Archive
Highlighted

多数のリアルタイムサーチを設定した場合のインデクサーの必要台数について

New Member

表題の件、ご質問させて頂きます。

現在、Splunkを活用してセキュリティイベントを検知させようとしています。
様々なインシデントの可能性を多角的に検知するために、
リアルタイムサーチを40程度行わせようと検討しています。

Splunkのキャパシティプランニングマニュアルを参照すると、
48のリアルタイムサーチを行う場合、インデクサーがおよそ6台程度必要とありますが、
これは、日次のインデックス生成量とはほとんど関係ないのでしょうか?

当方の環境では、日時のインデックス生成量としてはおよそ10GB程度なのですが、
そのような環境でもインデクサーが多数必要であるか疑問に思っております。

また、当該環境でもインデクサーが多数必要な場合、
Splunkの負荷を下げ、インデクサーの台数を減らす方法があれば、
その方法についてご教示頂けないでしょうか。

0 Karma
Highlighted

Re: 多数のリアルタイムサーチを設定した場合のインデクサーの必要台数について

Motivator

実際のHW環境(特にCPU)によって同時実行数がかわってくるとおもいますし、
要件によって許容できるできないの判断はあるとおもいますが、経験上以下の2つを考慮していくと
意外と乗り切れると思います。

  • Realtime Searchを数分おきに実行されるScheduled Searchに置き換える (リアルタイムじゃないけど短い時間間隔でサーチを繰り返して、かさならないようにスケジューリングさせる)
  • Indexed Realtime Searchとして設定する (タイムラグはあるが負荷は低めになる) https://docs.splunk.com/Documentation/Splunk/6.5.2/Search/Aboutrealtimesearches#Indexedreal-timesearch

1日10GB程度であれば(可用性等考慮しなければ)ごく少数台でいけちゃうとはおもいますが、いかがでしょうか。

参考までに以下のポストもどうぞ。
https://answers.splunk.com/answers/242969/real-time-search-performance-considerations-are-th.html

0 Karma
Highlighted

Re: 多数のリアルタイムサーチを設定した場合のインデクサーの必要台数について

New Member

回答ありがとうございました。
Splunkのキャパシティを超えないように、Scheduled searchを適切な間隔で動かす方向性にしたいと思います。

0 Karma