Boxの利用状況をSplunkで可視化する

box-to-splunk-ogp
シンジです。Boxも利用人数が増えてくると、誰が何やってんのか追っかけるのがしんどくなってきます。というか、数人でしかBoxを使ってなかったとしても、そこまで見てる管理者って存在しないんじゃないかと思うくらいです。そこでSplunkの出番です。

とりあえず可視化するとこうなります

見せられない部分が多すぎてモザイクだらけですが・・・

Box Overview

box-to-splunk-ov

File/Folder/User Events

box-to-splunk-admindashboards

Box Admin Query

box-to-splunk-admin

どうやるのか

簡単です。ポチポチするだけです。ただし条件があります。

1.Splunkのサーバーが「完全にインターネットから隔離されている」構成では、Boxと通信出来ませんので利用出来ません。NATやプロキシなどで、せめて中から外への通信は許可してやる必要があります。

2.Splunkが「http」だとBoxと連携出来ませんので、「https」にしてやる必要があります。

box-to-splunk-https-config

BoxのAppをダウンロードしてくる

SplunkのAppサーチからだとBoxのAppは出てきませんので、SplunkのAppのWebサイトに行って、ZIPファイルをダウンロードします。以下のURLからBoxのAppをZIPでダウンロードしてください。ログイン必須です。

https://splunkbase.splunk.com/app/1807/

SplunkにBoxのAppを追加する

今度はSplunkの管理画面から、Appの管理を選択して、「ファイルからAppをインストールする」を選択して、先程ダウンロードしたZIPファイルをそのままアップロードしてやります。

box-to-splunk-app-config

から

box-to-splunk-app-config2

で、

box-to-splunk-app-config3

です。

この後Splunkの再起動が促されますので、再起動しましょう。

Box Appの設定をいじる

Splunk管理画面からApp一覧を見ると「Box App for Splunk」が追加されているのが分かります。右側のアクションから「設定」をクリックしてください。そうすると早速SplunkがBoxと連携させろと言ってきます。

無邪気に青いボタンを押しましょう。

box-to-splunk-app-login

ここも虚無の心で許可します。

box-to-splunk-app-login2

世界平和を祈りながら「保存」を押します。が、特に画面が切り替わったりしませんので連打とかしないように。

box-to-splunk-app-login3

はい。終わりです。とりあえず仮眠でも取ります。

果報は寝て待てと言いますよね。連携ボタン押したところで、すぐにはSplunk側にはデータが入ってきませんので、半日くらい寝かせてあげましょう。

というわけで連携自体は簡単ですね

ただこれだけだと「可視化できたわーい」になるので、alert設定したりとかして実用的にしていく必要はありますよね。でもここまで出来ちゃえば後はちょちょいのちょいーですわー

補足

なんかうまくいかないなぁ、というときは、こちらも参考にして下さい

Troubleshoot the Splunk Add-on for Box
http://docs.splunk.com/Documentation/AddOns/released/Box/Troubleshooting