AWSでSplunkを活用しよう｜Splunk on AWSについてご紹介

Splunkとは

Splunkは、データをリアルタイムで解析するプラットフォームです。アメリカの同名会社が提供しています。

データの変遷を逐一確認できるようになることで、ワークロードを高速化する、問題を素早く特定してダウンタイムを削減するといったメリットをもたらします。

AWSにおけるSplunk

Amazon Web Services（AWS）では、いくつかのSplunkツールと統合することができます。

両者を統合した形態のソリューションはSplunk on AWSとも呼ばれます。本記事ではこの呼称を用いて説明していきます。

Splunk on AWSの特徴

この項目では、Splunk on AWSの特徴ならびにAWSとSplunkを統合するメリットについてご紹介します。

双方の特徴・機能を組み合わせることで、高い性能を備えたクラウドを形成できます。

特徴1：クラウドを可視化できる

Splunk on AWSでは、AWSクラウドを可視化できるようになります。

クラウド上に存在するサーバーやアプリケーションなどをモニタリングし、データやログをリアルタイムで記録していきます。各システムの運用状況を把握しやすくなることで、管理、問題解決、将来予測といったさまざまなワークロードを円滑化でき、ダウンタイムの抑制にもつながります。

特徴2：セキュリティを強化できる

Splunk on AWSは、セキュリティの強化ができます。

データやログと同様に、セキュリティに関してもモニタリングを行い、外部からの攻撃や内部に存在する脅威などを検出し、可視化します。システムの脆弱性やサイバー攻撃のパターンなどを素早く把握でき、対策の強化がしやすくなります。

特徴3：データの相関付けができる

Splunk on AWSは、データの相関分析ができます。

消費者の行動と製品の利用状況といったような独立した2種類のデータを結びつけ、どのように相関しているかを算出します。将来の予測や、ビジネスプランを立案する上での参考資料として役立てられます。

特徴4：Security Hubによるセキュリティチェックの高速化

Security Hubは、アカウントやリソース全体のセキュリティを一元管理するサービスです。

各アカウントやリソースのセキュリティに関する情報を収集し、まとめて表示します。また、CIS AWS Foundations Benchmark、Payment Card Industry Data Security Standard（PCI DSS）などの規格に基づいたチェックを自動で実施します。

Splunk on AWSはSecurity Hubと連携しており、セキュリティの管理やチェックを簡易化および高速化します。可視化やモニタリングの機能と合わせて、堅牢な環境を構築できます。

AWSで使用可能なSplunkソリューション

この項目では、AWSで利用可能なSplunkソリューションをご紹介します。

Splunk App for AWSを除き、すべてAWS Marketplaceで販売されています。

種類によって有料のものと無料のものが存在します。料金の詳細は各製品ページをご覧ください。

Splunk App for AWS

Splunk App for AWSは、AWSリソースに関するインサイトを提供するプラットフォームです。

各リソースのデータを分析し、運用、セキュリティ、コストなどに関する情報を表示します。

対応するリソースとして、CloudWatch、CloudTrail、CloudFront、Config、Virtual Private Cloud（VPC）のフローログ、Simple Storage Service（S3）、Elastic Compute Cloud（EC2）、Elastic Block Store（EBS）などがあります。

Splunk Enterprise

Splunk Enterpriseは、機械学習モデルを用いたビッグデータ分析プラットフォームです。

ビッグデータのログをリアルタイムで収集・分析します。分析に機械学習モデルを用いることで、その精度を高めています。

AWSでは、これをデプロイすることでクラウド上に存在するデータの分析を高度化できます。また、Docker Imageというコンテナ版のサービスが存在し、Elastic Container Service（ECS）やElastic Kubernetes Service（EKS）といったコンテナ管理ツールでも分析機能が利用できます。

Splunk Cloud

Splunk Cloudは、Splunk Enterpriseをクラウドベースで提供するSaaSプラットフォームです。

上記と同様にデータの収集・分析を行う他、インフラストラクチャの管理やツールのアップグレードを自動化する機能も備え、タスクの効率を高めます。また、FedRAMPに準拠しており、アメリカの企業や組織に自作のサービスを提供できます。

AWSでは、これに加えてAES256による暗号化機能を備えたバージョンも提供されています。ただし、機能が増える分コストも上がるので、どちらにするかは事前に検討しておきましょう。

Splunk Phantom

Splunk Phantomは、Security Operation Center（SOC）の運用をサポートするプラットフォームです。

Security Orchestration, Automation and Response（SOAR）を導入しており、セキュリティに関するアクションを自動化します。これにより、SOCの運用管理にかかる時間を短縮できます。

Security Hubとは統合が可能で、Security Hubで集めた情報をPhantomに送り、それに応じてアクションを自動実行するという流れが出来上がります。

Splunk Infrastructure Monitoring

Splunk Infrastructure Monitoringは、インフラストラクチャをモニタリングするSaaSプラットフォームです。

障害の発生やパフォーマンスの低下などの問題が見つかるとアラートを発信し、対応策を素早く実行できるようにします。Kubernetes、コンテナ、サーバーレスなど、さまざまな環境に対応することも特徴です。

AWSでは、各リソースのモニタリング機能を強化し、パフォーマンスを高められます。また、通常版と高性能なエンタープライズ版の2種類が用意されています。

AWSにSplunk Enterpriseをデプロイする方法

この項目では、導入例としてAWSにSplunk Enterpriseをデプロイする方法について、流れを簡単にご紹介します。

ここでは、AWS クイックスタートに用意されているソリューションを用いた方法を説明しています。詳細な手順については公式ページをご覧ください。

MarketplaceでSplunk Enterpriseを入手

最初に、MarketplaceでSplunk EnterpriseのAmazon Machine Image（AMI）を入手します。

60日間のトライアルライセンスが付属しているので、これを利用します。なお、期間が終了するとフリー版に切り替わります。いくつかの機能は使えなくなりますが、想定外のコストが発生するということがないので、その点では安心です。

デプロイ先のVPCを選択

次に、CloudFormationテンプレートを用いてデプロイ先となるVPCを選択します。

新しくVPCを作成する方法と、既存のVPCを指定する方法があります。後者を用いる場合は、アベイラビリティーゾーン（AZ）やサブネットが必要分揃っているかを確認しておきましょう。

パラメーターの設定はデフォルトのままで構いませんが、必要であれば変更できます。確認も兼ねて、一度詳細を見ておくと良いでしょう。

このプロセスを終えるとデプロイが開始され、完了後にSplunkへデータを送信できるようになります。

AWSでSplunkを活用しよう

この記事では、Splunk on AWSについてご紹介しました。

AWSとSplunkの2種類を統合することで、クラウドにデータのモニタリングや可視化、相関分析などの機能を加え、より優れた環境を作り上げられます。

システムの運用を効率化させたい、データをもっと活用できるようにしたいといった方におすすめです。