Clico

64_Grep_The_Linux_Blog.jpg
Forrás: ITB
Naplózva szép az élet

Mire és miért jó a Splunk?

Forradalmi újdonságként lépett be a piacra néhány éve a Splunk – aki egyszer működésben látta, nem használ mást rendszeresemények naplózására. A legnagyobb hazai forgalmazó és üzemeltető, a Brightdea Solutions Kft. ügyvezető igazgatóját, Horváth Tamást arra kértük, ossza meg velünk a tapasztalatait a termék bevezetéséről, használatáról és az itthon még kihasználatlan lehetőségeiről.

– Minek köszönhető, hogy a Brightdea Solutions kiemelten foglalkozik a Splunkkal?

– Pályám kezdetén rendszergazda, rendszermérnök pozícióban dolgoztam, rengeteg tartalomszolgáltató infrastruktúrája tartozott a kezem alá. Rendszeres problémánk volt egy-egy hiba felderítésénél, hogy a naplóadatok különböző rendszereken, különböző rétegekben és formátumokban voltak, ha egyáltalán voltak, és nagyon nehezen lehetett őket összevezetni. Amennyiben valahol volt központi naplógyűjtés, a különböző, sokszor több gigabájtos méretekben tárolt állományokban való keresés mindig lassú és nehézkes volt. Az akkori, kifejezetten naplóelemzésre dedikált rendszerek drágák és nem infrastruktúra-napló feldolgozásra használhatatlanok voltak. Ekkor lépett a piacra a Splunk, amely elsősorban ezt a szegmenst célozta meg „az IT-adatok Google-ja” címszóval.

– Milyen egy átlagos Splunk-felhasználó cég?

– A Splunk rendszert kifejezetten nagyvállalatok veszik, amelyeknél megvan a külső kényszerítő erő és a belső igény a naplóadatok megfelelő kezelésére, elemzésére.

– Ön miben látja a Splunk előnyeit a többi intelligens, naplózó szoftverhez képest?

– A Splunk egy platform, nem korlátozza a felhasználóit egyetlen területlefedésére. Az elsődleges a biztonsági monitorozás, de egyre inkább előtérbe kerül az SLA, a KPI értékeknek való megfelelés és ellenőrzés, valamit a különböző IT-rétegek teljesítménymonitorozása, a problémák magas szinten kezdett, de az elemi eseményekig lefúró elemzése.

– Hazánkban leginkább security monitoring biztosítására alkalmazzák, de miért pont a Splunkot?

– Szerencsére az ilyen rendszerek felhasználói egyre inkább rájönnek arra, amit mi már régóta igyekszünk megmutatni, hogy a biztonsági események egyre kisebb része történik az infrastruktúra rétegben (amelyet a tradicionális SIEM-megoldások tudnak kezelni), és egyre jobban tolódik az alkalmazás rétegbe. Gondoljunk csak a csalás jellegű visszaélésekre – infrastruktúra, azonosítás, jogosultságok szempontjából teljesen sztenderd folyamat zajlik, csak analitikai megközelítéssel lehet megtalálni, hogy az adott felhasználó miben mesterkedik. Ezt egy klasszikus biztonsági eszköz, illetve az azokból érkező naplóadatok nem fogják kimutatni.

– Mesélne arról is, hogyan emelheti a termelékenységet a Splunk bevezetése?

– Erre két példát is tudok hozni. Az egyik ügyfelünknél az új verzió átadásakor panasz érkezett, hogy a bankfiókokból lassú az alkalmazás. A fejlesztőkkel történt egyeztetések alapján a sávszélességet szerették volna növelni, amikor bevonták a Splunk felülettel foglalkozó kollégákat. A felületen létrehoztak egy dashboardot az adott alkalmazás eléréséhez kapcsolódó összes rétegben levő válaszidőkkel. A dashboard elemeken néhány perc után megjelentek a válaszidők, illetve azok grafikus megjelenései, amelyből az látszott, hogy a backend rendszerrel való kommunikációnál van jelentős válaszidő. Kiderült, hogy a fejlesztési rendszerből egy hibakeresési rutin az éles rendszerbe is átkerült, lassítva a teljes alkalmazás működését.


 

A másik esetünknél az alkalmazástámogatók számára lett létrehozva egy felület, ahol az általuk felügyelt applikáció hibaüzenetei értelmezhető formában lettek összevezetve az Active Directoryban tárolt adatokkal. A támogatás arcképpel együtt látta a megjelenő hibák mellett a kolléga elérhetőségeit, így azelőtt jelentkezhettek a felhasználónál, mielőtt ő keresné – jellemzően frusztráltan – az alkalmazástámogatást.

– Mely belső részlegeket érint(het)i a bevezetés? Kik élvezhetik az előnyeit?

– Ez annak függvénye, milyen terület támogatására kerül bevezetésre a Splunk. Azt kell mondanom, hogy az IT, mint a forrásadatok birtokosa mindenképp, de az informatikai biztonság, az alkalmazásfejlesztés és az üzemeltetés is többé-kevésbé bevonásra kerülnek minden projektben.

– Mik a tapasztalatok a bevezetésről? Átlagosan mennyi időt kell rászánnia annak az ügyfélnek, aki elkötelezi magát?

– Az ügyfeleknek jellemzően 5–15 napot kell rászánnia a bevezetés támogatására. Felkészülten megyünk, pontosan meghatározzuk, hogy mely területektől milyen információkra és együttműködésre van szükségünk a sikeres bevezetéshez. Az adott információkon túl, illetve az integráció tekintetében lefolytatott tevékenységen túl a megrendelőnek az elvárt eredményeket kell meghatároznia vagy ajánlásunk alapján elfogadnia, azt ellenőriznie.

– Milyen ütemezésben javasolja az egyes funkciók bevezetését?

– Általában a naplók integrálása az első, az adott, eredeti projekt koncepciójának mentén. Ilyenkor sok olyan információhoz jutunk, amelyek segítségével javaslatot tudunk tenni a megrendelő számára, hogy melyek azok az eredeti tervek szerint nem érintendő területek, amelyeket viszonylag gyorsan és költséghatékonyan tudunk integrálni.

– Térjünk rá a piszkos anyagiakra! Mennyire érhető el a Splunk a magyar piac szereplőinek? A nagyok kiváltsága, vagy van olyan finanszírozás, amely lehetővé teszi az előnyeihez való hozzáférést az óriáscégeken kívül is?

– A Splunk egy nagyszerűen skálázható megoldás, amely akár ingyenesen is elérhető. A magyar KKV-k és nagyvállalatok számára jelent megoldást. A liszenszelési struktúra lehetőséget biztosít a szokásos beszerzésre, illetve akár éves liszensz bérlésre is.

– Ön személy szerint melyik hazai szektornak javasolja az alkalmazását, hogy a biztonsági megfelelésen túl a termelékenység növelésében is ugrásszerű növekedést könyvelhessenek el?

– A Splunk hatalmas előnye, hogy lényegében bármilyen szöveges adatot képes feldolgozni, azokból statisztikákat megjeleníteni, különböző értékek mentén összehasonlításokat végezni. Emiatt nemcsak az IT-biztonság, IT-üzemeltetés, alkalmazás monitoring, hanem lényegében bármilyen termelési rendszer integrálható vele, így akár valós időben tudjuk követni a szervezetünk és eszközeink működését.