リモートワークを可視化してみる(仮)

Transcript

1. GOJAS Meet Up-15 Splunkマニアクス vol.4 リモートワークを可視化してみる(仮) パーソル プロセス & テクノロジー株式会社

   ビジネスエンジニアリング事業部 （略） Splunk Core Certified Consultant 石橋 宏和

2. #GOJAS_JP 2 自己紹介 石橋 宏和(イシバシ ヒロカズ) ビジネスエンジニアリング事業部 セキュリティ統括部 （略） Splunk

   Core Certified Consultant Splunk利用歴...約3年 Splunkの導入提案,設計,構築,改善のお仕事をしています - Qiita [bashi100kmrun] - Github [bashi100kmrun] - Twitter [@bashi100kmrun]

3. #GOJAS_JP Splunkのお仕事をやっていて感じていること 3

4. #GOJAS_JP Splunk、ログ分析ツールって思われてそう →誤解です Splunk、日本語情報が少なくて導入担当者が苦労してそう →課題です 4

5. #GOJAS_JP 登壇のテーマ 身近なデータをSplunkに入れた実体験を話すことで “Splunkちょっと使ってみるか”、という人を増やしたい 5

6. #GOJAS_JP 身近なデータ 新型コロナ は、前回発表があったので 6

7. #GOJAS_JP 身近なデータ リモートワークのデータを 可視化してみよう 7

8. #GOJAS_JP リモートワークのデータ？ コロナ以降、自チームの利用頻度が上がったツール – zoom – Slack – discord –

   Teams 8

9. #GOJAS_JP リモートワークのデータ？ コロナ以降、自チームの利用頻度が上がったツール – zoom – Slack – discord –

   Teams 9

10. #GOJAS_JP はなすこと、はなさないこと ◎はなす - zoom,SlackのデータをSplunkに取り込むまでの道のり - 可視化できたこと △はなさない - Splunkサーバーの構築方法

    - Appの仕様詳細 10

11. #GOJAS_JP アジェンダ 1. zoomの可視化までの道のりと結果 2. Slackの可視化までの（略 11

12. #GOJAS_JP ご説明事例の前提 • zoom,Slackは7~8名のチームで業務利用 • 共にフリープランSlack有料プラン使いたい 12

13. #GOJAS_JP zoomの可視化 こんな風に可視化できます 13

14. #GOJAS_JP 14

15. #GOJAS_JP 可視化までの道のり 1. システム要件の確認 2. Splunkサーバーの準備※割愛 3. Splunk Appのセットアップ 4.

    zoom Appのセットアップ 15

16. #GOJAS_JP 1.システム要件の確認 zoomのデータを可視化するために何が必要か確認する • Splunk • zoom 16

17. #GOJAS_JP 1.システム要件の確認 17 Zoom Splunk Add-On Index App HTTPS ※要件に基づくイメージ

    エンド ポイント

18. #GOJAS_JP 1.システム要件の確認 18 Zoom Splunk Add-On Index App HTTPS ※要件に基づくイメージ

    エンド ポイント

19. #GOJAS_JP Splunkの要件 1.App 1. Splunk Connect for Zoom 2. Splunk

    App for Zoom →2.は可視化に必須ではないが、手っ取り早く可視化する場合に使える 2.インデックス・・・zoomデータの取り込み先 3.Splunkエンドポイント(URL)・・・zoomからの転送先 19

20. #GOJAS_JP Splunk Connect for Zoom の要件 何はともあれ公式ドキュメントを読んでみる Hardware and software

    requirements for Splunk Connect for Zoom あんまり難しいことは書いてないけど、重要なポイント • zoom側の権限が必要 • ネットワーク通信許可が必要 →zoomネットワークからsplunk側のポートへの通信許可 <https://docs.splunk.com/Documentation/ZoomConnect/1.0.1/U ser/Hardwareandsoftwarerequirements > 20

21. #GOJAS_JP Splunk Connect for Zoom の要件 あんまり難しいことは書いてないけど、重要なポイント Hardware and software

    requirements for Splunk Connect for Zoom • zoom側の権限が必要（後述） • ネットワーク通信許可が必要 →zoomネットワークからsplunk側のポートへの通信許可 21

22. #GOJAS_JP Splunk App for Zoom の要件 非サポートAppのため公式ドキュメントはなし ※Splunkのバージョンが7.0以上ならOKらしい。 <https://splunkbase.splunk.com/app/4962/#/details> 22

23. #GOJAS_JP Zoomの要件 zoomの管理者権限または開発者権限が必要 →zoomにwebhook Appを作るため 23

24. #GOJAS_JP Zoomの要件 zoomにもApp Marketplaceがある →データを取り込みたいzoomアカウントに zoomAppを作成し、インストールする必要がある 24

25. #GOJAS_JP 参考:zoomネットワーク zoomの開発者ガイドに書いてある https://marketplace.zoom.us/docs/api-reference/webhook- reference • 18.205.93.128/25 • 52.202.62.192/26 •

