マシンデータからインサイトをを導き出す最も簡単で最短のソリューション
製品機能
データからインサイトを得るには特別な機能が必要です。Splunk Enterpriseに搭載されているSIEM製品としての強力な機能と特徴をご紹介します。また、価格体系については、こちらをご覧ください。
監視とアラート
監視
イベント、システムの状況、重要な KPI を継続的に監視することで、スムーズな運用を維持することができます。また、検索を定期的に実行してダッシュボードにリアルタイムで表示し、チームや経営陣に最新情報を提供できます。その他にも、Splunkbase App ストアには IT、セキュリティ、アプリケーション環境を監視するためのすぐに使えるダッシュボードが揃っています。
アラート
アラート機能を使用すると、重大なイベントをリアルタイムで通知したり、切迫した状況が発生する前にそれを認識することができます。さらに Splunk のカスタムアラート処理機能を利用することで、アラートが発生した時に、その後のアクション (メール送信や修復スクリプトの実行など) を自動的に開始できます。このようなカスタムアラートは、さまざまな条件 (データのしきい値や、ショッピングカートでの反応、ブルートフォースアタック(総当たり攻撃)、不正行為などの行動パターン認識に基づいてさまざまな角度から設定できます。
ダッシュボードと可視化
絶え間なく生成される膨大なデータを利用している昨今では、データの意味を効率的に解釈する方法が求められています。ダッシュボードをカスタマイズしてデータを効果的に可視化することで、データが持つ意味を明確に判断し、それに基づいて対策を進めることができます。
ダッシュボード
ダッシュボードには、データの持つ意味を包括的に表示するためのチャート、ビュー、レポート、テンプレートとして利用可能なパネルが統合されています。ダッシュボードを構築してパーソナライズすることで、さまざまなユーザーに最も関連性のある情報を表示できます。経営陣、ビジネスアナリストやセキュリティアナリスト、監査役、開発者、運用チームに対し、同じデータをそれぞれの業務に応じて異なる方法で表示することが可能です。Splunk Mobile App を使用すれば、外出中でもダッシュボードやレポートにアクセスできます。
可視化
チャートなどのさまざまな表示方法を選択することで、データが持つ意味を説得力のある実用的な方法で伝えることができます。複雑なデータには直感的なチャートとインタラクティブな表示方法が適しています。これによって問題点や好機、あるいは潜在的な問題点を特定できるようになります。
メトリクス
数値データポイントを長期にわたって取得するメトリクスは、ログより効率的に圧縮、保存、処理、取り込みが可能です。メトリクスは重要なデータとして標準でサポートされており、拡張やパフォーマンスレビューに適しています。メトリクスデータを使用することで、全体的なスピードが過去のリリース (バージョン 7.0 以前) より 20 倍以上向上します。
Machine Learning Toolkit (MLTK)
内蔵された Splunk 分析機能を使用するか、独自に構築した機械学習モデルを使用して、ビジネスに大きな影響を与える問題に取り組むことができます。Splunk Machine Learning Toolkit のガイドに従えば、カスタムモデルを簡単に構築できます。機械学習モデル用の API やロールベースのアクセスコントロールに加え、さまざまな活用方法に適用可能なすぐに使えるアルゴリズムも含まれています。もちろんオープンソースの Python ライブラリの機械学習アルゴリズムも使用できます。
レポート作成
レポートは、ダッシュボード内でリアルタイムで作成することも、任意の間隔で作成するようスケジュール設定することもできます。さらに、PDF レポートなどの読み取り専用の形式に保存して、安全に共有できます。また、ODBC 経由でデータを共有することも可能です。
ストレージ
Splunk Enterprise では、ニーズに基づいてデータをアーカイブしたりストレージを階層化することができます。また、コールドデータや使用されていないデータを Hadoop に取り込むこともできます。Splunk のアーキテクチャは複数サイトでのクラスタリング、高可用性、およびディザスタリカバリー構成にも対応しており、可用性を継続的に維持できます。
さらに、データ蓄積するためのコストは分析予算の大部分を占めているため、Splunk Enterprise では、Splunk のサーチ機能を維持しながら履歴データのストレージコストを最大 80% 削減する 2 つのオプションを提供しています。ひとつは、Splunk 内に履歴データを保持し、ほとんど分析されることがないコールドデータのデータフットプリントを削減する方法です。もうひとつは、既存の Hadoop または Amazon Simple Storage Service (Amazon S3) データレイクにデータを取り込む方法です。
インテグレーション
エンタープライズインテグレーション
任意のアプリケーションに Splunk レポートとデータを組み込むことも、Splunk の ODBC 統合を使用して Microsoft Excel や Tableau などのアプリケーションから Splunk データにアクセスすることもできます。また、Splunk のアラート機能により、チケットシステムやその他のシステムでアクションを自動的に開始することも可能です。さらに、充実した SDK を使用すれば、Splunk のデータと機能を独自の方法で統合できます。
ユーザー認証
Splunk ソフトウェアでは SAML 統合がサポートされているため、主要なアイデンティティプロバイダーを使用したシングルサインオンを導入できます。また、Okta、PingFederate、Azure AD、CA SiteMinder、OneLogin、Optimal IdM といったさまざまなプロバイダー用に事前構成されており、サポート対象は今後も拡大される予定です。その他にも LDAP、Active Directory、e-Directory などの認証システムとも連携するほか、Duo の 2 段階認証もサポートしています。
