機能なので、資料もあまり数多くありません。本記事末の資料がほとんど全てです。今後の公式紹介や機能追加にも期待していきましょう。
概要図
MCPサーバーの概要図は以下です。
Claudeを使う場合、必要な情報は、MCPクライアントに設定するユーザー/トークンと、Splunk CloudのURLだけです。お手軽ですね。(注:Claude以外のMCPクライアントを使う場合は、MCP連携機能は限定的になるようです)
また実際に利用を開始する上では、MCPクライアントにSplunk Cloudの操作権限を与えることになるので、それが許されるのか、またSplunk Cloud内部のデータをMCPクライアントに与えることになるが問題ないか、なども検討する必要があると思います。
今回はMCPクライアントはClaude Desktopを使用します。
設定手順
ほとんど公式ドキュメントに書いてある通りですが、以下の通りです。
(1)APIアクセス/トークンアクセスの許可
(2)MCPロール(mcp_user)とMCPユーザー(mcp_user)の作成
(3)トークンの作成
(4)MCPクライアントへの設定
(1)APIアクセス/トークンアクセスの許可
デフォルトだと、Splunk Cloud本番環境へのREST APIアクセスが許可されていませんので、接続許可IPリストを作成してAPIアクセスを許可します。
以下の記事を参考にするか、ACS経由でIP許可リストを設定してください。接続元が指定できるのであればそのIPアドレスを指定すればいいのですが、短期的に試してすぐ設定削除する予定なのであれば「0.0.0.0/0」(全ての接続元を許可)でもいいかもしれません。
【Splunk】Splunk CloudでAPIアクセスするための初期手順
https://qiita.com/torippy1024/items/c74b1a3c848dfe7a30ee
次に、トークン認証も有効化しておきます。
「設定」-「トークン」よりトークン画面を表示させて、「トークン設定」を選択して「トークン認証」を有効化すればそれで完了です。
(2)MCPロール(mcp_user)とMCPユーザー(mcp_user)の作成
次に、Splunk Cloud上で、「mcp_user」ロールとmcp_user」ユーザーを作成します。
これも大した作業ではありません。
「mcp_user」ロールには、特に何か継承(Inheritance)や機能(capabilities)を付与する必要はありません。ただ作成するだけでOKです。
「mcp_user」ユーザーに対しては、「mcp_user」ロールの他、アクセス権限を付与したいロールを一緒に指定します。
今回はsc_adminを一緒に指定しています。
(3)トークンの作成
トークンの作成も簡単です。
「設定」-「トークン」よりトークン画面を表示させて、「新規トークン」を選択してユーザー「mcp_user」とオーディエンス「mcp」を指定するだけです。
「作成」ボタンをクリック後、トークンは一度だけしか表示されないので、忘れずにどこかに値を保存しておくようにしてください。
(4)MCPクライアントへの設定
最後に、MCPクライアントにMCPサーバーを設定すれば完了です。今回はClaude Desktop Claude 0.12.20(29349a)を使うことにします。Claude Desktopが無料で使えるし、そもそもMCPを発表したのはClaudeなので、お試しであればClaudeがもっとも設定しやすいと思います。
「設定」-「開発者」-「設定を編集」を選択し、claude_desktop_config.jsonに以下の通りJSON形式でパラメータを指定した後、Claude Desktopを再起動すれば完了です。
< stackname>はSplunk CloudのStack Name、< token>は先ほど作成したトークンです。
{
"mcpServers": {
"splunk-mcp-server": {
"command": "npx",
"args": [
"-y",
"mcp-remote",
"https://<stackname>.api.scs.splunk.com/<stackname>/mcp/v1/",
"--header",
"Authorization: Bearer <token>"
]
}
}
}
実機で確認
では、実機で何ができるのか確認してみます。
とりあえず、「Tutorial」というインデックスをSplunk Cloud上に作成して、その中にSplunkが公式に公開しているチュートリアルデータ tutorialdata.zip (https://docs.splunk.com/Documentation/Splunk/latest/SearchTutorial/Systemrequirements#Download_the_tutorial_data_files )を投入して、適当なプロンプトを投げてみます。
実行の際には、Splunk Cloud上でクエリを実行するための許可画面も表示されます。
実行結果は以下となりました。イベント数が0だとか書かれていますが、サーチの結果を元にした分析は正しくできていますし、実行したサーチの内容も「run_splunk_query」のウインドウを拡大すれば見ることができるので、検証も容易です。
次に、ログに関する見解を教えてくれという適当なプロンプトを投げてみます。
すばらしいです。午前3時にピークがあるという洞察も提供してくれました。
おそらくですが、午前3時というのはUTCでの時間ではないかと思います。PST(米国太平洋標準時)だったら19時ですね。
それ以外に、何の事前情報も与えていないのにも関わらず、Webサイトの特性なども推測してくれました。
もちろん、実行したSPLが本当に正しいのかなど、回答結果を検証する作業はどうしても発生しますが、SPLを人間が書く必要がなくなる未来を目前に感じる結果となりました。
有償のSplunk Cloudを契約しており、かつMCPクライアントを設定できる社内環境がある場合は、ぜひ試してみることをお勧めします。
注意事項
今回はClaude Desktopを使用してMCPクライアントを設定しました。
Claudeは、開発元のAnthropic社がMCPの提案元であるため、上記のJSON定義をするだけでMCPクライアントとしての実装をしなくても設定が完了します。
このため本記事で書いたように非常に簡単にMCPサーバー機能を利用することができるようになります。
しかし、他のAIアプリケーション、例えばChat GPTやAzure OpenAIなどを使う場合、MCPクライアントの実装などが必要になる可能性がありますので注意が必要です。
(MCPについては現在勉強中なので、間違っている記載があれば教えてください・・・・・・)
参考資料
Splunk MCP Server
https://splunkbase.splunk.com/app/7931
Unlock the Power of Splunk Cloud Platform with the MCP Server
https://www.splunk.com/en_us/blog/artificial-intelligence/unlock-the-power-of-splunk-cloud-platform-with-the-mcp-server.html
Leveraging Splunk MCP and AI for enhanced IT operations and security investigations
https://lantern.splunk.com/Splunk_Platform/Product_Tips/Extending_the_Platform/Leveraging_Splunk_MCP_and_AI_for_enhanced_IT_operations_and_security_investigations
About MCP server for Splunk platform
https://help.splunk.com/en/splunk-cloud-platform/mcp-server-for-splunk-platform/about-mcp-server-for-splunk-platform
MCP Server on Splunk Cloud Platform Demo
https://www.youtube.com/watch?v=JGh6uVUKOjI