▼前提条件
これから頻出する名称は、表記が違うだけで同じなので気にしないでください。
・フォワーダ = Forwarder
・ユニバーサルフォワーダ = Universal Forwarder(UF)
・ヘビーフォワーダ = Heavy Forwarder(HF)
・ライトフォワーダ = Light Forwarder(LF)
▼まずフォワーダとは何かおさらい
分析対象データを収集し、Splunkサーバへ転送する機能を持ったエージェントのこと。
※エージェント:代理や仲介を表す。ユーザーの代理としてコンピュータ処理を行う機能。ソフトウェアやシステム。
▼フォワーダの種類と詳細説明
フォワーダは「ユニバーサルフォワーダ」「ヘビーフォワーダ」「ライトフォワーダ」の3種類あります。
・Universal Forwarder(UF):WindowsOSもしくはUnix系OSで動作するエージェント。
データの収集および転送に特化した機能が提供される小さいサイズのインストーラー。
⇒シンプルにデータ収集・転送を行う場合には、Universal Forwarderの利用がお勧めです。
・Heavy Forwarder(HF):収集したデータで条件一致したデータのみを転送してくれるフォワーダ。
転送以外にインデックスやサーチ、加工が可能。
⇒転送時にデータの一部をマスク化(隠す)したり、高度なフィルタ処理を行う場合におすすめ。
・Light Forwarder (LF):HFより機能減らした旧式フォワーダ。公式では非推奨でほとんど使用されていない。
▼Splunk公式で推奨しているフォワーダは?
ヘビーフォワーダよりもユニバーサルフォワーダを優先的に使用することを推奨している。
⇒フィルタリングはインデクサーですべて可能なので、ネットワーク帯域幅を大量に消費しなくて済むめ。構成もシンプルにできる。
●なぜヘビーフォワーダを推奨しないのか?
ヘビーフォワーダでデータをフィルタリングすると、インデクサーが処理する際にネットワークIOが増加してしまう。
⇒HFが解析や処理の済んだデータをネットワークに送信する。
Rawデータだけでなく、HFが解析処理済みのメタデータ等もネットワークに送ってしまうためCPUやメモリ使用率が上がってしまう。
・ネットワークIO:I/Oは、Input/Outputの略で「入出力」。コンピューター情報を入力~出力する処理の総称。
●ヘビーフォワーダの推奨タイミング
ヘビーフォワーダは以下の場合のみに使用すること。
①データの大部分をソース側で破棄する。
②複雑なUIやアドオンによる要件がある(DBconnect、Checkpoint、Cisco IPSなど)。
③イベントごとにデータを別々のインデクサーやインデクサークラスターへルーティングする複雑な環境である
▼最後に
今回は様々な情報を取り入れてなるべく分かりやすいように記載してみました。
規模によっても推奨の変動はあると思うので注意ください。
少しでも参考になれば幸いです。