Nachbericht Splunk .conf2016

Künstliche Intelligenz für Systemanalyse und IT-Security

| Autor / Redakteur: Michael Matzer / Nico Litzel

Die Splunk .conf 2016 wurde von rund 5.000 Konferenzteilnehmern besucht.
Die Splunk .conf 2016 wurde von rund 5.000 Konferenzteilnehmern besucht. (Bild: Splunk)

Mit Algorithmen aus dem Machine Learning will das auf Operational Intelligence und IT-Security spezialisierte US-Unternehmen Splunk seine Lösungen Enterprise 6.5, Splunk Cloud, ITSI 2.4 und Enterprise Security 4.5 intelligenter und nützlicher machen.

Rund 5.000 Teilnehmer besuchten Splunks Anwenderkonferenz „.conf 2016“ in Orlando, Florida. Splunk ist im Bereich der Auswertung von Maschinendaten jeder Art entstanden. Deshalb sind heute Endgeräte aus dem IoT-Bereich ebenso wenig ein Problem wie die Anbindung von Mainframes. Die Daten selbst werden in skalierbaren Zeitreihen-Indizes bereitgestellt und lassen sich mit der Search Programming Language (SPL) in Höchstgeschwindigkeit durchsuchen.

Snehal Antani, Chief Technology Officer von Splunk
Snehal Antani, Chief Technology Officer von Splunk (Bild: Splunk)

Den Kunden, die in fast jeder Branche zu finden sind, will das Unternehmen, das nach Angaben seines CTO Snehal Antani jährlich um 40 bis 50 Prozent wächst, den größtmöglichen Nutzen aus seiner Technologie liefern. Antani: „Wir haben erst ein Prozent unseres Marktes erschlossen.“

Im vergangenen Jahr machte das Flaggschiffprodukt Splunk Enterprise und seine Online-Version Splunk Cloud einen Riesensprung nach vorne, um mehr Analytik auf übersichtlichere Weise bereitzustelle, etwa als Dashboards. Diesmal werden die relevanten Informationen zusätzlich auch als individuell anpassbare Tabellen bereitgestellt, die sich leichter für den Austausch mit Teammitarbeitern eignen. Hierfür bietet Splunk Enterprise 6.5 ein neues Add-on für Tabellen-Datasets. Das Schreiben von SPL-Code ist nicht nötig, weil die Tabelle im Hintergrund erzeugt wird. Auch SPL-Laien sollen damit arbeiten können.

Machine Learning

Um den Nutzen der Analytik im Hinblick auf besser informierte Entscheidungen und Aktionen zu erhöhen, hat Splunk Algorithmen aus dem Machine Learning als zusätzliche Plattformschicht in alle seine Anwendungen integriert, sei es im Bereich Operational Intelligence (OI) oder in der IT-Security. Mit den Algorithmen sollen die Nutzer Einsichten nicht nur tiefer und nützlicher erhalten, sondern auch damit wertvollere Anwendungen erstellen können. Das Framework ist mit anderen Frameworks wie etwa Apache Spark integrierbar, wo ML zum Standard gehört.

Splunk trimmt neue Versionen auf Leistung

Nachbericht Splunk-User-Konferenz 2015

Splunk trimmt neue Versionen auf Leistung

08.10.15 - Auf seiner sechsten Anwenderkonferenz stellte Splunk, ein BI-Spezialist für Operational Intelligence, mehrere neue Produkte und Produkterweiterungen vor. Vor rund 4.000 Besuchern, die rund 200 Sessions lauschten, zeigten auch zahlreiche Partner ihre Lösungen für die Verarbeitung von Maschinendaten. Zum Schmunzeln luden Splunk-Heimlösungen von Privatanwendern ein. lesen

Von Deep Learning oder Artificial Intelligence ist bei Splunk (noch) nicht die Rede, doch ein Algorithmus kann helfen, in kürzester Zeit riesige Datenmengen zu klassifizieren, zu sortieren, zu bewerten (Scoring) und Anomalien, etwa Ausreißer, zu entdecken. Machine Learning ist auch für Advanced Analytics wie etwa Predictive Maintenance von großer Bedeutung. Die Deutsche Bahn Cargo, ein IoT-Anwender aus der Logistikbranche, überwacht mit den in Splunk erfassten Sensordaten alle ihre Loks und Waggons, um so deren Verfügbarkeit zu erhöhen und die Wartungskosten zu senken.

