ITシステム/テクノロジ基盤(ウェブサイト、アプリケーション、サーバ、ネットワーク機器等)から生成される多様で多量なITログをモニタリング、分析するためのプラットフォームです。
様々な機器から生成される多様なログをSplunkで収集し、分析することで、乱立するシステム間の垣根を超えてシステム全体を把握することが出来ます。
例えばシステム障害発生時の根本原因を探る用途として、またセキュリティインシデント発生時の分析用途としてご活用頂けます。
Splunkは複数のユースケースにご利用いただけます。そのため、セキュリティ(SOC/CSIRT)でのご利用はもちろん、 ITオペレーション(システム運用/保守、アプリケーション開発等)に関わる方やマーケティング/セールススタッフにとっても、顧客の動向を分析する上で重要なインサイトとなります。
■ Splunk マネージャー
| プラットフォーム | 推奨ハードウェア構成 |
|---|---|
| 非Windowsプラットフォーム | ・64bit OS ・12 Core(物理CPU) / 24 Core(仮想CPU) ・2GHz以上 CPU ・12GB RAM ・800以上のIOPS |
| Windowsプラットフォーム | ・64bit OS ・12 Core(物理CPU) / 24 Core(仮想CPU) ・2GHz以上 CPU ・12GB RAM ・800以上のIOPS |
■ログ転送用エージェント
| プラットフォーム | 推奨ハードウェア構成 | 最小構成 |
|---|---|---|
| 共通 | ・Dual core ・1.5GHz以上 プロセッサー ・1GB以上 RAM | ・1.0GHz プロセッサー ・512MB RAM |
■Unix operating systems
| Operating system | Architecture | Enterprise | Free | Trial | Universal Forwarder |
|---|---|---|---|---|---|
| Linux, kernel version 5.4.x and later | x86 (64-bit) | ○ | ○ | ○ | |
| Linux, kernel version 5.x and later | x86 (64-bit) | ○ | |||
| Linux, all 3.x and 4.x kernel versions | x86 (64-bit) | ○ | ○ | ○ | ○ |
| Linux, all 2.6 kernel versions | x86 (64-bit) | ※1 | ※1 | ※1 | ○ |
| AIX 7.1 and 7.2 | PowerPC | ○ | |||
| ARM Linux | ARMv8 (64-bit) | ○ | |||
| FreeBSD 11 | x86 (64-bit) | ○ | |||
| macOS 11 | Intel | ○ | |||
| macOS 10.15 | Intel | ※1 | ※1 | ○ | |
| macOS 10.14 | Intel | ※1 | ※1 | ○ | |
| PowerLinux, Little Endian kernel version 2.6 and higher | PowerPC | ○ | |||
| Solaris 11 | x86 (64-bit) | ○ | |||
| SPARC | ○ | ||||
| z/Linux, kernel version 3.0 and higher | s390x | ○ | |||
| z/Linux, kernel version 2.6 | s390x | ※1 |
■Windows operating systems
| Operating system | Architecture | Enterprise | Free | Trial | Universal Forwarder |
|---|---|---|---|---|---|
| Windows Server 2016 and Server 2019 (all installation options) | x86 (64-bit) | ○ | ○ | ○ | ○ |
| Windows 10 | x86 (64-bit) | ○ | ○ | ○ | |
| x86 (32-bit) | ○ | ||||
| Windows Server 2012 and Server 2012 R2 | x86 (64-bit) | ○ |
| プラットフォーム | 推奨ファイルシステム |
|---|---|
| Linux | ext3, ext4, btrfs, XFS, NFS 3/4 |
| Solaris(universal forwarderのみ) | UFS, ZFS, VXFS, NFS 3/4 |
| FreeBSD(universal forwarderのみ) | FFS, UFS, NFS 3/4, ZFS |
| Mac OS X | HFS, NFS 3/4 |
| AIX(universal forwarderのみ) | JFS, JFS2, NFS 3/4 |
| Windows | NTFS, FAT32 |
エージェント型を導入した場合とそうでない場合(エージェントレス型)で取り込めるデータに差異が有ります。(※詳細は以下の表をご参照下さい。)
また、Splunkのライセンス体系は「1日の取り込みデータ量」に依存しますので、レポート数、使用エージェント数に制限はありません。
○:収集可能、×:収集不可
| クライアントOS | 収集対象 | エージェントを導入する場合 | エージェントを導入しない場合 |
|---|---|---|---|
| Linux/Unix | syslog | ○ | ○ |
| パフォーマンス情報 | ○ | × | |
| 任意のログファイル | ○ | × | |
| Windows | イベントログ | ○ | ○※4 |
| パフォーマンス情報 | ○ | ○※4 | |
