久しぶりにSplunkを触ってみた

Splunk 6 ぐらいの頃に触った経験はあり、しばらくご無沙汰していた。
ログ保管を含め必要性を感じてきたため、改めて触ってみようと考え、記録として残してみた。
なお、M2 MacBook Airから、Parallels Desktopを介してWindows 11 Home評価版環境で作業している都合上、エラーは出るものの、一応動作している。

なお、Advent Calendar 2022 に関しての取り組みとして、連続投稿11日目になります。

ここでは、ログ分析ツール、Splunkのインストールから、Windowsのイベントログを検索するまでの手順を紹介します。
2022年12月現在、Ver.9.0.2となっていた。頻繁にアップデートしているようですね。

 

Splunkは、https://www.splunk.com/ja_jp から取得可能。60日間は有料プランと同じ機能が利用でき、61日目からは無償プランに切り替わるという。無償プランでは、1日の転送量が500MBまでに制限されるが、ログなので、よっぽどじゃないと、この容量を超えない気がする。splunkといえばマクニカさんだよね。興味があれば、マクニカさんに確認ください。

なお、私はマクニカ社の関係者ではありません。過去にSplunkについてマクニカさんにお世話になった1人です。

 

１）Splunk Enterprise のインストール

ライセンス同意書（英語）を眺めた上で、同意にチェック。[Next]をクリック

splunkにログインするユーザー情報をここで登録する。

Install をクリック

インストールが開始された。順調・・・・・

と思いきや、エラーが出てしまった。ホームエディションだからかな？OK連打

インストール完了！ [Finish] をクリック

 

２）Splunk Universal Forwarderのインストール

Splunk Universal Forwarderとは、Splunkにデータを転送するためのツール。今回は同一VM内で検証するため、自分が自分自身に転送する、という方法になる。

先ほどと同様、ライセンスに同意しチェック。ここで、[Next]ではなく、[Customize Options]をクリック。

ここはデフォルトのままで、Next

このままで Next

今回はローカルなので、そのままで、Next

ここ重要！
イベントログにチェック。そして、Next

管理者アカウントを入力してNext

hostnameが良いかな。ポート番号は省略でOK。
hostnameが分からない場合は、コマンドプロンプトを立ち上げて、hostname で打てば出てくる。

受信する側。
今回はsplunkと同一マシンに入れるので、同じものを入れた。
ポート番号は空欄でOK。Nextをクリック

Install をクリック

アウチ…。ホームエディションだしね。エラーは無視してエラーウインドウはOKで連打。

インストールが完了した。Finishをクリック

Finish後、一度このツールを入れた機器の再起動をした方が良いぞ。

 

３）プラグインのインストール

ここでは、[ Splunk Add-on for Microsoft Windows ] をインストールする。
Splunk Apps画面からだと、プラグインのインストールが簡単だ。

左上の検索ボックスに、windows と入れれば、すぐに、Splunk Add-on for Microsoft Windows がHitする。
該当プラグインを見つけ、[インストール]をクリック。

splunkサイトの認証情報が聞かれる画面は出るけど、インストールは簡単だ。

 

４）諸設定

splunkの右上の[設定]から[転送と受信]をクリック

データの受信枠、[受信の設定]をクリック

右上にある[新しい受信ポート]をクリック

例に書かれている通りに、9997 と入れ、[保存]をクリック

作成された。

 

５）ログ分析

左上の[splunk]文字列をクリックするとトップ画面に戻る。
そこから、 Search & Reporting をクリック

[データサマリー]をクリック

ホスト名をクリック

イベントログがバーーーーっと表示された。

アプリケーションログだけ抽出してみた。

 

無事に動いた。

 

プラグインに、Cylanceがあり、これを年末年始作業の空き時間にでも作業してみようかな。

これをインストールしてみて展開してみた。
Cylanceコンソールとは接続していないので、ログは無いんだけどね。
結構作り込まれたアプリのように見受けられる。
ちょっと楽しみだ。