FAQ

基本的事項

Splunkとは何ですか?
パーマリンク

ITシステム/テクノロジ基盤(ウェブサイト、アプリケーション、サーバ、ネットワーク機器等)から生成される多様で多量なITログをモニタリング、分析するためのプラットフォームです。

Splunkはどのような問題を解決できますか?
パーマリンク

様々な機器から生成される多様なログをSplunkで収集し、分析することで、乱立するシステム間の垣根を超えてシステム全体を把握することが出来ます。
例えばシステム障害発生時の根本原因を探る用途として、またセキュリティインシデント発生時の分析用途としてご活用頂けます。

Splunkの利用対象者は誰ですか?
パーマリンク

Splunkは複数のユースケースにご利用いただけます。そのため、セキュリティ(SOC/CSIRT)でのご利用はもちろん、 ITオペレーション(システム運用/保守、アプリケーション開発等)に関わる方やマーケティング/セールススタッフにとっても、顧客の動向を分析する上で重要なインサイトとなります。

システム要件

推奨のハードウェア構成はどういったものでしょうか?
パーマリンク

■ Splunk マネージャー

プラットフォーム推奨ハードウェア構成
非Windowsプラットフォーム・64bit OS
・12 Core(物理CPU) / 24 Core(仮想CPU)
・2GHz以上 CPU
・12GB RAM
・800以上のIOPS
Windowsプラットフォーム・64bit OS
・12 Core(物理CPU) / 24 Core(仮想CPU)
・2GHz以上 CPU
・12GB RAM
・800以上のIOPS
※インストール時、ハードディスク空き容量として最低5GB必要


ログ転送用エージェント

プラットフォーム推奨ハードウェア構成最小構成
共通・Dual core
・1.5GHz以上 プロセッサー
・1GB以上 RAM
・1.0GHz プロセッサー
・512MB RAM

  • ※上記はバージョン8.2.4の情報です。
  • ※最新の推奨ハードウェア構成情報は、Splunk社のサイト よりご確認下さい。
対応可能なOSは何ですか?
パーマリンク

Unix operating systems

Operating systemArchitectureEnterpriseFreeTrialUniversal Forwarder
Linux, kernel version 5.4.x and laterx86 (64-bit)
Linux, kernel version 5.x and laterx86 (64-bit)
Linux, all 3.x and 4.x kernel versionsx86 (64-bit)
Linux, all 2.6 kernel versionsx86 (64-bit)※1※1※1
AIX 7.1 and 7.2PowerPC
ARM LinuxARMv8 (64-bit)
FreeBSD 11x86 (64-bit)
macOS 11Intel
macOS 10.15Intel※1※1
macOS 10.14Intel※1※1
PowerLinux, Little Endian kernel version 2.6 and higherPowerPC
Solaris 11x86 (64-bit)
SPARC
z/Linux, kernel version 3.0 and highers390x
z/Linux, kernel version 2.6s390x※1

Windows operating systems

Operating systemArchitectureEnterpriseFreeTrialUniversal Forwarder
Windows Server 2016 and Server 2019 (all installation options)x86 (64-bit)
Windows 10x86 (64-bit)
x86 (32-bit)
Windows Server 2012 and Server 2012 R2x86 (64-bit)
※1・・・現バージョンではサポートしていますが、今後サポート対象外となる可能性がございます。

  • ※上記はバージョン8.2.4の情報です。
  • ※最新の推奨ハードウェア構成情報は、Splunk社のサイト よりご確認下さい。
推奨ファイルシステムは何ですか?
パーマリンク
プラットフォーム推奨ファイルシステム
Linuxext3, ext4, btrfs, XFS, NFS 3/4
Solaris(universal forwarderのみ)UFS, ZFS, VXFS, NFS 3/4
FreeBSD(universal forwarderのみ)FFS, UFS, NFS 3/4, ZFS
Mac OS XHFS, NFS 3/4
AIX(universal forwarderのみ)JFS, JFS2, NFS 3/4
WindowsNTFS, FAT32
  • ※上記はバージョン8.2.4の情報です。
  • ※最新の推奨ハードウェア構成情報は、Splunk社のサイト よりご確認下さい。
対応可能なブラウザは何ですか?
パーマリンク
  • Firefox (最新バージョン)
  • Safari(最新バージョン)
  • Chrome(最新バージョン)

