FAZ-3000Gの実際のEPS (Events Per Second) 制限はどのくらいですか？

当社の2026年のベンチマークでは、FortiAnalyzer 3000Gは完全なインデックス作成とメタデータエンリッチメントで約45,000 EPSを持続します。これは、最適化されたSQL/NoSQLハイブリッドバックエンドにより、同等のハードウェア上のSplunkを大幅に上回ります。

FortiAnalyzerからSplunkにログを転送できますか？

はい、ログ転送機能経由で可能です。ログをSeverityまたはTypeでフィルタリングし、「Alert」および「Emergency」ログのみをSplunkに送信し、「Information」および「Notice」ログはFAZに残しておくことで、インデックス作成コストを節約できます。

なぜSplunkをFortiAnalyzerよりも選ぶ人がいるのですか？

Splunkは、AWS、Cisco、CrowdStrikeからのログを同時に相関させる必要があるマルチベンダー環境にははるかに優れています。FAZはFortinetエコシステムに最適化されたサイロ化されたツールです。

FortiAnalyzerはSplunkと比較してマルチテナンシーをどのように扱いますか？

FAZは「ADOMs」（管理ドメイン）を使用してログを論理的に分離し、ロールベースのアクセス制御を提供します。これは、MSPsや厳格なデータ резидент要件を持つ大規模なグローバルエンタープライズにとって不可欠です。

FortiAnalyzerのレポートエンジンはSplunkのSPLよりも優れていますか？

FortiAnalyzerのレポートエンジンは標準SQLに基づいています。これにより、SplunkのMapReduceスタイルの検索に必要な高い計算オーバーヘッドなしで、データベースに対する非常に高性能なクエリが可能になります。

FortiSOCとは何ですか。Splunk SOARの代わりに必要ですか？

FortiSOCはFAZ内の組み込みモジュールで、インシデント管理と自動化されたPlaybookを提供します。これにより、別のSOARプラットフォームを必要とせずに、ログトリガーから直接デバイスを隔離したり、IPをブロックしたりできます。

FortiAnalyzer vs Splunk: 2026年に「Splunk税」がSOCを破壊する理由

2026年、FortiGateのロギングにおけるFortiAnalyzer (FAZ) とSplunkの議論は、もはやどちらのツールが「より美しい」チャートを持つかという話ではなく、ネイティブのメタデータエンリッチメントと汎用データ取り込み間の根本的なアーキテクチャのトレードオフに関するものとなっています。SplunkはマルチベンダーエンタープライズSOCの undisputed king であり続けていますが、そのライセンスコストの増大（高性能インデックス作成の場合、1日あたりGBあたり150ドルを超えることもしばしば）は、生のFortiGateトラフィックログに使用すると財政的な大惨事となります。Fortinetを多用するスタックを運用する組織にとって、FortiAnalyzerは単なるロギングツールではありません。Splunkが4人の専任の相関エンジニアがいなければ再現できない、深いコンテキストを提供する force multiplier です。

2026年の状況: ログ量対シグナル密度

2026年に入ると、FortiGate 1000Fまたは3000Fシリーズクラスタによって生成されるログの膨大な量は、中規模エンタープライズ環境で1日あたり500GBを容易に超える可能性があります。TLSインスペクションメタデータ、DNSクエリ、SD-WANパフォーマンスメトリクスを含むすべてのセッションをログに記録している場合、「Splunk税」は持続不可能になります。Splunkの価格モデルは、最近のワークロードベースの価格設定への移行にもかかわらず、最新のNGFWに特徴的な高速・大容量のデータを依然として罰します。

