【ITニュース解説】#DAY 6: Closing the On-Prem Loop
2025年09月12日に「Dev.to」が公開したITニュース「#DAY 6: Closing the On-Prem Loop」について初心者にもわかりやすく解説しています。
ITニュース概要
オンプレミス環境で企業サーバーのログを収集するSplunk Universal Forwarderを設定した。クラウドから自社サーバーへデータ転送先を切り替え、自己完結型ラボを構築。Windowsファイアウォール設定が重要だったが、正しく設定し、ログをSplunkで確認することに成功した。
ITニュース解説
このニュース記事は、システムエンジニアを目指す方々が習得すべき重要な技術、企業ITインフラにおけるデータ収集の仕組みを解説している。Splunkという分析ツールを活用し、オンプレミス環境のサーバーからログデータを収集・分析可能にするための一連の作業と注意点を学ぶ内容だ。
データ収集には「Splunk Universal Forwarder」というプログラムを用いる。これは監視対象のサーバーにインストールされ、その機器で発生するログやイベント情報を自動的に集め、Splunkの本体であるSplunk Enterpriseへ転送する。このフォワーダーを設定することで、システムの状態やセキュリティイベントなどを一元的に監視できるようになり、問題発生時の迅速な検知や原因特定に役立つ。今回の目的は、Universal Forwarderを企業のサーバーに適切に設定し、収集データを効率的かつ安全に、指定されたSplunkの集約サーバー(インデクサー)に送ることにある。これにより、ITシステムの可視化と高度な監視・予測の活用基盤を築く。
これまでの作業では、データをクラウド上のSplunkサービスに送っていたが、今回は自己完結型の実験環境構築のため、オンプレミス環境でのデータ収集に切り替える。オンプレミスとは、自社でサーバーを所有・管理する形態だ。具体的には、Windows Server上にインストールしたSplunk Enterpriseに対し、フォワーダーからデータを送る構成に変更する。これは外部サービスに依存しない環境を構築する意図があり、実際の企業環境を模倣するため、実務経験を積む上で価値がある。
Universal Forwarderのインストールでは、データを送る先の指定が特に重要だ。インストーラーで「Receiving Indexer」等を求められる際、オンプレミスSplunk EnterpriseサーバーのIPアドレス(例: 192.168.1.50)とデータ受け取り用のポート番号(例: 9997番)を入力する。ポート番号はデータ通信経路を指定し、サーバー側での開放が必須だ。
インストール後に設定変更が必要な場合、CLIを使って手動で設定し直せる。管理者権限のPowerShellでフォワーダーのディレクトリに移動し、splunk add forward-server <IPアドレス>:<ポート番号>コマンドで、送付先のサーバーとポートを変更できる。
多くのオンプレミス環境でのラボ構築が失敗する主な原因は、Windows Firewallの設定にある。フォワーダーとSplunk Enterpriseの設定が正しくても、Windows Firewallはデフォルトで、外部からの特定のポートへの接続をブロックする。今回のケースでは、データを受け取る9997番ポートへの接続がファイアウォールによって遮断される可能性が高い。これはセキュリティ機能であり、ネットワーク上の基本原則だ。
この問題を解決するには、Splunk Enterpriseが稼働するWindows Server上で、Windows Firewallに新しい「受信の規則」を作成し、9997番ポートへの接続を明示的に許可する必要がある。具体的には、「Windows Defender ファイアウォールと詳細なセキュリティ」を開き、「受信の規則」から「新しい規則」を作成する。規則の種類は「ポート」を選び、プロトコルを「TCP」、特定のローカルポートを「9997」と指定する。その後、「接続を許可する」を選択し、規則を適用するプロファイルを全て選び、規則に分かりやすい名前を付けて完了する。
これらの設定変更を有効にするため、Universal Forwarderのサービスを再起動する。フォワーダーの実行ファイルがあるディレクトリでsplunk restartを実行し、その後splunk statusで正常稼働を確認する。さらに、フォワーダーのログファイル(splunkd.log)をtailコマンドで確認し、「Connected to peer」といった接続成功メッセージを探す。
最終的なデータフローの確認は、Splunk EnterpriseのWebインターフェース(localhost:8000)で行う。ログイン後、検索窓にindex=* | stats count by hostと入力して実行する。検索結果に、Universal Forwarderをインストールしたサーバーのホスト名が表示されれば、エンドポイントからネットワークを経由し、クラウドに依存せずにデータがSplunkサーバーに正常に流れていることが確認できる。
今回の作業は、ソフトウェアのインストールだけでなく、ネットワークの基本的な仕組み、特にファイアウォールの設定がいかに重要であるかを示す。システムエンジニアにとって、アプリケーション設定能力に加え、基盤となるインフラを正しく理解し設定するスキルは非常に価値が高い。