Splunkの次世代型データサーチと前処理用言語「SPL2」のご紹介

データのサーチと前処理のための強力な言語であるSPLの次なる進化版として、サーチ処理言語バージョン2 (SPL2)が、Splunk EnterpriseおよびSplunk Cloud Platformにて全世界でご利用いただけるようになりました。SPL2は、Cisco Data Fabricをサポートする唯一の言語として、アナリスト、アプリケーション開発者、データ管理者に、データとやり取りするための強力で柔軟かつ直感的な方法を提供します。

SPLの強力な機能をさらに進化させたSPL2は、転送中のストリーミングデータと保存中のデータの両方に対してシームレスな変換操作を行えます。Splunk Edge Processor、Ingest Processor、SPL2サーチ&レポーティングAppで提供されるサーチとモジュール編集のための統合エディタなど、Splunkエコシステム全体に統合されたSPL2は、データへのアクセス、データの前処理や変換の方法に新たな基準を確立します。

Splunk EnterpriseとSplunk Cloud Platformでは長年にわたり、ログやメトリクスの調査と監視のための最高水準のクエリー言語であるSPLをユーザーに提供してきました。プラットフォームの管理者にとって扱いやすいSPLの構文は、セキュリティ、インフラ、アプリケーションの監視に不可欠であり、さらにはその強力さと柔軟性が、高いスキルを持つ熱心なアナリストや管理者のエコシステムを育んできました。ですが、SPLは強力な言語である一方で、ユーザーからはかねてより生産性を向上させるための機能強化が求められてきました。これには、データベースやSQLの経験を持つユーザーがSplunkプラットフォームで容易にSPLを習得できるようにすること、複雑な調査やデバッグに適したユーザーエクスペリエンスを提供すること、そしてSPL作成時に製品からより有効なフィードバックが表示されるようにすることが含まれます。

また、管理者や開発者からは、データ共有の制限を克服するための優れた管理ツール、サーチやナレッジオブジェクトの再利用に関する改善、そして低品質のデータを特定して修正するための効果的なツールが求められてきました。さらに、セキュリティ部門やIT部門は、異なるストレージ形式やアクセスパターンを持つクラウドオブジェクトストアの普及が進む中で、あらゆるデータにアクセスできる統一的な方法をこれまで以上に必要としていました。

^{このスクリーンショットは、SQLに似たSPL2の構文の実例を表しており、Splunkプラットフォーム内でユーザーが馴染みのある直感的な方法でクエリーを作成できることを示しています。SQLの経験があるユーザーにとってSPL2が使いやすく、データのサーチや分析がより容易かつ効率的に行えることがわかります。}

SPL2は、これらの問題をはじめとする多くの問題を解決できるよう設計されています。サーチとストリーム処理の統一言語であるSPL2は、Splunkインデックス内のデータサーチと、ストリーム内でのデータの前処理の両方を共通の構文で実現します。SPL2は、使い慣れたSPL同様の構文に加え、SQLに似た構文もサポートするため、データの保存場所を問わずにデータを処理できることはもちろん、受信データの前処理、変換、ルーティングもすべて同じ言語で行うことができます。

SPL2のマルチステートメント「モジュール」エディタは、豊富なオートコンプリート機能、製品内ドキュメント、そして直感的なポイント＆クリック操作によるユーザーエクスペリエンスを提供します。これにより、初心者から経験豊富なユーザーまで、SPL2言語に関する深い知識がなくても、SPL2構文を簡単に作成できます。ユーザーはこれらのモジュールを活用して、複数のサーチを連結した包括的な調査フローを構築でき、効率的な根本原因分析を行ったり、関連するサーチをグループ化したりできます。アナリストはそのすべてを、サーチのたびに複数のタブを切り替えることなく行えます。

