Google CloudのGCEインスタンスにSplunk Enterpriseをインストールしてみた #cm_google_cloud_adcal_2024
2024.12.09この記事はクラスメソッドの Google Cloud Advent Calendar 2024 の 9日目のブログです。
いよいよクリスマスの季節ですね!
Google Cloud Advent Calendar 2024では Google Cloud大好きなクラメソエンジニアたちが技術ブログを持ち回りで毎日絶賛執筆中です。
是非クリスマスまでお楽しみください!
さて、今回はGCEインスタンスにSplunk Enterpriseをインストールする方法をご紹介します!
概要
ログ分析ソリューションであるSplunk EnterpriseをGoogle CloudのCompute Engine(以下GCE)にインストールしてみました。
Splunk Enterprise(オンプレミスやAWS、Google CloudでEC2やGCEインスタンスにインストールできるタイプ)があります。
今回はGoogle CloudのCompute Engineインスタンス(以下GCEインスタンス)にSplunk Enterpriseエディションのパッケージを用いてインストールしてみました。
前提
- GCEインスタンスが構築済み(Debian)
- Splunkアカウントが作成済み(インストールパッケージのダウンロードに必要)
私は以下のスペックのGCEインスタンスを構築しています。
| 設定 | 設定値 |
|---|---|
| マシンタイプ | e2-medium |
| OS | Debian GNU/Linux 12 (bookworm) |
| ディスク | 10GiB |
| FW | HTTP/HTTPSを許可 |
GCEインスタンスを構築するVPCのFWはポート8000のTCP/UDPのIngressを許可しています。
やってみる
まずはインストール
GCEインスタンスにSSH接続して、Splunkのサイトからインストール用のパッケージをwgetします。私はOSにDebianを選んだので.debのパッケージを取得しました。
※パッケージのダウンロードはアカウント登録しないとできないためwgetコマンドは省略します。
wgetするためのコマンドはSplunkのサイトで取得することができます。
Linuxを選択するとwgetコマンドのボタンがあります。
GCEインスタンスからwgetコマンドを用いてパッケージをダウンロードできたらaptコマンドでインストールします。
sudo apt install ./Splunkのパッケージ
インストールはマシンタイプにもよると思いますがe2-mediumだと数分程度かかりました。
complete
と表示されたらインストール完了です。
インストールできたか確認する
Splunkがインストールされた場所へ移動します。Debianなら以下でした。
cd /opt/splunk/bin
インストールできたか確認するためSplunkのバージョン確認コマンドを実行します。
sudo ./splunk --version
まずは規約に同意する必要があり、一通り規約が表示されるので問題なければ同意します。
Do you agree with this license? [y/n]:y
管理者の名前を聞かれるので適当な値を入力します。
Please enter an administrator username:
続いて管理者用パスワードを入力します。
Password must contain at least:
* 8 total printable ASCII character(s).
Please enter a new password:
以下のようにSplunkのバージョンが表示されたらインストールは成功しています。
Splunk 9.3.2 (build d8bb32809498)
HTTPS接続を設定する
Splunkにはデフォルトで自己署名証明書が含まれており、簡単にHTTPSを有効化できます。
HTTPS接続で接続したい場合にはweb.confを設定します。
sudo vi /opt/splunk/etc/system/local/web.conf
今回はSpunkのデフォルトの自己証明書で構わないので、以下をweb.confへ記載します。
[settings]
enableSplunkWebSSL = true
これでHTTPS接続で接続することができるようになりました。
Splunkを起動する
起動コマンドは以下です。
sudo /opt/splunk/bin/splunk start
起動できたかステータスを確認してみます。
sudo ./splunk status
splunkd is running (PID: 54502).
splunk helpers are running (PIDs: 54503 54676 54681 54742 54838).
問題なく起動できているようです。
以下のURLでSplunkへアクセスすることができるのでアクセスしてみます。
https://外部IP:8000
外部IPはご自身のGCEインスタンスの設定値に置き換えてください。FWの8000ポート(TCP・UDP Ingress)が空いていないとアクセスできないのでご注意ください。
インストールしたSplunkはデフォルト設定では8000ポートを使用する設定となっています。
また、Chromeの場合、URLにアクセスすると警告表示がでますが暗号化自体に問題があるのではなく、使用している証明書が信頼された認証局(CA)によって署名されていない(自己証明書のため)ために発生しています。
特に気にせず詳細設定からアクセスを継続します。
そうするとSplunkのログイン画面が表示されます。先ほど規約同意後に設定した管理者名・管理者パスワードを入力するとログインすることができます。
この通りSplunkの画面が表示されたら成功です。Splunkを楽しみましょう。
※今回はSplunkのお試しのため冗長性やセキュリティを考慮せず最低限の設定だけを行なっていますのでこの点ご留意ください。
所感
Splunk Enterpriseのインストール手順は非常に簡単で、GCE環境でもスムーズにセットアップできました。特に、Debian用の.debパッケージを利用することで、依存関係の問題もなく短時間でインストールが完了しました。
記事には記載していませんが、インターフェースも直感的で、ログイン後すぐにデータの取り込みや分析を開始できる点が素晴らしいです。
今回はインストールのみですが、今度はインスタンスに対してDataflowからのログのpushを試してみたいなと思っています。
さてさてGoogle Cloud Advent Calendar 2024の明日 12/10 の投稿担当はエノカワさんです!
ではでは、また明日!ナマステー
参考
