Splunk User Conference .conf

Maschinendaten für alles und alle

Harald Weiss ist Fachjournalist in New York und Mitglied bei New York Reporters.
Der Analyse-Spezialist Splunk erobert mit seinen Tools und Algorithmen immer mehr Anwendungsbereiche. Auf der aktuellen User-Konferenz zeigten deren Top-Manager, wohin die Reise geht.

Splunk-CEO Godfrey Sullivan eröffnete deren sechste Kundenkonferenz mit seinem Unternehmensmotto: "Maschinendaten für alle zugänglich, nutzbar und wertvoll machen." Was er sich darunter vorstellt, wurde dann an Hand der Neuigkeiten klarer, dabei handelte es im Wesentlichen um Enterprise 6.3, Hunk 6.3, Enterprise Security 4.0 und IT Service Intelligence (ITSI).

Splunk-CEO Godfrey Sullivan eröffnete die .conf in Las Vegas.
Splunk-CEO Godfrey Sullivan eröffnete die .conf in Las Vegas.
Foto: Harald Weiss

Für die IT-Chefs und Admins ist vor allem der letzte Punkt von Interesse, denn hinter dieser Neuvorstellung verbirgt sich eine Art Re-Animation des in die Jahre gekommenen RZ-Managements. Kernstück ist ein neuer Front-end zu Splunks Machine-Learning-Tool. Diese Basistechnologie, die Splunks Kunden bereits tausendfach in der Maschinen-Überwachung und bei der Betrugserkennung eingesetzt haben, hat jetzt auch alle IT-Systeme, Anwendungen und Prozesse im Blick. ITSI hält in Realtime Ausschau nach Problemen, ermittelt deren Ursachen und bietet Lösungsempfehlungen an. Für die Bedienung steht ein grafisch-orientiertes Dashboard bereit, das den Umgang mit dem neuen Tool sehr stark vereinfacht. Laut Splunk haben zwölf Pilot-Kunden ITSI im Einsatz, um damit ihre Infrastruktur transparent zu machen und Key-Performance-Indicators einzuhalten.

Einer dieser Pilotkunden ist Vodafone, der mit ITSI den IT-Service seiner 2.000 Server in Echtzeit kontrolliert. "ITSI hilft uns, dass unser IT-Betrieb nicht ins Stocken gerät; fünf Minuten Downtime kosten uns ein Vermögen", sagt Vodafons Lösungs-Architekt Olive Hoppe.

Enterprise 6.3 - Schneller und weniger Hardware

Das neue Release Enterprise 6.3 zeichnet sich vor allem durch eine deutliche Performance-Verbesserung aus. Während der Eröffnungs-Keynote gab es verschiedene Performance-Vergleiche, die häufig lautstarken Beifall ernteten. Laut Nate McKervey, Marketing-Direktor bei Splunk, ist die neue Version im Vergleich zu 6.0 doppelt so schnell. Splunks Referenzkunde Cisco berichtete, dass mit 6.3 das Erstellen von Index-Tabellen auf UCS-Servern rund viermal so schnell erfolgen kann und dass Queries nahezu sechsmal so schnell ablaufen. Was die benötigten Hardware-Ressourcen angeht, so sind bei der Version 6.2 20 Indexer erforderlich, um ein Volumen von 2 Terabyte pro Tag zu indizieren - bei 6.3 lässt sich das mit acht Indexern bewältigen.

Die Enterprise-Plattform ist das Kernprodukt von Splunk, das überwiegend im industriellen Umfeld eingesetzt wird. In Deutschland zählen unter anderen BMW und das Forschungszentrum Jülich zu den Splunk-Referenzkunden.

Zusammen mit Enterprise 6.3 wurde auch die neue Archivierungs-Software Hunk 6.3 angekündigt. Dieses neue Release erlaubt die Archivierung in einem Hadoop-Cluster, was die Abfragen beschleunigt ohne das die Archiv-Daten in schnellen (und teuren!) Speichermedien abgelegt sein müssen.

Security 4.0 unterstützt Ermittlungen

Einen breiten Raum nimmt bei Splunk jetzt der Bereich IT-Sicherheit ein. Angekündigt wurde die neue Plattform Enterprise Security 4.0. Auch hier ist die Grundphilosophie das Verknüpfen von unabhängigen Events, beispielsweise Log-in-Daten mit Orten und bekannten Aufenthaltsinformationen. Splunks Security-Spezialist Monzy Merza startete seine Vorführung mit der "Investigator Timeline". Hierbei kann ein Security-Ermittler praktisch alles, was er in irgendwelchen Dashboards findet, markieren und in eine übersichtliche Zusammenstellung kopieren, die automatisch nach der zeitlichen Reihenfolge sortiert wird.

Das zweite Feature war das "Investigative Journal". Hier werden alle Aktivitäten eines Sicherheits-Ermittlers automatisch protokolliert, um später dem Top-Management oder den Ermittlungsbehörden darzulegen, was man unternommen hat, und was die jeweiligen Ergebnisse waren.

Splunks Cloud ist bei Amazon

Obwohl die meisten Splunk-Kunden die Software On-Premise betreiben, bietet Splunk auch alles aus der Cloud an. Wobei man aber keine eigene Infrastruktur betreibt, sondern alles auf der AWS-Plattform gehostet hat. Genauso wie bei Amazon üblich, so konnte auch Splunk seine diesjährigen Teilnehmer mit aktuellen Preissenkungen erfreuen. Splunks Cloud-Service startet mit 5 Gigabyte pro Tag und maximal 450 Gigabyte Speichervolumen zu einem Preis von 810 Dollar pro Monat. Das Angebot staffelt sich dann hinauf bis zu 20 GB pro Tag und maximal 1800 GB Speicherplatz zum Preis von 2.400 Dollar pro Monat.

Über 4000 Teilnehmer kamen in diesem Jahr zu Splunks User-Konferenz .conf2015, die wieder im MGM Grand Hotel in Las Vegas stattfindet und noch bis einschließlich Donnerstag geht. (sh)