Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
情報システム部が
SPLUNKを使うとどうなるか?
(事例をまじえて紹介)
Splunk Live 2014
@snicker_jp
お品書き
• 自己紹介
• Splunkとは?
• 導入編
• 事例
 App
自己紹介
@snicker_jp
blog
 なのまる
 情報システム部門で働いています
 ☆入賞コンテスト
 インストールマニアックス
 チューニングマニアックス
 ☆インプット
IT勉強会によく参加しています!した
 ☆アウト...
おことわり
 ・私が「実際に使ってみた!」という内容で
話します
 ・対象者:
 私のような「情報システム部門」の人です
 ・ちなみに私は、コードを一切書けません!
Splunkとは?
• ログの統合基盤
収集、インデックス、検索、レポート、アラートなどの機能
を持っています
• デスクトップ検索のサーバー版のようなもの
「検索窓」で、いろいろできる、SQLライクなコマンドや関
数が使える
• 性能監視にも...
ライセンス
機能 無償版 有償版
1日に収集できる最大のロ
グ容量
500MB ライセンスに応じて
検索スケジュールの実行 X 〇
検索や閾値に基づくア
ラート
X 〇
分散検索、展開サーバ X 〇
アクセス制御と複数ユー
ザアカウント
X 〇...
て、事で
1年以上前に入れ
てみました!
その顛末をブログに!
• Splunk Universal Forwarder を使って外部サーバーからログを取得する
このページだけで、6,000字超!
• Splunk のパスワードリセット方法
• Splunk の通信をSSL対応させてみた
要は、
初期導入でハマったんです・・・
• 初期はデフォルトで、SSL通信構成です!
でも、自分が入れた頃はSSL構成の日本語ドキュメント
ない!><
• 初期パスワードの後、入れたパスワード忘れた・・・
(´・ω・`)
• SSL構成のやり方...
と、まあこんな事
ありながら
出来ました~
٩(๑❛ᴗ❛๑)۶
事例
• 「Apps」を使って、構築
「Apps」はSplunkのコミュニティベース
で開発されている
「テンプレート」のようなもの
・データの取り込み対象
・ソースタイプ
・グラフなどのレポート
・検索テンプレート
などが、含まれます。
Splunk Base 「Apps」
http://apps.splunk.com/
規模
•社員数 300名
•PC 300台超
•情報システム部門 15名
内 技術者 4名
ミッション
•ネットワークの安定稼
働
•情報漏洩の危険性を最
小限に抑える
スタッフが円滑に作業に集中できる!
作業者からの希望
• 楽にやりたいことを実現し
たい
• 少人数でも、要望に答えら
れる環境づくり
• 後世にも引き継ぎやすい環
境構築
事例
•Splunk for Postfix
•*NIX
•Search(既定) のURL共有
•Splunk for Squid
•yum repository for Splunk
Client
☆Splunk for Postfix
 社内Mailサーバーの兆候監視
 ・複数台構成の一部
internet
ログ一括収集
☆Splunk for Postfix
 ダッシュボード画面 ・比較的 検索テンプレートが豊富
・レポートもキレイ!
☆ *NIX
 UNIX系のサーバー状況モニタ
・サーバー内で取得
・一括取得も可能
☆*NIX
 画面例:
☆*NIX
 例:
・差分表示
・変更履歴 取得が可能
☆ Search
 標準App「検索」
標準機能!
こんな事ありませんか!?
・業務システム
・振込処理など金銭に係る処理
・ネットワーク上は誰でもアクセス可能
こんなことありませんか!?
 例:監査対応の月次アクセス監視
金銭が関わるシステムなど
報告書
提出
ログ
「grep」
鈴木さん!
いつものお願
いします♡
出来ました~!
^^;
はい、は~い!
事務職♡
ちょっと・・・すぐとは言え
・作業止められると、集中力切れるし (´・ω・`)
・エンジニア休めないよ!(´・ω・`)
それに、
小細工したみたいな
疑いかけられたくないし
それなら、いいのあるわよ!
© 2011 Microsoft Corporation All Rights Reserved.
URL共有機能!☆
こうなりました!
 例:監査対応の月次アクセス監視
金銭が関わるシステムなど
報告書
提出
鈴木さん、居ない!
でも、Splunkあるわ!
画面から取得
事務職♡
ドヤっ!w
と、
とっても便利で
した!
Client
☆Splunk for Squid
 社内からインターネットへの
Proxy兆候監視DMZ
internet
ログ一括収集
☆Splunk for Squid
 ダッシュボード画面
☆Splunk for Squid
 Proxyからわかること事例
☆Splunk for Squid
 Proxyからわかること事例
CRL
証明書失効リスト
Certificate Revocation List
☆Splunk for Squid
 Proxyからわかること事例
変な通信をする
クライアント
がいないかチェック
☆Splunk for Squid
 Proxyからわかること事例
どのクライアントか
らの接続が多いか?
調査して、おかしな
ソフトが入っていな
いか?
☆Splunk for Squid
 Proxyからわかること事例
どのクライアントか
らの接続が多いか?
調査して、おかしな
ソフトが入っていな
いか?
昨日7/2
Splunk 6.1.2 リリース!
おめでとうございます!
ここで、
アップデート
面倒じゃないで
すか? セキュリティ対策な
どでアップデートし
たい
Forwarderサーバーいっぱい
i386
x86_64
私
☆yumrepositoryforSplunkUniversalForwarder
 すべてのサーバーがRedHat系Linuxだった
ため、yumのrepositoryを作ったDMZ
internet
yum
repositoy
ログ一...
便利
と、
思っているのは
私だけ
要は、
Splunkで何を実現したかったか!
• 「一時切り分け」は誰でもできるように!(事務
員の方でも!)
• それによって、人員が少なくても業務がまわる!
• 工数が減って「ゴール」が一緒ならいいんじゃ
ないか!
• テンションが上がる製...
困りごと
• まだ、
ケーススタディ(検索の保存)が
たくさんは用意できてないです。
• まだまだ「検索」について、共有したいです。
• ユーザーグループの発足、待ってます!
• 導入については
「#Splunk」で検索
ご清聴
ありがとうございました!
Thank you!
情報システム部がSplunk を使うとどうなるか?
Upcoming SlideShare
Loading in …5
×