ストレージの最適化
データを蓄積するためのコストは分析予算の大部分を占めているため、Splunk Enterprise では、Splunk のサーチ機能を維持しながら履歴データのストレージコストを最大 80% 削減する 2 つのオプションを提供しています。ひとつは、Splunk 内に履歴データを保持し、ほとんど分析されることがないコールドデータのデータフットプリントを削減する方法です。もうひとつは、既存の Hadoop または Amazon Simple Storage Service (Amazon S3) データレイクにデータを取り込む方法です。
拡張
Splunk Enterprise は分散アーキテクチャに基づいています。コモディティサーバーを水平方向に拡張すると、ユーザーとデータ量を無制限にサポートできます。垂直方向に拡張すれば、使用可能な CPU の能力を活用してサーチとインデックス化の処理速度と向上させ、容量を拡張できます。
Splunk Enterprise の Splunk 監視コンソールは、トポロジービューやシステムステータス、健全性のアラートなどの監視インターフェースを備えた包括的なシステムです。オンプレミス環境のすべてのコンポーネントを監視できます。これらのコンポーネントのステータス、パフォーマンス、容量、相互接続性が 1 つのインターフェースに表示されるため、管理者はソリューションの運用と効率性を最適化できます。
サポート
Splunk が最も重視するのはお客様の成功です。Splunk は、お客様のビジネスニーズに対応するさまざまなサポートサービスやプロフェッショナルサービスを提供しており、お客様が Splunk の真の価値を活用できるよう支援します。
認定
データ処理に従事するユーザーには、従うべき協会や団体、指標があるはずです。Splunk は、GDPR、PCI DSS、HIPAA、SOC 3 のいずれに関してもコンプライアンスを報告できるように設計されており、データセキュリティの維持について業界団体から認定されています。
App とアドオン
Splunkbase は、Splunk、Splunk パートナー、Splunk コミュニティが作成した 1,000 以上の App とアドオンを提供します。多くのデータソースやユースケースに対応する App やアドオンが見つかりますが、ここでは特にお勧めの App を 3 つご紹介します。
始めましょう
Splunk ソフトウェアのいくつかの基礎的な側面を理解すれば、状況を把握できます。データが取り込まれる仕組みや、Splunk の Search Processing Language (SPL) を使用してマシンデータを検索する方法、初心者が利用できる Splunk 教育コースなどをご確認ください。
データを取り込む
Splunk ソフトウェアには、標準またはカスタムのさまざまな入力方法が用意されており、あらゆるデータタイプを取り込むことができます。ファイルベースのデータであれば、データソースに直接常駐するフォワーダー経由で送信できます。一方、DevOps や IoT、その他の異なるソースからのデータの場合は、イベントコレクタ API または TCP/UDP ポートを使用して直接取り込めます。モジュール入力やその他の方法を使用して、API ベースのソースからデータを取り込むことも可能です。また、一般的な IT、セキュリティ、アプリケーションのデータソースであれば、Splunkbase で提供されている数百種類もの無料 App とアドオンを使用して、直接データを取り込んで分析することができます。
Splunk のトレーニング
Splunk のトレーニングでは、特定の Splunk トピックに関するコースや、初心者からパワーユーザーまでの段階に沿ったコースを開催しています。調査のためのキーワード検索から始めて、多彩なレポートを作成方法、データを一から可視化したりできます。ラーニングパスは、エンドユーザー向けのトピックから構成されたものもあれば、ユーザーのプロビジョニング、データソースの入力、システム設定など、Splunk Enterprise (オンプレミス) や Splunk Cloud の管理に特化したものもあります。
Splunk Search Processing Language (SPL)
価格体系
任意のインデックス作成容量をご購入いただけます。ボリューム割引もご用意しており、データをより多く取り込むほど、取り込んだデータ 1 GB 当たりの価格が下がります。
Splunk Enterprise ソフトウェアの価格は、インストールしたSplunk Enterpriseに送信される 1 日当たりのデータ量に基づいて決定されます。Splunk に送信する 1 日当たりの最大データ量を予測して、購入するライセンス規模をお選びください。この価格モデルでは、1 回のお支払いでデータをインデックス化し、それらのデータに対し無制限に検索を実行できます。データはいつまでも保存しておくことが可能です。
ライセンス
Splunk にはPerpetual License*とTerm License というライセンス形態があります。Perpetual License*の場合、1 回のライセンス料の支払いで Splunk Enterprise を無期限でご利用いただけます。期間ライセンスの場合、一定の期間内 (通常は 1 年間) に限り、Splunk Enterprise へのアクセスと使用が許可されます。
*2019年11月1日より、全てのSplunk製品とサービスは、Term License に切り替わります。今後、Perpetual Licenseの販売は行いません。詳細はこちら(英語)をご覧ください。