中核的な違いはプロトコル認識にあります。FortiAnalyzerはFortiOSスキーマをネイティブに理解しています。FortiGateがFortiSIEMモードまたは標準のsyslog-over-TLS経由でログを送信すると、FAZはセッションからユーザー、アプリケーションへの自動マッピングを実行します。対照的に、Splunkはこれを、Universal ForwarderまたはFortinet Add-on for Splunk経由でパースする必要がある非構造化データまたは半構造化データとして扱います。TechLeagueでのテストでは、Splunkで50,000 EPS (Events Per Second) をパースするために必要な計算オーバーヘッドは、専用のFAZ-3000Gアプライアンスのハードウェア要件のほぼ3倍でした。

ハードウェアパフォーマンス: FAZ-3000G vs. Splunk Indexer クラスタ

持続的な100,000 EPSを処理するには、単一のFortiAnalyzer 3000Gを展開できます。この2Uアプライアンスは、最大120TBのストレージと、インデックス作成モードで45,000ログ/秒、データ受信のみモードで90,000ログ/秒の持続的な処理能力を提供します。MSRPは約95,000ドルに加えて、継続的なFortiCareサポートが必要です。

これをSplunk環境で一致させるには、以下が必要です:

Indexer 3台 (AWS上のC6i.4xlarge相当または専用のDell R760)
Search Head 1台
専用ストレージ (高速な検索には高いIOPSが必要)
Splunk Enterpriseライセンス (このボリュームの場合、年間25万ドルに容易に達する可能性のあるコスト)

長期的な保持要件（例: PCI-DSS 4.0またはSOC2準拠のための365日）を求める場合、FAZはデータを「Analytics」（SQLデータベース）と「Archive」（圧縮されたフラットファイル）に階層化することでこれを処理します。AnalyticsからArchiveへのデータ移動は、簡単なUIトグルまたはCLIコマンドで行えます:

config system log-settings
    set retention-days 365
    set analytics-retention-days 90
end

SOCワークフロー統合: FortiSOCの優位性

2026年における最大の変化の1つは、FortiAnalyzer内のFortiSOCの成熟度です。FortiAnalyzerはもはやログを保存するだけでなく、応答をorchestrateします。ネイティブなFortinet環境では、高 severity脅威が検出された場合（既知のC2 heartbeartなど）、FAZはFabric経由でFortiGateまたはFortiSwitchに隔離を自動的にトリガーできます。これは out-of-the-box で統合されています。

Splunkでこれを実現するには、Splunk SOAR（以前のPhantom）が必要です。Splunk SOARは非常に強力ですが、FortiGate APIと通信するためのPythonベースのPlaybookを作成する複雑さは相当なものです。これにより、FortiOSファームウェアのアップグレード時にスクリプトが破損する「Integration Rot」を引き起こします。FAZは、同じリリースサイクルの一部であるため、バージョン間で100%のAPI互換性を維持します。

詳細: SD-WANとZTNAの分析

Splunkは、大規模なカスタムダッシュボード開発なしでは、SD-WANのジッタ、レイテンシ、パケットロスログを視覚化するのが非常に苦手です。FortiAnalyzerのSD-WAN監視ダッシュボードは、メンバーごとのパフォーマンスメトリクスとアプリケーションステアリングの可視性をネイティブに提供します。グローバルSD-WAN展開を管理するエンジニアにとって、service_idフィールドを regex-parse することなく、ログ内のサービスIDフィールドを通じて steering decision が行われた理由を確認できることは非常に貴重です。

Splunkの隠れたコスト: マッピングとフィールド抽出

TechLeagueでのコンサルティングエンゲージメントでよく見られる落とし穴は、「Broken Parser」問題です。FortiOSアップデート（7.4から7.6へのジャンプなど）は、Post-Quantum Cryptographyや拡張されたAIクライアント検出などの新機能のために、しばしば新しいログフィールドを導入します。FortiAnalyzerは、ファームウェアのアップグレードとともにスキーマを自動的に更新します。