  • ※上記はバージョン8.2.4の情報です。
  • ※最新の推奨ハードウェア構成情報は、Splunk社のサイト よりご確認下さい。
  • ※Internet Explorer(最新バージョン)はサポートしておりません。
エージェントは必要ですか?必要な場合、費用はかかりますか?
パーマリンク

エージェント型を導入した場合とそうでない場合(エージェントレス型)で取り込めるデータに差異が有ります。(※詳細は以下の表をご参照下さい。)
また、Splunkのライセンス体系は「1日の取り込みデータ量」に依存しますので、レポート数、使用エージェント数に制限はありません。

○:収集可能、×:収集不可

クライアントOS収集対象エージェントを導入する場合エージェントを導入しない場合
Linux/Unixsyslog
パフォーマンス情報×
任意のログファイル×
Windowsイベントログ○※4
パフォーマンス情報○※4
レジストリ情報×
Active Directory×
任意のログファイル×
※4・・・SplunkマネージャをWindowsサーバ上に構築した時のみ可能(WMI経由)
Splunkを導入する際に前提となるモジュール(RPMパッケージ等)はありますか?
パーマリンク

基本的にはありません。
対応OSにSplunkをインストールするだけでデフォルト機能(検索、チャート化、ダッシュボード作成等)を使用することができます。
ただし、公開されているSplunk API、SDKを使ってアプリ開発を行う場合、別途必要になる場合がございます。

ライセンス

無償(トライアル/フリー)版Splunkと有償版Splunkの違いを教えて下さい。
パーマリンク

トライアル版Splunkはエンタープライズ版Splunkの全機能を60日間使用可能で、その後一部機能制限のついたフリー版Splunkへと移行します。
この際、制限される機能(図中※1)については、以下のリンクをご参照下さい。

■Free vs. Enterprise■
(http://ja.splunk.com/view/free-vs-enterprise/SP-CAAAE8W)

エンタープライズライセンス

  • 全機能使用可能
  • 500MB/日
  • 60日間有効

有償ライセンス適用

60日経過

エンタープライズトライアルライセンス

  • 全機能使用可能
  • 30日間で5回以上のログ量(購入ライセンス分)超過でライセンス違反
検索機能停止のポリシー

フリーライセンス

  • 一部使用不可 ※1
  • 30日間で3回以上のログ量(500MB/日)超過で検索機能停止
Splunk Enterpriseはどのようなライセンス体系になっていますか?
パーマリンク

Splunk Enterpriseのライセンス体系は、「1日の取り込みデータ量」に基づいた年間契約の料金体系になっています。
レポート数、接続ユーザ数、CPUコア数、或いはデータソースやデータタイプ数が増えても追加料金はかかりません。
Splunk Enterpriseのライセンスは以下の2種類が用意されております。

  • Splunk Enterprise(オンプレミス版)
  • Splunk Cloud(クラウド版)

Splunk Enterprise ライセンスラダー

取込データ量範囲
1GB/日
2~4GB/日
5~9GB/日
10~19GB/日
20~49GB/日
50~99GB/日
100~199GB/日
200~499GB/日
500~999GB/日

Splunk Cloud ライセンスラダー

取込データ量
5GB/日
10GB/日
20GB/日
35GB/日
50GB/日
75GB/日
100GB/日
200GB/日
250GB/日
500GB/日
追加ストレージ(500GB)
Dynamic Data Archive
Additional Data Storage

Splunk Enterprise (オンプレミス版)は1GB単位で購入可能、Splunk Cloud(クラウド版)は記載のラダーで購入可能です。
なお、利用GB数が多くなるほど、1GB当たりの単価がお安くなります。
価格は、お問い合わせください
また、Splunkではセキュリティに特化したソリューションのSplunk Enterprise Security(ES)やユーザの振る舞い検知ソリューションのSplunk User Behavior Analytics(UBA)など、複数の製品を取り揃えております。(別途有償)
詳細はこちらをクリックしてください。

取り込みデータ量がライセンス購入分を超過した場合、Splunkはどうなりますか?
パーマリンク

Splunk Enterpriseのバージョン(※)によって異なります。
ライセンス違反状態となった場合の動作は以下の通りです。
※分散環境の場合はLicenseMasterのバージョンを指します。

  • バージョン8.1以降
    ⇒ご購入分が100GB/day未満のライセンスボリュームで、
    且つ過去60日間に45回以上のデータ量超過が発生した場合、
    ログの取込は継続されますが、検索機能が停止します。
  • バージョン6.5.0以降~8.1以前
    ⇒過去30日間に5回以上のデータ量超過が発生した場合、
    画面上にアラート警告されます。
  • バージョン6.4.9以前
    ⇒過去30日間に5回以上のデータ量超過が発生した場合、
    ログの取込は継続されますが、検索機能が停止します。

