Splunkを使用して簡単にElasticにデータをインジェストする

既存のベンダーからElasticに移行するときには、現在のソリューションからElasticにログデータを迅速にオンボードすることが、最初の作業の1つです。多くの場合、データオンボーディングでは、インジェストアーキテクチャを調整し、データソース間で構成変更を実施する必要があります。Elasticは、ElasticのトライアルやElasticへの移行を行っているユーザーが、Elasticソリューションのパワーをできるだけ早く実感できるように、データを迅速に取り込めるようにしたいと考えています。そこで、Splunkでインジェストされたデータを自動的にElastic Common Schema（ECS）にマッピングする統合を構築しました。

このブログ記事では、Elastic Stackの バージョン7.12でリリースされたこの実験的なSplunk統合について説明します。この統合により、Splunkユニバーサルフォワーダーやその他のSplunkインジェストテクノロジーをそのまま利用しながら、Splunk APIを活用してElasticにデータをインジェストすることができます。現在、この統合はApache、AWS Cloudtrail、NGINX、Windows Event Channels、Zeekログのインジェストをサポートしていますが、サポート対象のデータソースは大幅に拡張される予定です。

統合の仕組み

この統合では、Elasticエージェントの HTTP JSON入力を利用して、Splunk REST API経由でSplunk検索を実行し、その結果から未加工のイベントを抽出します。未加工のイベントは、Elasticエージェントと既存のElastic統合を経由して処理されます。

統合の構成

このブログ記事では、Splunkから既存のイベントを取得するためにZeek統合機能を設定します。

まず最初にElasticエージェントをインストールします。導入が簡単で、一般的なオペレーティングシステムをすべてサポートしています。Elastic エージェントのインストールとFleetへの登録手順は、こちらをご覧ください。

次に、ポリシーを作成し、Zeek統合を追加します。"サードパーティREST API入力"を設定します。APIにアクセスするには、Splunk Enterprise ServerのURLと資格情報が必要です。Splunkの検索はカスタマイズ可能で、検索間隔もカスタマイズできます。ログがSplunk経由で転送されたことを示すタグを追加することもできます。

以下のスクリーンショットのように、ZeekのログがSplunkにストリーミングされています。

Splunkとの統合を有効にすると、これらのログがElasticで利用できるようになります。

Splunk + Elastic Common Schema

そして、利点についてです。Splunk経由で取り込まれたすべてのデータは、自動的にElastic Common Schema（ECS）にマッピングされます。つまり、SplunkのCommon Information ModelからECSにデータを手動でマッピングすることを心配せずに、Elastic SecurityやElasticオブザーバビリティなどのElasticソリューションをすぐに使い始められるということです。 

機械学習ジョブ、検出ルール、ビジュアライゼーションなどの分析コンテンツがそのまま機能します！例として、Splunk経由で取り込まれたZeekデータを完全に取り込んだZeekダッシュボードを示します。

Elasticを試しているSplunkユーザーにこの統合を有益だと感じていただけることを願っています。Elasticの目標は、お客様がElasticにデータをインジェストするための構成作業に費やす時間を減らし、当社のソリューションから迅速に価値を得ることに集中できるようにすることです。統合に関連するドキュメントは、こちらを参照してください。

このSplunkとの統合に関するフィードバックをお待ちしています。Elastic DiscussフォーラムまたはElastic Slackワークスペースでご意見をお聞かせください。Elasticを試す前にこのような統合を待ち望んでいたのであれば、今がその時です。無料の14日間トライアル（クレジットカード情報の入力は不要です）で使いはじめることも、オンプレミスのデプロイ向けに無料でElasticプロダクトをダウンロードしてお使いいただくこともできます。成功を導く準備の一環として、クイックスタートトレーニングもぜひご活用ください。