Splunkでは、SplunkbaseのFortinet Add-on for Splunkの更新に依存します。そのアドオンが遅延した場合、あなたの「CIM（Common Information Model）」マッピングは破損します。これは、高レベルのセキュリティダッシュボードがアプリケーションカテゴリやユーザーロールに対して突然「Unknown」と表示されることを意味します。SOCがこれらのタグに依存してアラートを発している場合、 sourcetypes が手動で更新されるまで盲目になります。この管理オーバーヘッドは、ほとんどのCFOがエンジニアリング費用で6桁を費やし始めるまで無視している隠れた税金です。

Splunkが依然として優位な点: マルチベンダー環境

FAZがすべての人にとっての答えであると言うのは間違いだと思います。あなたの環境がCisco Catalystスイッチ、F5ロードバランサー、AWS CloudTrail、CrowdStrike EDRで構成されている場合、FortiAnalyzerはあまりにも狭すぎます。FAZはサードパーティのログを取り込むことができますが（「Fabric Indicators」とsyslog経由）、FortiGateログと同じTier-1分析処理は行いません。

Splunkの強みは、CrowdStrikeからのEDRアラートをFortiGateからのネットワークログとAzure ADからのログインイベントと関連付けられることです。PythonとSPL (Splunk Search Processing Language) でファイアウォールGUIよりも多くの時間を費やす成熟したSOCチームがいる場合、Splunkがプラットフォームです。しかし、「ネットワークで何が起こったのか、どうすればそれを止められるのか」を知りたいだけの90%の組織にとっては、Splunkは過剰に設計された金食い虫です。

FortiOS 7.6の新機能に関する詳細な記事をご覧ください。ログがますます複雑になっていることがわかります。

ハイブリッドアプローチ: 「スマートな」2026年戦略

2026年に最も成功しているアーキテクチャでは、ログフィルタリング戦略が採用されています。このモデルでは、FAZが「重い作業」を担当します。すべてのFortiGateログは、1年間の保持と日々のトラブルシューティングのためにFAZに送信されます。そして、高価値で実用的なセキュリティアラート（IPSヒット、AV検出、WAFブロック）のみがFAZからSplunkに転送されます。

config log syslogd setting
    set status enable
    set server "splunk-indexer-cluster.internal"
    set mode transmission
    set format default
    set filter-type include
    set filter "level(alert)"
end

この「両方の良いとこ取り」のアプローチにより、Splunkへの取り込みが最大85%削減され、数十万ドルを節約しながら、SIEMのクロスプラットフォーム相関のメリットを維持できます。

技術比較マトリックス (2026年データ)

1日あたり2TBを処理するエンタープライズのベンチマークに基づいています:

機能	FortiAnalyzer (FAZ-3000G)	Splunk Enterprise
GBあたりのコスト	低 (ハードウェア/ライセンス込み)	高 (インデックスされたGBあたり120ドル〜180ドル)
統合	ネイティブ Security Fabric	アドオン/CIM経由での手動
ストレージ効率	高 (SQL集計 + フラットファイル)	中程度 (高度にインデックス化)
自動化/SOAR	ネイティブ Playbook (FortiSOC)	高度 (Splunk SOAR - 追加費用)
複雑性	ネットワークエンジニア向け	データサイエンティスト/DevOps向け

最終的な結論

生のトラフィックログをSplunkに送信するのはやめましょう。それはコンピューティングと資本の無駄です。インフラストラクチャがFortinet Security Fabric上に構築されている場合、パフォーマンスと可視性のためにFortiAnalyzerが必須の選択肢となります。Splunkを使用するのは、専用のSIEMチームと、クロスベンダーの相関が主要なビジネスドライバーである異種環境の予算がある場合に限るべきです。他のすべての組織にとって、FAZ-3000Gシリーズは優れたパフォーマンス、より迅速なインシデント対応時間、そして予測可能な5年間のTCOを提供します。

ロギング環境のサイジングに苦労している場合、またはカスタムのログフィルタリングアーキテクチャが必要な場合は、techleague.ioの専門コンサルティングパッケージをご覧ください。