Splunk, die Cloud und das Bier

Splunk-Chef Godfrey Sullivan: "Wir haben soeben die Marke von 10'000 Kunden überschritten"
Der auf die Auswertung von grossen Datenmengen spezialisierte US-Anbieter Splunk adressiert mit seiner Basistechnologie laufend neue Anwendungsfelder.
 
"Wir haben soeben die Marke von 10'000 Kunden überschritten", rief Splunks CEO Godfrey Sullivan den 4000 Teilnehmern der sechsten Splunk-User-Konferenz in Las Vegas freudestrahlend zu, und bekam dafür spontanen Beifall. Diese unternehmerische Erfolgsmeldung nutzte er als Überleitung, um zusammen mit seinem Top-Management-Team eine Reihe an Produktneuheiten vorzustellen.
 
Enterprise 6.3: Doppelt so schnell – halbe Hardware
Für das Kernprodukt, "Splunk Enterprise" gibt es jetzt das Release 6.3, das schneller sein und weniger Hardware benötigen soll, als frühere Versionen. "Das neue Release ist bei Abfragen, Reports und der Indexierung doppelt so schnell wie die Version 6.2 und die dafür erforderliche Hardware kostet nur noch die Hälfte“, sagte Splunks Marketing-Direktor Nate McKervey während der Vorführung, bei der er verschiedene Aktionen parallel auf beiden Versionen startete, so dass die Performance-Unterschiede deutlich sichtbar wurden. Zu den besonderen Features des neuen Release gehört unter anderen ein überarbeiteter Scheduler, bei dem der User nicht mehr angeben muss, wann eine neue Auswertung gestartet werden soll, sondern vorgeben kann, wann sie abgeschlossen sein soll. Das System rechnet dann anhand von bisherigen Werten, der verfügbaren Hardware und den aktuellen Datenmengen die voraussichtliche Laufzeit aus und startet die Analyse entsprechend frühzeitig. Ein weiteres interessantes Feature ist der neue HTTP-Event-Kollektor. Damit können Ereignisdaten direkt in die Splunk-Plattform eingespeist werden, ohne dass eine Zwischenstufe zur Datentransformation erforderlich ist. Laut McKervey ist der HTTP-Kollektor extrem skalierbar und kann mehrere Millionen Ereignisse pro Sekunde verarbeiten.
 
Archivierung: Weniger Speicher – schneller finden
Splunk adressiert mit seinen Produkten alles rund um Big Data, und dazu gehört zwangsläufig auch das leidige Kapitel der Archivierung und das schnelle Wiederfinden, wenn es darauf ankommt. Theoretisch sollen alle Archivdaten so früh wie möglich auf langsamere – vor allem preiswertere – Massendatenspeicher ausgelagert werden. Doch die Praxis sieht meistens anders aus: Es wird so viel wie möglich auf den schnellen Speichermedien nahe bei den Servern gehalten, denn es könnte ja sein, dass morgen die Rechtsabteilung ganz dringende Fragen nach Abläufen hat, die schon ein paar Jahre zurück liegen. Splunk bietet dafür jetzt mit Hunk 6.3 eine Kompromisslösung an, durch welche die Daten in einen Hadoop-Cluster verlegt werden. Damit lassen sich dann die Abfragen an die Archiv-Daten genauso gestalten wie bei einer Abfrage auf die aktuellen Server-Daten, doch der dafür erforderliche Speicherplatz geht um 75 Prozent zurück.
 
