Splunkライセンスの理解をグッと深める

この記事は約7分で読めます。
sponsored link

ライセンスの種類

Enterprise trial license

Enterprise trial license とは「Splunkをインストールしたインスタンスに自動で付与される無料のライセンス」で、以下のような特徴をもちます。

  • Enterprise license (有料) と同じ機能を利用できる
  • インデックス可能なデータは1日500MBまで
  • インストール60日後に失効される (→その後は free license となる)
  • 他のライセンスと併用したり、複数インスタンスに導入することはできない
  • 大規模環境をテストしたい方はSplunk営業に問い合わせることで「Sales Trial license」というライセンスが与えられる

Enterprise license

Enterprise license とは「Splunkの全機能を利用できる最も一般的なライセンス」です。1日にインデックス可能なデータは購入したライセンスやvCPU数で決まります。

  • 複数インスタンスに導入可能
  • 購入額は1日にインデックス化するデータ量で決定
  • 現時点では、1日のデータ取り込み量が100GBを超えてもライセンス違反にはならない

Enterprise infrastructure license

Enterprise infrastructure lisence とは「vCPU数で購入額が決まるEnterpriseライセンス」で、近年のクラウド化のトレンドと共に利用されるようになりました。

  • 複数インスタンスに導入可能
  • 購入額はvCPU数で決まり、ボリュームベースで購入することはできない
  • 現時点では、vCPUの利用限度を超えてもライセンス違反にはならない

Free license

Free license とは「一部の機能と利用量が制限された無料のライセンス」で、Enterprise trial license が切れた際にこちらのライセンスとなります。

  • 失効期限がない
  • インデックス可能なデータは1日500MBまで
  • 他のライセンスと併用したり、複数インスタンスに導入することはできない
  • アラート、認証、クラスタリング、分散サーチ、データのサマリ、転送機能が利用できない

Forwarder license

Forwarder license とは「Splunk Enterpriseに組み込まれ、構成管理/認証の機能がついた転送量無制限のライセンス」で、UFにデフォルトでインストールされています。(HFの場合は手動で設定)
※ HFはデータ転送だけでなくインデックス化なども行うためEnterprise lisenceが必要です。

Premium App license

Premium App license とは「Splunk有償サービスを利用するためのライセンス」で、アプリの機能を利用するためには別途 Enterprise license を用意する必要があります。

License Master (LM)

License Master (LM) とは「他のコンポーネントでライセンス機能を有効にし、日々のデータ取り込み量を追跡するインスタンス」のことで、pools(各インスタンスの使用量を定めるもの) や capacity(使用量の拡張) を管理します。
※ LMは他の管理インスタンスにデプロイすることも可能です。

LM 利用の流れ

  1. ユーザーがSplunkからライセンスを購入
  2. 購入したライセンスが license stacks に蓄積
  3. License stacks にあるボリュームを license pool に分配
  4. LMがインスタンスを lisence pool に割り当てる
  5. インスタンスが license volume にアクセスできるようになる

ライセンスの警告と違反

警告/ 違反

ライセンスの警告は「1日のデータ取り込み量 (pool) を超過してしまった場合」にカウントされ、常にLMによって測定されています。(この警告が蓄積されればライセンス違反となります)

利用量は深夜にリセットされるので、それまでにライセンスを補充するか他のpoolから容量を移動させれば、警告は発生しません。

ライセンスタイプ ライセンス違反となる条件
Enterprise license 過去60日間で license stack が1日あたり100GB未満、かつ45回以上の警告
Enterprise trial license 過去30日間で5回以上の警告
Free license 過去30日間で3回以上の警告

ライセンス違反になってもインデックス化は継続して行われますが、(一部の)サーチ機能が制限されます。

  • (スケジュールされたレポートやアラート機を含む) サーチ機能の停止
  • 内部ログ (index=_internal) に対してのサーチやMCは利用可能

課金対象となるデータ

Splunkに送信されたデータはインデックス化された後、ディスクに保存されます。(取り込み量は常にLMにより測定)

そして「インデックスパイプラインに投入された生データ」に対してSplunkの課金が発生します。ディスクに書き込まれた圧縮データの量ではないため、インデックス前に破棄されたデータに対して課金は発生しません。

イベントデータだけでなく、メトリクスデータ (集計や時間表示が可能なデータ) を取り込むことも可能ですが、その場合「150 bytes/event」が上限となります。

課金対象でないデータ

  • Indexer clusters で複製されたデータ
  • Index components (e.g., metadata, tsidx)
  • サマリデータ (e.g., レポートに保存される indexes)
  • 内部ログ (e.g., _internal, _audit, _introspection)

ライセンス管理

ライセンスの管理手順

ライセンスの追加や利用状況の確認などは [Settings] > [Licensing] から行えます。ライセンスの残量だけでなく、アラートや違反の回数を確認することも可能です。
※ license groups (e.g., trial, enterprise) を変更する際はSplunkを再起動する必要があります。

購入したライセンスは $SPULNK_HOME/etc/licenses にあり、CLI ( add licenses ) で追加することも可能です。

$SPLUNK_HOME/bin/splunk add licenses <path>

License Peer

License peer とは「LM 配下にある全てのインスタンス」で、Splunkから購入したライセンスを peers で共有します。例えば SH, Indexer を利用している場合、以下のようになります。

License Pool

License pool とは「license stack から割り当てられた license volume」のことで、各インスタンスにボリュームを配分する役割があります。

最も一般的なのは single pool ですが、複数のテナントで pools を分けることも可能です。例えばLMに 600GB の license stack がある場合、以下のようになります。

References

Types of Splunk Enterprise licenses – Splunk Docuentation

About license violations – Splunk Docuentation

How Splunk Enterprise licensing works- Splunk Docuentation

metric – Splunk Docuentation

event data – Splunk Docuentation

summary index – Splunk Docuentation

licencie peer – Splunk Docuentation

Administrating Splunk 4.2 Var. 1.0.