表題の件、ご質問させて頂きます。
現在、Splunkを活用してセキュリティイベントを検知させようとしています。
様々なインシデントの可能性を多角的に検知するために、
リアルタイムサーチを40程度行わせようと検討しています。
Splunkのキャパシティプランニングマニュアルを参照すると、
48のリアルタイムサーチを行う場合、インデクサーがおよそ6台程度必要とありますが、
これは、日次のインデックス生成量とはほとんど関係ないのでしょうか?
当方の環境では、日時のインデックス生成量としてはおよそ10GB程度なのですが、
そのような環境でもインデクサーが多数必要であるか疑問に思っております。
また、当該環境でもインデクサーが多数必要な場合、
Splunkの負荷を下げ、インデクサーの台数を減らす方法があれば、
その方法についてご教示頂けないでしょうか。
↧