ガートナー社 2024年 SIEM部門のマジック・クアドラント
Splunkが10回連続でリーダーに選出された理由をこちらからご確認ください。
Splunkによる通信ネットワークの監視
はじめに
今日、通信サービスプロバイダーにとって、ネットワークの動作に関する詳細なインサイトを獲得することは、オペレーショナルエクセレンスとレジリエンスを実現するための必須要件になっています。ネットワークのパフォーマンス、信頼性、セキュリティを効果的に監視し、ほぼリアルタイムで分析するには、適切なツールが必要です。通信ネットワークは、無線アクセスネットワーク(RAN)、トランスポートネットワーク、コアネットワーク、サービス層など、さまざまなドメインで構成される複雑な多層システムです。さらに、各ドメインの層では、Cisco、Ericsson、Huawei、Nokiaなど、複数のOEMの機器が使われています。このように、多様なテクノロジーとベンダー固有の機能が混在し、そこから膨大な量のデータが生成されるため、監視には通信サービス独自の課題が生まれます。これらの層を効果的に監視するには、異なるソースのデータを相関付けて、ネットワークのパフォーマンスと健全性を一元的に可視化するための、包括的なアプローチが必要です。
Splunkは、多様なソースからデータを取り込んで処理するためのプラットフォームを提供して、通信サービスプロバイダーが直面している課題の解決を支援します。ドメインの壁を越えてネットワークを包括的に可視化することで、以下の対応を可能にします。
- 複雑なマルチベンダーネットワーク環境を監視する:通信ネットワークは複数のベンダーの機器で構成され、それぞれ異なるデータ形式や通信プロトコルを処理する固有の機能を備えています。この複雑な環境を包括的に可視化できます。
- ネットワーク管理者やセキュリティチームに役立つ情報を引き出す:Splunkの強力なサーチ、レポート、アラート、ダッシュボード機能を使って、継続的に生成されるネットワークテレメトリデータからインサイトを導出できます。
- 異機種混在のネットワークインフラを監視するための統合的なアプローチを確立する:ネットワークデータの分析を一元化できます。
このブログの目的は、Splunkで通信ネットワーク機器からネットワークテレメトリデータを効果的に収集する方法に関する広範なガイドを提供することです。以降のセクションでは、各種のデータ収集方法、各手法でサポートされるネットワークプロトコル、すぐに使えるコネクターや関連アプリケーション、通信ネットワーク環境に固有の大量データの管理戦略、通信分野でのSplunkの活用事例をご紹介します。
Splunkでのネットワークテレメトリ取り込みのコアメカニズム
Splunkでは、ネットワークデータを収集する複数の方法が用意されています。必要なデータやネットワーク機器の機能に応じて、それぞれ独自のメリットがあります。これらの方法を取り入れて、通信環境内のさまざまなデータソースやデータ収集構成の設定に対応できます。
ユニバーサルフォワーダー:ネットワーク機器や中間サーバーに直接インストールする軽量エージェントです。主な機能は、システムログ、アプリケーションログ、パフォーマンスメトリクスなど、さまざまなソースからデータを収集し、処理と分析のためにSplunkインデクサーに安全に転送することです。ユニバーサルフォワーダーは、LinuxやWindowsをはじめ、通信インフラでよく使われる幅広いオペレーティングシステムと互換性があります。
HTTPイベントコレクター(HEC):HTTPまたはHTTPSプロトコルを介してアプリケーションのイベントやログをSplunkに直接送信するための安全で効率的な方法を提供します。トークンベースの認証モデルによってデータ転送が保護されます。この方法は特に、ネットワーク機器やネットワーク管理システムで実行されるカスタムアプリケーションに適しています。HECは大量のイベントを処理できる設計を特徴とするため、通信ネットワークでの大規模になりがちなデータストリームに適しています。
Splunk Connect for Syslog (SC4S):Syslogデータを取り込むための、コンテナ化された最新のアプローチを実現します。SC4Sの実体は、コンテナ内にカプセル化された事前設定済みのSyslogサーバー(syslog-ngベース)です。このフレームワークでは、標準化された取り込みパイプラインが用意されているため、多数のネットワークデバイスからSyslogデータを収集するプロセスを簡素化できます。
