【検証】Splunk MCP Serverと生成AIを連携！AIエージェントが自律的にデータ分析する未来とは？

こんにちは！ IDCフロンティア運用システム部の森田です。

昨今、生成AIの進化は目覚ましく、様々な業務での活用が期待されています。特に、システム運用やデータ分析の現場では、膨大なログやメトリクスデータの中から、いかに迅速にインサイトを導き出すかが課題となっています。

「自然言語で指示するだけで、AIが自律的にデータを調査・分析し、原因と対策まで提案してくれたら…」

そんな未来を実現する可能性を秘めた技術が、AI企業のAnthropic社などが提唱するオープン標準プロトコルMCP (Model Context Protocol)です。

今回は、このプロトコルを実装したSplunk MCP Serverを当社の検証環境に導入し、Googleの「Gemini 2.5 Pro」とAnthropicの「Claude Sonnet 4.5」という2つの強力な生成AIと連携させることで、どのようなことが可能になるのかを実際に試してみました。

本記事では、その検証手順から見えてきたAIエージェントの可能性まで、詳しくご紹介します。

MCP (Model Context Protocol) とは？

まず、「MCPって何？」という方も多いかと思います。

MCP (Model Context Protocol) は、AI企業のAnthropic社が中心となって発表した、大規模言語モデル（LLM）と外部ツールやシステムが安全かつ双方向に連携するためのオープン標準プロトコルです。今回ご紹介する「Splunk App for MCP Server」は、このMCPをSplunkプラットフォーム上で実現するためのアプリケーションとなります。

これまで、生成AIに社内データを扱わせるには、セキュリティやデータ連携の方法など、多くのハードルがありました。MCPは、その名の通り、AIモデルがデータソースの「コンテキスト（文脈）」を理解するための共通言語（プロトコル）として機能し、LLMがSplunkのデータに安全かつ効率的にアクセスするための橋渡し役を担います。

Splunk MCP Serverを導入すると何が変わるのか？

Splunk MCP Serverを導入し、生成AI（LLM）と連携させることで、以下のようなことが可能になります。

自然言語によるデータ検索・分析: 「昨日のエラーログをまとめて」「直近1時間のCPU使用率をグラフにして」といった日常的な言葉で、Splunk内のデータを検索・可視化できます。
AIによる自律的な調査: 複雑な問題が発生した際に、AIが関連するログやメトリクスを横断的に調査し、原因の仮説を立て、対策案まで提示してくれます。
専門知識の民主化: Splunkの検索言語（SPL）に習熟していないエンジニアやマネージャーでも、対話形式で高度なデータ分析を行えるようになります。

まさに、データ分析の専属アシスタント（AIエージェント）を手に入れるようなものです。

実際に検証してみた

それでは、実際の検証手順を見ていきましょう。

1. 環境準備：Splunk MCP Serverのインストール

今回は、IDCFクラウド上に構築した検証環境のSplunk Enterpriseに、Splunkbaseで公開されている「Splunk App for MCP Server」をインストールしました。インストールは通常のSplunk Appと同様、非常に簡単です。

2. 設定情報の確認とAPI Tokenの発行

インストール後、Appのダッシュボードに表示されるconfig情報（サーバーアドレスなど）をメモしておきます。これは後ほど、MCPクライアント側で設定する際に必要になります。

次に、MCPクライアントがSplunk MCP Serverに接続するための認証情報として、SplunkのAPI Tokenを発行します。

3. AIエージェントとの連携

今回は、特性の異なる2つのクライアントで連携を試してみました。

ケース1：Gemini CLI (Linux環境)

CUIベースで利用できるGoogleのGemini CLIをLinux環境で試しました。システム運用担当者がサーバー上で作業するシーンを想定しています。

設定は非常にシンプルで、ホームディレクトリ配下の .gemini/settings.json ファイルに、先ほどメモしたMCP Serverの情報を追記するだけです。

{
  "mcpServers": {
    "splunk-mcp-server": {
      "command": "npx",
      "args": [
        "-y",
        "mcp-remote",
        "https://splunk_fqdn:8089/services/mcp",
        "--header",
        "Authorization: Bearer  <Your Token>"
      ],
      "env": {
        "NODE_TLS_REJECT_UNAUTHORIZED": "0"
      }
    },
  "security": {
    "auth": {
      "selectedType": "gemini-api-key"
    }
  }

実際に、「SplunkのIndexからSplunk自体のシステムのLogを検索してErrorログ/Warnログの原因と対策を教えて」と指示してみると、Geminiから「Splunkのデータを検索して良いですか？」という許可を求めるプロンプトが表示されました。ユーザーの承認なしに勝手に外部データへアクセスしない、セキュアな設計になっていることがわかります。

許可すると、Geminiは自律的にSplunkにクエリを発行し、ログを分析し始めました。CUIベースなので、システム運用中にサーバーの状況を調査したり、関連システムのログやメトリクスを横断的に確認したりする用途に向いていそうです。

補足：自己証明書環境での接続エラーについて

検証環境のSplunkなどで自己証明書を使用しており接続Errorが出る場合は設定ファイルに環境変数 "NODE_TLS_REJECT_UNAUTHORIZED": "0" を追加してみましょう。

 ✖ Error during discovery for server 'splunk-mcp-server': MCP error -32000: Connection closed

※ この設定は本番環境での使用は推奨されていないのであくまで検証目的で使用してください。

ケース2：Claude desktop (Windows Server環境)

次に、GUIベースでリッチな表現が可能なAnthropicのClaude desktopを、Windows Server環境で試しました。データアナリストやマネージャーがレポートを作成するようなシーンを想定しています。

こちらも、Claude desktopの設定画面から「Integrations」を選択し、Splunk MCP Serverの情報を追加するだけで準備は完了です。

{
  "mcpServers": {
    "splunk-mcp-server": {
      "command": "C:\\Program Files\\nodejs\\npx",
      "args": [
        "-y",
        "mcp-remote",
        "https://splunk_fqdn:8089/services/mcp",
        "--header",
        "Authorization: Bearer <Your Token>"
      ],
      "env": {
        "NODE_TLS_REJECT_UNAUTHORIZED": "0"
      }
    }
  }
}

Claudeに「Splunkのデータ取り込み量の推移をグラフにして」と指示したところ、見事なグラフと共に分析結果を提示してくれました。Splunkで検索したデータを基に、Claudeがグラフィカルなレポートを自動生成する様子は圧巻です。

このように、データの検索、分析、可視化といった一連の作業を、すべて自然言語での対話を通じて行えるため、非常に直感的で効率的です。

補足：自己証明書環境での接続エラーについて

Server disconnected. For troubleshooting guidance, please visit our [debugging documentation](https://modelcontextprotocol.io/docs/tools/debugging) { metadata: { context: 'connection', stack: undefined } }

※ この設定は本番環境での使用は推奨されていないのであくまで検証目的で使用してください。