SplunkにはRest APIがあるので、RからAPIを叩いてデータを取得することができます。しかしRate Limitなど、考慮しなくてはいけない事項があります。SplunkにはPython SDKがありますがR用のSDKはないので、このあたりを手作業で解決しなければいけません。面倒です。

そこで、MSTICPyをデータ取り込み機として使うことを考えます。MSTICPyはMicrosoftによる情報セキュリティ実務家向けJupyter Notebookの拡張版みたいな存在ですが、Microsoft SentinelやSplunkにクエリを投げてPandasデータフレームに変換する機能を持っています。ここに便乗するのです。

このためには、RからPythonオブジェクトが透過的に扱えるReticulateパッケージを使います。キワモノっぽく感じるかもしれませんが、TensorFlow for Rでも使われている手法で、Posit社によって積極的に維持されています。

RPubs「MSTICPyでSplunkからデータを取り込む」