Elastic 7.12をリリース:フローズンティアでテクニカルレビュー中の読み取り時のスキーマ、自動スケーリングのサポートの一般公開
Elastic 7.12を一般公開(GA)いたしました。今回のリリースでは、エンタープライズサーチ、オブザーバビリティ、セキュリティの各Elasticソリューションに多彩な新機能が登場しています。Elasticソリューションは、ElasticsearchやKibanaで構成されるElastic Stackをベースとしています。このリリースでは、読み取り時のスキーマで優れた柔軟性と速度のバランスを選ぶことができます。また、新しいフローズンティアでは、オブジェクトストアが完全に検索可能になり、新しい価値が発揮されます。Elastic Cloudではデプロイの自動スケーリングも可能です。
Elasticエンタープライズ サーチは、さまざまなアーキテクチャが機能強化され、デプロイサイズの削減、インデックスの高速化、その他の関連する機能といった利点がもたらされます。Elasticオブザーバビリティには相関関係が導入され、アプリケーションパフォーマンスの問題やエラーの主要な要因を特定する際に役立ちます。アナリスト主導の相関関係により、ElasticセキュリティのSecOpsワークフローが合理化されます。
Elastic 7.12の新機能はすべて、Elasticが最新リリースを提供する唯一のマネージドサービス、Elastic Cloudで今すぐ使いはじめることができます。またElastic Stackをダウンロードして、あるいはクラウドオーケストレーションプロダクトとして提供されるElastic Cloud EnterpriseやElastic Cloud for Kubernetesを活用して、セルフマネージドでお使いいただくことも可能です。
それではいよいよ、リリースのハイライトをご紹介します。また各機能の詳細、個別の製品ブログでもご紹介しています。併せてご覧ください。
Elastic StackとElastic Cloud
アナリストは読み取り時のスキーマによりデータを柔軟に調査できます。この機能は一般公開されました。
Elasticsearchの特長は、Elasticsearchの既定のスキーマである書き込み時のスキーマによる非常に高速な分散検索と分析エンジンです。整理されたデータ構造では、Elasticsearchでデータを表示する方法の計画とテストが必要ですが、速度が大きな問題となります。
新しいデータを取り込んだり、短時間で新しいユースケースを採用したりする必要があるときには何が起こるでしょうか。読み取り時のスキーマを使用して、クエリ実行時にその場でスキーマを作成するオプションがあるとしたらどうでしょうか。ランタイムフィールドが一般公開されました。これにより、書き込み時にスキーマ使用するだけではなく、読み取り時にも柔軟にスキーマを定義できます。この機能により、ある程度の検索パフォーマンスのトレードオフで、データの価値が発揮されるまでの時間が大幅に短縮されます。7.12リリースでは、Kibana Discoverでランタイムフィールドを検索できます。アナリストは、Elasticsearchで読み取り時のスキーマにより構造化されたデータを柔軟に調査できます。
読み取り時のスキーマは特別な実装です。Elasticsearchランタイムフィールドでは、書き込みのスキーマの速度とスケールのバランスや、読み取り時のスキーマの柔軟性を検討する必要がありません。同じElastic Stackで、同じデータに対して、すべてを同時に実現できます。既に理解しているデータのフィールドを検索しているときに、その場で新しいデータを調査し、新しいフィールドを定義できます。ランタイムフィールドで定義された新しく作成されたフィールドと書き込み時のスキーマを簡単に切り替え、速度とパフォーマンスを実現します。いずれのアプローチでも、Elasticsearchでは、速度とスケールの優れた柔軟性を期待できます。
新しいフローズンティアでは、S3などのオブジェクトストアが完全に検索可能になり、新しい価値が発揮されます。現在はテクニカルプレビュー中ですが、Elastic Cloudでのシンプルな操作経験がまもなく公開されます。
現在テクニカルプレビュー中の新しいフローズンティアでは、ストレージと演算を分離することができ、Amazon S3、Google Cloud Storage、Microsoft Azure Storageなどのオブジェクトストレージで直接検索する機能が導入されます。この機能により、わずかなパフォーマンスのトレードオフだけで、データを検索でき、検索に必要な専用リソースの量を削減できます。フローズンティアでは、オブジェクトストアからクエリを実行するために必要なデータのみを取得し、必要に応じてこのデータをローカルキャッシュに保存するため、最適な検索経験を実現しながら、無制限の量のデータを保存することができます。また、Elastic Cloudでフローズンティアを構成するためのユーザー経験の強化もまもなく導入される予定です。
検索可能スナップショットを使えば、費用対効果の高い方法で、あらゆるアプリケーションのコンテンツと履歴ワークスペースレコードを検索することができます。より多くのデータを格納してマーケティング分析に活用したり、アプリケーションをバージョン別にテスト・リリースする新しい開発戦略を導入したりできます。オブザーバビリティでは、もう費用の節約のためにログやメトリック、APMデータを削除する必要はありません。数年分のアプリケーションパフォーマンスを検索するために、わざわざバックアップデータをリハイドレードする必要もありません。脅威の探索やセキュリティ分析に検索可能スナップショットを活用すれば、数年分の大規模セキュリティデータソースに簡単にアクセスできます。IDSやNetFlow、DNS、PCAP、エンドポイントデータなど、セキュリティに関連する補完的なデータを大規模に収集し、アクセスしやすい状態で長期間保持できます。
