目次
Splunk ログ分析とは何ですか?
Splunk は、ログファイル、アプリケーションデータ、ネットワークデータなど、機械が生成したデータを検索、分析、可視化するためのソフトウェアプラットフォームです。IT プロフェッショナルがシステムの問題を監視してトラブルシューティングしたり、アプリケーションやインフラストラクチャのパフォーマンスや使用状況を把握するために一般的に使用されています。Splunk は、ログ、メトリクス、イベントなど、さまざまなソースからのデータを検索、フィルタリング、分析し、リアルタイムの可視化とレポートを作成するために使用できます。
Splunk ログ分析とは、Splunk プラットフォームを使用してログデータを検索、フィルタリング、分析し、問題の洞察やトラブルシューティングを行うプロセスです。これには、ログデータを Splunk にインポートし、検索とフィルタを作成して関連情報を抽出し、Splunk の可視化ツールとレポート作成ツールを使用してデータの洞察を得ることが含まれます。Splunk のログ分析は、ログデータのパターン、傾向、異常を特定し、システムやアプリケーションのパフォーマンスと健全性を監視するために使用できます。また、セキュリティ上の脅威やコンプライアンス上の問題を検出したり、IT 担当者がより迅速かつ効果的にトラブルシューティングを行い、問題を解決したりするのにも利用できます。
このコンテンツは、ログ管理に関するシリーズの一部です。
推奨図書:SOARセキュリティ:3つのコンポーネント、利点、およびトップユースケース。
Splunk Observability Cloud とは何ですか?
Splunk Observability Cloud は、クラウドネイティブなアプリケーションやインフラのパフォーマンスを監視、分析、トラブルシューティングするためのツールやサービスを提供するクラウドベースのプラットフォームです。企業がアプリケーションやシステムのパフォーマンス、信頼性、セキュリティを理解し、最適化できるように設計されています。
Splunk Observability Cloud は、以下のことを可能にします:
- アプリケーションとインフラのパフォーマンスをリアルタイムで監視、可視化
- ログ、メトリクス、トレースデータを分析し、傾向とパターンを特定する。
- 異なるソース間のデータを相関させることにより、問題のトラブルシューティングとパフォーマンスの最適化を行う。
- 機械学習を活用した異常検知とアラートにより、インシデント対応と修復を自動化
- クラウドセキュリティとプライバシーに関する規制要件とベストプラクティスの遵守
Splunk Log Observer:5 つの主要機能
Splunk Log Observer は Splunk Observability Cloud の一部です。アプリケーション、サーバー、ネットワークデバイスなど、さまざまなソースからのログデータの監視と分析を支援するように設計されています。
Splunk Log Observer を使用すると、ログデータをリアルタイムで収集、インデックス化、検索し、強力な分析および可視化ツールを使用してパターン、トレンド、異常を特定できます。また、カスタムダッシュボードやアラートの作成にも使用でき、システムの健全性とパフォーマンスの監視に役立ちます。
Splunk Log Observer は、機械学習ベースの分析、データエンリッチメント、カスタム検索クエリなど、ログデータから洞察を引き出すためのさまざまな機能とツールを提供します。また、クラウドプラットフォーム、アプリケーションパフォーマンス管理 (APM) ツール、インシデント対応プラットフォームなど、幅広いサードパーティのツールやサービスとも統合できます。
1.Splunk Log Observer Connect
Splunk Log Observer Connect 統合により、Splunk Log Observer を使用して Splunk Cloud Platform または Splunk Enterprise からログを照会できます。また、Splunk Observability Cloud からコンテンツを確認することもできます。たとえば、親コンテキストのログを使用してインフラストラクチャやアプリケーションの動作をトラブルシューティングすることができます。
もう1つの可能性は、システム問題の根本原因を特定するために、Splunkログに対してコードレスクエリを実行することです。その後、Observability Cloud でその内容を直接見ることができます。チームはメトリクス、トレース、関連するログデータを表示し、問題を迅速に調査して解決することができます。
2.タイムラインを使用してシステム全体の健全性を表示する
