Event iQのご紹介：Splunk IT Service Intelligence (ITSI)のイベントの相関付けをもっとスマートに

ITチームは毎日、洪水のようなアラート、つまりパフォーマンスの問題、サービス障害、不審なアクティビティに関する何千ものメッセージを受け取ります。通知があまりにも多いため、その状況に圧倒されて、重大な問題を見逃したり、誤検知のアラートの追跡に時間を浪費したりする事態に容易に陥ってしまいます。アラートを相関付けしてグループ分けすれば、ノイズを減らして全体像を把握するのに役立ちますが、その相関関係を定義する作業自体に、多くの時間と経験、そしてシステムやそれにまつわる過去の経緯などについての豊富な知識も必要になります。この問題を解決するのが、Splunk IT Service Intelligence (ITSI)のEvent iQです。

過剰なアラートとサイロ化するシグナル

現代のIT環境はかつてないほど複雑さが増しています。クラウドサービス、オンプレミスインフラ、ネットワークシステム、増大するアプリケーションスタック。これらすべてを健全な状態で運用することが今日のIT運用チームの責務です。新しいシステムを導入すれば例外なく、アラートや通知の数が増えていきます。ITチームは毎日のように、何百、場合によっては何千という数のアラートを受け取ることになります。

しかし、これらのアラートの大部分は、それのみで問題の全体像を伝えるものではありません。より大きな問題の兆候について警告するアラートもあれば、重複するアラートや、アラート対策が貧弱であるために発生するアラートも数多くあります。たとえば、ベースラインの設定が適切でないために誤検知が発生する場合や、ビジネスに影響しない些細な事象にアラートが設定されている場合などです。コンテキストがなければ、どのアラートが緊急でどのアラートはそうでないかを知ることは不可能です。ITチームが直面する主な問題は次のとおりです。

• ノイズが多すぎて身動きが取れない：決定的に重要なアラートが膨大な数の通知に埋もれてしまい、ノイズの中からシグナルを見分けることが困難になります。
• 複数ドメインにまたがる複雑な環境：複数のドメインや多種多様なシステムから送られてくるデータを統合し、アラートを管理するには、さまざまなツールやインターフェイスを切り替えながら操作しなければならず、対応の遅れや運用リスクの増大につながります。
• 貴重な時間の浪費：ITスタッフは、手作業でのアラートの並べ替え、確認、相関付けに何時間も費やしていますが、それは、本来であれば目の前の問題を解決するために使えたはずの時間です。
• 全体像を把握できない：関連するアラートがサイロ化した環境に分散している状態では、互いに孤立しているように見える複数の問題が、実際には共通の根本原因に起因していることを突き止めるのは困難です。
• 対応の遅れ：トリアージと状況把握に時間がかかるほど、正常なオペレーションを回復するまでの時間が長くなり、顧客やビジネスに影響が及ぶ可能性も高まります。

こうした問題の結果として、チームは誤検知や重複するアラート通知の追跡に忙殺され、状況が悪化するまで重大な問題が見逃されたままになってしまいます。デジタルビジネスのペースと複雑さが増大しているため、手作業でアラートを管理する従来のアプローチでは、とても対応できません。

これらのアラートをイベント別にグループ分けすると、アラートノイズを効果的に減らせます。ガートナー社が提唱したAIOpsというカテゴリをご存知でしょうか？これは最近では、イベントインテリジェンスという名称に置き換わりましたが、この用語を聞いたことがある方ならすぐにご理解いただけるでしょう。アラートのグループ分けは、アラートノイズを減らして、環境全体で何が起こっているかを明確に知るための優れた方法ですが、そのための相関関係を作成するには膨大な時間がかかる上に、環境、ドメイン、およびそれらの関係についての詳細な知識も必要になるという問題があります。この問題の解消に役立つのがSplunk ITSIのEvent iQです。

Event iQがイベントの相関付けを自動化

Event iQでは、AIを活用してアラートの相関付けを行うことでアラートノイズを減らします。関連するアラートをグループ分けし、重大なインシデントを際立たせ、チームが必要とするコンテキストを追加することで、問題の本質を把握して、より短時間でトリアージを行うことができるようになります。Event iQの機能を支えているのがAIです。AIは柔軟性に欠ける手動のルールに頼るのではなく、実際のデータから学習し、パターンを見つけて重要度順にフィールドをランキングします。その結果、精度が高まり、手作業が減り、より信頼性の高いインシデント対応を迅速に実施できるようになります。

Event iQには以下のようなメリットがあります。

• 手作業と複雑さの大幅な削減：関連するアラートを自動的にグループ化、そしてコンテキストを付与するため、即座にインシデントを理解できるようになります。
• アラートノイズの削減による調査の迅速化：Event iQが自動的にアラートノイズを削減しコンテキストを付与することでチームは即座にインシデントを理解し、次のアクションを迅速に決定できます。
• 明瞭さと透明性：タイトルが動的に生成され、相関構成の説明がプレーンテキストで表示されるため、それぞれのアラートがどのような理由でグループ化されているのかを簡単に理解することができます。
• よりスマートなグループ分け：Event iQはアラートデータを分析し、最も関連性の高い情報を抽出してランキングし、関連するアラートを各グループに分類します。こうしてグループ化されたものは「エピソード」と呼ばれます。
• 自動アクション：エピソードを作成したら、解決済みのインシデントのクローズ、重要なインシデントのエスカレーションなど、自動応答のルールを設定できます。

ノイズをすばやく簡単に排除して、最も重要な問題に集中できるようにしましょう。

今すぐITSIのEvent iQでAIを活用し、アラートに埋もれてしまうことなく、常に先回りしてインシデントに対応できる体制を整えてください。

詳細は、次のビデオ(英語)でお確かめください。

さらに詳しい情報および具体的な作業手順については、Splunk ITSIのドキュメントをご覧ください。

#splunkconf25のハッシュタグが付いたツイートをぜひご確認ください。

@splunkをフォロー

このブログはこちらの英語ブログの翻訳、山村 悟史によるレビューです。