Anomalien spielen in jeder Art von System eine störende Rolle. Deshalb sind nun die Funktionsgruppen „System Health Check“ und „Development Health Check“ hinzugekommen. Mit den hinterlegten Algorithmen, die entweder in einem Splunk-Toolkit vorgefertigt geliefert, aus dem Internet geladen oder vom Nutzer selbst entwickelt sein können, soll es selbst Laien ohne Programmierkenntnisse leicht fallen, entsprechende Prüfungen zu erstellen und die Qualität der Systeme, Apps oder Sicherheitsmaßnahmen zu erhöhen.

Letzten Endes, so CTO Snehal Antani, will Splunk den inzwischen schwer zu bekommenden Data Scientist nicht ersetzen, sondern ihn ergänzen. Auch Laien, die nicht programmieren können und keine Systemanalytiker sind, sollen entsprechend intelligente Apps erstellen können. Ein positiver Nebeneffekt: Durch Automatisierung mit ML lässt sich die Ermüdung des Mitarbeiters, der ständig Benachrichtigungen erhält, verhindern – die Maßnahmen werden bewertet oder ausgelöst, bevor lästige Benachrichtigungen nach einer Intervention durch den Menschen verlangen. So lassen sich auch kritische Zustände leichter vorhersagen und abwenden. Die wirtschaftlichen Vorteile sind endlos: Nachfrage vorhersagen, Betrug erkennen und verhindern, Lagerbestand optimieren und Vieles mehr.

Deutscher Anwender

Die IT-Abteilung von Otto (Jahresumsatz rund 2,6 Milliarden Eurfo) nutzt Splunk, um festzustellen, warum bestimmte Applikationen, von denen die Jahrzehnte alte Firma eine Vielzahl betreibt, nicht optimal laufen. André Pietsch, der sich als Produktmanager für Splunk im Operations Competence Team um die Datenanbindung kümmert, hat mit Splunk Schlüsselindikatoren (KPIs) erstellt und Dashboards mit Splunk-Daten gefüllt, um Echtzeit-Analysen betreiben zu können.

„Die Frage stellte sich uns, was wir mit den Dashboards tun“, so Pietsch. Der nächste Schritt bestand in der Nutzung des neuen Machine Learning Toolkits, das Splunk kostenlos in seiner Enterprise-Version 6.5 mitliefert. „Mithilfe eines Informatik-Studenten testeten wir die ML-Algorithmen, erstellten Modelle und stellten fest, dass unsere Modelle zu 98 Prozent zutreffend waren.“ Das ist ein Optimalwert, der selbst alte Hasen entzücken würde. „Für mich ist daher Machine Learning, das auch unsere Data Scientists nutzen, keine Spielerei, sondern von ernstzunehmendem Nutzen für unser Business.“ Besonders gut fand er, dass man die Verwendung von Splunk in nur zwei Stunden erlernen kann.

Splunk für SAP

Eine der sinnvollsten Partneranwendungen im allgemeinen OI-Bereich, der noch nicht mit ML-Algorithmen aufgerüstet wurde, ist „PowerConnect for SAP ABAP and Java“ von der australischen Firma BNW Consulting. Die Voraussetzung, die Sprachen ABAP und Java zu unterstützen, machen diese Splunk-App zwar noch nicht fit für S4/HANA, aber wenigstens für NetWeaver bis zur aktuellen Version 7.5. Es ist somit keinerlei weitere Software außer Splunk 6.1/2/3 nötig, um die Betriebsdaten einer SAP-Installation zu erfassen, zu korrelieren, auszuwerten und zu zu visualisieren.

Das SAP-Produkt „Solution Manager“, das vor jeder Installation herangezogen werden muss, soll laut BNW längst nicht so viele Daten liefern – und schon gar nicht so aktuelle. In der gezeigten Demonstration von PowerConnect wurde durch Visualisierung eine erstaunliche Fülle von Betriebsdaten sichtbar, die jedem SAP-Admin die Freudentränen in die Augen treiben dürften. Wer will, kann auch Daten aus selbstentwickelten Funktionsmodulen sammeln.