情報システム部がSplunk を使うとどうなるか?

17,361 views

Published on

Splunk Live 2014 Tokyo で発表した資料です。

情報システム部がSplunk を使うとどうなるか?

  1. 1. 情報システム部が SPLUNKを使うとどうなるか? (事例をまじえて紹介) Splunk Live 2014 @snicker_jp
  2. 2. お品書き • 自己紹介 • Splunkとは? • 導入編 • 事例  App
  3. 3. 自己紹介 @snicker_jp blog  なのまる  情報システム部門で働いています  ☆入賞コンテスト  インストールマニアックス  チューニングマニアックス  ☆インプット IT勉強会によく参加しています!した  ☆アウトプット  「元うなぎ屋」というブログをやっています
  4. 4. おことわり  ・私が「実際に使ってみた!」という内容で 話します  ・対象者:  私のような「情報システム部門」の人です  ・ちなみに私は、コードを一切書けません!
  5. 5. Splunkとは? • ログの統合基盤 収集、インデックス、検索、レポート、アラートなどの機能 を持っています • デスクトップ検索のサーバー版のようなもの 「検索窓」で、いろいろできる、SQLライクなコマンドや関 数が使える • 性能監視にも使える Cacti,Nagiosほどではないが、グラフ化を確認することも可能 • ライセンス 機能制限のある「無償版」と有償の「エンタープライズ版」 がある 概要は 要らないですよね!
  6. 6. ライセンス 機能 無償版 有償版 1日に収集できる最大のロ グ容量 500MB ライセンスに応じて 検索スケジュールの実行 X 〇 検索や閾値に基づくア ラート X 〇 分散検索、展開サーバ X 〇 アクセス制御と複数ユー ザアカウント X 〇 他のSplunkへのデータ転 送/受信 〇 〇 開発用API 〇 〇 容量制限回数 過去30日に2回まで (3回以上でロック) 過去30日に4回まで (5回以上でロック) http://www.splunk.com/view/free-vs-enterprise/SP-CAAAE8W http://www.macnica.net/splunk/test_def.html/ http://splunk.intellilink.co.jp/product/details-3
  7. 7. て、事で 1年以上前に入れ てみました!
  8. 8. その顛末をブログに! • Splunk Universal Forwarder を使って外部サーバーからログを取得する このページだけで、6,000字超! • Splunk のパスワードリセット方法 • Splunk の通信をSSL対応させてみた
  9. 9. 要は、 初期導入でハマったんです・・・ • 初期はデフォルトで、SSL通信構成です! でも、自分が入れた頃はSSL構成の日本語ドキュメント ない!>< • 初期パスワードの後、入れたパスワード忘れた・・・ (´・ω・`) • SSL構成のやり方教えてもらったよ! 出来たよ!でも、社内LANだよ!w 他にも・・・ ・スループット調整 ・sourcetype ・検索コマンド
  10. 10. と、まあこんな事 ありながら 出来ました~ ٩(๑❛ᴗ❛๑)۶
  11. 11. 事例 • 「Apps」を使って、構築 「Apps」はSplunkのコミュニティベース で開発されている 「テンプレート」のようなもの ・データの取り込み対象 ・ソースタイプ ・グラフなどのレポート ・検索テンプレート などが、含まれます。
  12. 12. Splunk Base 「Apps」 http://apps.splunk.com/
  13. 13. 規模 •社員数 300名 •PC 300台超 •情報システム部門 15名 内 技術者 4名
  14. 14. ミッション •ネットワークの安定稼 働 •情報漏洩の危険性を最 小限に抑える スタッフが円滑に作業に集中できる!
  15. 15. 作業者からの希望 • 楽にやりたいことを実現し たい • 少人数でも、要望に答えら れる環境づくり • 後世にも引き継ぎやすい環 境構築
  16. 16. 事例 •Splunk for Postfix •*NIX •Search(既定) のURL共有 •Splunk for Squid •yum repository for Splunk
