Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



17.10.2017

Ultrapanorama

Philips 492P8
13.10.2017

Druk w bieli

Oki Pro8342WT
11.10.2017

PolCAAT’ 2017 już w...

30 listopada 2017 r. w warszawskim hotelu Marriott odbędzie się XIII edycja konferencji...
10.10.2017

Pełna ochrona

Kaspersky Total Security 2018, Internet Security 2018
06.10.2017

Przeprowadzka do chmury

Oracle Exadata Cloud
03.10.2017

Automatyzacja...

Red Hat Ansible
02.10.2017

Bezpieczeństwo danych zaczyna...

Aby zapewnić bezpieczeństwo danych, w tym informacji poufnych o klientach i pracownikach,...
27.09.2017

Dotykowe 75 cali

BenQ RP750K
22.09.2017

Wydajne CPU

AMD Ryzen Threadripper

Splunk – zarządzanie zdarzeniami

Data publikacji: 29-08-2017 Autor: Jarosław Sobel
RYS. 1. ETAPY ANALIZY DANYCH...

Umiejętność szybkiego gromadzenia i analizy danych to obecnie podstawa funkcjonowania większości przedsiębiorstw. Zobaczmy, jak rozwiązania firmy Splunk, pozwalające m.in. na monitorowanie zdarzeń w sieci oraz prezentację zebranych danych, mogą nam w tym pomóc.

Splunk to obecnie jedno z najpopularniejszych narzędzi do analizy danych maszynowych. Można je wykorzystać do wielu celów i to zarówno w obszarze IT, jak i biznesu. Przykładowe zastosowania to między innymi:

 

  • analiza logów aplikacyjnych i systemowych;
  • prezentacja statystyk wydajnościowych systemów;
  • monitoring zdarzeń związanych z bezpieczeństwem (logi SIEM);
  • analiza trendów finansowych;
  • wykrywanie anomalii i oszustw.

 

Najważniejszy jest jednak fakt, że używając Splunka, można na dane spojrzeć całościowo (niezależnie od ich rozmiaru) oraz korelować ze sobą pojedyncze, czasami wydawałoby się nic nieznaczące zdarzenia w celu uzyskania pełnego widoku sytuacji.

Idea narzędzia Splunk powstała w 2002 r. W tamtych czasach analiza problemów w infrastrukturze IT, w szczególności w dużych przedsiębiorstwach, była czasochłonna i skomplikowana. Większość danych trzeba było przeglądać i weryfikować ręcznie, brakowało narzędzi, które umożliwiały automatyczne zbieranie i korelowanie ze sobą pojedynczych zdarzeń. Co więcej, samo przetwarzanie ogromnych ilości danych było nie lada wyzwaniem. Pomysł na rozwiązanie tych problemów pojawił się w głowach dwóch mężczyzn, Erica Swana oraz Roba Dasa, których główną ideą było umożliwienie przeszukiwania informacji w danych maszynowych, w taki sam prosty i intuicyjny sposób, jak za pomocą wyszukiwarki Google. Pierwsza wersja narzędzia Splunk została zaprezentowana na targach LinuxWorld w roku 2005, produkt okazał się strzałem w dziesiątkę i z roku na rok był instalowany w coraz większej liczbie firm. Obecnie aplikacji używa ponad 13 tys. firm, w tym ponad 85 z listy Fortune 100.

Sama nazwa Splunk wzięła się od angielskiego słowa spelunking, oznaczającego eksplorację jaskiń – tak właśnie ówcześni informatycy określali poszukiwanie przyczyn awarii w systemach IT, i nazwa ta trafnie oddawała charakter ówczesnych działań prowadzonych niemal po omacku. W bardzo dużym uproszczeniu można założyć, że analiza danych maszynowych sprowadza się do szukania odpowiedzi na konkretne pytania, a cały proces można podzielić na trzy etapy (rysunek 1):

1. Zbieranie wszystkich danych, które potencjalnie mogą pomóc w znalezieniu odpowiedzi na nasze pytania. Na tym etapie często nie wiadomo, czy zbierane dane będą potrzebne, czy też nie.

2. Przekształcenie danych maszynowych w odpowiedzi. Początkowo będą to tylko syntetyczne informacje.

3. Prezentacja znalezionych danych w postaci zrozumiałej szerszemu audytorium, np. w postaci tabeli lub wykresów.

Część możliwości Splunka, głównie dotyczących analizy danych związanych z bezpieczeństwem (SIEM), została opisana w „IT Professional” (4/2015, s. 47). W niniejszym artykule prezentujemy cały wachlarz możliwości aplikacji.

> ROZWIĄZANIA KOMERCYJNE I DARMOWE

Aktualnie w portfolio firmy Splunk dostępne są trzy produkty: Splunk Enterprise, Splunk Cloud oraz Splunk Light. Wersja Enterprise oraz Light to rozwiązania instalowane lokalnie w infrastrukturze firmy. Wersja Cloud, jak sama nazwa wskazuje, jest platformą dostarczaną w modelu Software-as-a-Service, utrzymywaną w chmurze AWS (Amazon Web Services).

W artykule przedstawiamy możliwości najbardziej rozbudowanej wersji Enterprise. Wersja Light przygotowana została z myślą o małych organizacjach i przedsiębiorstwach, a główne różnice w stosunku do rozwiązania korporacyjnego to:

 

  • limit indeksowanych danych do 20 GB dziennie;
  • limit do 5 użytkowników;
  • brak rozwiązań wysokiej dostępności (HA);
  • brak rozwiązań dotyczących skalowalności (Clustering);
  • brak mechanizmów odtwarzania po awarii (DR);
  • brak jest wsparcia dla platformy deweloperskiej.

 

Wersję Enterprise można pobrać z oficjalnej strony produktu, a producent daje możliwość instalacji pełnej wersji i testowania produktu przez 60 dni. Po tym okresie można zakupić odpowiedni pakiet licencji, bezpośrednio powiązanych z ilością indeksowanych danych dziennie. Jeśli tego nie zrobimy, to Splunk automatycznie przejdzie w tryb darmowy i zostanie ograniczona funkcjonalność produktu (głównie związana z mechanizmami wysokiej dostępności) oraz limit indeksowanych danych do 500 MB dziennie. W dalszym jednak ciągu będzie można korzystać z pełnego zestawu narzędzi analitycznych.

[...]

Autor jest specjalistą zajmującym się projektowaniem, implementacją i administracją rozwiązań wirtualizacyjnych. Posiada certyfikacje firm: Citrix, VMware, Microsoft, NetApp i RedHat. Prelegent oraz autor bloga poświęconego technologii Citrix i wirtualizacji.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2013 Presscom / Miesięcznik "IT Professional"