| レジストリ情報 | ○ | × | |
| Active Directory | ○ | × | |
| 任意のログファイル | ○ | × |
基本的にはありません。
対応OSにSplunkをインストールするだけでデフォルト機能(検索、チャート化、ダッシュボード作成等)を使用することができます。
ただし、公開されているSplunk API、SDKを使ってアプリ開発を行う場合、別途必要になる場合がございます。
トライアル版Splunkはエンタープライズ版Splunkの全機能を60日間使用可能で、その後一部機能制限のついたフリー版Splunkへと移行します。
この際、制限される機能(図中※1)については、以下のリンクをご参照下さい。
■Free vs. Enterprise■
(http://ja.splunk.com/view/free-vs-enterprise/SP-CAAAE8W)
有償ライセンス適用
60日経過
Splunk Enterpriseのライセンス体系は、「1日の取り込みデータ量」に基づいた年間契約の料金体系になっています。
レポート数、接続ユーザ数、CPUコア数、或いはデータソースやデータタイプ数が増えても追加料金はかかりません。
Splunk Enterpriseのライセンスは以下の2種類が用意されております。
| 取込データ量範囲 |
|---|
| 1GB/日 |
| 2~4GB/日 |
| 5~9GB/日 |
| 10~19GB/日 |
| 20~49GB/日 |
| 50~99GB/日 |
| 100~199GB/日 |
| 200~499GB/日 |
| 500~999GB/日 |
| 取込データ量 |
|---|
| 5GB/日 |
| 10GB/日 |
| 20GB/日 |
| 35GB/日 |
| 50GB/日 |
| 75GB/日 |
| 100GB/日 |
| 200GB/日 |
| 250GB/日 |
| 500GB/日 |
| 追加ストレージ(500GB) |
| Dynamic Data Archive |
| Additional Data Storage |
Splunk Enterprise (オンプレミス版)は1GB単位で購入可能、Splunk Cloud(クラウド版)は記載のラダーで購入可能です。
なお、利用GB数が多くなるほど、1GB当たりの単価がお安くなります。
価格は、お問い合わせください。
また、Splunkではセキュリティに特化したソリューションのSplunk Enterprise Security(ES)やユーザの振る舞い検知ソリューションのSplunk User Behavior Analytics(UBA)など、複数の製品を取り揃えております。(別途有償)
詳細はこちらをクリックしてください。
Splunk Enterpriseのバージョン(※)によって異なります。
ライセンス違反状態となった場合の動作は以下の通りです。
※分散環境の場合はLicenseMasterのバージョンを指します。
ライセンス違反状態時の対処方法は・・・?
Splunk社に申請の上、発行されるリセットライセンスを適用させる必要があります。
ライセンス体系や取り込むデータ容量によって変わってきます。
お客様のご利用環境に応じて、適切なライセンス、保守、サポートをご提供致しますので、SCSKまでお問い合わせください。
Splunkはテキストデータならどんなデータでもインデックス、検索することが可能です。
例として以下の様なログデータを収集可能です。
Splunkはデフォルトで50種類以上のログフォーマットに対応し、収集したログデータから必要な箇所だけを容易に抽出できます。
対応ログフォーマットは以下のリンクをご参照下さい。
■List of pretrained source types■
また、独自に開発したアプリ、オリジナルのログフォーマットであっても、Splunkの「フィールド抽出」機能を使えば、必要な箇所だけを抽出することが可能です。
Splunkの基本的なコンセプトは、ログデータをありのままの状態で検索、分析することができるプラットフォームです。 そのため、不必要にログデータに対してフィルタをかけることはお勧めしません。
しかし、お客様の環境によっては、冗長なログが大量に存在する場合があるのも事実です。
そういった場合には、正規表現やイベントID情報などで、本当に必要なログデータだけをSplunkに取り込むことが可能です。
Splunkはスケーラビリティ(拡張性)の高いソフトウェアであり、性能のボトルネックとなる処理に応じて、システムを拡張することが可能です。
Splunkには時間ベースの独自のデータベースが実装されています。
そのため、導入時に別途データベースをご準備頂く必要はありません。
データを取り込む際、Splunkがログに含まれる時間(タイムスタンプ)をベースに、このデータベースを自動作成します。
また、検索時にはこのデータベースを参照することで、時間を切り口にした検索が可能になります。
要件に合わせて様々なしきい値監視が可能です。以下、一例となります。
・ログサイズ監視
Splunkで1日に取り込むログ量が500MBを超過したらライセンス違反状態とする。
・認証系アプリケーション監視
特定時間帯に5回以上ログイン失敗したユーザーをメールアラートで管理者へ通知する。
検索結果を条件にリアルタイムでのアラート通知を行うことが可能です。
メールでのアラート通知はもちろん、PDFファイル、CSVファイルの添付も可能です。
また、RSS・SNMP・スクリプト実行等にも対応しています。
よく使われる検索コマンドの一例になります。
chart:チャート用に結果を表示
timechart:時系列チャート用に結果を表示
eval:式の計算
top:最も頻出しているフィールド値
rename:特定フィールドの名称を変更
stats:統計値を表示
他、コマンドの詳細については以下のリンクを参照下さい。
■ List of search commands ■
http://docs.splunk.com/Documentation/Splunk/latest/SearchReference/ListOfSearchComm
