ベスト プラクティス: ローカルおよび集中型のデータ収集
Sumo Logic は柔軟性と拡張性の高いソリューションであり、組織の規模を問わず役に立ちます。では、その柔軟性の高さを生かして、Sumo Logic のデプロイをデザインする最適な方法はどのような方法でしょうか?
Sumo Logic のデプロイをセットアップするときに最初に検討すべきことは、Sumo Logic に送信するデータの収集方法です。ローカルのデータ収集と集中型のデータ収集の 2 つの基本的な方法をお勧めします。
実際には、これらの方法はまったくの別物ではありません。どちらか一方を選択する必要はありませんが、お読みいただいた後で、組織がどちらの方法により適しているか気づく可能性はあります。ほとんどの組織では、最終的にローカルのデータ収集と集中型のデータ収集を組み合わせて行うことになります。
最も重要なのは、組織に合ったデプロイをデザインすること、拡張性を確保すること、管理および保守しやすくすることです。少しプランニングするだけで、簡単にこれらを実現できます。
ローカルのデータ収集
ローカルのデータ収集方法では、すべてのデータを各システムからローカルで収集して Sumo Logic に送信します。
インストール済みコレクタとローカル ファイル ソースを使用するのが最もシンプルなデータ収集方法です。
Windows では、インストール済みコレクタとローカル Windows イベント ログ ソースを使用するのが最も信頼性の高いデータ収集方法です。Windows ソリューションに応じて、ローカル Windows パフォーマンス モニタ ログ ソースを設定することもできます。
ローカルのデータ収集方法を使用しているお客様には、通常、次のような特徴があります。
-
多数のターゲット ホストがある。
-
集中型の収集用のインフラストラクチャをメンテナンスまたは構築するためのリソース (コンピュータまたは人員) がない。
-
デプロイおよび設定を自動化できる (大規模な場合)。
-
ターゲット ホストをインターネットに接続していても問題ないか、クラウドに大半のターゲット ホストがある。
ローカルの方法には、次のようなメリットがあります。
-
ログに直接アクセスできる。
-
簡単にトラブルシューティングできる。
-
ハードウェアが必要ない。
ただし、次のようなデメリットも考えられます。
-
送信のインターネット アクセスが必要であり、ファイアウォールやセキュリティに関する問題が発生する可能性がある。
-
ソフトウェアのインストールおよび管理が必要。
-
ターゲット ホストのリソースを使用する。
-
Windows で WMI API の制限および遅延がある場合がある。
集中型のデータ収集
集中型のデータ収集方法では、インストール済みコレクタとリモート ファイル ソースまたは Syslog ソースを使用して、一元的な場所からすべてのデータを収集してからそのデータを Sumo Logic に送信します。この方法はログで広く使用されており、IT システム管理者にとってはおなじみです。
集中型の収集方法を使用しているお客様には、通常、次のような特徴があります。
-
ターゲット ホストがそれほど多くない (数千ではなく数十)。
-
設置済みの既存のログ集計/保存インフラストラクチャを活用できる。
-
ターゲット ホストにアクセスするためにインターネットに接続することに関して制限や懸念がある。
集中型の方法には、次のようなメリットがあります。
-
ファイル ソースの場合、ターゲット ホストで変更する必要がない。
-
Syslog ソースの場合、集中型のログ収集はおなじみであり、テスト済みの方法である。
-
送信のインターネット アクセスが行われないため、セキュリティに関する懸念が少なくなる。
-
必要なコレクタの総数が少なくて済む。
-
運用環境のコンピュータにソフトウェアをインストールする必要がない。
ただし、次のようなデメリットも考えられます。
-
ソリューションを拡張するときに問題が発生する可能性がある。
-
ハードウェアが必要である。
-
トラブルシューティングが難しくなる。
-
ネットワーク帯域幅の要件を高める必要がある場合がある。
-
Syslog の場合、負荷分散しないと、データが失われる可能性がある。