Splunk（スプランク）とは？ログの有効活用により先進的システム運用を実現

　皆さんはSplunkをご存じでしょうか。ITシステム運用をされている企業では、一度は見聞きしたことがあるという方も少なくないと存じます。
　本コラムでは、機能説明や事例を中心にSplunkの有用性をご説明します。

Splunk（スプランク）とは？ログやSPLの有効活用により先進的システム運用を実現

　SplunkはSplunk社が開発した統合ログ管理ソリューションであり、あらゆるITシステムから生成されるマシンデータを収集しSPLを使って、「検索」「分析」「可視化」を実現します。マシンデータとは、会社のデータセンターにあるようなオンプレミスのサーバーや情報システムのログなどあらゆる機器から出力されるデータです。
　Splunkではマシンデータをはじめとするさまざまなデータを分析することができるため、迅速なインシデントの原因解析・可視化が可能となります。

Splunkの製品ラインアップ

　Splunkにはさまざまな製品が存在します。
　ハイブリッド環境に対応し、膨大なデータの分析が可能。Splunk独自のアドオンから導入企業に適したものを選択することもできる統合プラットフォームに特化したSplunk Platform群である、Splunk Cloud PlatformとSplunk Enterprise。

　高度な分析機能や、出力された脅威情報分析結果をもとに、脅威判定・一次対応・影響範囲調査・トリアージを自動化し、高度なセキュリティを実現できるSplunk Security群である、Splunk Attack Analyzer、Splunk Enterprise Security、Splunk SOAR。

　平均調査時間を削減でき、インシデント対応にかける工数も短縮できるオブザーバビリティに特化したSplunk Observability群である、Splunk Application Performance Monitoring、Splunk Infrastructure Monitoring、Splunk IT Service Intelligence。

　また、Splunkの複数機能を搭載しており、複雑な産業データをわかりやすく表示し、組織のダウンタイムを最小限に抑え、よりプロアクティブな運用とコスト削減を実現できるSplunk for Industrial IoTなど、今回だけでは書き切れないほどのSplunk製品が存在し、企業ごとの利用用途に合わせた製品を選択することで、より高度なデータの利用が実現できます。

　今回のコラムではこの製品の中で最もスタンダードな製品であるSplunk Enterpriseを中心に機能のご紹介をさせていただきます。

Splunkの機能

　ここからは、実際の機能についてご説明します。

1. ITシステムからのデータ収集

　Splunkは、サーバーログやファイアウォールの認証ログなど、あらゆるデータを収集することができます。取り込めるデータの種類が多いだけでなく、データの収集方法もさまざまな方式に対応しています。ログファイルが保存されているディレクトリを監視してログを取り込んだり、HTTPイベントを活用して取り込んだりできます。収集したデータはインデックス化されて一元管理されます。

2. データの検索・分析「SplunkのSPL」

　SPL （Search Processing Language） というSplunk社独自のサーチコマンドを実行することで膨大なログデータからほしい情報を高速検索できます。
　また、検索結果をリアルタイムで表示することができるため、問題の迅速な特定と解決が可能です。拡張性も高く、多数のアドオンが用意されており、機械学習などの高度なデータ分析を行えます。
　例えば、機械学習を使用して、データの傾向やパターンを分析することもでき、分析結果から異常なパターンを自動的に検出するといったことも可能です。


サーバーのアクセスログを検索する一例

3. データの可視化

　Splunkでは、棒グラフや円グラフ、時系列チャートなど、さまざまな形式で可視化することができます。
　これらを使用することでデータを視覚的に表現できるようになり、障害に結び付く傾向や予兆を迅速に把握することもできます。
　また、複数の情報を同時に可視化するためのダッシュボードも作成できます。


ネットワーク機器の可視化・分析の一例


Splunkで選択できる可視化オプションの一例

4. アラート

　特定のイベントが発生した場合やユーザーが作成した検索条件に一致する場合に、アラート通知を自動的に送信する機能があります。アラートは、複数の条件に基づいてトリガーすることができます。
　例えば、指定したWEBサーバー上で一定時間にしきい値以上のエラーが発生したら担当者にメール通知する、といった条件指定が可能です。
　また、多様な通知方式に対応しており、電子メール、SMS、Webhook等、さまざまな方法で通知を受け取ることができます。

