はじめに

こんにちは。SCSK Splunkエンジニアの寺西でございます。

このコラムではSplunk社製品の活用方法やちょっとしたミニ知識を、私の経験談を交えながらご紹介しています。第3回のコラムでは、社内SEの業務を例に、Splunkのアラート機能についてご紹介します。

その仕事、あなたがする必要ありますか？

社内SEと呼ばれる、自社システムの・開発・運用・保守をされる方の業務は多岐にわたります。その中のいくつかの業務は既存のアプリケーションなどを使用して自動化が可能です。具体的には「社員からの自社システムの使用方法に関するQA」に関しては、対話型AIなどを活用することで、対応工数が大幅に減らせます。

では、ネットワークトラブルなどの「社内インフラのトラブル対応」についてはどうでしょうか？皆さんの中には、まだ社内インフラに関するトラブル対応の仕組みが整っておらず、ユーザからの申告があって初めて把握し、対応する方もいらっしゃると思います。

その業務、Splunkのアラート機能だけで自動化できるかもしれませんよ。

Splunk活用した「社内インフラのトラブル対応」の自動化

社内インフラのトラブル対応は、大きく３つのフェーズに分けることが可能です。

• 検知：社内インフラに関するトラブルが発生したことを検知する。
• 周知：トラブルが発生していることをユーザに周知する。
• 対応：障害機器を特定し、機器設定変更などの対応を実施する。

これらの業務はSplunkのアラート機能を活用し、次のように自動化することができます。

検知：インフラ機器のログを常に監視し、異常を検知。

各機器のログから異常を検知するため、ユーザよりも早く検知が可能。

周知：自動メール送信設定を使用して、関連するユーザに障害内容をメールで通知。

ユーザに対して即時に通知が行われるため、ユーザ側での混乱を最小限に抑えることが可能。

対応：Python スクリプト等を自動実行することにより、インフラ機器への設定変更を実施。

SplunkES/SplunkSOARなど、別途専用製品を活用することで、よりユーザ環境に沿った設定変更が可能。

Splunkのアラート機能のご紹介

アラート機能を使用した業務自動化についてここまでご紹介してきました。

ここでは、改めてアラート機能の概要をご紹介します。アラート機能は、Splunkの標準機能です。ユーザは「検知したいログの内容」と「検知後に実行させる動作」をWeb画面上から設定するだけで、「ログの監視とその後の処理」をSplunkが自動的に行います。「検知後に実行させる動作」には、メール送信のほかに、スクリプトやWebhookの利用が可能です。先ほどの例では、「メール送信」と「スクリプトを実行」を使用しました。具体的な設定方法は別コラムでご紹介します。

<検知後に実行可能な動作一覧 >

最後に

今回のコラムでは、社内SEの業務内容を例に、Splunkのアラート機能をご紹介しました。アラート機能を活用すると「ログの監視と、異常検知後の処理」を自動化することが可能です。また今日のお話の中でちらっと出てきたSplunkES やSplunkSOAR は、セキュリティに特化したSplunk社製品となります。興味のある方はぜひ、以下のURLにアクセスしてみて下さい。

/services/splunk/security/

Splunkはログの分析に非常に役立つツールであり、「ダッシュボード機能」、「アラート機能」、「レポート機能」を使いこなすと、普段の業務を格段に効率化することが可能になります。このコラムを通してSplunk に興味を持って頂いた方は、今すぐ無償版のSplunkで試してみてください。

また「Splunkを導入すると現在の業務がどのように効率化されるのかを知りたい」という方は、以下のリンクからSCSKへメールを送って頂ければ、より詳細な情報を知ることができますよ。

＜お問い合わせフォーム＞

ではまた、次のコラムでお会いましょう。

さようなら。