SIEM製品であるSplunk Enterprise / Splunk Cloudに、Meraki向けのAdd-onがあったので挙動と設定例を紹介します。
本記事執筆時点 (2022年01月頃)でMeraki向けのAdd-onは複数存在しておりましたが、その中でもSplunk Supportedである Splunk Add-on for Cisco Meraki を本記事で扱います。
目次
- 目次
- Splunk Add-onの情報
- Splunk Add-on for Cisco Meraki の挙動
- 検証時の情報
- Splunk Add-on for Cisco Meraki のインストール
- 設定に必要なMerakiの情報
- Splunk Add-on for Cisco Meraki で Organization の登録
- Splunk Add-on for Cisco Meraki で取得対象のログを設定
- Splunk Add-on for Cisco Meraki でログのSearch
Splunk Add-onの情報
Splunk Add-on for Cisco MerakiのDownloadページ
Splunk Add-on for Cisco Meraki | Splunkbase
https://splunkbase.splunk.com/app/5580/Splunk Add-on for Cisco MerakiのドキュメントAbout the Splunk Add-on for Cisco Meraki - Splunk Documentation
https://docs.splunk.com/Documentation/AddOns/released/Meraki/About(2022年09月05日の時点でリンク切れ)
https://docs.splunk.com/Documentation/AddOns/released/Meraki/AboutAddon
Splunk Add-on for Cisco Meraki の挙動
Splunk Add-on for Cisco Meraki はMeraki Dashboard APIを利用して、Meraki Cloudからイベント ログを取得します。
MerakiはSyslogを用いてSIEM製品に解析のための情報を転送できますが、Add-onではRESTful APIを用いて情報を取得しているのが特徴となります。
Meraki Dashboard APIは、Rate Limitにより一定時間にAPIを叩ける数に制約があるため、
Add-onはそのRate Limitへの考慮がなされておりログ取得間隔は最小値でも 360秒間隔 となります。
そのため、Splunk Add-on for Cisco Meraki によるログの取得にはリアルタイム性がない点に留意してください。
Splunk Add-on for Cisco Merakiのログ取得間隔に関しては、下記のドキュメントに仕様の記載があります。Configure inputs for the Splunk Add-on for Cisco Meraki - Splunk Documentation
https://docs.splunk.com/Documentation/AddOns/released/Meraki/ConfigureinputsFiled Description Interval How often, in seconds, the Splunk platform calls the API to collect data. Set to 360 seconds or above to avoid rate limiting errors. Meraki Dashboard APIのRate Limitに関しては、下記のドキュメントに仕様の記載があります。
Rate Limit - Meraki-Dashboard-API-v1-Documentation - Document - Cisco DevNet
https://developer.cisco.com/meraki/api-v1/#!rate-limitPer Organization
* Each Meraki organization has a call budget of 10 requests per second.
* A burst of 10 additional requests are allowed in the first second, so a maximum of 30 requests in the first 2 seconds
* Rate limiting technique is based off of the token bucket model
* Furthermore, a concurrency limit of 10 concurrent requests per IP is enforced
検証時の情報
筆者はSplunk EnterpriseとSplunk Cloudで使用感を確認しましたが、 本記事ではSplunk Cloudの検証情報をベースに記載しております。
下記は検証時の環境情報です。
Splunk Add-on for Cisco Meraki のインストール
Splunk Cloud の Brose More Apps の画面より Meraki のキーワードで検索して、
Splunk Add-on for Cisco Meraki を Install します。
設定に必要なMerakiの情報
Splunk Add-on for Cisco Meraki がMeraki Cloudからログの情報を取得するにあたり必要な情報は下記の3点になります。
- Organization Name
- Organization ID
- Organization API Key
これらの情報は、一般的にMeraki Dashboard APIを利用する際に必要な情報となります。 そのため、詳細な情報はMerakiのドキュメントを参照してください。
Cisco MerakiダッシュボードAPI - Cisco Meraki
https://documentation.meraki.com/General_Administration/Other_Topics/Cisco_Meraki_Dashboard_API/jp
Organization Name の情報の入手
メニュー: Organization > Settings の設定項目: Name に表示されます。
Organization API Key の情報の入手
メニュー: Organization > Settings の設定項目: Dashboard API access を有効化していると、
MerakiにログインしているAccount の My profile のメニューからAPI Keyを発行できます。
API Keyは一度発行すると情報がマスキングされてしまうため、適宜情報を控えて厳重に管理します。
また、もしAPI Keyが流出してしまうと、Organizationに対して不正な操作が行われる可能性があるため、 セキュリティの観点を踏まえてMeraki Dashboard APIの使用可否から検討してください。
Organization ID の情報の入手
Organization ID の情報の入手は2通りあります。
2022年01月頃時点では、Organization IDはMeraki Dashboardの画面下部に表示されています。
Meraki Dashboardの画面下部の Organization ID の表示 もしくは、Meraki Dashboard APIにてOrganization IDを入手します。
下記のMeraki Dashboard APIの一覧のページを活用すると、スクリプトを書かなくても簡単にOrganization IDの情報を出力できます。Introduction - Meraki-Dashboard-API-v1-Documentation - Document - Cisco DevNet
https://developer.cisco.com/meraki/api-v1/#!get-organizationsConfigurationのメニューを押下します。
Meraki Dashboard APIによるOrganization IDの入手 (1/5) API Keyの情報を指定します。
Meraki Dashboard APIによるOrganization IDの入手 (2/5) Get OrganizationsのAPIでRunボタンを押下して実行します。
Meraki Dashboard APIによるOrganization IDの入手 (3/5) 正常に実行されると
Responseに200 OKのコードが表示されます。
Meraki Dashboard APIによるOrganization IDの入手 (4/5) この画面の例では、Organization Name: DevNet Sandbox は Organization ID が 549236 と読み取れます。
Meraki Dashboard APIによるOrganization IDの入手 (5/5)
Splunk Add-on for Cisco Meraki で Organization の登録
Splunk Add-on for Cisco Meraki のAdd-onより、
Configuration 内の Organization の設定欄を開きます。
Add ボタンを押下して、前述の手順で得た下記の3点の情報を入力して Organization を登録します。
- Organization Name
- Organization ID
- Organization API Key
Splunk Add-on for Cisco Meraki で取得対象のログを設定
Splunk Add-on for Cisco Meraki のAdd-onより、
Inputs 内の Create New Input ボタンのポップアップからログ種別を適宜選択します。
例として Access Points のログを登録する際の画面を掲載します。
登録が完了すると下記の画面のようになります。
また、下記は全てのログ種別を登録した場合の画面の例です。
Splunk Add-on for Cisco Meraki でログのSearch
下記の画面は Access Points のログを検索した際のサンプル画面です。ちなみに、Add-onはログをJSON形式で取得しています。
