Splunk

スプランク

獨協大学様

人手によるログ分析に悩む獨協大学。 Splunkの能力に着目しログ分析の効率化を実現

Before
  • システム拡張によるログの急増で人手によるログ分析は困難に
  • ログ分析のためのスクリプト作成など、分析工数が増加
  • ログ分析方法が属人的で結果にばらつきが生じ信頼性に懸念
矢印:横
矢印:縦
After
  • データ網羅性の高いSplunkによりログ分析の効率化を実現
  • ログの全文検索・マウス操作による直感的なログ絞込みで、分析工数を削減
  • ログ分析方法/条件の統一化、共有により分析結果を均一化
川口氏

獨協大学 施設事業部 情報基盤整備課
基盤システム係 係長
川口氏

拡張していくなかで多様なシステムからのログが急増

獨協大学は、1883年(明治16年)に明治を代表する指導者らによって設立された獨逸学協会学校(現獨協学園)を母体とし、その創立80周年記念事業として1964年に埼玉県草加市に開学した。ドイツの学問体系を導入し合理的・実証的な教育を行ない、政界、官界、医学界に優れた人材を数多く送り出した学園の歴史を受け継ぎ、“大学は学問を通じての人間形成の場である”を建学の理念とし、外国語教育と国際交流の伝統は現在も変わることなく受け継がれている。

また、獨協大学は1968年に科学計算用のコンピュータを導入して以来、他に先駆けて情報化に取り組み、授業と自律学習の支援にITを積極的に活用してきた。1996年にはキャンパス内LANシステムの初代「DAINET」(Dokkyo Academic Information NETwork)を構築し、2世代目のDAINET-2で は、認 証VLANやLDAPと 連携した認証情報管理システム、シンクライアントなどを導入。セキュリティを高める一方で、キャンパス内の無線LANネットワーク構築や、学外からのVPN接続など、アクセス環境の整備を実施した。

そして、2010年には3代目となるDAINET-3へと進化し、文書管理システムやグループウェアなど事務業務システムを補強。同時に、サーバルームがある中央棟、図書館と多目的教室が設置された天野貞祐記念館、およびPC教室群を備えた東棟の3拠点を10GBの光ファイバーで結び、ネットワークの仮想化とサーバ仮想化を実施している。

拡張していくなかで、多様なシステムから生み出されるログの量も爆発的に増加し、従来の人手によるログ分析は破綻しかけていたと打ち明けるのは、獨協大学 施設事業部 情報基盤整備課基盤システム係 係長 川口直樹氏だ。

「これまでは、統計的なシステム利用状況把握のためにシステムごとにログの抽出・分析作業を行ってきました。しかし、それぞれスクリプトの作成方法が異なっていたため、個々のログをトレースするにも、また分析作業を行うにも長く時間がかかり、ファイアウォールやプロキシなどからの膨大なログが可視化できない状態になっていました。」

獨協大学で管理する端末は2500台以上、利用者も学生・教職員あわせて約1万人と大企業並みの規模である反面、情報基盤整備課のスタッフはわずか5~6名。ログ分析だけで本来の業務が阻害されていたという。

「スクリプトは作り手のスキルに依存するため、コマンドでログを処理するとばらつきが生じ、分析結果の再現性が低下してしまいます。そうした属人性を排除するためには、従来の方法でログを収集・分析し、レポートを作成し続けることはもはや不可能でした。この状況を解決するには一元的なツールが欠かせないと考えたのです」(川口氏)

あらゆるテキストデータを取り込めるユニークな検索エンジンとの出会い

あらゆるテキストデータを取り込めるユニークな検索エンジンとの出会い

しかし、統合ログ管理をうたう製品は高価な上に、処理に時間がかかったり中断したりしてしまうものも多く、最適な製品を見つけることは容易ではなかった。そんな中、川口氏が注目したのはマクニカが2009年から日本で提供を開始したばかりの「Splunk Enterprise」(以下、Splunk)だった。

折しも、SplunkがBest of Show Awardを受賞したInterop Tokyo 2009で川口氏はその存在を知った。ログだけでなく、アラート、コンフィグファイルなどテキスト形式のあらゆるITデータを、正規化などの処理をせずに自動で簡単に取り込み全文検索が可能なSplunkを非常にユニークだと感じたという。

