この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。
こんにちは。
ご機嫌いかがでしょうか。
"No human labor is no human error" が大好きな吉井です。
前回のエントリでは Splunk でログ集約を試しました。
集約するだけでは価値は少ないのでダッシュボードで可視化をしてみます。
Splunk Cloud の設定
ログ集約まで
前回のエントリを参照してログ集約の設定まで完了している前提です。
ダッシュボードの内容
以下の2つを表示するダッシュボードを作っていきます。
- CloudTrail で検知したイベントネームごとのパイチャート
- CloudTrail で検知したソース IP アドレスの GEO マップ
ダッシュボードの設定
Splunk Cloud へログインします。
画面の左上に歯車のアイコンがあるのでクリックします。
Browse more apps をクリックしたのちに
Amazon GuardDuty Add-on for Splunk を探してインストールします。
インストールが完了しホーム画面に戻ると aws_guardduty のアイコンが出来ていますのでクリックします。
ダッシュボード作成
画面上部から Dashboards をクリックします。
Dashboards 画面に遷移したら Create New Dashboard をクリックします。
任意の名前を付けてから create dashboard をクリックします。
パイチャート作成
画面上部から search をクリックします。
検索欄に以下を入力し検索を実行します。
sourcetype="aws:cloudtrail" | top eventName検索結果が表示されたら、Visualization タブを開き
以下図の赤枠をクリックし Pie Chart を選択します。
無事にパイチャートが表示されたら、右上の Save As から Dashboard Panel をクリックします。
以下図のように前の手順で作成したダッシュボードを選択します。
GEO マップ作成
画面上部から search をクリックします。
検索欄に以下を入力し検索を実行します。
sourcetype="aws:cloudtrail" | iplocation src | geostats count by Country検索結果が表示されたら、Visualization タブを開き
以下図の赤枠をクリックし Cluster Map を選択します。
無事に GEO マップが表示されたら、右上の Save As から Dashboard Panel をクリックします。
同じように前の手順で作成したダッシュボードを選択します。
確認
それではダッシュボードを見てみましょう。
想定通りのダッシュボードになっています。
さいごに
簡単なダッシュボードを作りました。
実際には運用監視要件に合わせて細かく作り込むことになります。
Splunk を使いこなして意味のあるダッシュボードを作りたいものです。
参考
Splunk Add-on for AWS
Install an add-on in Splunk Cloud
Create dashboards and panels
12
