SplunkサーチでサードパーティのLLMサービスを使ってインサイトをすばやく獲得

Greg Ainslie-Malik

私たちはこの数年間、基盤LLM (大規模言語モデル)の価値を目の当たりにしてきました。インターネット上のコンテンツに基づく一般知識を基盤LLMから得られるようになり、それによってあらゆる知識労働者の生産性が大きく高まったのです。

Splunkのお客様は、このたびリリースされた最新版のMachine Learning Toolkit (MLTK) 5.6により、Splunkデータを使ってこうした基盤LLMの力を活用できるようになりました。例えば、以下のようなことを頼めるのです。

調査の必要があるエラーログについて説明する
一連の受信アラートに優先順位を付ける
ユーザー別のログイン試行回数を多い順に並べる
ほか多数(可能性に限りはありません)

ここで注意しておきたいのは、入力したデータはLLMサービスプロバイダーに送信されるということです。また、基盤LLMは汎用目的でトレーニングされており、セキュリティやオブザーバビリティのユースケースに特化されてはいないことにもご注意ください。

このブログ記事では、MLTK 5.6を使ってLLMサービスをSplunkと統合する方法と、その統合を活用するための手始めとなるアイデアをいくつかご紹介します。

MLTK 5.6の新機能

MLTK 5.6では、生成AIをサーチパイプラインに組み込むために役立つ新機能がいくつか追加されています。簡単に言えば、外部LLMに接続したうえで、新しいサーチコマンドを使ったサーチでそのLLMを利用できます。その名も「ai」というサーチコマンドです。

LLMコネクター

MLTK 5.6には、[Connection Management]という新しいタブが追加されています。このタブで、外部でホストされているLLMへの接続を設定できます。現時点では、OpenAI、Azure OpenAI、Anthropic、Groq、Gemini、Amazon Bedrock、Ollamaが接続先としてサポートされています。

特定のプロバイダーへの接続に必要なものは、そのプロバイダーのURLとアクセス情報(トークンなど)のみです。接続後は、以下のような制御項目を設定してプロバイダーの利用を管理できます。

リクエストのタイムアウト
1回のサーチで処理できるSplunkデータの最大行数
1回のSplunkサーチで使用できるトークンの最大数

こうした設定により、Splunk内から外部LLMを利用する際の制御について基本的なスロットリングを指定できます。

`ai`コマンドによるAIへの指示

LLMプロバイダーとの接続を確立した後は、Splunkサーチでaiコマンドを使ってそのプロバイダーを利用できます。Splunkデータを外部LLMへのプロンプトに埋め込めるため、SplunkデータをLLMからのインサイトで補強する際の柔軟性が高まります。

複数のLLMプロバイダーが設定されている場合は、サーチ時にproviderとmodelオプションを使って、利用するプロバイダーを指定できます。

サーチ

ここで、外部LLMへのデータ送信は自己責任であることに注意してください。この件については、OWASPが良心的にも、さまざまなリスクと軽減策を分かりやすくまとめてこちらで公開しています。Splunkではロール機能も新しく追加し、Splunk環境でaiコマンドを使えるユーザーを限定できるようにしました。ぜひご活用ください。

セキュリティが特に気になる場合は、Ollamaインスタンスを自前のインフラで実行するという方法も、効果的な対策となります。また、外部LLMの利用には、そのプロバイダーとの契約条項が適用されることにも注意してください。

ONNXの適用

MLTKの既存の機能について、今回のリリースではONNXの適用機能にいくつかのアップデートがあります。MLTKでONNXモデルを使って、多変量出力を予測できるようになりました。さらに、ONNXモデルをREST API経由でアップロードすることで、モデルトレーニング用のあらゆる既存デプロイパイプラインとの統合が一層簡単にできるようになりました。

MLTK 5.6を活用したSplunkユースケースのアイデア

サーチでLLMを活用しましょうと言われても、多くの場合は具体的なイメージがつかみにくいかもしれません。そこで、Splunkの新たなユースケースのアイデアに役立つ例をいくつか挙げてみました。

ユースケース

MLTK 5.6の始め方

それはとても簡単なことで、SplunkBaseにアクセスして最新のMLTKリリースをダウンロードするだけです。

MLTKの活用方法をもっと知りたい場合は、E-book『AIと機械学習を活用したセキュリティユースケース』と『ユースケース入門ガイド：Splunk AIによるオブザーバビリティの強化』をご覧ください。

Splunkのメリットをどうぞお試しください。

このブログはこちらの英語ブログの翻訳、山村悟史によるレビューです。

Greg Ainslie-Malik

Greg is a Machine Learning Architect at Splunk where he helps customers deliver advanced analytics and uncover new ways of insight from their data. Prior to working at Splunk he spent a number of years with Deloitte and before that BAE Systems Detica working as a data scientist. Before getting a proper job he spent way too long at university collecting degrees in maths including a PhD on “Mathematical Analysis of PWM Processes”. When he is not at work he is usually herding his three young lads around while thinking that work is significantly more relaxing than being at home…

AI 12 分程度

自然言語処理の概要

このブログ記事では、自然言語処理(NLP)の歴史、定義、ユースケースなどについて解説します。

AI 8 分程度

SOAR & DSDL：エージェンティックAIワークフローの設計と実行

本ブログでは、Splunk SOARを活用し、Splunk App for Data Science and Deep Learning（DSDL）のLLM-RAG機能に基づいたエージェンティックAIワークフローの設計と実行の可能性について検討してみました。

AI 5 分程度

LLMとSLM：大規模言語モデルと小規模言語モデルの違い

今日の言語モデルは、ChatGPTをはじめとする主要なAIの基盤になっています。このブログ記事では、LLMとSLMの違いについて詳しく説明します。

Splunkについて

Splunkプラットフォームは、データを行動へとつなげる際に立ちはだかる障壁を取り除いて、オブザーバビリティチーム、IT運用チーム、セキュリティチームの能力を引き出し、組織のセキュリティ、レジリエンス(回復力)、イノベーションを強化します。

Splunkは、2003年に設立され、世界の21の地域で事業を展開し、7,500人以上の従業員が働くグローバル企業です。取得した特許数は1,020を超え、あらゆる環境間でデータを共有できるオープンで拡張性の高いプラットフォームを提供しています。Splunkプラットフォームを使用すれば、組織内のすべてのサービス間通信やビジネスプロセスをエンドツーエンドで可視化し、コンテキストに基づいて状況を把握できます。Splunkなら、強力なデータ基盤の構築が可能です。

Splunkの詳細はこちら

SplunkサーチでサードパーティのLLMサービスを使ってインサイトをすばやく獲得