    3.80.20.128/25 • （中略） • 3.235.96.0/23 • 52.61.100.254 • 52.61.100.253 →これらからの通信を受け取れるよう、Splunk側インフラの設定が必要 25

26. #GOJAS_JP Splunk側の設定 26

27. #GOJAS_JP Splunk Appのセットアップ 27 前述した2つのAppをインストールし初期設定を行う ※インストール時Splunk再起動は発生しない

28. #GOJAS_JP Splunk Connect for Zoom の設定 Splunkのデータ入力に“ズーム”が追加されているので、 新規追加をクリックして追加 28 （中略）

29. #GOJAS_JP Splunk Connect for Zoom の設定 SSL通信でzoomのwebhookイベントを 受け取る設定を追加する 29

30. #GOJAS_JP Splunk Connect for Zoom の設定 必要に応じて取り込み先インデックスを指定する 30

31. #GOJAS_JP Splunk App for Zoom の設定 必要に応じてサーチマクロの定義を修正する 31

32. #GOJAS_JP Splunk側の設定はこれで終わりです 32

33. #GOJAS_JP zoom側の設定 33

34. #GOJAS_JP zoom appの作成 zoomデータをSplunkに送るzoom appを作成する 1.zoomマーケットプレイスにログイン 2.新規zoom App作成 3.イベントサブスクリプションの設定 4.新規zoom

    appのアクティベート 34

35. #GOJAS_JP zoom appの作成 zoomデータをSplunkに送るzoom appを作成する 1.zoomマーケットプレイスにログイン 2.新規zoom App作成 3.イベントサブスクリプションの設定 4.新規zoom

    appのアクティベート 35

36. #GOJAS_JP イベントサブスクリプションの設定 • zoomの”何の”イベントを“どこに”送るかの設定 • 何の・・・イベントタイプ • どこに・・・エンドポイント →SplunkのエンドポイントURLを指定 36

37. #GOJAS_JP イベントタイプの例 • ミーティングの開始/終了 • ミーティング開始前の参加者の参加 • ウェビナー参加者の待機/参加/退出 • ユーザーサインイン/サインアウト

    <https://marketplace.zoom.us/docs/api-reference/webhook-reference> 37

38. #GOJAS_JP 設定完了 zoomのデータがJSON形式でSplunkに取り込まれるようになる 38

39. #GOJAS_JP 可視化の例 Splunk App for Zoom を使うことで、取り込んだzoomのデータを様々 な観点で可視化できるようになる ※自力でダッシュボードを作ることも可能 39

40. #GOJAS_JP Overview ダッシュボードを開いた時点のZoomの利用状況と過去7日間のサマリー 40

41. #GOJAS_JP Meeting Meetingの回数、種類、時間を可視化 41

42. #GOJAS_JP Webinar Zoom ウェビナーの（略 42

43. #GOJAS_JP まだあるけど、時間がないので省略 43

44. #GOJAS_JP すぐ活用できそうなこと サーチを作りこむことで以下のことができそう • ミーティングパスワードをかけていないミーティ ングの特定 • zoom以外のデータとの相関分析 • 不正なアクセスの検知

    44

45. #GOJAS_JP すぐ活用するのが難しそうなこと webhookイベントに含まれていないことは分析が難しい （有料プランなら？） • zoomのチャットデータ • zoom中のリアクション • zoomから送信するイベントの細やかな参照制御

    45

46. #GOJAS_JP ここまでのまとめ zoom可視化には以下の対応が必要 • Splunk Appのインストール • Zoom Appの作成＆インストール •

    ネットワーク通信許可 設定は簡単だけど、特権が必要な対応がいる 46

47. #GOJAS_JP slackの可視化 こんな風に可視化できます 47

48. #GOJAS_JP 48

49. #GOJAS_JP 可視化までの（略 基本的にはzoomの時と似たような流れ 1. システム要件の確認 2. Splunkサーバーの準備 3. Slack Appのセットアップ※

    4. Splunk Appのセットアップ ※アクセストークンをセットするため、先にslackをセットアップする 49

50. #GOJAS_JP 1.システム要件の確認 50 Slack Splunk Add-On Index App HTTPS ※要件に基づくイメージ

51. #GOJAS_JP 1.システム要件の確認 51 Slack Splunk Add-On Index App HTTPS ※要件に基づくイメージ

52. #GOJAS_JP Splunkの要件 1.App • splunkbaseで注"slack"で検索すると4つAppが出てくる • 一部のAppはSlackのプランがEnterpriseGridでないと使えない • 名前が紛らわしいので注意が必要 •

    Slack App for Splunk Add On • Slack App for Splunk • Slack Audit App for Splunk ※EnterpriseGrid • Slack Add-on for Splunk ※EnterpriseGrid 2.インデックス・・・splunkデータの（略 52

