連載
» 2016年08月15日 05時00分 公開

Database Watch(2016年8月版):必ずしもデータベースに送られるわけではない「ログ」「センサーデータ」は、どこでどのように処理されるのか? (2/3)

[加山恵美,@IT]

全文検索のすごいやつ? SIEMとしても伸びている「Splunk」

photo 2016年6月30日に行われた「SplunkLive! Tokyo」で登壇した、Splunk チーフエグゼクティブオフィサーのダグ・メリット氏

 「Splunk」はデータを蓄積し、分析し、可視化するためのソフトウェアです。しかし、データベースではありません。システム運用のためのログの収集や検索、可視化を目的に開発されました。

 例えばデータセンターでは、さまざまなサーバやネットワーク機器がひしめくように稼働しています。ここで生成される膨大なログは、どれもテキスト形式という点では共通しているものの、フォーマットはばらばらです。「構造化されていない」データですね。Splunkは、「これらの多様なログを、まとめて横断的に検索できること」を強みに発展してきました。

 2016年6月30日、Splunkが開催したイベント「SplunkLive! Tokyo」で興味深い話がありました。Splunkはシステム運用監視を想定した製品と前述しましたが、あるユーザーが、「Splunkは、セキュリティの問題を解決するためにも有効ですよね」と指摘したことをきっかけに、セキュリティ対策機能を強化するようになったそうです。

 ここでのセキュリティ対策とは、「標的型攻撃の検知」や「内部不正アクセスの追跡」などです。つまりSplunkは、ログを一元管理してリアルタイムな脅威の検知に用いる、「SIEM(Security Information and Event Management)」ツールとしても機能します。SIEMツールとして“も”というより、Splunkは、既に米ガートナーが公表するマジッククアドラントのSIEM部門でリーダーの地位にあります。


photo ガートナーの「マジッククアドラント SIEM部門」で、Splunkは「リーダー」の位置にある(出典:ガートナー「Magic Quadrant for SIEM as of July 2005」より)

 このように、Splunkはセキュリティ対策としての機能の躍進が期待される一方で、データベースウォッチャーとしては、ここでの「データの処理方法」が気になりました。データベースではないのに、どのようにデータを処理しているのか、ということです。

 Splunkは、自身の特徴として「非構造化データに対する、破壊的アプローチ」を挙げています。RDBMSならば、事前に定められたテーブル定義などに合わせてデータを読み込み、蓄積していきます。一方のSplunkは、データ構造はあまり考えずにテキストのログをひたすら読み込みます。例えば、区切り文字などを目安にして、データをインデックス化していきます。

 このように、構造化されていないテキストデータを効率的に取り込み、横断して検索できるのがSplunkの技術的な核です。筆者の印象では「全文検索のすごいやつ」で、RDBMSとはかなり異なるアプローチであることが興味をそそられます。

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。