クラウド図鑑 Vol.65

概要

Splunk は、サンフランシスコに本社を置く、2003年創業のソフトウェア企業で、各種システムやデバイス、センサーデータを収集し、リアルタイムに分析を行うソフトウェア「 Splunk Enterprise」を主力製品としている。この「 Splunk Enterprise」のすべての機能をオンデマンドで使えるクラウドサービスが「 Splunk Cloud 」だ。これにより、Splunkがいうところの「オペレーショナルインテリジェンス」、すなわち、顧客の行動、セキュリティーの脅威、不正行為などのマシンデータを洞察(Insight)に変え、ITインフラ上で起きていることをリアルタイムに把握できる環境をクラウドで提供する。 Splunk のソリューションのユースケースは、いわゆる大量データを分析するビッグデータ的なものだけでなく、ログデータを一元管理して不正検知やコンプライアンスレポーティングを行う「SIEM (Security Information Event Management )」や、ITインフラの運用管理支援など多岐に及ぶ。ログデータの収集、蓄積、検索、分析、可視化などを、別なオープンソースのソフトウェアの組み合わせ(例えば, fluentd, elasticsearch, Hadoopなど)や、主要なクラウドのビッグデータの機能の組み合わせで実現することは可能であるが、構築やテストなどの作業と時間、そしてエンジニアが必要になるのに対し、 Splunk は、構築なしでフル機能をオールインワンで提供し導入も容易だ。このような導入の容易さと多機能、スケーラビリティなどを特徴として、Splunkのソフトウェアは世界でおよそ100ヶ国1万2000社以上で利用されているという。

Splunk Cloud の画面(クリックで拡大)splunk(クリックで拡大)

URL   http://www.splunk.com
2016年7月13日 株式会社クラウディット 中井雅也

機能

マシンデータの収集、蓄積、検索、分析、可視化などを統合して Splunk Cloudのコンソールからビジュアルな操作が可能だ。主な機能は以下のとおり。

  • リアルタイムのインデックス化:マシンデータからインデックスを作成する。対象はパッケージ、カスタムのアプリケーション、アプリケーションサーバー、Webサーバー、データベース、ネットワーク、仮想マシン、通信機器、オペレーティングシステム、センサーなど。
  • データの収集:さまざまな種類のマシンデータやログデータを取り込む事ができる。ファイルベースのデータは、「フォーワーダー」と呼ばれるエージェントがソースから Splunk インデクサーに送信する。最も一般的な「ユニバーサルフォワーダー」は数千種類のマシンデータフォーマットをサポートする。
  • オンザフライのスキーマ:データスキーマを事前に定義する必要はなく、サーチ時に自動的に作成され、リアルタイムで取り込まれているデータに対してもさまざまなクエリーが可能。データは常にローデータの状態で管理され、データが変更されてもデータスキーマを再作成する必要はない
  • サーチ機能: Splunk Cloud 内のデータをリアルタイムに検索できる。SPL(Search Processing Language)というクエリ言語によって、時間、トランザクション、サブサーチ、ルックアップ、ジョインによる関連付けと、140 以上の分析コマンドによる分析を行い、イベントパターンの検出や結果を予測する事などが可能
  • データモデル&ピボット:サーチ言語を習得する必要なく、マシンデータ内の関係を記述するデータモデルを簡単に定義し、ビジネスユーザーがピボットインターフェースを使って簡単に洞察を発見してパワフルなレポートを構築できる
  • 検索: Splunk Cloud 内のデータを検索可能。ピボットエディターによってテーブルやチャートなどを作成し、レポートやダッシュボードとして保存することができる。データモデルオブジェクトによって定義された属性はテーブルやチャートに自動的にマッピングされる。
  • 可視化:直感的なグラフおよびインタラクティブな可視化機能によって複雑なデータを理解し、問題、機会や潜在的な問題を識別しやすくする。
  • ダッシュボード:複数のグラフ、ビュー、レポートを統合し、管理者、ビジネスアナリスト、セキュリティアナリスト、開発者、運用チームのために、ダッシュボードを作成しパーソナライズできる。
  • レポート:保存したサーチやピボットをレポートとして、リアルタイムまたはスケジュールによって実行することができる。
  • アラート:リアルタイムの重要イベントをアラートで知らせることができる。放棄されたショッピングカート、不正行為のシナリオなど、さまざまなしきい値、傾向ベースの条件や複雑なパターンに基づいてアラートを設定し、設定カスタム・アラート・アクション機能によって、サードパーティアプリケーションの起動や、電子メールの送信や修復スクリプトの実行等のアクションをトリガーできる。
  • ハイブリッド対応:オンプレミスの Splunk と連携し、単一のダッシュボードからハイブリッド型で利用することもできるほか、既存のアプリケーションやアドオン、APIもそのまま利用できる。