Splunkのセキュリティについて

　Splunkは、前述している機能であるデータ収集やSPL、データ可視化、アラート等の機能を利用することでさまざまなセキュリティ課題を解決できます。
例えば、社内でのデータ持ち出しを検知し、社内情報の漏えいを防ぐことが可能なため、情報漏えいのリスクを軽減できます。また、複数のセキュリティ機器のログを横断的に分析できるので、セキュリティインシデント発生時のログ分析時間が大幅に削減できます。
　AIの機械学習機能を利用することにより、正常なデータとは異なる通信、例えば急激な通信量の増加やアクセス元IPアドレスの分析等のこれまでとは傾向の異なる操作から攻撃の予兆を検知し、標準型攻撃や不正ログインなどの外部からの攻撃を未然に防ぐことができます。

Splunkのメリット

　ここからは、Splunkの機能を理解し上手く利用することで得られるメリットについてご説明します。

1. 異常検知と冗長なアラートの削減

　インシデント発生時は、対応が遅れてしまうとさまざまな問題を引き起こす可能性があるため、迅速に対応するための仕組みが必要となります。しきい値による検知も可能ですが、対応不要なアラートが多発してしまい、重要なアラートが埋もれてしまう恐れがあります。
　そういったケースにおいて、Splunkに組み込まれる統計的手法や機械学習モデルを活用することで、過去のログ傾向から可変のしきい値を設定するなど、対応が必要なアラートだけに絞ることが可能です。これによりシステム管理者は、アラートの見逃しがなくなり、不要アラートへの対応工数が削減できます。

2. 障害の予兆検知と原因分析

　インシデントが発生した際に迅速に対応することはもちろんのことながら、前もってシステムを停止させない運用も重要です。
　Splunkではシステムログを一元管理できるため、単一データの周期性だけでなく複数データの相関性の変化を分析し、障害に結び付く予兆を検知できます。
　また、一元管理されたデータから因果関係を可視化し、問題箇所を特定することも可能になります。
　Splunkを使用して予兆を検知し、原因分析結果から事前に対処することはエンドユーザーへのメリット以外にも、システム管理者の負担を軽くすることにも繋がります。

3. 属人化した業務の平準化

　ログ分析はデータ分析技術やシステム自体の理解が必要となり、専門性が高い業務として属人化しやすい傾向にあります。
　特にインシデント調査のように迅速な判断が求められる場合には、不偏的な手順やルールをあらかじめ定めることは難しいため、特定の有識者の裁量で進められることが多いでしょう。
　Splunkでは、有識者が調査コマンドからインシデント調査用ダッシュボードをあらかじめ設定しておくことで、有識者以外でも必要な情報を出力でき、属人化された業務の平準化が可能です。


ネットワーク機器の性能監視ダッシュボードの一例

4. 調査レポートの活用

　従来のインシデント調査では調査結果をExcel等で整形し、お客様が見やすい形に変換したうえでファイル出力する必要がありました。
　Splunkではダッシュボードでの分析結果をPDFやCSV形式で出力できるため、Splunk内で確認するだけでなく別資料への活用も可能です。

まとめ

　このように、Splunkを導入することで散らばったデータの一元管理だけでなく、インシデント対応の効率化や属人化の解消が実現できます。
　オージス総研では、Splunkも活用した運用自動化ソリューション 『Cloud Arch』を提供しています。
　Cloud Archではお客様環境に合わせてSplunkを構築するだけでなく、Splunkだけでは実現できない、人手作業の自動化も実現いたします。

2023年8月10日公開
2023年11月14日更新
※この記事に掲載されている内容、および製品仕様、所属情報（会社名・部署名）は公開当時のものです。予告なく変更される場合がありますので、あらかじめご了承ください。