Splunk Connect for SNMP (SC4SNMP):SC4Sと同様のコンテナ化された最新のソリューションで、ネットワークデバイスからSNMPデータを収集できます。ネットワークエッジに導入し、高可用性を維持するとともに、Splunk Enterprise、Splunk Cloud、Splunk Infrastructure Monitoringとシームレスに統合するように設計されています。SC4SNMPの重要なメリットは、ユーザーが手動でSNMPクエリーを作成することなく、ネットワークデバイスのインターフェイスとパフォーマンスメトリクスに関するコンテキスト豊富な情報を取得できることです。
OpenTelemetry Collector:テクノロジーに依存せずに、ログ、メトリクス、トレースを含むテレメトリデータを受信、処理、エクスポートできます。パイプラインの概念をベースにしており、レシーバーがデータを収集し、プロセッサーが収集データを処理して、エクスポーターが処理済みデータをSplunkなどのバックエンドシステムに送信します。OpenTelemetry CollectorのSplunkディストリビューションは、オープンソースプロジェクトを拡張したもので、特定のベンダーやプラットフォームに合わせたコンポーネントを組み込むことでさまざまな環境からデータを収集できるように強化されています。OpenTelemetryの重要なメリットは、オブザーバビリティデータの形式を標準化して、ベンダーロックインを最小限に抑えることができる点です。
Splunk Stream:NetFlowやIPFIXなどの重要プロトコルを含め、ネットワークパケットデータをキャプチャするためのアプリケーションです。DPI (ディープパケットインスペクション)によって、キャプチャしたネットワークトラフィックから豊富なプロトコル属性を抽出できます。この機能は、リアルタイムのトラフィック分析、セキュリティ監視、ネットワーク通信に関する詳細なインサイトの導出に非常に役立ちます。
このようにさまざまな取り込み方法を利用でき、通信ネットワークでよく使われる幅広いデータソースやプロトコルに柔軟に対応できるのがSplunkの特徴です。通信サービスプロバイダーは、データの種類、ネットワークデバイスの機能、監視目標に基づいて、自社に最適な方法を選択できます。また、通信業界では、拡張性が高く管理が容易な最新のデータ収集アーキテクチャへの移行が進み、コンテナ化されたソリューションへの注目が高まっています。SC4SやSC4SNMPなど、このタイプのソリューションは、通信ネットワークで一般的な、大規模で動的な環境に特に適しています。
次の表に、ネットワークデータでよく使われるプロトコルとそのデータの収集方法を示します。
| プロトコル | 方法 | 収集データ | 通信ネットワークでの一般的な用途 | Splunkでの収集方法 |
| Syslog (UDP/TCP) | ネットワークデバイスからSplunkにシステムログを送信 | デバイスのステータス、イベント、エラー | ネットワークデバイスや管理システムからの運用イベント、セキュリティアラート、デバッグ情報の収集 | Splunk Connect for Syslog (SC4S)、ユニバーサルフォワーダーによるSyslogポートでのリッスン、解析用のベンダー固有のTA(必要な場合) |
| SNMP (ポーリングとトラップ) | Splunkからデバイスにポーリングしてパフォーマンスメトリクスを収集 | インターフェイス統計、CPU/メモリー使用状況 | デバイスの健全性とパフォーマンスの監視(CPU、メモリー、インターフェイス統計)、設定の取得 | Splunk Connect for SNMP (SC4SNMP)、ユニバーサルフォワーダーでのSNMPモジュール入力、NetFlow and SNMP Analytics for Splunk App |
| NetFlow (v5、v9)、IPFIX | デバイスからネットワークトラフィックフロー情報を送信 | 送信元/宛先IP、ポート、トラフィック量 | ネットワークトラフィック分析、帯域幅監視、キャパシティプランニング、セキュリティ調査、トラフィックパターンの特定 | Splunk Stream App、ベンダー固有の設定またはTA (必要な場合)、NetFlow and SNMP Analytics for Splunk App、Atlas ITSI Content Pack for Netflow |
| ストリーミングテレメトリ(gRPC、プロトコルバッファ) | デバイスからSplunkにデータをリアルタイムでプッシュ | リアルタイムの詳細データ | 高頻度でタイムリーなインサイトの導出 | |
