システムにいま何が起きているのか、どんなログでも読み込んで可視化するツール「Splunk」。新しいシステム運用とセキュリティ対策を実現するシスコ製品群との連携[PR]
多くの企業のITシステムは、サーバやネットワーク機器、ストレージなどのさまざまなハードウェアとそこで稼働するソフトウェア、そして外部のサービスなどが連係して動作しています。
オペレーショナルインテリジェンス、ログ管理、アプリケーション管理、企業のセキュリティおよびコンプライアンス | Splunkこの複雑なシステム全体が正常に稼働しているかどうかを管理・監視するためにもっとも重要な情報として、それぞれのハードウェアやソフトウェアが吐き出すログがあります。
ログはシステムを構成するさまざまなコンポーネントから秒ごと分ごとに出力されるため、一定以上のシステム規模であれば、その容量と増加速度はいわゆるビッグデータの1つと言えるでしょう。
そこで求められるのが、ログを横断的に分析し、可視化と知見をもたらしてくれるソリューションです。この分野でいま、存在感を急速に高めているのが統合ログ管理を実現するソフトウェア「Splunk」(スプランク)です。
Splunkはマシンが出力するさまざまなデータを統合的に分析・可視化してくれます 6月30日には国内でイベント「SplunkLive! Tokyo 2016」も開催され、多くの導入実績やソリューションが紹介されました。
Splunk! Live Tokyo 2016システム全体でいま何が起きているのかを可視化する
例えば、月末に経理処理をしていた業務システムが急に遅くなったとしましょう。月末処理の締め切りは迫っており、早急に原因を探り出して解決しなければなりません。
ネットワークの混雑度合いはどうか、ルータやスイッチに故障はないか、サーバOSの使用メモリ量が増えすぎていないか、データベースサーバのストレージI/Oや同時使用ユーザー数に異常はないか、チェックするべき項目は多岐にわたります。
Splunkはその原因調査を支援するため、多数のサーバ、ネットワーク機器、ミドルウェア、アプリケーションなどのログを、フォーマットの違いを吸収して収集、蓄積。それぞれのログの関係まで把握してリアルタイム分析のうえ可視化してくれます。管理者はこれをもとに状況を概要からドリルダウンして詳細にまで把握していくことができるのです。
製品の種類もベンダの違いも超え、システム全体を俯瞰して把握できるツール、それが「Splunk」です。
シスコとSplunkによる統合セキュリティソリューションを実現
Splunkは拡張機能により、取り込めるフォーマットが増えるだけでなく、分析機能や独自のダッシュボードとレポートによる視覚化、アラートによる通知なども実現できます。
この拡張機能の1つとして「Cisco Security Suite」が無償で提供されています。これはシスコとSplunkの協業によるもので、120以上のシスコのネットワーク製品とセキュリティ製品がSplunkと連係し、ネットワークの状況をリアルタイムに監視し、あるいは過去にさかのぼって何が起きたかをモニタリング可能になります。
Cisco Securyti Suite拡張機能を組み込んだSplunkの画面。「Email Security」「Web Security」「Network Security」「Identity Services」のメニューが用意され、ここから統合的にセキュリティの状況を監視できるCisco Security Suiteでは、ダッシュボード画面から現在のセキュリティの状況を概観できます。例えば何らかのイベントが発生している場所をグローバルな地図上で示し、またどこからの通信が多いのかをIPアドレスで示したり、どのような脅威の可能性が高いのかをグラフで示すといった情報を表示できます。
これらすべての情報は、シスコのEメールセキュリティアプライアンス、Webセキュリティアプライアンス、ファイアウォール、侵入検知システムなどを備えるSourcefire IPS/IDS、Identity Security Engineなどのさまざまなセキュリティ製品群、ルータやスイッチなどのネットワーク製品群が出力するログを統合して分析し、リアルタイムに表示されています。
もちろん検出するパラメータの閾値、範囲などはカスタマイズ可能。ダッシュボード画面から詳細なデータにドリルダウンし、あるいは関連するイベントを参照したり、生ログのデータを確認するなど、さまざまな分析が可能です。
例えば、あるマシンでマルウェアが見つかった場合、そのマシンはどこにあって、どのネットワークにつながっており、誰がいつどこからログインしたのか、過去の通信履歴を確認し、どのWebサイトからマルウェアが感染した可能性が高いか、といったことも調べられます。
システムに対する脅威や障害などに対し、総合的な視点で迅速な対応を実現することにより、Splunkとシスコ製品の組み合わせは新たなネットワーキングソリューションやセキュリティソリューションを実現するものと言えます。
スケーラブルなSplunkのためのシステム基盤
Splunkに多くのログを集めると、処理すべきデータ量は1日あたり数十ギガバイトから場合によってはテラバイト単位となります。このログを保存し、処理するシステム基盤には高い性能とスケーラビリティを備えることが望ましいでしょう。
シスコはSplunkの動作を検証済みで高いスケーラビリティを提供する「Cisco UCS Integrated Infrastructure for Big Data with Splunk」を提供しています。
これはシスコのサーバ、ネットワーク機器、ストレージで構成され、1日あたり80GB程度の処理量から1.25TBの処理量まで柔軟な構成が選択できるシステムです。しかも、より大規模なSplunkのバックエンドとしてHadoopを利用するケースにも対応します。
そしてもちろん、このシスコのシステム自身もSplunkによって管理、監視できるのです。
このように、シスコはSplunkとの組み合わせによって新しいネットワークソリューション、セキュリティソリューションを提供すると同時に、最適なビッグデータ処理基盤としてのシステムも提供。ビッグデータを活用するエコシステムのなかで、キープレイヤーとしての役割を果たしています。
(本記事はシスコシステムズ提供のタイアップ記事です)
あわせて読みたい
Apache Spark 2.0正式版がリリース。ANSI SQL標準サポート、10倍以上の高速化など
≪前の記事
Google、インテル、Mirantisが、DockerとKubernetesの上でOpenStackを動かすプロジェクト始動。つまり、だいたいどんなクラウドでもOpenStackが動くようになる
