メインコンテンツへスキップ
ランタンホーム

Splunk Lantern

ITSI でのイベント分析の活用

  1. 最後の更新
  2. PDFとして保存

Splunk ITSIのイベント分析では、アラート管理からインシデント対応トリガーまで、インシデント管理ワークフローを合理化できます。

イベント分析を始める

相関検索によるイベントの取り込み。

データ自体はSplunkインデックスから取得されますが、ITSIはすべてのSplunk Enterpriseデータのサブセットのみに焦点を当てています。このサブセットは相関検索によって生成されます。相関検索は、検索結果から注目すべきイベントを生成する特定の種類の保存済み検索です。

見る ITSI における相関検索の概要

イベントをエピソードにグループ化する集約ポリシーを設定します。

注目すべきイベントが始まったら、そのイベントから価値を引き出せるように組織化する必要があります。集約ポリシーを設定して、どの注目すべきイベントが互いに関連しているかを定義し、エピソードごとにグループ化します。エピソードには、問題や問題のストーリーを伝える一連の出来事が時系列で含まれています。バックエンドでは、ルールエンジンと呼ばれるコンポーネントが、設定した集計ポリシーを実行します。

詳細については、「」を参照してください。 ITSI におけるアグリゲーションポリシーの概要

エピソードに対して実行する自動アクションを設定します。

エピソードに対するアクションは、集計ポリシーを使用して自動的に実行することも、Episode Reviewで手動で実行することもできます。メールの送信やホストへの通知など、一部のアクションは ITSI に付属しています。ServiceNow、Remedy、VictorOps などの外部チケットシステムでチケットを作成することもできます。最後に、アクションは Splunk のアドオンやアプリに付属するモジュラーアラートや、自分で設定したカスタムアクションにすることもできます。

詳細については、「」を参照してください。 ITSI でエピソードアクションルールを設定する

イベント分析の詳細については、 ドキュメンテーション および「イベント分析」セクション (ステップ 7/8) Splunk ITSI インタラクティブデモ

サードパーティデータソースのイベント分析のベストプラクティス

イベントの重複を避けるため、相関検索では同じ頻度と時間範囲を使用してください。

相関検索を設定するときは、イベントの重複を避けるために、検索頻度と時間範囲に同じ値を使用することを検討してください。たとえば、5 分おきに検索を実行し、5 分おきに検索を振り返ることもできます。

データに遅延があり、見逃した可能性のあるイベントを探す必要がある場合は、時間範囲を拡大することを検討してください。たとえば、1 分おきに検索を実行して、5 分前を振り返ることもできます。

システムの負荷を軽減するために、5 分を超える時間範囲は使用しないでください。

5 分という計算時間枠を超えると、特に大量のイベントが発生している場合に、システムに大きな負荷がかかる可能性があります。システムに余分な負荷をかけないようにするには、時間範囲を 5 分以下に減らすことを検討してください。

唯一の例外は、データが散発的に受信される場合です。たとえば、データが 15 分おきに入ってくる場合は、15 分の時間範囲を使用することを検討してください。

サードパーティイベントの重要なフィールドをすべて正規化してください。

相関検索を作成するときは、ホスト、重要度、イベントタイプ、メッセージなど、多くのデータソースに存在する明らかなフィールドだけを正規化しないでください。また、イベントで重要だとわかっているフィールドを正規化することも重要です。たとえば、次のことを見ているときなどです。 Windows イベントログでは、何が良いか悪いかを知るには何を見ますか?これらのフィールドも正規化して、共通の情報モデルを構築するのに役立ててください。

この正規化プロセスをすべてのデータソースに対して実行すると、集計ポリシーを作成するときに重要なフィールドを簡単に特定できます。

データソースごとに 1 つの相関検索を作成します。

ITSIに取り込むサードパーティのデータソースごとに、相関検索を1つ作成してそれらのフィールドを正規化し、注目すべきイベントを生成します。たとえば、1 つは SCOM 用、もう 1 つは SolarWinds 用という具合です。

あまり多くの集約ポリシーを作成しないでください。

環境内で有効にする集約ポリシーの数を制限してください。集約ポリシーが多すぎると、作成されるグループの数が多すぎて、IT 環境の全体像がきめ細かくなります。ポリシーの数を制限することで、エンドツーエンドの可視性が高まり、組織内のグループ間のコラボレーションのサイロ化を回避できます。イベントは、問題解決のための人々の取り組み方ではなく、イベントの関連性に従ってグループ化するようにしてください。

スマートモード分析では、5 ~ 10 個のフィールドのみを選択してください。