| パケットキャプチャ(PCAP) | キャプチャされたネットワークをSplunkで分析 | パケットレベルの詳細情報 | 詳細なトラブルシューティング、セキュリティ分析 | |
| ベンダー固有のAPI (HTTP/HTTPS) | SplunkとベンダーAPIを統合 | デバイス固有のデータ | Webベースの管理インターフェイスでの操作、REST API経由のデータエクスポート(サポートされている場合) | HTTP Event Collector (HEC)でのAPIデータの収集、Webインターフェイスをスクレイピングするためのスクリプト入力(必要な場合) |
| ログファイル(SSH) | Splunkでデバイスのログファイルを取り込み | 運用データ、履歴レコード | 豊富なコンテキスト情報の収集 | |
| Diameter/RADIUS | Splunkで認証データやアカウンティングデータを収集 | ユーザー認証、認可、アカウンティング情報 | モバイルネットワーク管理(LTE、5G)に不可欠 |
次の表に、Splunkでネットワークテレメトリを収集するためのOEM別の方法を示します。
| OEM | サポートされる主なテレメトリプロトコル | Splunkでの推奨される収集方法 | 関連するSplunk App/アドオン |
| Ericsson | Syslog、SNMP | ユニバーサルフォワーダー/SyslogサーバーへのSyslogの転送、SNMPポーリング/トラップ、HEC (サポートされる場合) | 利用可能なアドオンなし |
| Nokia | Syslog、SNMP、gNMI | ユニバーサルフォワーダー/SyslogサーバーへのSyslogの転送、SNMPポーリング/トラップ、gNMIとの統合(必要に応じてゲートウェイ経由)、HEC経由のNetwork Services Platform (NSP) | NSPのアプリケーションログ転送 |
| Cisco | Syslog、SNMP、NetFlow/IPFIX、gRPC/NETCONF | ユニバーサルフォワーダー/SC4SへのSyslogの転送、SNMPポーリング/トラップ、NetFlow/IPFIX収集、モデル駆動型テレメトリ(MDT)との統合 | Cisco Networks App for Splunk Enterprise、Cisco Networks Add-on for Splunk Enterprise |
| Juniper | Syslog、SNMP、NetFlow/IPFIX、JTI (Junos Telemetry Interface)(gRPC/OpenConfig)、Webフック | ユニバーサルフォワーダーへのSyslogの転送、SNMPポーリング/トラップ、NetFlow/IPFIX収集、JTI/gRPCとの統合、HEC経由のWebフック | Splunk Add-on for Juniper |
| Fortinet | Syslog、SNMP、FortiTelemetry | ユニバーサルフォワーダー/SyslogサーバーへのSyslogの転送、SNMPポーリング/トラップ | Fortinet FortiGate App for Splunk、Fortinet FortiGate Add-On for Splunk |
| F5 | Syslog、SNMP、iControl REST API、テレメトリストリーミング(HTTP/HTTPS)、High Speed Logging | ユニバーサルフォワーダー/SC4SへのSyslogの転送、SNMPポーリング/トラップ、アドオン経由のiControl REST API、HEC経由のテレメトリストリーミング | Splunk Add-on for F5 BIG-IP、F5 Analytics App |
| Extreme Networks | テレメトリ | 各種のインテグレーション(ベンダーのWebサイトを確認、SplunkBaseのリストになし) | TCP入力、NetFlowストリーミング、Syslogの取り込み、SplunkBaseにアーカイブされたApp |
| Arista | テレメトリ | SplunkBaseのベンダーインテグレーション | Arista Networks Telemetry App For Splunk |
| Infoblox | 資産情報 | ベンダーインテグレーション | Infoblox Gridmanager Networks Input App for Splunk |
ネットワークテレメトリデータを収集するための技術的アプローチ