  17. 17. Client ☆Splunk for Postfix  社内Mailサーバーの兆候監視  ・複数台構成の一部 internet ログ一括収集
  18. 18. ☆Splunk for Postfix  ダッシュボード画面 ・比較的 検索テンプレートが豊富 ・レポートもキレイ!
  19. 19. ☆ *NIX  UNIX系のサーバー状況モニタ ・サーバー内で取得 ・一括取得も可能
  20. 20. ☆*NIX  画面例:
  21. 21. ☆*NIX  例: ・差分表示 ・変更履歴 取得が可能
  22. 22. ☆ Search  標準App「検索」 標準機能!
  23. 23. こんな事ありませんか!? ・業務システム ・振込処理など金銭に係る処理 ・ネットワーク上は誰でもアクセス可能
  24. 24. こんなことありませんか!?  例:監査対応の月次アクセス監視 金銭が関わるシステムなど 報告書 提出 ログ 「grep」 鈴木さん! いつものお願 いします♡ 出来ました~! ^^; はい、は~い! 事務職♡
  25. 25. ちょっと・・・すぐとは言え ・作業止められると、集中力切れるし (´・ω・`) ・エンジニア休めないよ!(´・ω・`) それに、 小細工したみたいな 疑いかけられたくないし
  26. 26. それなら、いいのあるわよ! © 2011 Microsoft Corporation All Rights Reserved. URL共有機能!☆
  27. 27. こうなりました!  例:監査対応の月次アクセス監視 金銭が関わるシステムなど 報告書 提出 鈴木さん、居ない! でも、Splunkあるわ! 画面から取得 事務職♡
  28. 28. ドヤっ!w
  29. 29. と、 とっても便利で した!
  30. 30. Client ☆Splunk for Squid  社内からインターネットへの Proxy兆候監視DMZ internet ログ一括収集
  31. 31. ☆Splunk for Squid  ダッシュボード画面
  32. 32. ☆Splunk for Squid  Proxyからわかること事例
  33. 33. ☆Splunk for Squid  Proxyからわかること事例 CRL 証明書失効リスト Certificate Revocation List
  34. 34. ☆Splunk for Squid  Proxyからわかること事例 変な通信をする クライアント がいないかチェック
  35. 35. ☆Splunk for Squid  Proxyからわかること事例 どのクライアントか らの接続が多いか? 調査して、おかしな ソフトが入っていな いか?
  36. 36. ☆Splunk for Squid  Proxyからわかること事例 どのクライアントか らの接続が多いか? 調査して、おかしな ソフトが入っていな いか?
  37. 37. 昨日7/2 Splunk 6.1.2 リリース! おめでとうございます!
  38. 38. ここで、 アップデート 面倒じゃないで すか? セキュリティ対策な どでアップデートし たい
  39. 39. Forwarderサーバーいっぱい i386 x86_64
  40. 40. 私 ☆yumrepositoryforSplunkUniversalForwarder  すべてのサーバーがRedHat系Linuxだった ため、yumのrepositoryを作ったDMZ internet yum repositoy ログ一括収集
  41. 41. 便利 と、 思っているのは 私だけ
  42. 42. 要は、 Splunkで何を実現したかったか! • 「一時切り分け」は誰でもできるように!(事務 員の方でも!) • それによって、人員が少なくても業務がまわる! • 工数が減って「ゴール」が一緒ならいいんじゃ ないか! • テンションが上がる製品を使って仕事がしたい!
  43. 43. 困りごと • まだ、 ケーススタディ(検索の保存)が たくさんは用意できてないです。 • まだまだ「検索」について、共有したいです。 • ユーザーグループの発足、待ってます! • 導入については 「#Splunk」で検索
  44. 44. ご清聴 ありがとうございました! Thank you!

×