Cloud: Drei Klicks und ein Bier
Wie bereits viele Anbieter in den Bereichen Big Data und Analytics bietet nun auch Splunk seine Produkte in der Cloud an. Hierzu wurde auf der Veranstaltung eine neue Webseite gelauncht, über die sich mit einem einzigen Klick ein kostenloser Testbetrieb einrichten lässt. Wer daraus dann einen richtigen Account machen
Marc Olesen: "Mit drei Klicks steht die Cloud – und ich habe Zeit für ein Bier"
will, benötigt dazu nur zwei weitere Mausklicks (vorausgesetzt, man hat die Kreditkarte zur Hand). "Mit drei Klicks steht die Cloud – und ich habe Zeit für ein Bier", sagte Splunks Cloud-Chef Marc Olesen und gönnte sich einen grossen Schluck aus einer Flasche Molsom-Bier. Was die technischen Daten der Splunk-Cloud angeht, so muss man wissen, dass Splunk keine eigene Infrastruktur betreibt, sondern alles auf der AWS-Plattform gehostet wird. Für Schweizer Kunden ist das nahegelegenste Rechenzentrum also in Frankfurt angesiedelt.
 
Business Analytics: Mit neuer Technologie ETL ablösen
Im Bereich Business-Analytics hat sich Splunk zum Ziel gesetzt, die wöchentlichen oder gar monatlichen ETL-Jobs und –Reports (ETL: Extract, Transform, Load) durch Realtime-Dashboards und On-Demand-Reports zu ersetzen. "Kein Unternehmen kann es sich noch leisten, mit veralteten Daten wichtige Entscheidungen zu treffen", sagte Splunks CTO Snehal Antani. Doch Realtime-Analysen sind extrem aufwendig, da hierzu immense Datenberge übers Netz geschaufelt werden müssen. Splunk hat jetzt eine neue Technologie entwickelt, mit der umfangreiche Analysen in kleinere Analyse-Module aufgebrochen werden, die dann direkt dort ablaufen können, wo die Daten anfallen – sozusagen eine Art Map-Reduce-Technik für Prozeduren. Laut Antani lässt sich dieses Analyse-Netz nicht nur über viele Server verteilen, sondern auch über viele Rechenzentren in einem weltweiten Verbund.
 
Security: Hilfestellung für Verantwortliche und Ermittler
Eine weitere Neuvorstellung war "Enterprise Security 4.0". Wobei man wissen muss, dass Splunk mit seinen Sicherheitslösungen nur einen speziellen Bereich aus dem gesamten IT-Security-Spektrum abdeckt. Während die bekannten Security-Anbieter sich auf Firewalls und dem Schutz der Infrastruktur konzentrieren, ist das Angebot von Splunk auf die Beobachtung der Infrastruktur und des Datenverkehrs spezialisiert. Nach vorgegeben Algorithmen wird nach Anomalien Ausschau gehalten und falls etwas Ungewöhnliches auftritt gibt es Alarmmeldungen. Darauf aufbauend bietet das Unternehmen dann Software an, mit der mögliche Sicherheits-Vorfälle weiter eingekreist werden können. In der neuen Version 4.0 gibt es dazu die "Investigator Timeline". Damit lassen sich alle Vorgänge, von denen ein Sicherheits-Verantwortlicher meint, dass sie relevant sein könnten, aus allen Anwendungen heraus per Drag und Drop in eine Arbeitsdatei übertragen. Diese ist dann automatisch nach der Zeit sortiert. Das zweite neue Feature ist das "Investigate Journal", in dem alle Aktivitäten eines Sicherheits-Vorfalls so dokumentiert werden, dass sie direkt von der Rechtsabteilung oder von Ermittlungsbehörden verwendet werden können.
 
IT-Management: Neue Technik und neues User-Interface
Last, but not least, bietet Splunk auch eine umfassende Plattform für das RZ-Management an. "IT Service Intelligence" (ITSI) heisst das Paket, das die gesamte IT-Infrastruktur und den darüber fliessenden Traffic beobachtet. Bei aufkommenden Engpässen oder Problemen werden entsprechende Warnungen abgesetzt. Das System unterstützt auch den Einsatz von interaktiven Glas-Tischen auf denen wahlweise bestimmte Teile der IT-Infrastruktur mit ihren Abhängigkeiten und den aktuellen Belastung dargestellt werden. Wie in einer Kommando-Zentrale können dann die RZ-Verantwortlichen Problemzonen zoomen und verschiedene Lösungsszenarien evaluieren. (Harald Weiss)