Dynamic Data：Splunk Cloud Platformのデータ保持オプション

テクノロジー環境が変化し続け、デジタルトランスフォーメーションが加速する今日、組織では日々、膨大な量のデータが生成されています。ビジネスの俊敏性と成長を維持し、カスタマーエクスペリエンスを向上させるには、組織に適した保持ポリシーに基づいてこれらのデータを管理する必要があります。

Splunk Cloud Platformには、さまざまなユースケースとデータ保持のニーズに対応する、柔軟なデータ管理オプションが用意されています。必要に応じて以下のタイプのストレージを500GB単位で購入できます。 

• Dynamic Data：Active Searchable (DDAS)
• Dynamic Data：Active Archive (DDAA) 
• Dynamic Data：Self-Storage (DDSS) 

DDASは、Splunk Cloud Platformでデータがすぐにサーチ可能になるストレージで、新たに取り込んだデータは通常、ここに保存します。DDSSは、お客様が管理する形態のアーカイブ用ストレージで、ここに保存されたデータのサーチが必要になったときもお客様自身でリストアを実行します。DDAAは、マネージド型のアーカイブ用ストレージで、Splunkがお客様に代わってアーカイブとリストアを実行します。

DDAAとDDSSの主な違いは2つあります。

1. データ管理：DDAAでは、Splunkがお客様のデータの管理責任者として、アーカイブのデータライフサイクル管理をすべて担います。お客様のActive Searchable (DDAS)のデータと同様に、アーカイブの可用性、耐久性、セキュリティ、プライバシーに関するすべての要件にSplunkが対応します。DDSSでは、お客様がデータアーカイブの管理責任者になります。お客様自身で、セルフストレージとしてAmazon S3またはGoogle GCSを定義し、どのインデックスのどのデータをセルフストレージに移動するかを設定します。データの移動後も、すべての管理をお客様が担います。
2. データリストア：DDAAでは、特定期間のデータをSplunk Cloud Platformインスタンスにリストアするようリクエストできます。ワークフロー全体がSplunk Webユーザーインターフェイスに完全に統合されているため、お客様のアーカイブデータはリストア開始後、一定の時間内にサーチ可能になります。DDSSでは、セルフストレージに保存されたデータをサーチする必要が生じた場合、お客様自身でSplunk Cloud Platformインスタンスにリストアする必要があります。

Dynamic Data Active ArchiveとDynamic Data Self-Storageは同じ設計思想で構築されています。  

• データのライフサイクルを重視：Splunk Cloud Platformで保持されるデータのコピーは基本的に1つだけです。お客様が指定した設定に基づいて、Splunk Cloud Platformでの保持期間が終了したデータは、お客様が管理するストレージまたはSplunkのマネージドストレージに移動されます。これらのデータは、ストレージに正しく移動されたことが確認された後、Splunk Cloud Platformから削除されます。
• セキュリティとパフォーマンスを確保：お客様が管理するストレージまたはSplunkのマネージドストレージへのデータ移動は、通常行うサーチアクティビティにほとんど影響しません。また、Splunkは、アマゾン ウェブ サービス(AWS)やGoogle Cloud Platform (GCP)のIAMロールを使用したセキュリティのベストプラクティスを取り入れています。

ここからは、DDAAの使い方について詳しく見ていきます。Dynamic Data Active Archiveはオプションのサービスです。このサービスを購入すると、インデックスリストのページにいくつかの項目が追加されます。 

[Storage Type]に新しい値、[Splunk Archive]が追加されます。アーカイブに移動されたインデックスでは、新しく[Restore]オプションが追加されます。このオプションについては後で取り上げます。 

インデックスの設定では、[Splunk Archive]または[Self-Storage]を選択できます。 これらのオプションはいずれか一方しか選択できず、両方を一度に選択することはできません。

[Splunk Archive]オプションを選択した場合は、[Archive Retention Period]を指定できます。保持期間は、サービス購入時に選択した割り当て量に基づいて判断します。

サイズやサーチ可能期間などのオプションを設定すると、その条件に一致したときに、データがSpunkアーカイブに移動されます。前述のように、データがアーカイブに正しく移動されたことが確認されると、Splunk Cloud Platformからそのデータが削除されます。設定はこれで完了です。

その後、インシデント調査やコンプライアンス上の要求に応えるために、アーカイブからデータをリストアする必要が生じることがあるかもしれません。その場合は、簡単な操作で、アーカイブからSplunk Cloud Platformインスタンスにデータをリストアできます。

リストアするデータの期間を指定し、説明を入力してから、サイズをチェックするだけで、あとは自動的に処理されます。データのリストアが完了したときに通知を送りたい場合は、通知先のメールアドレスを指定できます。現在のインデックスのリストアリクエストの履歴で、ステータスや、リストアしたデータ量などの詳細を確認することもできます。

データのリストアについて重要なポイントがいくつかあります。

• 一度にリストアできるデータの量は、Dynamic Data Active Searchable (DDAS)の購入時に選択した割り当て量の最大10%です。たとえば、10TBのDDASが割り当てられるワークロードベースのサブスクリプションの場合、いつでも1TB分のデータをリストアできます。 
• DDAAでデータをリストアした場合、そのデータのコピーがSplunk Cloud Platformインスタンスに30日間保持されます。30日経つと、コピーは自動的に削除されます。30日間保持する必要がない場合は、[Restore Archive]ウィンドウの[Actions]列にある[Clear]をクリックして、手動でコピーを削除できます。このように、リストアされるのはデータのコピーなので、アーカイブしたデータを誤って削除してしまうミスを防ぐことができます。
  
  

Splunk Cloud Platformインスタンスにリストアされたデータは、他のイベントデータと同じようにサーチできます。

DDAAとDDSSについてさらに詳しく知りたい場合は、Splunk Cloud Platformストレージのドキュメントを参照してください。

Splunkは、お客様からのフィードバックに基づいて、皆様の期待に応え、それを超えるイノベーションを提供できるよう、常に改善を続けています。Dynamic Data Self StorageとDynamic Data Active Archiveも、お客様からのフィードバックを反映し、お客様とともに作り上げた成果です！

^{注：このブログは、2018年10月11日に初版が公開され、その後アップデートされました。}

このブログはこちらの英語ブログの翻訳、山村 悟史によるレビューです。