「大量のITデータでもパフォーマンスの低下はなく、取り込んだITデータを識別してインデックスを作成し、自在な検索は勿論のこと、アラート、ダッシュボード、レポートも自動作成するなど、運用の容易さも魅力でした」と、川口氏は当時のデモの感想を振り返る。

獨協大学ではDAINET3設計構築SIerであるネットマークスからのSplunk推奨もあり、2010年1月にSplunkの導入を決定。ライセンス体系も1日あたりのログ取り込み量の上限で設定できるため、当初は500MB /日で運用がスタートした。その後、大学内でのスマートフォンからのアクセス数の増加などにより、ログの量も増加したため、2011年3月に5GB /日に拡張した。

導入に際しては、これまでのスクリプトによる分析結果と同じ形式のレポートを出し、過去のレポートとの連続性を維持することも重要なポイントだった。Splunkなら、過去10年のレポートとSplunkによるレポートを比較しても違和感のないレポートが作成できている。

現在は、学生・教員個人ごとのActiveDirectoryログイン回数、利用者ごとのLDAPパスワード変更回数、VPNログイン回数などのレポートや、教員・学生のメール利用状況の分析レポートなどのほか、ProxyログによるWebアクセス先の統計レポート、不正端末検知、緊急時の障害対策にも活用している。

「設定したスケジュールによるレポートの自動作成、自動送付の機能が非常に助かっています。また、従来は見たい情報を時系列的に表示させることしかできませんでしたが、Splunkのダッシュボードは自在に比較できるので、これまで気付くことのなかった因果関係が見えてくるようになりました」と語る川口氏。

さらに、表示させるグラフもパイチャートやバーグラフを始めとして、10種類以上の形式から自由に選択することができるため、レポートによる利用状況の可視性を高めている。また、不要なログを除外し重要なデータだけを取り出すカスタマイズも行っている。そうした柔軟性の高さもSplunkの優れた点だという。

さらなる高度な分析の自動化や統計処理の細分化への可能性も

さらなる高度な分析の自動化や統計処理の細分化への可能性も

「従来のログ分析は作業担当者のスキルによって作業時間や分析結果に差が生じていましたが、Splunk導入後はログの自動収集や分析方法の統一、共有によって、誰がどんな作業を行っても迅速に完了できるようになり、分析結果も均一化し、作業全体が効率的になりました。ログ分析に費やす作業時間がおよそ半分にまで削減したと感じています。実際にはシステム利用率増加によりログの量も増加していますので、短縮できた作業時間は半分以上とも感じています。」

そのように話す川口氏は、作業工数が削減したことで今後情報基盤整備課のスタッフをシステム管理のルーチンワークから解放し、より生産性の高い新たなシステム設計や利用者向けサービスの改善企画などに集中させることができると期待する。また一方で、従来のログ分析をさらに深掘りして分析結果の相関関係やシステム利用率の傾向など、高度な分析の自動化や統計処理の細分化などが可能になるのではないかと考えている。

継続してログ分析を行うことは、大学運営の効率化や教育環境の改善につながる可能性があり、DAINET-3構築 の目的の一つでもあったという。

「Splunkはデータの網羅性が高く、いかなるシステム、デバイスからもログなどのITデータを収集、分析することが可能なため、スマートフォンやタブレットPCからのアクセス数の増加など、今後のシステム環境の変化にも柔軟に対応できると感じており安心しています」と太鼓判を押す川口氏は、Splunkの可能性は非常に高く、さらに使いこなすことでその能力を引き出していきたいと意欲を示している。

User Profile

獨協大学
URL

http://www.dokkyo.ac.jp/

1883年に設立された獨逸学協会学校を母体とし、1964年に埼玉県草加市に開学。カントの『純粋理性批判』の翻訳者で著名な哲学者としても知られ、第3次吉田茂内閣の文部大臣を務めた天野貞祐氏が初代学長を務めた。“大学は学問を通じての人間形成の場である”を建学の理念に、ドイツ教養主義精神を原点に据えたゼミナール教育や外国語教育、国際交流に力を入れている。