Splunk（スプランク） ログ検索・分析エンジン

あらゆるITデータ（ログ）

　Splunkは、あらゆる種類のITデータ（ログデータ）を扱うことができます。

　サーバやネットワーク機器からsyslogを直接受け取る、WMIポーリングの結果を取り込む、常に作成され続けるログファイルをモニターする、ファイルシステムやWindowsレジストリの変更を監視する、あるいは、スクリプトで定期的にシステムのパフォーマンスデータを取得するなど、様々な手段で、様々な種類のログデータを取り込むことができます。
　それぞれのログフォーマットを解析するために、専用パーサーやアダプタを購入したり開発する必要はありません。また、オリジナルのログデータとインデックスデータは、監査と認証に必要なデータと共に圧縮されて蓄積されます。

リモートシステムからのフォワード

　セキュリティ上の制限などのため、Splunkがインストールされているサーバからネットワークを介して参照できないリモートシステムのデータは、Splunkフォーワーダを用いて参照する方法があります。

　Splunkフォワーダとは、インデックス作成機能を停止させるように設定した、（処理負荷の小さい）Splunkサーバです。
　ダウンロードしたSplunkソフトウェアを、リモートのシステムにフォワーダとして動くように設定してインストールします。フォワーダは、中央のSplunkサーバのエージェントとして動作し、ローカルマシン上のログファイルやファイルシステムを通常のSplunkサーバと同じようにモニターします。そして、中央にあるSplunkサーバにリアルタイムで、しかもセキュアに転送します。

テラバイト級のデータも高速に検索・分析

 　Splunkを使えば、数十億ものイベントを含むログデータからの検索を、普通のPCサーバ1台で、数秒で行うことができます。

　MapReduceベースのアーキテクチャによって、一日あたりのデータ量とデータソースの数が増えても、サーバを単純に追加すれば容易に対応が可能です。また、データを長期保存するために、SANやその他のストレージデバイスを用いるように設定することができます。

複数のデータセンタ拠点へも拡張可能

　分散アーキテクチャにより、1つのデータセンタ内を複数に分けて検索したり、あるいは世界中にある複数のデータセンタ全体をまとめて検索することも可能です。
　ロールベースのアクセス制御の機能により、各ユーザが検索できる対象を適切に管理することができます。例えば、ある地域のユーザは該当する地域のデータだけを参照でき、本部のユーザは全ての地域のデータを統合して参照できるといった設定が可能です。

 ロールベースのセキュリティ機構

　Splunkの各機能は、強力なセキュリティ機構の上に設けられています。Webインタフェースやコマンドラインを使ったユーザ操作、Splunk　APIを介したシステムの動きなど、全てのトランザクションが認証を受けます。
　ユーザのタイプに応じたロールを新たに定義することも可能です。ロールを定義すると、ユーザが利用できる検索、アラート、レポート、ダッシュボード、ビューを細かく制御することができます。また、外部のLDAPディレクトリサーバやアクティブディレクトリサーバと連携することも可能です。

　これらの仕組みを利用すると、トラブルシュートや、セキュリティインシデントの調査、あるいはコンプライアンス調査時に、必要なデータのみをSplunkサーバに置いておき、センシティブなデータがある商用環境へのアクセスを制限するといったことが可能になります。