はじめに

どこどこJPをSplunkからも利用することができるDocoDoco for Splunk Advanceの導入方法と操作方法をご紹介します。

Splunk とは

Splunkはログ等のデータ分析において、データの収集・分析・可視化を総合的に扱うことができるデータプラットフォームです。詳細はスプランク|データを実行に変える (splunk.com)を確認ください。

DocoDoco for Splunk Advance とは

DocoDoco for Splunk Advance は、Splunk Enterprise および Splunk Cloud Platform 上でどこどこJPのサービスを利用するためのアドオンです。弊社サービス「どこどこJP」はIPアドレスに対して国や都道府県市区町村、企業名や業種、回線といった計55種類の地域情報や組織情報、環境を付加することが出来るサービスです。DocoDoco for Splunk AdvanceをインストールすることでSplunk上のサーチコマンドからどこどこJPの属性情報が参照できます。
DocoDoco for Splunk Advance | Splunkbase
どこどこJP公式サイト | IP Geolocation and IP Intelligence API (docodoco.jp)

事前準備

Splunk® Enterprise もしくは Splunk® Cloud Platform

Splunkの環境を用意します。今回はAWS上で用意したSplunk® Enterpriseへの導入について説明します。

※Splunk Cloud Platform をご利用の場合も導入手順は同じです。

どこどこJPへの登録

どこどこJP利用には登録が必要となります。
どこどこJP アカウント登録の流れ：ご利用登録 | IP Geolocation API どこどこJP (docodoco.jp)

※Splunkで利用する場合はREST版の利用が必要となります。
※API利用登録後、REST利用の旨をカスタマーサポートまでご連絡お願いいたします。またREST版のご利用価格は料金表をご確認ください。

DocoDoco for Splunk Advance の導入手順

1. DocoDoco for Splunk Advance のインストール

Splunk の管理画面にログインし、「他のAppを閲覧」ページで「DocoDoco for Splunk Advance」と検索します。

本アドオンが検索結果に表示されますので、「インストール」を押下します。

2. どこどこJPのAPIキーを確認

どこどこJPのAPIキーを確認します。APIキーはどこどこJP管理画面より確認できます。

key1 （APIキー1）, key2 （APIキー2） を「3. APIキーを設定」の手順で使用しますので、手元に控えてください。

3. APIキーの設定

DocoDoco for Splunk Advance を利用する際に必要などこどこJP APIキーの設定を実施します。

まず、Splunk 管理画面の上部にある「App」をクリックし、「DocoDoco for Splunk Advance」を選択します。

設定画面が表示されますので、前の手順で控えておいたAPIキー1, APIキー2を入力し、「更新」ボタンを押下します。

更新が成功すると「APIキーの設定が完了しました」と表示されます。

5. ユーザの権限設定

docodoco コマンドの実行には list_storage_passwords 権限が必要です。
管理者以外のユーザが docodoco コマンドを利用できるようにしたい場合は、ユーザに list_storage_passwords 権限を付与してください。

以上で DocoDoco for Splunk Advance の導入は完了です。

操作方法

DocoDoco for Splunk Advance のインストールおよび設定が完了すると、 docodoco コマンドが使用可能になります。

docodoco コマンドシンタックス

docodoco ipfield=<string>

引数: ipfield
どこどこJPの結果を付加したいIPアドレスが入っているフィールドを指定します。
必須の引数です。

動作例

以下はダミーのイベントに対して、 docodoco コマンドを利用してどこどこJPの結果を追加するサンプルです。

| makeresults | eval ip="8.8.8.8" | docodoco ipfield=ip

サーチコマンド利用例

都道府県ごとの構成割合を算出

index=myservice_access_logs | top limit=100 ip | docodoco ipfield=ip | eval prefName=coalesce(PrefJName, PrefAName) | stats sum(count) as count by prefName | sort count desc

市区町村ごとの位置情報を判定

index=myservice_access_logs | top limit=100 ip | docodoco ipfield=ip | geostats latfield=CityLatitude longfield=CityLongitude count

製品ページにアクセスした企業情報を集計

index=myservice_access_logs uri="/product/index.html" | stats count by ip | docodoco ipfield=ip | search BCFlag=b | fields OrgName OrgPrefCode OrgCityCode OrgZipCode OrgAddress OrgTel OrgFax StockTickerNumber OrgDate OrgIndustrialCategoryL OrgUrl OrgDomainName DomainType | sort -count

製品ページにアクセスした企業の業種大分類を判定

index=myservice_access_logs uri="/product/index.html" | stats count by ip | docodoco ipfield=ip | search BCFlag=b | stats count by OrgIndustrialCategoryL | sort -count

アクセス元の回線を判定

index=myservice_access_logs | top limit=100 ip | docodoco ipfield=ip | stats sum(count) as count by LineJName | sort -count

匿名ネットワークからのアクセスを集計

index=myservice_access_logs | stats count by ip | docodoco ipfield=ip | where "Name@AnonymousNetwork_5" != "" | stats sum(count) as count by "Info@AnonymousNetwork_5" | sort -count

まとめ

• SplunkでどこどこJPのデータを取得できます。※どこどこJPの利用には登録（有料）が必要です。
• 導入はアプリをインストールしてキーを設定するだけですぐに利用できます。
• 検索も簡単なサーチコマンドで利用できます。

注意

DocoDoco for Splunk の利用次はSplunkのサーバからどこどこJPへHTTPSリクエストが発生するため、インターネット接続環境が必要です。Splunk Enterpriseをご利用のお客様で外部との通信が制限されている場合にDocoDoco for Splunkを実行したい場合は、別途お問い合わせください。