新しい「バックグラウンドに検索を保存」機能では、長時間実行されているクエリを完了している間に、データ分析フローを続けることができます。
Elasticの技術は、不可能に近い膨大な量のデータから必要なデータを検索することを支援します。このような結果が複数のクラスターにまたがるフローズンインデックスのデータにあるときでも、Elastic Stackは、ジョブが完了するまで、ドキュメントの結合を停止しません。しかし、少し進むからといって、作業を停止する必要があるわけではありません。7.12では、作業を行いながら、DiscoverまたはKibanaダッシュボードで長時間実行中の検索セッションをバックグラウンドで実行するように送信できるようになりました。新しい検索セッション管理インターフェースでは、いつでも(5分後、5時間後、5日後など)結果を確認できます。Elastic Stackはマルチタスクに対応しているため、作業の完了に集中し続けることができます。
Elastic Cloudでは、自動的にストレージ使用率と機械学習機能を監視し、リソース調整して、自動スケーリングでパフォーマンスを管理できるため、ビジネスの遂行に集中できます。
Elastic CloudとElastic Cloud Enterprise 2.9では、自動スケーリングを使用できます。自動スケーリングでは、Elasticsearchデータノードのストレージ使用率と、機械学習ジョブで使用可能な能力の両方を管理します。自動スケーリングでは、自動的にリソース能力を調整し、ノードのパフォーマンスを管理します。
APIやCLIを使用するか、Elastic Cloudコンソールを使用して、自動スケーリングを有効にできます。Elasticsearchデータノードの能力は、格納するデータ量に従い拡大します。機械学習ノードのメモリとCPU容量は、機械学習ジョブのリソース要件に基づいて拡大、縮小します。しきい値を設定して、急激なクラスター増大を防止することもできます。
自動スケーリングでは、最適な方法で計測をすべてのアプリケーションに展開し、動的なオブザーバビリティデマンドに対応できます。最大容量に合わせてコストが多く発生することはありません。これは、Elasticオブザーバビリティコミュニティで最も要請された機能の1つです。Elasticエンタープライズ サーチでは、自動スケーリングを使用して、少ない負荷で検索プラットフォームに関する優れた洞察を推進し、ログ、分析、コンテンツでシームレスに調整できます。Elasticセキュリティでは、大規模な脅威探索作業を実行しながら、セキュリティイベント情報に対して異常検知を実行しているときに自動スケーリングで機械学習ノードのメモリリソースを監視および拡張できます。
Elastic Cloudで新しいインスタンスタイプがサポートされ、改善された柔軟性と価格/パフォーマンスの利点を活用できます。
Microsoft Azureのロンドンおよび東京リージョンでLs-Seriesインスタンスを利用できます。Ls-Series I/Oが最適化されたインスタンスの特長は、高スループットと低レイテンシです。これらのインスタンスは、以前のE-Seriesインスタンスと比べ、55%以上のコスト削減を実現します。デプロイでは、パフォーマンスが向上し、コストが低下します。
AWSのアイルランド、バージニア、オハイオ、オレゴンリージョンのD3インスタンスを活用できます。D2インスタンスと比べ、D3インスタンスは高密度ストレージワークロード向けの大容量のローカルストレージを提供しながら、低コストでパフォーマンスを強化します。Elastic Stackで提供されるARMのサポートにより、まもなくARMベースのEC2インスタンスもサポートできるように作業しています。これらのインスタンスでは、大幅なコスト削減が可能で、分散データストアのデプロイに最適です。
ご紹介した機能やその他の情報について、Kibana 7.12ブログ記事、Elasticsearch 7.12ブログ記事、Elastic Cloud 7.12ブログ記事もお伝えしています。併せてご覧ください。
Elasticのソリューション
Elasticエンタープライズサーチ
デプロイサイズを削減し、インデックスを高速化して、より関連性の高い結果を提供することで、高い価値を推進します。
Elasticは数年前に検索ユースケースのリソースに基づく価格体系をいち早く確立し、大規模な検索経験の運用における予測可能、透明、公正なアプローチを実現します。同じ原則を念頭におき、エンタープライズ サーチチームは、継続的に、研究および分野の専門知識に注力して、リソースの使用状況、能力管理、関連性を最適化する方法を模索しています。お客様の代わりに、複雑なモデリング決定に投資を行っています。このように、お客様は、調整済みのすぐにデプロイ可能な経験という利点を得ることができます。