Splunk Log Observer のタイムライン機能を使用すると、特定の期間のログデータを表示および分析できます。タイムラインを使用して、ログデータのパターン、傾向、異常を特定し、システムの長期的なパフォーマンスを確認できます。
Splunk Log Observer のタイムライン機能を使用するには、表示したいデータの時間範囲を選択し、さまざまな可視化および分析ツールを使用してデータを探索します。例えば、タイムラインを使って、エラーの数やシステムへのトラフィック量など、ログデータの時系列的な傾向を見ることができます。また、タイムラインを使用して、特定の期間に発生した特定のイベントやパターンを表示することもできます。
以下のスクリーンショットは、nameというイベントフィールドでグループ化されたイベントのカウントを示している:
3.ログのメトリック化
ログ由来のメトリクスとは、ログ・データから計算されるメトリクスのことです。エラーの数、トラフィック量、システムの応答時間など、さまざまなパフォーマンスおよび運用メトリクスの測定に使用できます。
Splunk Log Observer でログ由来のメトリックを作成するには、検索および分析ツールを使用して、追跡したいメトリックを定義および計算します。たとえば、Splunk Log Observer の検索言語を使用して、特定の期間のログデータ内のエラーメッセージ数をカウントするメトリックを定義できます。このメトリックを使用して、システムのパフォーマンスを追跡し、データの傾向やパターンを特定できます。
4.ログをフィールドにグループ化するログの集約
ログを集約して、関連するログデータをフィールドにグループ化し、計算を実行することができます。集約されたログは、関連するログ全体の合計や平均などの統計を生成し、問題を可視化するのに役立ちます。
たとえば、ログテーブルを表示して、各サービスのレスポンスタイムに注目して、さまざまなサービスのパフォーマンスを評価することができます。サービスのURLに基づいてログレコードをグループ化し、ログデータを集約することで、平均応答時間を計算し、応答が遅いサービスを特定できます。次に、特定した遅いサービスのログを調査して、応答が遅い理由を理解することができます。
5.ロギングルール
Splunk Log Observer で使用できるルールはいくつかあります:
- 検索時間ルール:履歴データに適用するログ処理ルールです。ログ処理ルールは、検索時またはインデックス時に発生します。インデックス時間のルールは、ルールを作成した後のデータストリームにのみ適用されます。検索時間ルールは、過去に遡って発見された問題に適用できます。
- ログ処理ルール:新しいデータが届いたときに、生データのログを変換することで付加価値を与えることができる。
- 無制限レコードルール:将来の使用やコンプライアンス目的のために、一部またはすべてのログをAmazon S3バケットにアーカイブすることができます。ログを分析するためにLog Observerを使用しない場合、ログのインデックス作成に費用を支払う必要はありません。
Exabeam に Splunk ログ分析を追加する
Splunk のログ分析データは、Exabeamスマートタイムライン™ のコンテキストや追加ソースに追加するのに非常に役立ちます。Splunk は複数のビジネスソースやデータソースからログを収集・分析しますが、これらを特に監視するセキュリティツールがない場合もあります。Splunk Log Analysis と Log Observer からCommon Information Modelに解析されたログデータを介して特定のセキュリティイベントを追加することで、セキュリティアナリストは、セキュリティ運用に関心のあるイベントに関連するイベントを迅速に確認することができます。
悪意のある行為者によるログの削除やパスの不明瞭化から、突然の通信断絶に至るまで、これらは潜在的な侵害の兆候であり、エクサビームの行動分析学と組み合わせることで、単純なログの観察やヘルス分析では見えない、あるいは気づかない潜在的な問題を迅速に特定することができます。
SplunkのログをExabeam Advanced Analyticsに取り込むことは、コスト削減にもつながります。ログは解析され、コンテキストが追加され、イベントが構築・分析されるため、長期間のイベントストレージの二重保存を必要とせず、迅速な対応が可能になります。Exabeamスマートタイムラインは、観測されたイベントパターンが過去のパターンと大きく異なる特定のユーザーやデバイスの行動をモデル化し、リスクスコアを割り当てることで、高度なクエリースキルを必要とすることなく、セキュリティチームが問題を迅速に発見できるよう支援します。
その他のログ管理説明者
