cribl-mcp

Cribl MCP サーバー

Cribl API との AI 対話を可能にするモデル コンテキスト プロトコル (MCP) サーバー。

このサーバーにより、AI クライアントは標準化された MCP ツールを使用して、Cribl デプロイメントからデータ操作を検出し、呼び出すことができます。

詳細なドキュメントについては、 docs/ディレクトリをご覧ください。ドキュメントファイルの内容は以下の通りです。

• README.md (このファイル): 最高レベルの紹介、クイック スタート手順、非常に基本的な例、および docs ディレクトリへのリンクを提供します。
• docs/configuration.md : 設定に必要な環境変数と認証モードに特に焦点を当てています。セットアップに関する内容のみを記載しています。
• docs/usage.md : サーバーの実行方法（npx またはローカル開発コマンド経由）と、MCP クライアントからサーバーに接続するための設定方法に焦点を当てています。ツールの呼び出し例も示しています。
• docs/overview.md : READMEと具体的な設定/使用方法のドキュメントの間に位置し、サーバーが認証に関して提供する機能の詳細を説明しています。また、最も重要な点として、利用可能なツールとその具体的なパラメータ/出力、そして将来追加されるツールに関する詳細なリファレンスガイドも提供しています。

はじめる

ローカルにインストールして実行することも、 npx経由で即座に実行することもできます。npx npx使用すると、Git、依存関係、その他のビルドツールのインストールが不要になります。どちらのシナリオでも、Node.js バージョン16以降がインストールされている必要があります。

前提条件

このサーバーを実行するには、次の点を確認してください。

• Node.jsがインストールされている (バージョン 16 以降を推奨)
• インターネット アクセスが利用可能 (npm から MCP サーバー パッケージを取得するため)

Node.js はhttps://nodejs.orgからインストールできます。

セットアップを確認するには:

npxのクイックスタート

注意: npx実行するには、サーバーが正常に接続できるように、必須の環境変数 ( CRIBL_BASE_URLや認証の詳細など) を環境で設定するか、コマンド ラインで直接渡す必要があります。

MCP クライアントに関連する JSON や必要な変数など、高度なnpx使用構成については、 docs/usage.mdを参照してください。

地域開発

1. コードベースを保存する上位フォルダを参照します（クローンを作成すると、そのフォルダを含むフォルダが作成されます）。リポジトリをクローンします。
   git clone https://github.com/pebbletek/cribl-mcp.git cd cribl-mcp
2. 依存関係をインストールします:
   npm install
3. .env.exampleファイルをコピーし、必要な値を入力します。
   cp .env.example .env
4. mcp サーバーの実行、ビルド、起動については、usage.md > ローカル開発を参照してください。

環境変数と認証の詳細についてはdocs/configuration.md参照してください。サーバーの実行についてはdocs/usage.md参照してください。

利用可能なツール

このサーバーは、次のような Cribl と対話するためのツールを提供します。

• ワーカーグループ/フリートの一覧表示
• パイプライン構成の取得/設定
• ソース構成の取得
• ワーカーグループの再起動
• システムメトリックのクエリ（フィルタリング付き）

詳細なリストと使用手順については、 docs/usage.mdを参照してください。

使用例（プロンプト）

MCPクライアント（ Claude Desktopなど）経由で接続すると、利用可能なツールを活用した自然言語プロンプトを使用してCriblインスタンスと対話できます。以下に例をいくつか示します。

• プロンプト: what sources are we ingesting?
  (MCP クライアントにツールへのアクセスを許可する必要があります)
  • 応答は次のようになります。
    「取り込まれたソースに関するご質問にお答えするために、Cribl Stream 環境で利用可能なデータ ソースを確認させていただきます。
    <Cribl (ローカル) の cribl_getSources の結果を表示>Cribl Stream 環境でどのようなパイプラインが構成されているかも確認しましょう。
    <Cribl (ローカル) の cribl_getPipelines の結果を表示>Cribl Stream 環境から取得した情報に基づくと、取り込んでいるソースは次のとおりです。
    アクティブデータソース
    Cribl Stream インスタンスには、いくつかのデータ ソースが構成されており、注目すべきものは次のとおりです。
    1. HTTP/HTTPS ソース:
       HTTP ソース (ポート 10080)
       Cribl HTTP (ポート 10200)
       Splunk HEC (ポート 8088)...
    2. ＜など＞

