Smart Ticket Insights App for Splunk

読者の中には、機械学習を活用した分析によってチケット対応を効率化する方法に関する最近のウェビナーに参加した方もいらっしゃるかもしれません。Splunkは、このセミナーのデモで紹介した新しいApp、Smart Ticket Insights App for Splunkをリリースし、Splunkbaseでの公開を開始しました。

このAppでは、Machine Learning Toolkit (MLTK)が基盤に使われ、ガイド付きのワークフローに従って操作することで、機械学習を利用してチケットデータに関するインサイトを得ることができます。Smart Ticket Insights Appは、Splunkの新しいドメイン固有ワークフローシリーズ「スマートワークフロー」の第1弾です。スマートワークフローは、モデルをゼロから構築しなくても業種ごとの共通課題に関するインサイトを導き出せるように設計され、Splunk Machine Learning Toolkit (MLTK)を使って作成された、一連の機械学習アプリケーションで構成されます。新しいSmart Ticket Insights Appもこのエコシステムに含まれます。さらに近日、Smart Education Insights AppがSplunkbaseで公開される予定です。最新情報をお待ちください！

頻発するチケットタイプの特定

Webセミナーで説明したとおり、多くの組織でIT運用チームのもとには、ビジネスのあらゆる面に関する多様なサポートチケットが大量に届きます。 

この多様な要求をすばやく優先順位付けして対応することは非常に困難です。Smart Ticket Insights App for Splunkは、チケットデータのパターンを特定して、運用チームの以下の課題解消をサポートします。

• 類似するチケットタイプをすばやく特定する
• チケットにできるだけ早期に対応する

特定したチケットはSplunk SOARプレイブックなどで処理することで、対応作業を自動化できます。

Appの使い方

Appとその依存コンポーネントをインストールしたら、チケットデータを入力します。入力は、ドロップダウンで適切なフィールドを選択して、[Go (実行)]をクリックするだけです。Splunk Add-on for ServiceNowを使ってServiceNowから収集したチケットデータや、Add-on for JIRAを使ってJiraから収集したチケットデータを入力できます。

Appは3つのセクションで構成されます。以下では、各セクションの使い方を順に説明します。

データ入力

このダッシュボードでは、まず、チケットデータを返すクエリーを入力します。データには、ID、カテゴリ、サブカテゴリ、説明の4つのフィールドが含まれている必要があります。IDは、各インシデントまたはチケットに関連付けられた固有の識別子です。クエリーを実行したら、4つのフィールドのタイプをそれぞれドロップダウンで選択します。

フィールドを選択すると、ダッシュボードの各パネルに、インシデントの総数や説明を含むインシデントの件数など、チケットデータに関する概要レベルのインサイトが表示されます。

表示される中で重要なグラフが[Count of Incidents with a Description by Category (説明を含むインシデント数/カテゴリ別)]です。このグラフでは、説明を含むインシデントの件数がカテゴリ別に示されます。Appの以降のセクションでは、カテゴリごとに説明を順次分析して、チケットに関するインサイトを導出します。そのため、説明が少ないカテゴリについてはインサイトをあまり導出できないことになります。 

グラフを確認したら、カテゴリの説明をマイニングするためのしきい値を下のドロップダウンで選択し、[Identify Frequently Occurring Types of Tickets (よく発生するタイプのチケットを特定)]ボタンをクリックして次のセクションに進みます。

スマートグループの作成

このセクションでは、よく発生するチケットタイプを特定するために使われるモデルのトレーニングに関する設定を行います。モデルをトレーニングするには、分析するカテゴリを選択し、モデルのパラメーターを確認します。パラメーターには、数値を分析対象に含めるかどうか、クラスターの構成に必要な単語数、単語の感度(たとえば35%に設定すると、各単語は説明の中で出現率が35%以下の場合にのみモデリング対象になります)などがあります。

これらを選択すると、モデルのトレーニングが開始されます。トレーニングには3つの手法が使われます。

• TFIDF (単語の出現頻度-逆文書頻度)：すべての説明に含まれるすべての単語を分析して、説明の中で重要な単語を抽出します。このAppでは、1～3語で構成される言葉が単語とみなされます。
• PCA (主成分分析)：基本的には、大量の変数を、主要な特徴を含む少数の成分に縮約する手法で、これにより、多数の数値フィールドから1つの数値表現を生成します。TFIDFでは多数のフィールドが生成されがちなため、PCAを使用して少数の主成分に縮約することで、以降のモデリングでバイアスが生じるリスクを抑えます。
• G-Meansクラスタリング：類似するデータポイントのグループを識別します。このアルゴリズムはK-Meansに似ていますが、重要な相違点として、検出するクラスター数を事前に指定する必要がありません。クラスター数がアルゴリズムによって計算されるため、探索的分析に最適です。

モデルのトレーニングが完了したら、識別されたグループを分析します。類似するタイプのチケットが特定されていると判断でき、結果が十分であれば、[Save Model (モデルを保存)]ボタンをクリックしてモデルを保存できます。

現時点で満足な結果が得られなくても心配ありません。次のセクションでオプションを選択してグループを編集できます。

スマートグループの管理

保存したモデルは、[Manage Smart Groups (スマートグループの管理)]ダッシュボードで管理できます。 

このダッシュボードではまず、管理するカテゴリを選択します。選択したグループごとに、グループを編集したり、グループのサーチを表示したりできます。次の3つの編集オプションがあります。

• [Change the group name (グループ名を変更)]：各グループには名前ではなくIDが割り当てられます。このオプションを使えば、わかりやすい名前を付けることができます。たとえば、すべてのチケットが新入社員の採用に関するものである場合は「新規採用」などの名前を指定できます。
• [Combine the group with others (他のグループと結合)]：TFIDFとG-Meansによって固有のグループが検出されますが、その中の複数のグループが類似している場合もあります。このオプションを使えば、こうした類似のグループを1つにまとめることができます。
• [Exclude subcategories from the group (グループからサブカテゴリを除外)]：教師なしのクラスタリングでは、満足な結果が常に得られるとは限りません。サブカテゴリのフィルタリングで処理できない明らかに不正確なエントリがグループに含まれている場合は、結果が不十分になりがちです。このオプションを使えば、グループからサブカテゴリを除外できます。

必要に応じてモデルを削除することもできます。

[open in search (サーチを開く)]ボタンをクリックすると、選択したグループを識別するためのサーチが表示されます。他のSpunkサーチと同様に、このサーチを特定のスケジュールで実行し、結果が検出された場合はアクションをトリガーするように設定できます。これにより、特定のタイプのチケットが届いたときに、Splunkで対応作業を自動実行できます。たとえば先ほど例に挙げたチケットの場合は、人事と管理層から新規採用に必要な承認を得るためのPhantomプレイブックを実行できます。

次の展開

このAppは、Machine Learning Toolkitを基盤とする一連のスマートワークフローAppのほんの始まりにすぎません。Splunkは今後、データサイエンスに詳しくなくても機械学習を活用してデータからインサイトを獲得できる優れたAppを順次リリースする予定です。スマートワークフローに関する最新情報は、.conf、Webサイト、ブログでお知らせいたします。今後の展開にぜひご期待ください！

このブログはこちらの英語ブログの翻訳、沼本 尚明によるレビューです。