SPL2の習得について心配する必要はありません。SPL2はSPLと非常に似ているため、ユーザーはSPL2内にSPLを埋め込んで記述したり、ポイント＆クリックで操作できるコンバーターを使用して、必要に応じてSPLをSPL2に変換したりできるため、SPLの知識や構築済みのカスタマイズされたSPLクエリーのライブラリを引き続き活用できます。

^{これは、SplunkアナリストがSPL2モジュールエディタを使用し、複数のサーチステートメントを単一の効率的なワークフローの形に連結してインシデント分析を実行する様子です。これにより、効率的な調査と分析プロセスにおける各ステップの明確なドキュメント化が可能になります。}

業界に変革をもたらすSPL2の機能は、管理者や開発者のワークフローも刷新します。データビューを使用すると、管理者はインデックスに対してSPL2ベースの「ビュー」を定義し、個別に権限を付与できるため、きめ細かなデータ共有が可能になり、インデックスの肥大化を抑えることができます。また、カスタム構築されたSPL2データタイプを使用することで、ユーザーは低品質のデータを特定し、Edge ProcessorとIngest Processorを使用して条件に基づいてストリーミングデータから削除することができます。

一方、パワーユーザーや開発者は、プログラミング言語のように関数宣言を用いてカスタム関数を作成し、Splunkエコシステム全体で再利用できるように共有することができます。さらに、map、reduce、filterを使用して複雑なネスト構造のJSONを変換する強力なラムダ式が含まれた最新のJSON処理機能も利用できます。

^{これは、Splunk管理者がインデックスに対してSPL2ベースのビューを簡単に作成しエクスポートする方法を示しています。これらのビューでは柔軟な権限設定が行えるため、Splunkエコシステム全体での安全で正確なデータ共有と、データ管理の簡素化を実現できます。}

Splunkのサーチソリューション(Splunk EnterpriseとSplunk Cloud Platform)やストリームソリューション(Edge ProcessorとIngest Processor)でSPL2を使用することで、単一の言語でデータエコシステムを高度に制御できます。SPL2はサーチソリューションと取り込みソリューションで相互に再利用できるため、管理者はサーチ中にデータの問題を検出し、同じロジックを再利用することで、取り込み時に上流でそれらの問題を軽減できます。SPL2は「一度学べばどこでも使える」言語です。これによって、お客様はセキュリティとオブザーバビリティの環境全体にわたる投資を合理化し、製品ごとに専任チームを設けるのではなく、複数の製品や領域にまたがるスキルセットを備えた、組織の中枢チームを構築できます。

SPL2では、アナリストや管理者だけでなく、開発者もSPL2モジュールファイルを使用してSplunkアプリケーションをカスタマイズできるようになります。これらのモジュールを使用すると、開発者は、厳選されたデータ、カスタム関数、データ品質の検証、そしてユーザー向けにパッケージ化されたすぐに使えるビューを備えたアプリを提供できます。アプリのエコシステムを強化することで、SPL2は開発者がより充実した分析機能と効率的なワークフローをユーザー向けに構築できるようにします。

SPL2の登場により、Splunkユーザーはデータとのやり取りを簡素化し、ワークフローを効率化し、データエコシステム全体にわたってより深いインサイトを引き出せる比類のないツールを手に入れました。SQLに似た直感的なクエリー言語を求めているアナリスト、厳格なデータガバナンスを追求する管理者、より機能豊富なアプリケーションの構築を目指す開発者のいずれにとっても、SPL2はSplunkのエクスペリエンスをさらなる高みへと引き上げるツールとなります。

この次世代言語をぜひご活用ください！今すぐSplunk EnterpriseとSplunk Cloud PlatformでSPL2を使用する方法を探索し、試してみましょう。詳細や利用制限については、Splunkの包括的なドキュメントをご覧ください。

SPL2についてさらに詳しく知りたい、またはSPL2の経験を共有したい場合は、SplunkのSlackコミュニティの#spl2チャネルにご参加ください。

このブログはこちらの英語ブログの翻訳、山村 悟史によるレビューです。