53. #GOJAS_JP 補足 Slack用Appは、splunkbaseでの名前とインストール後の Splunk上での表示名とSplunkサーバー上のフォルダ名が 紛らわしいので注意。(SplunkとSlackでゲシュタルト崩壊） 1. Slack App for Splunk

    Add On • Splunk上の表示名:Slack Add-On for Splunk • フォルダ名:TA-slack 2.Slack App for Splunk • Splunk上の表示名:Slack for Splunk • フォルダ名:slack 53

54. #GOJAS_JP Slackの要件 SlackのAppを作成し、ワークスペースにインストールする →データを送りたいSlackワークスペースへのSlack Appの インストール権限が必要 54

55. #GOJAS_JP Slackの要件 Slack Appを作り、ワークスペースに追加する 55

56. #GOJAS_JP Slack Appの作成 公式マニュアルがないので、自力で頑張る 以下記事を参考に、SlackのAppを作成し、Splunkにデータ を取り込みたいSlackワークスペースにインストールする Slack メッセージを Splunkに取り込んで分析してみた <https://qiita.com/maroon/items/54d3210def3034932e31>

    Thanks!!! 56

57. #GOJAS_JP Slack側の設定 57

58. #GOJAS_JP Slack Appの作成 Appをワークスペースにインストールしたら、 トークンを控えておく（あとで使う） 58

59. #GOJAS_JP Splunk側の設定 59

60. #GOJAS_JP Splunk Appのセットアップ 60 前述した2つのAppをインストールし初期設定を行う ※インストール時Splunk再起動は発生しない

61. #GOJAS_JP Slack App for Splunk Add On の設定 Splunkのデータ入力に“Slack Messages”が追加されてい

    るので、新規追加をクリックして追加 ※”Access Logs”はSlack有料プランでないとトークンが使えない 61 （中略）

62. #GOJAS_JP Slack App for Splunk Add On の設定 先ほど取得したトークンを使ってslackのデータを 取りに行く設定を追加する

    62

63. #GOJAS_JP Slack App for Splunk Add On の設定 必要に応じて取り込み先インデックスを指定する 63

64. #GOJAS_JP Slack App for Splunk の設定 必要に応じて、サーチマクロの定義を修正する 64

65. #GOJAS_JP 設定完了 slackのデータがJSON形式でSplunkに取り込まれるようになる 65

66. #GOJAS_JP 可視化の例 Slack for Splunk を使うことで、取り込んだSlackのデータを(略 ※自力でダッシュボードを作る（略 66

67. #GOJAS_JP メッセージ ある期間のメッセージのトレンドを可視化 67

68. #GOJAS_JP Login Activity Slackの監査ログを可視化できるようだが、有料プランが必要 68

69. #GOJAS_JP 自力でサーチ 絵文字の使用率Top10 69

70. #GOJAS_JP 自力でサーチ みんな大好きワードクラウド 70

71. #GOJAS_JP すぐ活用できそうなこと サーチを作りこむことで以下のことができそう • 盛り上がってるチャンネルのトレンド • 休眠チャンネルのアーカイブ • メンバーの休憩状況 •

    メッセージの形態素解析 71

72. #GOJAS_JP すぐ活用するのが難しそうなこと トークンで取れないものは分析が難しい • DM、プライベートチャンネルのトレンド • リアクションの推移 • リアルタイムの可視化 （ポーリング間隔：デフォルト600秒）

    72

73. #GOJAS_JP ここまでのまとめ slack可視化には以下の対応が必要 • slack Appの作成＆インストール • Splunk Appのインストール •

    ネットワーク通信許可 設定は簡単だけど、特権が必要な対応がいる 73

74. #GOJAS_JP まとめ 74

75. #GOJAS_JP まとめ • データを可視化することでそれまで気づけなかったこと に気づける可能性を得られる • クラウドサービスの可視化は設定だけなら難しくない – Splunkの設定 –

    サービス側の設定 – ネットワークの設定 →設定より関係部門との調整のが大変な気がするので、 注意しましょう • SplunkとSlackは紛らわしい 75

76. #GOJAS_JP ちょっとでも「難しそう」「プロにおまかせしたい」と思ったら・・・ 76

77. #GOJAS_JP ちょっとでも「難しそう」「プロにおまかせしたい」と思ったら・・・ 77 (COCOAでおなじみの)パーソル プロセス&テクノロジー 石橋までご連絡ください！

78. #GOJAS_JP CM AWSで、Splunk環境をサクッと構築する CloudFormationのテンプレートをgithubで公開しました ※オールインワンのみ。クラスター環境用も近日公開予定 >git clone https://github.com/bashi100kmrun/cfn-splunk.git でGET! 78

    ※利用にはgithub,AWSアカウントが必要です ※Splunkライセンスは別途ご用意いただきます ※スタック作成時にインターネットへの通信が発生いたします

79. #GOJAS_JP 次回（仮） Raspberry PiのセンサーデータをSplunkで可視化してみた 79

80. #GOJAS_JP おわり 80