業務の効率化：ITアナリストの業務内容を大きく変えるSplunk AI Assistant for SPL

緊急の対応からチームのスキルアップまで、ITチームが果たすべき職務が多すぎると感じたことはないでしょうか。しかし、ご安心ください。この状況に画期的な変化をもたらすツールをご紹介します。それが、Splunk AI Assistant for SPLです。この優れたツールは、Splunkの管理者、運用アナリスト、セキュリティアナリスト、ITマネージャーの負担を軽減するように設計されています。今回のブログを読めば、Splunkを使い始めたばかりのITアナリストでも、Splunk AI Assistant for SPLを活用して、日々の業務を極めて効率的にこなせるようになります。

このブログでは、Splunk AI Assistant for SPLの3つの主な用途である、SPLクエリーの作成、SPLクエリーの説明、ユーザーが抱える疑問の解決(Splunkマニュアルを活用)について説明します。では、Splunk AI Assistant for SPLを活用して、こうした難しい業務の効率化を図る方法を早速見ていきましょう。

クエリー作成の効率化

タイトなスケジュールに追われているITアナリストがいるとします。このアナリストは、Windowsホストの空き領域を把握するためのレポートを作成していますが、このような業務では、大量の手動サーチとパラメーター調整が必要になることがよくあります。そこで力を発揮するのが、Splunk AI Assistant for SPLです。

複雑なサーチの作成に取り組む必要はもうありません。Splunk AI Assistant for SPLに「WinHostMonで空き領域が最も少ないディスクはどれですか？」と尋ねるだけです。すると、Splunk AI Assistant for SPLが、次のような完璧なSPLクエリーを生成します。

index=windows Type=Disk | stats latest(FreeSpaceKB) as FreeSpaceKB by host, Name | eval FreeSpaceGB=round(FreeSpaceKB/(1024*1024),2) | table host, FreeSpaceGB, Name

このSPLクエリーは、単なるコードの集まりではありません。Windowsホスト全体の空き領域をチェックし、その容量を理解しやすいようにキロバイトからギガバイト単位に変換して表示するという高度なコマンドです。[Open in Search (サーチを開く)]ボタンを使うと、このクエリーを新しいタブで実行し、その結果を使いやすい表形式で表示できるので便利です。直感的に操作できるSplunk AI Assistant for SPLのおかげで、アナリストはデータを可視化し、情報に基づいて決断を下して、インサイトをチームで共有することが簡単にできます。

複雑なクエリーの解読

アナリストに課せられた次の新たな課題は、複雑なサーチを構成する基本的なサーチ構文を理解することです。そこで、Splunk IT Essentials Learn Appに実装された[Active Directory]ダッシュボードを見てみましょう。このような作業では多くの場合、SPLクエリーを1行ずつ解読したり、Splunkのエキスパートに支援を求めたりするといった面倒な作業が必要になります。

ここでも、Splunk AI Assistant for SPLが非常に役立ちます。複雑なSPLクエリーを自然言語で説明できる機能を利用すると、クエリー全体についての概要と詳しい説明を確認できます。以下のSPLクエリーに含まれるさまざまなコマンドと関数は、「Application」ログに焦点を絞って「WinEventLog」のデータをフィルタリング、集約、ソートし、その結果をすぐ把握できるよう「Total_Events」でソートした表形式で出力するように構成されています。

index=* sourcetype=WinEventLog 
    [| inputlookup app_log_evt_code_desc WHERE LogName=""Application"" 
    | stats values(EventCode) AS EventCode by LogName 
    | format] 
| fields _time,host,LogName,EventCode,signature,signature_severity 
| stats max(_time) AS l_time, dc(host) AS host_count,last(host) AS l_host,count by LogName,EventCode,signature,signature_severity 
| table count,LogName,EventCode,signature,signature_severity 
| append 
    [| inputlookup ms_ad_obj_evt_code_desc 
    | eval count=0 
    | table LogName,EventCode,signature,signature_severity] 
| stats max(count) AS Total_Events by LogName,EventCode,signature_severity,signature 
| fillnull value=""0"" Total_Events 
| sort -Total_Events

ドキュメントの要約

ITの分野において、ミッションクリティカルなアプリケーションやインフラのトラブルシューティングをすばやく実行できることは、単なるメリットではなく、高レベルなオブザーバビリティ(可観測性)を実践するために、もはや欠かせない能力です。問題は、見えないものは修正できないことにあります。トラブルシューティングを効果的に行うための基盤を整備するには、あらゆる環境を包括的に可視化する必要があります。そこで威力を発揮するのが、Splunkにデータを直接ストリーミングするためのパイプラインを提供する、SplunkのHTTPイベントコレクタ(HEC)です。では、どうすればHECを有効にできるでしょうか。

あてもなくGoogleを検索したり、次々とドキュメントを調べたりする時代は過ぎ去りました。Splunk AI Assistant for SPLを利用すると、必要な情報をすぐに獲得できます。Splunk AI Assistant for SPLを数回クリックして、「HECを有効にするにはどうすればよいですか？」と質問するだけで、実用的な回答を得られます。質問するとすぐに、変更チケットのレビューと社内ドキュメント作成の両方に合わせてHECを有効にするための、わかりやすく丁寧に書かれたガイドが表示されます。この機能は、プロセスの効率化、Splunkの新規ユーザーに対する効率的な教育、全体的な運用の俊敏性向上を目指すITアナリストの役に立つはずです。

Splunk AI Assistant for SPLの優れた機能

これまでの説明から、Splunk AI Assistant for SPLは単なるツールではなく、IT担当者の業務の進め方に革新をもたらすツールであることがおわかりいただけたと思います。Splunk AI Assistant for SPLを活用して、複雑なクエリーの作成を効率化し、データから簡単にインサイトを引き出して、Splunk製品に対する理解を深めることで、ユーザーはこれまで以上に効率的かつ効果的に業務を行えるようになります。

Splunk AI Assistant for SPLやその機能について詳しく知りたい方は、お近くのSplunkチームに連絡して、製品のデモやSplunk Cloud環境へのインストールについてお問い合わせください。ラスベガスで開催される.conf24に参加されない方は、Splunkの.conf24に関するグローバルブロードキャストで最新情報をご覧いただけます。

#splunkconf24のハッシュタグが付いたツイートをぜひご確認ください。

@splunkをフォロー

このブログはこちらの英語ブログの翻訳、Huaibo Zhaoによるレビューです。