多数のリアルタイムサーチを設定した場合のインデクサーの必要台数について

matsubara1987 · ‎02-21-2017

表題の件、ご質問させて頂きます。

現在、Splunkを活用してセキュリティイベントを検知させようとしています。
様々なインシデントの可能性を多角的に検知するために、
リアルタイムサーチを40程度行わせようと検討しています。

Splunkのキャパシティプランニングマニュアルを参照すると、
48のリアルタイムサーチを行う場合、インデクサーがおよそ6台程度必要とありますが、
これは、日次のインデックス生成量とはほとんど関係ないのでしょうか？

当方の環境では、日時のインデックス生成量としてはおよそ10GB程度なのですが、
そのような環境でもインデクサーが多数必要であるか疑問に思っております。

また、当該環境でもインデクサーが多数必要な場合、
Splunkの負荷を下げ、インデクサーの台数を減らす方法があれば、
その方法についてご教示頂けないでしょうか。

melonman · ‎02-21-2017

実際のHW環境（特にCPU）によって同時実行数がかわってくるとおもいますし、
要件によって許容できるできないの判断はあるとおもいますが、経験上以下の2つを考慮していくと
意外と乗り切れると思います。

Realtime Searchを数分おきに実行されるScheduled Searchに置き換える（リアルタイムじゃないけど短い時間間隔でサーチを繰り返して、かさならないようにスケジューリングさせる）
Indexed Realtime Searchとして設定する（タイムラグはあるが負荷は低めになる） https://docs.splunk.com/Documentation/Splunk/6.5.2/Search/Aboutrealtimesearches#Indexed_real-time_se...

1日10GB程度であれば（可用性等考慮しなければ）ごく少数台でいけちゃうとはおもいますが、いかがでしょうか。

matsubara1987 · ‎02-23-2017

回答ありがとうございました。
Splunkのキャパシティを超えないように、Scheduled searchを適切な間隔で動かす方向性にしたいと思います。