【Netskope】【運用】Netskope Log Streamingで配信されたデータをSplunkで確認する方法｜Nextmode Blog

はじめに

こんにちは、 ネクストモード株式会社 の sobar です。Netskopeの運用に役立つTipsをご紹介します。

今回は新しくリリースされた機能である Netskope Log Streaming について、S3に配信されたデータをSplunkに連携＆確認する手順を解説します。

Splunk はSIEM機能を提供する製品です。システム障害の原因調査、セキュリティインシデントの検知、ビジネスデータの分析などが迅速に行えるツールです。

Netskope Log Streaming 機能についてや、S3へのログの配信方法につきましては以下ブログをご確認ください。

• 【Netskope】【運用】Netskope Log Streaming機能と配信について

Netskope Log Streaming 機能の利用にはオプションライセンスが必要です。詳細については、弊社までお問い合わせください。

設定方法 - Netskope Log Streaming でS3に配信されたデータをSplunkに連携

構成

今回は以下のような構成で赤枠のなかのNetskope Log Streaming でS3に配信されたデータをSplunkで連携＆統合する方法についてご紹介します。

※今回は検証のためEC2 にSplunkアプリ（Splunk Enterprise 10.0.0）をインストールし動作確認を行います。（Splunk Enterprise 10.0.0のインストール方法についてのご説明は割愛いたします。）

Splunkに入力するパラメータ情報

• 配信先のS3バケット名

• アクセスキー、シークレットアクセスキー

設定手順

1. SplunkでS3操作のためのアクセスキー作成

   • 1-1. IAMアクセスポリシー作成

   • 1-2. IAMユーザー＆アクセスキーを作成

2. Splunk Add-on for Amazon Web Services (AWS) をSplunk にインストール

3. Splunk アドオンでアカウントを設定

   • 3-1. Configuration設定 > Add

   • 3-2. Inputs > Create New Input > Custom Data Type > Generic S3設定

１．SplunkでS3操作のためのアクセスキー作成

1-1. IAMアクセスポリシー作成

AWS > IAM > ポリシー > 「ポリシーの作成」 をクリック。

JSONでの入力に切り替え、以下のような値を指定し次へをクリックします。

• Sid：任意

• Effect：Allow

• Action：s3:ListBucket、s3:GetObject、s3:ListAllMyBuckets、s3:GetBucketLocation、kms:Decrypt

• Resource：*

ポリシー名 を入力し 「ポリシーの作成」 をクリック。

1-2. IAMユーザー＆アクセスキーを作成

AWS > IAM > ユーザー > 「ユーザーの作成」 をクリック。

ユーザーの詳細 を指定し次へ。

許可設定にて1-1. で作成したIAMアクセスポリシー を選択＆アタッチ 次へ。

「ユーザーの作成」 をクリック。

「作成したユーザー」 をクリック。

セキュリティ認証情報タブ より アクセスキー > 「アクセスキーを作成」 をクリック。

「AWSコンピューティングサービスで実行されるアプリケーション」を選択、「上記のレコメンデーションを理解し、アクセスキーを作成します。」の確認をチェックし次へ。

説明タグ値 を入力し 「アクセスキーを作成」 をクリック。

アクセスーキー と シークレットアクセスキー の値を控え、必要に応じてCSVをダウンロードし、「完了」ボタンをクリック。

２．Splunk Add-on for Amazon Web Services (AWS) をインストール

Splunk にログイン後、 「Find more apps」 をクリック。

Browse More Apps にて「Splunk Add-on for Amazon Web Services (AWS)」を検索し「Install」 ボタンをクリック。

記載内容を（該当利用規約への同意）確認し、「Agree and Install」をクリック。

インストールが開始されます。

インストールが実施後 Done をクリック。

３．Splunk アドオンでアカウントを設定

Browse More Apps > Splunk Add-on for Amazon Web Services (AWS) > 「Open App」 クリック。

Configuration > Account > 「Add」 をクリック。

名前 ＆ アクセスキー ＆ シークレットアクセスキー を入力し「Add」 をクリック。

Configuration の作成を確認後、「Inputs」 タブをクリック。 

Inputs > Create New Input > Custom Data Type > 「Generic S3」 を選択

Nameを入力。AWS Account に設定したアカウントを選択後、エラー等が出ずに設定が問題無い場合はS3 Bucket 項目にてバケットが選択可能となる。

Parse all files as CSV にチェックを入れます。Netskopeから出力されるログはカンマ区切りのため、CSV field delimiter は「,」を入力し、「Add」 をクリックします。

Splunkでのログ確認方法

Inputs の作成を確認後、Apps > 「Search ＆ Reporting」 をクリック。 

New Searchで検索を実行すると、Netskope Log StreamingからS3バケットに配信されたTransaction Eventsのログが表示されます。

参考

• Stream Logs to Splunk

• Configure Generic S3 inputs for the Splunk Add-on for AWS

さいごに

今回はNetskope Log Streaming によってS3バケットに配信したTransaction Events をSplunkにて確認する方法についてご紹介いたしました。S3のコスト効率の恩恵も受けながら大量のログの分析も行う環境が構築可能です。

この記事によってなにか新たな気づきがあり、皆さまの Netskope運用の一助となれば幸いです。

Netskope についてのお問い合わせ

Netskope の導入、実践的な活用方法、ライセンス体系や価格についてさらに詳しく知りたい方は、ぜひ弊社窓口までお気軽にお問い合わせください。