ライセンス違反状態時の対処方法は・・・?
Splunk社に申請の上、発行されるリセットライセンスを適用させる必要があります。

価格

Splunk Enterprise版の価格は?
パーマリンク

ライセンス体系や取り込むデータ容量によって変わってきます。
お客様のご利用環境に応じて、適切なライセンス、保守、サポートをご提供致しますので、SCSKまでお問い合わせください

ログ関連

どのようなログを収集できますか?
パーマリンク

Splunkはテキストデータならどんなデータでもインデックス、検索することが可能です。
例として以下の様なログデータを収集可能です。

  • FWなどのネットワーク機器のsyslog
  • Proxyサーバログ
  • 資産管理製品のログ
  • Cloud基盤(AWS/Azure/GCPなど)のログ
  • サーバ内の任意のアプリケーションログ
  • Windowsサーバのイベントログ
  • Windows、Linux、Unixサーバのパフォーマンスログ
  • 任意のスクリプトを実行した時の標準出力結果
  • Windowsサーバのレジストリ、Active Directory情報
ログから必要な箇所だけを抽出するのは簡単ですか?
パーマリンク

Splunkはデフォルトで50種類以上のログフォーマットに対応し、収集したログデータから必要な箇所だけを容易に抽出できます。
対応ログフォーマットは以下のリンクをご参照下さい。

■List of pretrained source types■

(http://docs.splunk.com/Documentation/Splunk/latest/Data/Listofpretrainedsourcetypes#Pretrained_source_types)

また、独自に開発したアプリ、オリジナルのログフォーマットであっても、Splunkの「フィールド抽出」機能を使えば、必要な箇所だけを抽出することが可能です。

ログにフィルタをかけ、必要なログだけを取り込むことは可能ですか?
パーマリンク

Splunkの基本的なコンセプトは、ログデータをありのままの状態で検索、分析することができるプラットフォームです。 そのため、不必要にログデータに対してフィルタをかけることはお勧めしません。
しかし、お客様の環境によっては、冗長なログが大量に存在する場合があるのも事実です。
そういった場合には、正規表現やイベントID情報などで、本当に必要なログデータだけをSplunkに取り込むことが可能です。

システム拡張は簡単に出来ますか?
パーマリンク

Splunkはスケーラビリティ(拡張性)の高いソフトウェアであり、性能のボトルネックとなる処理に応じて、システムを拡張することが可能です。

機能

どのようなデータベースを使用していますか?
パーマリンク

Splunkには時間ベースの独自のデータベースが実装されています。
そのため、導入時に別途データベースをご準備頂く必要はありません。
データを取り込む際、Splunkがログに含まれる時間(タイムスタンプ)をベースに、このデータベースを自動作成します。
また、検索時にはこのデータベースを参照することで、時間を切り口にした検索が可能になります。

しきい値の監視は可能ですか?
パーマリンク

要件に合わせて様々なしきい値監視が可能です。以下、一例となります。

・ログサイズ監視
Splunkで1日に取り込むログ量が500MBを超過したらライセンス違反状態とする。


・認証系アプリケーション監視
特定時間帯に5回以上ログイン失敗したユーザーをメールアラートで管理者へ通知する。

特定のログが出力された時に気付けるような仕組みはありますか?
パーマリンク

検索結果を条件にリアルタイムでのアラート通知を行うことが可能です。
メールでのアラート通知はもちろん、PDFファイル、CSVファイルの添付も可能です。
また、RSS・SNMP・スクリプト実行等にも対応しています。

Splunkの検索コマンドにはどのようなものがありますか?
パーマリンク

よく使われる検索コマンドの一例になります。

chart:チャート用に結果を表示
timechart:時系列チャート用に結果を表示
eval:式の計算
top:最も頻出しているフィールド値
rename:特定フィールドの名称を変更
stats:統計値を表示
他、コマンドの詳細については以下のリンクを参照下さい。

■ List of search commands ■

http://docs.splunk.com/Documentation/Splunk/latest/SearchReference/ListOfSearchComm

Splunkとは ソリューション 導入支援メニュー 技術支援メニュー セキュリティ製品 Observability製品 Splunk x Sysdig SCSKセキュリティの魅力

top