    パイプライン構成
    環境には、特定のデータ タイプを処理するために構成されたパイプラインもいくつかあります。

    1. Cisco ASA イベント - Cisco ASA セキュリティ ログのフィルターとサンプル
    2. Cisco eStreamer データ - Cisco eStreamer データを処理します
    3. Palo Alto の交通イベント - Palo Alto の交通ログのフィルターとサンプル
    4. Windows イベント ログ - Windows セキュリティ イベント ログを処理します

    これらのパイプラインは、Cisco ASA ファイアウォール、Cisco eStreamer (おそらく Firepower/FTD デバイスから)、Palo Alto Networks ファイアウォール、および Windows セキュリティ イベントからネットワーク セキュリティ ログを取り込んでいることを示唆しています。
    特定のソースまたはパイプライン構成に関する詳細情報が必要ですか?

• プロンプト: what functions are processing the palo alto traffic?
  • 応答：
    「パロアルトのトラフィックを処理する機能についてさらに詳しく調べてみましょう。
    <Cribl (ローカル) の cribl_getPipelineConfig の結果を表示>Cribl Stream 環境で Palo Alto トラフィック データがどのように処理されるかの詳細な内訳は次のとおりです。
    Palo Alto トラフィックパイプライン機能
    1. 初期フィルタ（評価）:
    • フィルター: sourcetype!='pan:traffic'
    • 説明: ソースタイプが「pan」ではないすべてのイベントをショートサーキット（スキップ）します
    • これは最終関数として設定されており、条件が真であればそのイベントの処理は停止することを意味します。

    2. フィールド抽出（正規表現抽出）:

    • 正規表現パターン マッチングを使用して、生のイベントからいくつかのキー フィールドを抽出します。
      • __log_subtype: ログが開始/終了レコードであるかどうかを識別します
      • __src_zone と __dest_zone: 送信元と宛先のセキュリティゾーン
      • __transport: トランスポートプロトコル
      • __action: 実行されたアクション (許可、拒否など)
      • __bytes_in: 受信バイト数

    3. イベントのフィルタリング（ドロップ）

    • フィルター: __log_subtype=='start'
    • 説明: ログサブタイプが「開始」のすべてのイベントを削除します
    • 理由 (コメントより): 「log_subtype=start のイベントはアプリの割り当てが間違っていることが多いため、削除します。log_subtype=end には、より適切な情報が含まれています。」
    • 等。"
• プロンプト: please update the pipeline to include start events as well as end events.
  • 応答：
    「Palo Alto トラフィックパイプラインを「開始」イベントと「終了」イベントの両方を含むように構成を変更します。変更は以下のとおりです。
    <Cribl (ローカル) の cribl_getPipelineConfig の結果を表示>ここで、ドロップ機能を無効にしてコメントを更新し、「開始」イベントと「終了」イベントの両方を保持するようにパイプライン構成を更新します。
    <Cribl (ローカル) の cribl_setPipelineConfig の結果を表示>次に、ワーカー グループを再起動して、これらの変更を適用します。 <Cribl (ローカル) の cribl_restartWorkerGroup の結果を表示>Palo Alto トラフィックパイプラインは、「開始」イベントと「終了」イベントの両方を含むように正常に更新されました。変更点は次のとおりです。
    1. ドロップ機能を無効にしました:
       • __log_subtype=='start' イベントをフィルタリングしていた関数が無効になりました
       • これは、「開始」と「終了」の両方のセッションイベントが処理されることを意味します
    2. コメントを更新しました:
       • コメントを、「開始」イベントが削除された理由の説明から、トラフィックの完全な可視性を確保するために両方のイベント タイプが保持されるようになったことの説明に変更しました。
    3. ワーカー グループを再起動しました:
       • Cribl Streamワーカーグループを再起動して変更を適用しました

    更新されたパイプラインは、Palo Alto ファイアウォールからの「開始」イベントと「終了」イベントの両方を処理するようになり、トラフィックセッションの開始から完了までを完全に可視化できます。その他の処理機能（以下を含む）は引き続きご利用いただけます。

    • 主要なトラフィック属性のフィールド抽出
    • ゼロバイトトラフィックと信頼ゾーントラフィックのサンプリング
    • 信頼できない日付フィールドの削除

    Palo Alto のトラフィック データには、サンプリング ルールの効率性の利点を維持しながら、ネットワーク接続のライフサイクル全体が含まれるようになります。

ライセンス

マサチューセッツ工科大学