Splunk

Von Maschinendaten zur Sicherheit und zurück

Harald Weiss ist Fachjournalist in New York und Mitglied bei New York Reporters.
Splunks User-Konferenz war bislang ein El Dorado für die Technologiefans, die virtuos mit der Splunk-Enterprise-Plattform umgehen können. Doch der Wandel ist unübersehbar: Immer mehr Fachbereichs-Manager kommen zu dieser Jahrestagung, um zu erfahren, wie man mit Splunk mehr aus den riesigen Firmendatenbergen herausholen kann - ohne dass man die komplexen Abfrage-Sprachen beherrschen muss.

Zu Splunks diesjähriger User-Konferenz pilgerten 4000 vorwiegend technisch versierte Splunk-Fans, die jedes neue Produktfeature mit teilweise frenetischem Beifall feierten. Das war verständlich, denn Splunk ist vor allem ein Technologie-getriebenes Unternehmen, dessen Wurzeln in der Auswertung von Maschinendaten - genauer gesagt, Maschinen-Logfiles - verankert sind.

Aus der Nische zum Shootingstar

Das Unternehmen wurde 2003 gegründete und konnte mit seinem spezifischen Angebot zehn Jahre lang ein solides Nischendasein führen. Doch diese Zeiten sind vorbei. "Ich bin stolz darauf, dass wir inzwischen über 10.000 Kunden haben", freute sich Splunks CEO Godfrey Sullivan gleich zu Beginn seiner diesjährigen Keynote. Für Splunk ist das ein bedeutender Meilenstein, denn das Unternehmen hat sich erst in den jüngsten drei bis vier Jahren zu einem Shooting-Star entwickelt. Beispielsweise hat man in den ersten sechs Jahren bis 2009 einen Umsatz von gerade mal 18,1 Millionen Dollar erreicht. Doch in den folgenden sechs Jahren katapultierte sich dieser dann auf stolze 451 Millionen Dollar.

Ereignisketten in sinnvoller Relation

Die Wende kam, als man mit ein paar technischen Kunstgriffen die Nischenlösung in eine generelle Plattform zur Analyse von nahezu allen Datenbeständen aufbohren konnte, die sich in irgendeiner Form als Ereignisreihen klassifizieren lassen. Zeitreihen sind die bekanntesten Strukturen solcher Ereignisreihen, und folglich sind die Splunk-Analysen vor allem zeitliche Vergleiche von verschiedenen Abläufen, beziehungsweise von verschiedenen Quellen.

Digital Leader aufgepasst! - Foto: IDG

Digital Leader aufgepasst!

Beim Security-Modul wird verglichen, wer sich wann, wo eingebucht hat und welche Daten abgerufen wurden. Ein nahezu zeitgleiches Einbuchen aus verschiedenen Kontinenten löst die erste Warnung aus, beim Download auf ein USB-Laufwerk schrillen dann die Alarmglocken. Bei der Betrugserkennung ist es ähnlich: Wie wurde sich wann und wo eingeloggt, und welche Transaktionen wurden in den jeweiligen Sessions oder an den Bankautomaten vorgenommen? Auch beim neuen IT-Management (ITSI) werden zeitgleiche System-Belastungen und deren Folgen als Basis für Warnungen, Alarme oder Prognosen herangezogen.

Viel Grafik für den Business-Anwender

Doch trotz dieser technologischen Erweiterungen würde Splunk noch immer ein Nischendasein führen, hätte man nicht parallel das User-Interface erheblich verbessert. Nahezu alle Ergebnisse werden weitestgehend visualisiert, wozu man auch neue Technologien, wie interaktive Glastische einsetzt. "Wir müssen die komplizieren Abläufe und die Korrelationen der Datenberge so aufbereiten, dass sie direkt von den Business-Managern genutzt werden können", erläuterte Splunks CTO Snehal Antani diese Philosophie in einem Gespräch mit der COMPUTERWOCHE.

Snehal Antini, Splunk CTO
Snehal Antini, Splunk CTO
Foto: Harald Weiss

Zu dieser Visualisierung gehört auch eine Wortwahl, die sich nach der jeweiligen Nutzergruppe richtet. "Für die Akzeptanz durch die Fachabteilungen ist es ganz wichtig, dass das IT-Kauderwelsch durch die jeweiligen branchenspezifischen Begriffe ersetzt wird", so Antani weiter. Hierzu setzt Splunk verstärkt auf sein Partner-netzwerk. "Wir kennen natürlich nicht alle verschiedenen Business-Dialekte", sagt er scherzhaft über dieses Adaptionsproblem.

Mit IoT zurück zu den Wurzeln

Mit den Systemerweiterungen und -Anpassungen kam Splunk dann endlich in die Erfolgsspur, in der es noch eine Weile verbleiben wird, denn das Einsatzspektrum lässt sich praktisch auf alle Branchen und Anwendungen übertragen. Antani berichtete von vielen Beispielen, die von der Überwachung von Bohrinseln, über verschiedene Analysen im Versicherungswesen bis hin zum Monitoring der neuen Wearables reichten.

Im 'Hands-on Lab' konnten die .conf-Besucher gleich selbst die neuen Splunk-Features austesten.
Im 'Hands-on Lab' konnten die .conf-Besucher gleich selbst die neuen Splunk-Features austesten.
Foto: Harald Weiss

Letzteres basiert praktisch auf der Ausgangstechnologie, mit der Splunk einstmals begonnen hat, nämlich dem Sammeln und Auswerten von Maschinendaten. "Wenn wir Daten von einem Temperatursensor bekommen und diese zur weiteren Auswertung heranziehen, dann ist es unserer Software zunächst völlig egal, ob es sich dabei um ein Internet-fähiges Fieberthermometer oder um eine Ofenüberwachung an einem Fließband handelt", sagt Antani über die Gemeinsamkeiten von althergebrachten Maschinen-Überwachungen und dem aufziehenden Internet of Things (IoT). Beim IoT verspricht er sich deshalb gute Marktchancen. Hierzu gibt es auch eine enge Kooperation von Splunk mit Cisco, sodass man diesen aufstrebenden Megamarkt mit einer großen, weltweit operierenden Vertriebsmannschaft ansprechen kann.

Kaufempfehlungen von den Finanz-Analysten

Bei den Finanz-Analysten bekam Splunk nach Ende des Analystentags ebenfalls sehr gute Noten. Merrill Lynch wiederholte seine Kaufempfehlung und in der zugehörigen Research-Note begründeten deren Analysten diese mit der aktuellen Ausweitung des Produktangebotes und dem damit verbunden größeren Marktpotenzial. Die Analysten von Crest-Securities sehen das ähnlich. "Splunk wird mindesten noch für zwei Jahre rasant weiter wachsen. Vor allem die Sicherheitsprodukte entwickeln sich zu einem ‚Must-Have‘, an dem kaum noch ein Unternehmen vorbei kommen kann", sagte deren Analyst Brent Bracelin nach der Konferenz. (sh)