Splunkにデータを取り込む方法とその特徴をご紹介します。
- ユニバーサルフォワーダーのインストール:データを収集するデバイス(ネットワーク機器、サーバーなど)にSplunkユニバーサルフォワーダーをインストールします。フォワーダーは、ローカルでデータを収集し、Splunkインデクサーに送信します。これは、拡張性と信頼性が非常に高い方法で、特に大量のデータを扱う場合に適しています。フォワーダーでは、いくつかの基本的な前処理も実行できます。
- Syslogイベントの転送:SyslogデータをSyslogコレクター(専用サーバーまたはSplunk自体)に送信するようにネットワークデバイスを設定します。Splunkでは、Syslogデータを直接取り込むことも、rsyslogやSplunk Connect for Syslog (SC4S)などのコレクター経由で取り込むこともできます。コレクターでは、Syslogを処理するための高度な機能が提供されます。
- ベンダーAPIの使用:多くのネットワークデバイスとシステムが、データにアクセスするためのAPI (RESTfulなど)を提供しています。スクリプトまたはSplunkのHTTPイベントコレクター(HEC)を使って、これらのAPIから送られるデータを受信し、Splunkに取り込むことができます。この方法は、特定の構造化データを収集する場合に便利です。
- データベース統合:データベースにデータを保存するタイプのデバイスでは、Splunk DB Connectを使ってデータを抽出し、Splunkでインデックス化できます。この方法では、リレーショナルデータベースからデータを取り込むことができます。
- HTTPイベントコレクター(HEC):HTTPまたはHTTPSリクエストを使ってデータをSplunkに直接送信します。HECは効率的で拡張性が高く、特にアプリケーションやクラウドサービスからデータを送信する場合に適しています。
- ストリーミングテレメトリ:ストリーミングテレメトリは、gRPCなどを使ってデータをリアルタイムでプッシュする手法です。この機能をサポートするネットワークデバイスが増えています。Splunkでは、この高速なデータを取り込んで、きめ細やかに監視を行うことができます。
- メッセージキュー:メッセージキューシステム(Kafka、RabbitMQなど)と統合して、ネットワークデバイスやシステムからパブリッシュされるデータを処理できます。これにより、データ取り込みのステップを分離し、拡張性を高めることができます。
Splunkにデータをオンボーディングするための推奨事項とベストプラクティス
ネットワークテレメトリデータを収集するためにSplunkを効果的に設定および最適化するための推奨事項とベストプラクティスをご紹介します。
- 標準プロトコルを優先する:まずは、SyslogとSNMPの使用を検討します。これらのプロトコルはほとんどのネットワークデバイスで、運用イベントやデバイスのステータスを報告する方法として幅広くサポートされています。
- Splunkコネクターを活用する:Splunk Connect for Syslog (SC4S)やSplunk Connect for SNMP (SC4SNMP)を活用すれば、ネットワークデバイスからのデータ収集を簡素化し、拡張性を高めることができます。
- SplunkBaseを十分に調べる:SplunkBaseを広範囲に検索して、ベンダー専用のAppやテクノロジーアドオン(TA)がないかどうかを調べます。これらのAppやTAでは、統合プロセスを効率化したり、ネットワーク内のOEMデバイス用に構築された専用のダッシュボードやレポートを利用したりできることがあります。
- ベンダーのドキュメントを参照する:Splunkに適切にデータをエクスポートできるように、OEMが提供する公式ドキュメントを参照して、各デバイスでのSyslog、SNMP、NetFlow/IPFIXの詳しい設定方法を確認します。
- CIMを使ってデータを正規化する:収集したテレメトリデータをSplunk共通情報モデル(CIM)にマッピングします。この方法で正規化すれば、異なるソースやベンダーのデータをSplunkプラットフォーム内で一貫した方法で分析および相関付けできるようになります。
- 効果的なフィルタリングを行う:ヘビーフォワーダーやその他のデータ補強ツールを利用して、Splunkインデクサーにデータを取り込む前に不要なデータや冗長なデータを排除します。これにより、データの全体量を減らして、インデックスのパフォーマンスを最適化できます。
