Scan Budget機能が時間ベースでスキャン上限を掛けられるようになりました

2025.02.25 taka

こんにちは、技術本部のtakaです。
先日、本ブログでも紹介したSumo logic公式のリリースノートで公開された新機能Scan Budgetが強化されました。

https://help.sumologic.com/release-notes-service/2025/01/23/manage/

過去記事では、Scan Budget機能について、その設定方法や手順などをご紹介させていただきました。

今回の本記事では、強化されたScan Budget機能を使い、組織全体に1か月分のクレジット制限を掛けるといった時間ベースでのスキャン上限を掛ける設定方法をご紹介させていただきます。

Scan Budget機能とは

https://help.sumologic.com/docs/manage/manage-subscription/usage-management/

Scan Budget機能とは、1クエリ検索ごとや期間ごとのクエリ検索によるスキャンされるデータ量・クレジットの上限を設定する機能です。

この機能の対象はクエリ検索にクレジットの消費がされるものであるため、

Flexプランのテナント上での検索
Enterprise SuiteプランのInfrequentデータ層を対象とした検索

が対象となります。
そのため、特にFlexプランのお客様に対して、使っていただきたい機能となっております。

また、Scan Budget機能は、以下のように設定を行えます。

設定	説明
Scan Budgetのタイプ (どちらか一方を選択)	時間ベース(日・週・月)でのスキャン上限設定 1クエリごとのスキャン上限設定
対象	テナント全体 Administaratorなどのロール特定のユーザ
上限超過した際の動作 (どちらか一方を選択)	警告メッセージの表示バックグラウンド検索（※）のみを許可

※このバックグラウンド検索とは、APIやSLOのほか、Scheduled Search・モニターといったユーザが能動的に手を動かすものではないクエリ検索を指しています。

設定手順の前に

Scan Budgetの設定を実施する前に、以下のクエリを実行していただくと、ご利用いただいているテナント全体やユーザごとにどの程度スキャンされているのかをご確認いただけます。

・テナント全体でのデータスキャン数(/1日)

_index=sumologic_search_usage_per_query
| where analytics_tier = "Infrequent" or analytics_tier = "Flex"
| data_scanned_bytes/1Gi as data_scanned_GBs
| fields analytics_tier, query, data_scanned_GBs, user_name
| timeslice 1d　//値を7dとすることで1週間、30dとすることで1か月ごとのスキャン数をご確認いただけます。
| sum(data_scanned_GBs) as sum_data_scanned_GBs_per_day by _timeslice

・ユーザのスキャン数(/1日)の多い順

_index=sumologic_search_usage_per_query
//| where analytics_tier = "Infrequent" or analytics_tier = "Flex"
| data_scanned_bytes/1Gi as data_scanned_GBs
| fields analytics_tier, query, data_scanned_GBs, user_name
| timeslice 1d　//値を7dとすることで1週間、30dとすることで1か月ごとのスキャン数をご確認いただけます。
| sum(data_scanned_GBs) as sum_data_scanned_GBs_per_day by _timeslice,user_name
| sort sum_data_scanned_GBs_per_day

設定手順

まず、Scan Budgetを設定するページには、左側メインメニューの[Administration]＞[Account]＞[Usage Management]＞[Advanced]＞[＋Create Scan Budget]をクリックしてください。

上記のように遷移した後、以下の①～④に沿って設定し、[Save]をクリックしてください。

①～④それぞれの設定は、以下の通りです。

Scope：Scan budgetを適用するユーザまたはロール名を設定
Scopeに含まれる一部ユーザを適用外としたい場合は、チェックボックスExclude users/roles from the budgetをクリックし、ユーザまたはロールを入力。

Capacity：Scan Budgetのタイプやスキャン上限値を設定
- Budget Type：クエリごとにスキャンされるログデータ量でのスキャン上限を設定をしたい場合はQuery、時間ベース(日・週・月)でのスキャン上限設定をしたい場合はDaily・Weekly・Monthlyを選択してください。
- (Daily・Weekly・Monthly選択時)Capacity for the Group・Capacity per User：
  Capacity for the GroupはScope全体に単一の上限設定、Capacity per Userは、Scope内個々のユーザーに対して上限を設定。
- Enter value here：本記事に記載した「設定手順の前に」を参考にして、スキャン上限値を入力。

Action：Capacityで設定した上限を超えた際に実施する動作を設定
動作については、以下二つの設定をラジオボタンから設定することができます。
・Show Warning to the user：警告メッセージの表示
・Only allow background query scans：バックグラウンド検索のみを許可

なお、警告は以下のように表示されます。
塗りつぶされている部分がユーザやロール名となります。

Details：Scan budget名の設定

最後に

今回、Scheduled View機能で時間ベースのスキャン上限を掛ける設定方法について解説しました。
Sumologicをお使いいただく中で、クレジットを超過せずに使い続ける手段として、最適な機能となっております。
是非お試しください。

ご紹介した機能は勿論、それ以外でも、何かSumo logicについてご不明点等ございましたらお気軽に弊社へお問い合わせください。

最後までお付き合いいただきありがとうございました。

サイバー攻撃よりも検知が難しい内部不正、情報漏えいを抑止する低コスト／高セキュアな内部不正対策の実現方法

Sumo Logic CSEのEntity Timelineとは？特徴・メリット・ユースケースを解説

Scan Budget機能が時間ベースでスキャン上限を掛けられるようになりました

Scan Budget機能とは

設定手順の前に

・テナント全体でのデータスキャン数(/1日)

・ユーザのスキャン数(/1日)の多い順

設定手順

最後に

RECENT POST「Sumo Logic」の最新記事

SIEMマーケットに革命を起こす Sumo Logic Flexプライシングについて（応用編）

SumoLogicの新機能クエリ生成AI SumoLogic Mo Copilotを使ってみた

SIEMマーケットに革命を起こす Sumo Logic Flexプライシングについて

Sumo Logic CSEのEntity Timelineとは？特徴・メリット・ユースケースを解説

RECENT POST 最新記事

RANKING人気記事ランキング

TOPIC トピック一覧

SEARCHブログ内検索

Scan Budget機能が時間ベースでスキャン上限を掛けられるようになりました

Scan Budget機能とは

設定手順の前に

・テナント全体でのデータスキャン数(/1日)

・ユーザのスキャン数(/1日)の多い順

設定手順

最後に

RECENT POST「Sumo Logic」の最新記事

SIEMマーケットに革命を起こす Sumo Logic Flexプライシングについて（応用編）

SumoLogicの新機能 クエリ生成AI SumoLogic Mo Copilotを使ってみた

SIEMマーケットに革命を起こす Sumo Logic Flexプライシングについて

Sumo Logic CSEのEntity Timelineとは？特徴・メリット・ユースケースを解説

RECENT POST 最新記事

RANKING人気記事ランキング

TOPIC トピック一覧

SEARCHブログ内検索

SumoLogicの新機能クエリ生成AI SumoLogic Mo Copilotを使ってみた