Splunk と Red Hat が連携して、可観測性アラートへの対応を自動化し AIOps を強化

Red Hat Ansible Automation Platform の一部である Event-Driven Ansible は、各種のアクションを自動化して様々な AIOps シナリオを実現し、問題やアラートに対応する際の速度、一貫性、レジリエンスを向上させることができます。Cisco Systems の一部である Splunk は、組織がデジタルシステムを理解し、脅威を検出し、運用効率を向上できるように設計され、広く導入されている可観測性ポートフォリオを提供しています。 

Red Hat と Cisco のコラボレーションにより、Splunk は Splunk アラートの自動応答シナリオの作成を加速し、単純化することができます。共同のお客様の環境では、アラートからアクションまでの対応をより簡単に自動化できるようになり、サービスチケットの削減、平均修復時間 (MTTR) の短縮、回復力の向上といったメリットが得られます。具体的には、セキュリティアラートへの迅速な対応や主要なアプリケーションの可用性に影響する問題の修復などが含まれます。 

統合のメリット

Ansible Automation Platform のすべての機能と同様に、Event-Driven Ansible は高い柔軟性を備えています。ユーザーは特定のアラートを選択し、チケットと通知の自動作成から、読み取り専用のファクト収集、コード化されたトラブルシューティング、自動化された IT 管理ステップの実行、信頼できる Ansible Playbook の呼び出しまで、望ましい対応をデザインできます。お客様は、Splunk IT Service Intelligence (ITSI) 可観測性ソリューションの Event Analytics 機能と Event-Driven Ansible を使用して、ビジネスに重大な影響を与える問題をより迅速に関連付けて特定し、AIOps モデルで応答を自動化することができます。 

AIOps、分析、および IT 管理ソリューションとして、Splunk ITSI は顧客に影響が及ぶ前にインシデントを予防するのに役立ちます。Splunk ITSI は、AI とルールを使用して監視ソースから収集されたデータを関連付け、関連する IT およびビジネスサービスの単一のライブビューを提供することで、アラートノイズを減らし、障害をプロアクティブに回避します。

「Splunk ITSI と Ansible Automation Platform のユーザーには多くの価値を提供できるため、このコラボレーションは共通のお客様にとって有益です。Splunk の機能を Event-Driven Ansible と組み合わせることで、お客様が自動化によってより迅速でスマートなアクションを実行できるようになり、システムの回復力を維持し、チームのアジリティを向上できます」と、Cisco の Splunk パートナーソリューションエンジニアリング担当ディレクターの Anush Jayaraman 氏は語ります。  

Splunk は Cisco のエコシステム全体のデータを利用し、Cisco ThousandEyes、Catalyst Center、Meraki のデータをより包括的な可観測性ソリューションに転換して、アプリケーションからインフラストラクチャ、ネットワークに至るまで、組織のデジタルスタック全体のポイントをより適切に接続できるようにしました。Event-Driven Ansible を使用することで、組織はスタック全体の「全体像」を把握し、変化する状況や問題に迅速に対応できます。

Splunk とイベント駆動型の自動化の連携

では、自動応答シナリオの提供をより迅速かつ容易にするためには、何が開発されたのでしょうか。Splunk アドオンが Splunkbase で利用可能になりました。これにより、Webhook または Kafka を使用して Event-Driven Ansible にアラートを送信できるようになります。Red Hat Ansible Automation Platform サブスクリプションを持つお客様向けに、Red Hat がこのアドオンをサポートしています。Splunk のコミュニティを重視した Web サイトで公開されたこの記事には、スタートする方法について記載されています。   

仕組みについて見ていきましょう。以下の図は、Event-Driven Ansible の受信-決定-応答モデルを示しています。決定フェーズでは、Ansible Rulebook が重要な役割を果たします。これらのルールブックは Ansible Playbook と同様の方法を使用して記述されますが、条件付きルールが含まれています。アラートを受信すると、ルールブック内の条件によってイベントが評価されます。条件が満たされると、アラートの応答または解決のために必要なアクションがトリガーされます。アクションには、Ansible Playbook やモジュールの呼び出し、または Ansible Automation Platform での自動化テンプレートの実行などが含まれます。

では、このシナリオは Splunk アラートでどのように機能するのでしょうか。図 2 は、上記の受信-決定-応答のシナリオをより詳細に示したものです。このアドオンが使用されているほか、Splunk ITSI や Splunk Enterprise Security で、AI モデルの有無に関係なく、アラートが生成されていることを確認できます。    

Splunk によるイベント駆動型の自動化の使用を拡大

Red Hat と Splunk は、導入に向けた成熟度モデルのさらなる進展を想定しています。我々は、「小さく始めて、大きく考える」アプローチをサポートしています。イベント駆動型自動化タスクはシンプルなものから始め、その後は範囲とレベルを拡大して、ワークライフバランスの向上やイノベーションのためにより多くの時間を確保するなどのメリットを提供できるようにしていくことができます。最初のイベント駆動型自動化タスクは、チケットと通知の自動作成や、(とくに夜間に有効期限が切れる場合などに対応する) 証明書の自動更新などが含まれるかもしれません。 

これらのメリットを実現すれば、そこから成長していくことができます。たとえば、セキュリティの脅威が存在する場所の周辺のトラフィックをシャットダウンしたり、リダイレクトしたりするためのルールブックを作成できます。または、e コマースの高トラフィックのシナリオなどで、しきい値応答を構築してトリガーすることもできます。ここでは、アラート対応シナリオの範囲とレベルを拡大する方法に関連して、その他のアイデアを紹介します。

• インシデント対応の自動化
• コンプライアンスと構成ドリフトの修正
• AI/ML 主導の修復ループ
• インフラストラクチャ・プロビジョニングの可視性
• セキュリティ・オペレーション・センター (SOC) のワークフロー
• 変更管理の監査
• クローズドループの自動化

結論とリソース

Red Hat と Splunk は、このコラボレーションと今後の展開に期待を寄せています。以下のリソースをぜひご活用ください。お客様のご意見を Red Hat または Splunk にお聞かせください。お客様が必要としている機能と、お客様にとってのメリットを理解する上で、お客様のフィードバックは欠かせません。このコラボレーションに関するニュースやリソースは、Event-Driven Ansible Web ページをご覧ください。  

その他の資料：

• Splunkbase アドオン
• Splunk Lantern の技術マニュアル記事
• Event-Driven Ansible Web ページ
• Event-Driven Ansible インタラクティブラボ
• 動画デモ：AIOps の可能性
• Cisco と Splunk、AI 時代のエンタープライズ・デジタル・レジリエンスを強化
• Web セミナー (8 月 21 日付)：Red Hat、Splunk および Presidio