お客様のご要望にお応えし、より大量のデータからより簡単かつ強力な分析ができるよう、機能強化された Splunk Enterprise 6.3をリリース

セキュリティ事業メニュー

セキュリティ事業
HOME

選ばれる
理由

サービス

取扱メーカー

事例・レポート・
ブログ・用語集

セミナー・
オンデマンド動画

イベント・セミナー

オンデマンド動画

Splunk Enterprise 6.3 での主な追加機能

今回リリースされた「Splunk Enterprise 6.3」では、下記の機能が追加されています。

パフォーマンスの向上
1. サーチとインデックスのパフォーマンス向上
2. スケジュールサーチの最適化機能
可視化機能の強化
1. 異常値検知
2. 地図上でのエリア別統計
3. 単一値表示の表現力強化

管理機能の強化
1. 取り込んだデータの変更検知機能
2. フィールド抽出機能の強化
3. PDF出力機能の強化
データ連携の強化
1. HTTP経由でのデータ取り込み
2. 他のシステムへの分析結果通知

パフォーマンスの向上

サーチとインデックスのパフォーマンス向上

サーチ時の複数CPUコアでの処理を最適化することで、スピードが向上しました。インデックス時の複数CPUコアでの処理を最適化することで、スピードが向上しました。

スケジュールサーチの最適化機能

レポートスケジューラーにより、スケジュールサーチの優先順位と実施タイミングの最適化機能が実装されました。重要なスケジュールサーチのスキップを防ぐことができます。

可視化機能の強化

異常値検知

値の出現頻度を比較して異常値を見つける検索コマンドが実装されました。ヒストグラム、z-score、iqrのいずれかを手法のベースとして選択可能です。このコマンドにより、異常を示すイベントをシンプルな検索条件で抽出することができるようになりました。

| inputlookup car_data.csv

で検索した場合、約176800件のイベントがあることと、5種類のフィールドが含まれていることが分かります。

| inputlookup car_data.csv | anomalydetection

と検索すると、異常値を含むイベントだけが表示され、どのフィールドが異常値だったのか、また全体の何%だったのか(デフォルトでは1%以下の値)が表示されます。

単一値表示の表現力強化

単一値を表示するダッシュボードパネル上に、トレンドや簡易タイムチャートなどの追加情報を表示したり、閾値を設けてパネルの配色を変更する機能が追加されました。

管理機能の強化

取り込んだデータの変更検知機能

選択したインデックスデータのハッシュ値を定期的に保存することができるようになりました。この機能により、データの完全性をチェックすることができます。

フィールド抽出機能の強化

取り込んだデータに対するフィールド抽出を、より直感的かつ柔軟に行えるよう機能強化が行われました。

１．正規表現を使用する

フィールド抽出したい個所をマウスでドラッグするだけで、Splunkが自動で正規表現を作成します。6.3では既に使用済みのフィールドも表示できるようになりました。

２．デリミターを指定する

指定したデリミタ―で自動的にフィールドを抽出できるようになりました。プレビュー画面上でフィールド名の変更も可能です。

PDF出力機能の強化

これまで変更可能点が少なかったPDFのフォーマットをより柔軟に変更することができるようになりました。

ロゴ画像、ヘッダー/フッターの設定が可能になりました。

タグで表示したダッシュボード上の画像をPDF上でも表示させることが可能になりました。

データ連携の強化

HTTP経由でのデータ取り込み

API経由でデータを取得することを許可するようなデータソースに対し、APIキーの入力など簡単な入力で取り込み設定を作成する機能が追加されました。

他のシステムへの分析結果通知

アラートアクションとして、検索の結果を外部サービスへ通知することが簡単に設定できるようになりました。設定できる外部サービスは今後増えていく予定です。