My Home NW Lab

逸般の誤家庭のネットワーク

Splunk Enterprise / Splunk Cloud (SIEM製品)のMeraki向けAdd-on

SIEM製品であるSplunk Enterprise / Splunk Cloudに、Meraki向けのAdd-onがあったので挙動と設定例を紹介します。
本記事執筆時点 (2022年01月頃)でMeraki向けのAdd-onは複数存在しておりましたが、その中でもSplunk Supportedである Splunk Add-on for Cisco Meraki を本記事で扱います。

目次

Splunk Add-onの情報

Splunk Add-on for Cisco Meraki の挙動

Splunk Add-on for Cisco MerakiMeraki Dashboard APIを利用して、Meraki Cloudからイベント ログを取得します。
MerakiはSyslogを用いてSIEM製品に解析のための情報を転送できますが、Add-onではRESTful APIを用いて情報を取得しているのが特徴となります。 Meraki Dashboard APIは、Rate Limitにより一定時間にAPIを叩ける数に制約があるため、 Add-onはそのRate Limitへの考慮がなされておりログ取得間隔は最小値でも 360秒間隔 となります。 そのため、Splunk Add-on for Cisco Meraki によるログの取得にはリアルタイム性がない点に留意してください。

f:id:myhomenwlab:20220112113959j:plain
Splunk Add-on for Cisco Merakiによるログの取り込み


  • Splunk Add-on for Cisco Meraki のログ取得間隔に関しては、下記のドキュメントに仕様の記載があります。

    Configure inputs for the Splunk Add-on for Cisco Meraki - Splunk Documentation
    https://docs.splunk.com/Documentation/AddOns/released/Meraki/Configureinputs

    Filed Description
    Interval How often, in seconds, the Splunk platform calls the API to collect data. Set to 360 seconds or above to avoid rate limiting errors.
  • Meraki Dashboard APIのRate Limitに関しては、下記のドキュメントに仕様の記載があります。

    Rate Limit - Meraki-Dashboard-API-v1-Documentation - Document - Cisco DevNet
    https://developer.cisco.com/meraki/api-v1/#!rate-limit

    Per Organization
    * Each Meraki organization has a call budget of 10 requests per second.
    * A burst of 10 additional requests are allowed in the first second, so a maximum of 30 requests in the first 2 seconds
    * Rate limiting technique is based off of the token bucket model
    * Furthermore, a concurrency limit of 10 concurrent requests per IP is enforced

検証時の情報

筆者はSplunk EnterpriseとSplunk Cloudで使用感を確認しましたが、 本記事ではSplunk Cloudの検証情報をベースに記載しております。

下記は検証時の環境情報です。

  • Splunk Cloud
    Version: 8.2.2104.1
    Build: ff3783abd2ce

  • Splunk Add-on for Cisco Meraki Version: 1.1.0

Splunk Add-on for Cisco Meraki のインストール

Splunk Cloud の Brose More Apps の画面より Meraki のキーワードで検索して、 Splunk Add-on for Cisco MerakiInstall します。

f:id:myhomenwlab:20220112121419j:plain
Splunk Add-on for Cisco Meraki のインストール

設定に必要なMerakiの情報

Splunk Add-on for Cisco MerakiMeraki Cloudからログの情報を取得するにあたり必要な情報は下記の3点になります。

  • Organization Name
  • Organization ID
  • Organization API Key

f:id:myhomenwlab:20220112121826j:plain
Splunk Add-on for Cisco Meraki の設定に必要な情報の確認

これらの情報は、一般的にMeraki Dashboard APIを利用する際に必要な情報となります。 そのため、詳細な情報はMerakiのドキュメントを参照してください。

Cisco MerakiダッシュボードAPI - Cisco Meraki
https://documentation.meraki.com/General_Administration/Other_Topics/Cisco_Meraki_Dashboard_API/jp

Organization Name の情報の入手

メニュー: Organization > Settings の設定項目: Name に表示されます。

f:id:myhomenwlab:20220114184104j:plain
Organization Name の情報の入手

Organization API Key の情報の入手

メニュー: Organization > Settings の設定項目: Dashboard API access を有効化していると、 MerakiにログインしているAccount の My profile のメニューからAPI Keyを発行できます。
API Keyは一度発行すると情報がマスキングされてしまうため、適宜情報を控えて厳重に管理します。

また、もしAPI Keyが流出してしまうと、Organizationに対して不正な操作が行われる可能性があるため、 セキュリティの観点を踏まえてMeraki Dashboard APIの使用可否から検討してください。

f:id:myhomenwlab:20220112160123j:plain
メニュー: Organization > Settings の設定項目: Dashboard API access

f:id:myhomenwlab:20220112160628j:plain
Account の My profile のメニュー

f:id:myhomenwlab:20220112160820j:plain
API Key の発行 (1/2)

f:id:myhomenwlab:20220112160831j:plain
API Key の発行 (2/2)

Organization ID の情報の入手

Organization ID の情報の入手は2通りあります。

Splunk Add-on for Cisco Meraki で Organization の登録

Splunk Add-on for Cisco Meraki のAdd-onより、 Configuration 内の Organization の設定欄を開きます。

Add ボタンを押下して、前述の手順で得た下記の3点の情報を入力して Organization を登録します。

  • Organization Name
  • Organization ID
  • Organization API Key

f:id:myhomenwlab:20220112165739j:plain
Splunk Add-on for Cisco Meraki で Organization の登録 (1/3)
f:id:myhomenwlab:20220112165753j:plain
Splunk Add-on for Cisco Meraki で Organization の登録 (2/3)
f:id:myhomenwlab:20220112165931j:plain
Splunk Add-on for Cisco Meraki で Organization の登録 (3/3)

Splunk Add-on for Cisco Meraki で取得対象のログを設定

Splunk Add-on for Cisco Meraki のAdd-onより、 Inputs 内の Create New Input ボタンのポップアップからログ種別を適宜選択します。

f:id:myhomenwlab:20220112170249j:plain
Splunk Add-on for Cisco Meraki で取得対象のログを設定 (1/3)

例として Access Points のログを登録する際の画面を掲載します。

f:id:myhomenwlab:20220112170257j:plain
Splunk Add-on for Cisco Meraki で取得対象のログを設定 (2/3)

登録が完了すると下記の画面のようになります。

f:id:myhomenwlab:20220112170308j:plain
Splunk Add-on for Cisco Meraki で取得対象のログを設定 (3/3)

また、下記は全てのログ種別を登録した場合の画面の例です。

f:id:myhomenwlab:20220112174324j:plain
Inputs 画面の設定例

Splunk Add-on for Cisco Meraki でログのSearch

下記の画面は Access Points のログを検索した際のサンプル画面です。ちなみに、Add-onはログをJSON形式で取得しています。

f:id:myhomenwlab:20220112174747j:plain
Splunk Add-on for Cisco Meraki でログのSearch