Splunk Cloud に新規ユーザやロールを追加したいときに参考にしてください。

ユーザとロール

Splunk Cloud は、RBAC でユーザのアクセス制御を行います。
ユーザが「実行できる操作」や「アクセスできるデータ」は、1つ以上のロールに基づいて制限されます。

ロールは、複数ユーザに同じ権限を付与できるので、効率的に運用することができます。

ロールの作成

ロールもユーザも「設定」で作成・管理ができます。

ロールを選択して、以下の画面で「新しいロール」を選択します。

すると、ロール作成のポップが出ます。以下の 5項目を必要に応じて設定します。

• 継承

「権限」と「インデックス」を継承するロールを選択します。

• 権限

アクセスや実行できる権限を選択します。

• インデックス

どのインデックスを検索できるようにするかを選択します。

• 制限

「インデックス」の中で、どのデータを検索できるようにするのか、細かく設定します。

• リソース
  サーチジョブという検索の実行や、履歴などを管理する機能の実行限度を設定します。主にリアルタイム検索やヒストリカル検索の数を適切に制限してシステム負荷を軽減する目的で設定します。

細かく見てみましょう。

継承

これは、チェックをすればいいだけです。ですが、選択したロールの権限とインデックスを継承するので、既に存在するロールの中身は適切に把握しておく必要があります。

権限

権限一覧は以下の「Capability name（機能名）」と「What it lets you do（何ができるのか）」にまとまっています。

• Splunk platform capabilities

新たに作成するロールがある場合は、admin, power, user の欄を参考に作成いただくのもいいと思います。

インデックス

こちらも、チェックしていく項目です。画像で「含める」となっている列は、チェックして検索できるインデックスを決定していきます。

「デフォルト」の列は、_index=hoge などを入れずに検索するとき、ここで選択した特定のインデックスを対象に検索していることを暗黙的にサーチジョブに伝えることを意味します。
毎回、_index を指定して検索することを考慮して、ここでチェックを入れておくと検索が効率化します。以下に例を示します。

例：main インデックスで「含める」だけをチェックした場合

index を指定しないと、左の様に結果が出ない。index を指定して初めて、右の様に結果を検索できる。

例：main インデックスで「含める」と「デフォルト」にチェックした場合

index を指定しなくても、暗黙的に指定されているので sourcetype だけ入れれば対象のデータを検索できる。という違いがあります。

あと、「ワイルドカード」の欄は、広範囲のインデックスを選択するときに使用します。
例えば、ma* とすると、main というデフォルトインデックスにもチェックが入ることになります。

制限

以下のフィールドを対象に検索対象を詳細に設定して行けます。

• ソースタイプ
• ソース
• ホスト
• インデックス
• イベントタイプ
• サーチフィールド

先ほどの「インデックス」を１つ以上選択することで、サーチフィルタージェネレータという機能を使って GUI で検索対象の条件（サーチフィルター）を作成できます。

もちろん、直接「サーチフィルター」に手入力も出来ます。手入力の場合の注意点として、使える演算子は *、OR、AND、NOT です。

リソース

最初に「このロール」という欄で、デフォルト App を決めます。大まかに言うと Splunk のどの機能（デフォルトApp）で使いますか？という意味になります。例えば、検索で使うなら「Search」を選択します。すると、検索時に以下で設定したルールが適用されます。

• ロールサーチジョブ数限度

ロール単位で、同時に実行できるサーチ数の限度を設定します。

• ユーザーサーチジョブ数限度

このロールを持つユーザ単位で、同時に実行できるサーチ数の限度を設定します。

• ロールサーチ時間ウィンドウ数限度

検索対象にする過去時間を制限するために設定します。ヒストリカルデータの検索を何日前まで行わせるかを考慮して設定します。

• ディスクスペース制限

何 MB のデータを遡って検索できるかを設定します。

いつまでのデータを検索したいか次第で、適切に設定していただくのですが、基本的に検索がすごく遅いとは、個人的には感じたことが無いです。

ここまでの設定で問題なければ、そのまま右下の「作成」ボタンを押下してロールの作成が完了します。

標準ロールの種類と役割

Splunk Cloud でプリセットされている標準ロールについても説明します。

• 管理者（admin）

Splunk の admin は基本的にユーザとロール、ダッシュボード、フィールド抽出など、環境のほとんどの設定変更を含めた権限を持ちます。

• パワーユーザー（power）

power はデータの共有やアラートの編集、イベントへのタグ付け、エクスポートやログ検索など、編集の権限も多く持ちます。

• 一般ユーザー（user）

user はログ検索など、用意されているコンテンツを扱う権限を持ち、個人の環境でダッシュボードなども作成することができます。

Splunk は高度な分析ができる分、設定も細かくなる部分があります。そのため、作成したダッシュボードや App の構成ミスなどが起きた場合を想定して、オペレータは user ロールを使用するか、カスタムで低い権限のロールを作成するなどを考慮する必要があると考えています。

ユーザーの追加手順

それでは、ユーザアカウントを作成していきます。ユーザアカウントは Splunk Cloud にアクセスするためにメールアドレスやパスワードの認証情報を設定します。

ロールを作成した時と同じように「設定」>「ユーザー」を選択します。その後「新しいユーザー」を選択します。

ガイドに沿って項目を入力します。

「タイムゾーン」は、ユーザが使う時の Splunk システムのタイムゾーンのことです。検索の時間指定などに影響します。新しく作成するユーザがいる所在地を選択するといいです。

「デフォルト App」は、ログインした時に最初どの画面を表示するかを設定します。多くの場合は search か、launcher を選択します。（launcher はよく見るコンテンツを並べるなど、カスタマイズできるホーム画面のことです。）

あとはロールを選択して割り当てます。ここでもし、ロールがない場合は「このユーザーのロールを作成してください」にチェックを入れると、「名前」で設定したロール名で新たなロールが作成されます。

また、パスワードを再設定してもらう場合は「初回ログイン時にパスワードの変更を要求」を選択します。

問題なければ「作成」します。あとはコンソールの URL を共有して、作成したユーザ名とパスワードでログインしてもらう感じです。

ちなみに「初回ログイン時にパスワードの変更を要求」を選択していると、コンソールに認証情報を入れた後、以下の様にパスワード再設定画面が表示される動きになっています。

また、「デフォルト App」ですが、コンソールログイン後の画面以外にも、以下の画像の部分を選択したときに「デフォルト App」で選択したページに飛ぶ動きになってるみたいです。

まとめ

Splunk Cloud 導入時に必要かと思い、ユーザとロールの作成について簡単にまとめてみました。

Splunk Cloud のセットアップの一助になれば嬉しいいです。

今後も Splunk ブログを投稿していきますので、ご注目いただけますと幸いです。