Splunk Cloud ダッシュボードでログを可視化してみた

Splunk Cloud ダッシュボードでログを可視化してみた

Splunk Cloud のダッシュボードでログを可視化してみます
Clock Icon2019.06.05

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちは。
ご機嫌いかがでしょうか。
"No human labor is no human error" が大好きな吉井です。

前回のエントリでは Splunk でログ集約を試しました。
集約するだけでは価値は少ないのでダッシュボードで可視化をしてみます。

Splunk Cloud の設定

ログ集約まで

前回のエントリを参照してログ集約の設定まで完了している前提です。

Splunk Cloud でログ集約してみたい

ダッシュボードの内容

以下の2つを表示するダッシュボードを作っていきます。

  • CloudTrail で検知したイベントネームごとのパイチャート
  • CloudTrail で検知したソース IP アドレスの GEO マップ

ダッシュボードの設定

Splunk Cloud へログインします。
画面の左上に歯車のアイコンがあるのでクリックします。

Browse more apps をクリックしたのちに
Amazon GuardDuty Add-on for Splunk を探してインストールします。

インストールが完了しホーム画面に戻ると aws_guardduty のアイコンが出来ていますのでクリックします。

ダッシュボード作成

画面上部から Dashboards をクリックします。
Dashboards 画面に遷移したら Create New Dashboard をクリックします。

任意の名前を付けてから create dashboard をクリックします。

パイチャート作成

画面上部から search をクリックします。
検索欄に以下を入力し検索を実行します。

sourcetype="aws:cloudtrail" | top eventName

検索結果が表示されたら、Visualization タブを開き
以下図の赤枠をクリックし Pie Chart を選択します。

無事にパイチャートが表示されたら、右上の Save As から Dashboard Panel をクリックします。

以下図のように前の手順で作成したダッシュボードを選択します。

GEO マップ作成

画面上部から search をクリックします。
検索欄に以下を入力し検索を実行します。

sourcetype="aws:cloudtrail" | iplocation src | geostats count by Country

検索結果が表示されたら、Visualization タブを開き
以下図の赤枠をクリックし Cluster Map を選択します。

無事に GEO マップが表示されたら、右上の Save As から Dashboard Panel をクリックします。
同じように前の手順で作成したダッシュボードを選択します。

確認

それではダッシュボードを見てみましょう。
想定通りのダッシュボードになっています。

さいごに

簡単なダッシュボードを作りました。
実際には運用監視要件に合わせて細かく作り込むことになります。
Splunk を使いこなして意味のあるダッシュボードを作りたいものです。

参考

Splunk Add-on for AWS
Install an add-on in Splunk Cloud
Create dashboards and panels

Share this article

facebook logohatena logotwitter logo

© Classmethod, Inc. All rights reserved.