使いやすさ

ビジュアルで使いやすいコンソールを提供しており、サーチ、ピボット、レポート、アラートなどを一貫して操作できる。オンプレミス用のSplunk Enterpriseのソフトウェアは画面を日本語表示にできるが、 Splunk Cloud は2016年7月時点で英語のみの表示である。

マニュアルや書籍など

チュートリアルやAPIリファレンスガイドなどさまざまなドキュメントをSplunkが提供している。 Splunk Enterpriseのマニュアルは全てではないが、日本語化されているものも多い。日本語の書籍も販売されている。

拡張性

一日10テラバイト以上にスケール可能。また、ライセンスされたデータボリュームに対し最大10倍のバーストモードをサポートし、インデックスボリュームが予想外に増加しても、ライセンス規定量の10倍まで Splunk Cloud が受け入れる。

可用性

Splunk Cloud はAWS上に構築されており、AWSの複数のAZ(Availability Zone)からサービスを提供することで冗長性を確保している。インデクサーとサーチのコンポーネントはHA構成をとっている。マシンデータを転送するフォワーダーは、ネットワークの機能停止を検出し、自動的に他のターゲットインデクサーにフェールオーバ、または、ターゲットインデクサーが利用可能となるまでローカルでイベントをバッファリングしデータを安全に転送する。

SLA

100%のアップタイムSLAを保証する。

自動化機能

Web APIによって、 Splunk Cloud に対するさまざまな操作をプログラムで自動化できる。

セキュリティ

Splunk Cloud は、AWS上で稼働しているため、AWSの堅牢なデータセンターによる物理セキュリティを継承する。 Splunk Cloud はシングルテナントのサービスで、AWSのVPC(Virtual Private Cloud)による顧客ごとの(仮想的な)専有環境が提供される。フォワーダーとインデクサーの間の通信は、SSL 認証および暗号化を使用するよう設定できる。SOC2 Type IIのレポートを取得、およびISO27001にも準拠している。

データセンターの場所

Splunk Cloud は、AWS上で稼働しており、日本(東京リージョン)を含む世界10のAWSリージョンおよび米国政府リージョンで利用可能

実績・シェアなど

オンプレミスの Splunk Enterpriseも含めると、世界でおよそ100ヶ国1万2000社以上で利用されているという。ドミノ・ピザ、コカ・コーラ、Equinix、Intuite、など大手の企業も多く利用している。Splunk Cloudは、1-800-FLOWERS.COM, Chicago Public Schools, Katana1
Lennar Corporation, MindTouch, Polycom, Republic Services Inc. Sophos, theScore, Washington Postなどが利用している。

エコシステム

Splunk App Certification Programによって対応アプリを認定し「Splunkbase」で1000種類以上のアプリを公開している。日本における販売パートナーは、富士通ソーシアルサイエンスラボラトリ、NTTデータ先端技術、日立ソリューションズ、SCSK、マクニカなどがある

価格および支払い方法

Splunk Cloud の価格は、1日あたりに非圧縮状態でインデックスされるデータの集約量で課金される。参考価格としては、1日5GBで年額 12150 USドル1日10GBで年額 20700 USドル1日20GBで年額 36000 USドル。2016年7月時点で日本においてはクレジットカード支払いに対応しておらずSplunkの日本法人の営業にコンタクトが必要とのことである。