7.12リリースでは、Elasticエンタープライズ サーチの基盤となるデータアーキテクチャが再設計され、より優れたストレージ効率、検索パフォーマンス、関連性を実現します。新しいアーキテクチャは、基盤となるインデックス管理を最適化して、データの重複を排除します。また、新しいマッピング構成を採用し、最新の検索経験で要求される入力ミスの予測変換を行いながら、検索の精度を高めます。ストレージ効率が最大70%改善、インデックス遅延が最大40%低下、App SearchとWorkplace Searchで関連性が大幅に改善されることが想定されます。
その他のElasticエンタープライズサーチの新機能については、エンタープライズサーチ7.12リリースブログでご覧ください。
Elasticオブザーバビリティ
Elastic APMの新しい相関関係機能では、低速のアプリケーショントランザクションで有意なパターンを検出し、根本原因分析を高速化します。
Elastic APMでは新しい機能が導入され、遅延とエラーが多いアプリケーショントランザクションを分析し、このようなパフォーマンスが悪いトランザクションに相関関係が強いサービスバージョンやインフラストラクチャメタデータなどの要因を明らかにします。この機能では、ユーザーは、対話型のトラブルシューティングワークフローで低パフォーマンスの根本原因に即座に着目し、解決までの平均時間を短縮できます。また、能動的なワークフローが推進され、アプリケーションの所有者は改善可能な領域を特定し、継続的にエンドユーザー経験を改善できます。
たとえば、相関関係機能では、特定のサービスバージョンが低パフォーマンスと強く関連していることや、エラーのあるトランザクションで特定の顧客が非常に多いことなどが浮き彫りになることがあります。このような洞察により、エンジニアは、調査の次のステップで絞り込みを行うことができます。
Elastic APMでの新しい相関関係
Elasticでの重要な用語アグリゲーションに基づく新しい相関関係機能は、遅延とエラーが多いトランザクションのタグをトランザクションセット全体と比較し、準最適トランザクションで異常なほど共通しているメタデータを自動的に特定します。
その他の新機能について詳しくは、Elasticオブザーバビリティ7.12ブログ記事を併せてご覧ください。
Elasticセキュリティ
EQLを使用したアナリスト主導の相関関係で探索と調査を高速化します。
Elastic Security 7.12の新機能であるアナリスト主導の相関関係は、データを情報と洞察に変える必要がある担当者にとって重要なツールです。アナリストは、コンテキストがないデータポイントの洪水に溺れずに、主要データ間の関係を明らかにすることで、より迅速に脅威を探索して調査できます。これにより、探索と調査を絞り込み、調査中に明らかになる結果から信頼度が高い検出が得られます。
アナリスト主導の相関関係はEvent Query Language(EQL)によって実行されます。これは、Elasticセキュリティ検出エンジンの高度な相関関係を支える技術です。相関関係の威力を活用して、SecOpsワークフローを合理化し、攻撃の進行を明らかにできます。ソースを問わずすべてのデータで検索と同じように簡単にシーケンスベースの分析が可能です。Elasticセキュリティの探索および調査ワークスペースのすべて。
従来から、応答時間の低下により、相関関係による脅威の探索と調査の強化の試みが妨げられてきました。今では、Elasticセキュリティにより、Elasticsearchの速度で有意なデータを特定できます。履歴データ全体で相関関係を適用できるため、アナリストは、わずか数分で、最も忍耐強く高度な攻撃者から主要な洞察を収集することができます。セキュリティチームには、幅広いセキュリティユースケースを網羅する複数の検出および調査方法という利点がもたらされます。EQLベースの相関関係と機械学習ベースの検出、インジケーター一致タイプ検出ルール、クラウド規模のサードパーティコンテキストを組み合わせることで、より包括的なセキュリティ戦略が可能です。
Elasticセキュリティにおけるアナリスト主導の相関関係。
Elasticエージェントで行動分析を使用してランサムウェアを防止します。
ランサムウェア攻撃は収益性があることが証明され続け、その手法は急速に進化しています。幸運にも、他の形態のマルウェアと同様に、ランサムウェアは攻撃チェーンの複数のポイントで防止可能です。多層防御。
Elasticセキュリティ7.12では、新しい層のランサムウェア防御が導入されました。これは、Elasticエージェントによる動作分析であり、Elasticセキュリティ7.9で初めて導入された署名なしマルウェア対策を補完します。Elasticエージェントの行動ランサムウェア防御は、低レベルのシステムプロセスからデータを分析し、Windowsシステムでランサムウェア攻撃を検出して防止します。これは、システムのマスターブートレコードを対象としたランサムウェアなど、さまざまな拡散したランサムウェアファミリーに有効です。
Elasticエージェントで強化されたランサムウェア保護。
詳しくは、Elastic セキュリティ7.12リリースブログをご覧ください。
併せてご覧ください
他にもたくさんのアップデートを行っています。7.12に追加された新機能については、各ソリューションやプロダクトの個別のブログ記事でもご覧いただけます。
Elastic Stack
Elastic Cloud
Elasticのソリューション
本ドキュメントに記述されているあらゆる機能ないし性能のリリースおよびタイミングは、Elasticの単独裁量に委ねられます。現時点で提供されていないあらゆる機能ないし性能は、すみやかに提供されない可能性、または一切の提供が行われない可能性があります。