Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



19.09.2017

Do sieci miejskich

D-Link DGS-3000 DGS-3000
15.09.2017

RODO: Chmura przychodzi z...

Rozporządzenie o Ochronie Danych Osobowych (RODO) zacznie obowiązywać już za niespełna...
15.09.2017

Kamery zmiennopozycyjne

Axis Q86 i Q87
12.09.2017

Procesy zgodne z rodo

Doxis4 iECM
08.09.2017

Kompleksowa obsługa

Oracle Cloud Applications Release 13
05.09.2017

Konteneryzacja

Red Hat OpenShift Container Platform 3.6
29.08.2017

Zmiana zakresu napięcia

Ever UPS ECO Pro CDS
28.08.2017

HackYeah: rekordowy hackathon...

Dwa tysiące programistów i specjalistów IT z całej Europy spotka się 27-29 października w...
25.08.2017

Router mini

MikroTik RB931-2nD

Splunk – zarządzanie zdarzeniami

Data publikacji: 29-08-2017 Autor: Jarosław Sobel
RYS. 1. ETAPY ANALIZY DANYCH...

Umiejętność szybkiego gromadzenia i analizy danych to obecnie podstawa funkcjonowania większości przedsiębiorstw. Zobaczmy, jak rozwiązania firmy Splunk, pozwalające m.in. na monitorowanie zdarzeń w sieci oraz prezentację zebranych danych, mogą nam w tym pomóc.

Splunk to obecnie jedno z najpopularniejszych narzędzi do analizy danych maszynowych. Można je wykorzystać do wielu celów i to zarówno w obszarze IT, jak i biznesu. Przykładowe zastosowania to między innymi:

 

  • analiza logów aplikacyjnych i systemowych;
  • prezentacja statystyk wydajnościowych systemów;
  • monitoring zdarzeń związanych z bezpieczeństwem (logi SIEM);
  • analiza trendów finansowych;
  • wykrywanie anomalii i oszustw.

 

Najważniejszy jest jednak fakt, że używając Splunka, można na dane spojrzeć całościowo (niezależnie od ich rozmiaru) oraz korelować ze sobą pojedyncze, czasami wydawałoby się nic nieznaczące zdarzenia w celu uzyskania pełnego widoku sytuacji.

Idea narzędzia Splunk powstała w 2002 r. W tamtych czasach analiza problemów w infrastrukturze IT, w szczególności w dużych przedsiębiorstwach, była czasochłonna i skomplikowana. Większość danych trzeba było przeglądać i weryfikować ręcznie, brakowało narzędzi, które umożliwiały automatyczne zbieranie i korelowanie ze sobą pojedynczych zdarzeń. Co więcej, samo przetwarzanie ogromnych ilości danych było nie lada wyzwaniem. Pomysł na rozwiązanie tych problemów pojawił się w głowach dwóch mężczyzn, Erica Swana oraz Roba Dasa, których główną ideą było umożliwienie przeszukiwania informacji w danych maszynowych, w taki sam prosty i intuicyjny sposób, jak za pomocą wyszukiwarki Google. Pierwsza wersja narzędzia Splunk została zaprezentowana na targach LinuxWorld w roku 2005, produkt okazał się strzałem w dziesiątkę i z roku na rok był instalowany w coraz większej liczbie firm. Obecnie aplikacji używa ponad 13 tys. firm, w tym ponad 85 z listy Fortune 100.

Sama nazwa Splunk wzięła się od angielskiego słowa spelunking, oznaczającego eksplorację jaskiń – tak właśnie ówcześni informatycy określali poszukiwanie przyczyn awarii w systemach IT, i nazwa ta trafnie oddawała charakter ówczesnych działań prowadzonych niemal po omacku. W bardzo dużym uproszczeniu można założyć, że analiza danych maszynowych sprowadza się do szukania odpowiedzi na konkretne pytania, a cały proces można podzielić na trzy etapy (rysunek 1):

1. Zbieranie wszystkich danych, które potencjalnie mogą pomóc w znalezieniu odpowiedzi na nasze pytania. Na tym etapie często nie wiadomo, czy zbierane dane będą potrzebne, czy też nie.

2. Przekształcenie danych maszynowych w odpowiedzi. Początkowo będą to tylko syntetyczne informacje.

3. Prezentacja znalezionych danych w postaci zrozumiałej szerszemu audytorium, np. w postaci tabeli lub wykresów.

Część możliwości Splunka, głównie dotyczących analizy danych związanych z bezpieczeństwem (SIEM), została opisana w „IT Professional” (4/2015, s. 47). W niniejszym artykule prezentujemy cały wachlarz możliwości aplikacji.

> ROZWIĄZANIA KOMERCYJNE I DARMOWE

Aktualnie w portfolio firmy Splunk dostępne są trzy produkty: Splunk Enterprise, Splunk Cloud oraz Splunk Light. Wersja Enterprise oraz Light to rozwiązania instalowane lokalnie w infrastrukturze firmy. Wersja Cloud, jak sama nazwa wskazuje, jest platformą dostarczaną w modelu Software-as-a-Service, utrzymywaną w chmurze AWS (Amazon Web Services).

W artykule przedstawiamy możliwości najbardziej rozbudowanej wersji Enterprise. Wersja Light przygotowana została z myślą o małych organizacjach i przedsiębiorstwach, a główne różnice w stosunku do rozwiązania korporacyjnego to:

 

  • limit indeksowanych danych do 20 GB dziennie;
  • limit do 5 użytkowników;
  • brak rozwiązań wysokiej dostępności (HA);
  • brak rozwiązań dotyczących skalowalności (Clustering);
  • brak mechanizmów odtwarzania po awarii (DR);
  • brak jest wsparcia dla platformy deweloperskiej.

 

Wersję Enterprise można pobrać z oficjalnej strony produktu, a producent daje możliwość instalacji pełnej wersji i testowania produktu przez 60 dni. Po tym okresie można zakupić odpowiedni pakiet licencji, bezpośrednio powiązanych z ilością indeksowanych danych dziennie. Jeśli tego nie zrobimy, to Splunk automatycznie przejdzie w tryb darmowy i zostanie ograniczona funkcjonalność produktu (głównie związana z mechanizmami wysokiej dostępności) oraz limit indeksowanych danych do 500 MB dziennie. W dalszym jednak ciągu będzie można korzystać z pełnego zestawu narzędzi analitycznych.

[...]

Autor jest specjalistą zajmującym się projektowaniem, implementacją i administracją rozwiązań wirtualizacyjnych. Posiada certyfikacje firm: Citrix, VMware, Microsoft, NetApp i RedHat. Prelegent oraz autor bloga poświęconego technologii Citrix i wirtualizacji.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2013 Presscom / Miesięcznik "IT Professional"