- データ保持ポリシーを最適化する:規制要件、コンプライアンス基準、特定のビジネスニーズに基づく明確で適切なデータ保持ポリシーを定義します。これにより、データが膨大になりがちな通信ネットワーク環境でストレージコストを適正化できます。
- データ転送のセキュリティを確保する:Splunkに機密のテレメトリデータを転送する際に、TLS (Transport Layer Security)など、適切なプロトコルを使って接続をセキュリティ保護することで、データの機密性と完全性を担保します。
- Splunkのパフォーマンスを常時監視する:Splunkインフラ自体の健全性とパフォーマンスを継続的に監視して、通信ネットワークでのデータ取り込みや分析要求が効果的に処理される環境を維持します。
- Splunkコミュニティに参加する:Splunkコミュニティのフォーラムに積極的に参加し、利用可能なリソースをフル活用して、通信環境のネットワークテレメトリに固有のベストプラクティスやソリューションについて情報収集します。
通信ネットワーク業界でのSplunkの活用事例
複雑なネットワーク運用を効果的に管理するために、世界中の通信サービスプロバイダーがSplunkを活用しています。Splunkプラットフォームの汎用性の高さと通信サービスプロバイダーにとっての具体的なメリットを示す代表的な事例をいくつかご紹介します。
Telenor社:大手通信サービスプロバイダーのTelenor社は、Splunkを導入することで、インシデント調査を強化し、トラブルシューティングプロセスを効率化して、セキュリティ態勢を向上させました。Splunkの導入は、ビジネスクリティカルな問題の簡単ですばやい解決、セキュリティ能力の強化、全体的なサービスの可用性向上などのメリットにつながっています。また、Telenor社のネットワーク運用チームは、Splunkダッシュボードを活用して、ネットワークの健全性を可視化し、エラーイベントや異常なパターンをプロアクティブに監視しています。
CenturyLink社(現Lumen Technologies社):CenturyLink社も、ミッションクリティカルな監視のためにSplunkを導入して、ITとビジネスの運用状況を経営幹部向けにより効果的に可視化できるようになり、インシデント解決時間も大幅に短縮しました。Splunkの導入により、内製アプリケーションとサードパーティアプリケーションが混在する複雑な環境を一元的に監視できるようになりました。また、課金システムのパフォーマンスやエラーに関するリアルタイムのインサイトを得られるようになり、DevOps担当者の運用効率が向上しました。さらに、コールセンターを支援するためのリアルタイムのダッシュボードを構築して、担当者が自らパフォーマンスを評価し、手順の問題を特定できるようにすることで、問題の初期評価におけるITチームへの依存度を減らすことができました。
これらの事例はいずれも、Splunkが通信サービス業界の幅広い用途に対応する、実績ある確立されたソリューションであることを証明しています。Telenor社やCenturyLink社などの企業が達成した成果は、最新の通信インフラの複雑さに対処して、インシデント対応、サービスの可用性、全体的な運用効率の具体的な改善を実現するという、Splunkの実用的なメリットを明白に示しています。その点で、Splunkは通信サービス事業において、包括的なオブザーバビリティを実現し、データに基づく意思決定を促進する、戦略的な資産と言えます。
Splunkが通信サービスプロバイダーにもたらすメリットについて詳しくは、こちらのWebサイトをご覧いただくか、Splunkの営業窓口までお問い合わせください。
最後までお読みいただきありがとうございました。
Gaurav Gupta
業界ストラテジスト(通信/リテール担当)
関連記事
Splunkについて
Splunkプラットフォームは、データを行動へとつなげる際に立ちはだかる障壁を取り除いて、オブザーバビリティチーム、IT運用チーム、セキュリティチームの能力を引き出し、組織のセキュリティ、レジリエンス(回復力)、イノベーションを強化します。
Splunkは、2003年に設立され、世界の21の地域で事業を展開し、7,500人以上の従業員が働くグローバル企業です。取得した特許数は1,020を超え、あらゆる環境間でデータを共有できるオープンで拡張性の高いプラットフォームを提供しています。Splunkプラットフォームを使用すれば、組織内のすべてのサービス間通信やビジネスプロセスをエンドツーエンドで可視化し、コンテキストに基づいて状況を把握できます。Splunkなら、強力なデータ基盤の構築が可能です。
XでSplunkとつながる
@splunkをフォロー