TCO und Lizenzen

Apropos Betriebskosten: Auch die des Splunk-Betriebs sollen sinken. Dabei spielt vor allem Storage eine Rolle. Mit einer Mini-Version des Tsidx (Time Series Index) sollen sich die Metadaten um bis zu 80 Prozent verringern lassen. Die Rückgewinnung von Speicherplatz auf Storage-Medien und Daten-Neuverteilung im Index-Cluster führt zu einem geringeren Bedarf an Speicherplatz. Das Laden historischer Daten in Hadoop Data Roll und Amazon S3 entlastet die eigene Storage-Infrastruktur. Die Optimierung mit SPL in Echtzeit ist standardmäßig eingeschaltet und soll zu einer Verdreifachung der durchschnittlichen Performance führen.

Doug Merritt, President und CEO bei Splunk, eröffnete die Anwenderkonferenz in Orlando, Florida.
Doug Merritt, President und CEO bei Splunk, eröffnete die Anwenderkonferenz in Orlando, Florida. (Bild: Splunk)

Splunk-CEO Doug Merritt kündigte neue Lizenzen an. Wichtigste Neuerung ist eine unbegrenzte Enterprise-Nutzungslizenz, die vor allem Großkunden interessieren dürfte. Außerdem gibt es jetzt eine kostenlose Test- und Entwicklungslizenz. Das Unternehmen spendiert zudem jeweils 5.000 US-Dollar für jede Lizenz in der öffentlichen Ausbildung, denn die Nutzerbasis soll massiv ausgebaut werden. Jubel kam auf, als Merritt verkündete, dass die Beschränkung auf eine begrenzte Anzahl von Suchvorgängen (maximal sechs), nach denen sich das System überraschend abschaltete (!), wegfällt. Offenbar konnte eine Reihe frustrierter Nutzer aufatmen. Die strategische Zusammenarbeit Splunks mit Amazon Web Services nährte Hoffnungen auf günstigere Zugangs- und Nutzungsbedingungen, besonders bei AWS S3 und der Bereitstellung von Managed Services.

Entwicklerwerkzeuge

Die Förderung der Basis in Form von Lösungspartnern und Entwicklern ohne Programmierkenntnisse soll nun durch ein umfassendes Paket neuer Apps möglich sein.

  • Add-on Builder App: kein Schreiben von Code nötig;
  • App Inspect Tool: überprüft die Cloud-Readiness der App, kann als Service in der Cloud laufen;
  • App Packaging Toolkit (in Beta): erzeugt eine Ladeliste (Manifest);
  • Verschlankter Zertifizierungsprozess: die Zertifizierung einer App für Splunk wurde beschleunigt;
  • Enhanced Splunkbase Experience (Splunkbase ist der App- Marktplatz);
  • Verbesserung von Splunk-Software durch Umfrageergebnisse seitens Nutzer.

Alle diese Neuerungen sollen ab dem 4. Quartal in Enterprise 6.5 und in Splunk Cloud verfügbar werden.

IT-Security

Die beiden Security-Produkte Enterprise Security und User Behavior Analysis (UBA) werden in der neusten Version 4.5 ebenfalls durch ML verstärkt – und zusammengelegt. Die Vorteile sind die gleichen wie in Operational Intelligence und Analytics. Ein weiterer Nutzen besteht jedoch in der Einbeziehung der Branchen-Initiative „Adaptive Response“. Namhafte Firmen wie CyberArk, Fortinet, Palo Alto Networks und Cisco Security tragen Wissen und Funktionen bei, um dem Nutzer Enterprise Security 4.5 zu helfen, fortschrittliche Angriffe wie etwa Advanced Persistent Threats (APTs) zu entdecken – die meisten werden erst nach durchschnittlich 18 Monaten entdeckt – und Gegenmaßnahmen zu treffen.

Haiyan Song, Senior Vice President für den Security Market
Haiyan Song, Senior Vice President für den Security Market (Bild: Splunk)

Worin diese bestehen sollten, kann ein analytischer ML-Algorithmus empfehlen. „So wird aus dem Überwachungszentrum ein Befehlszentrum“, sagte Haiyan Song, Senior Vice President of Security Markets. Splunk ES und UBA sind also in erster Linie für Security Operation Centers (SOCs) geeignet. „Wir müssen die Kosten der Schutzmaßnahmen um den Faktor 100 senken“, sagte CTO Snehal Antani im Gespräch, „etwa durch Roboter wie ML-Algorithmen, um so die wirtschaftliche Gleichung zu unseren Gunsten zu ändern.“

Worauf es dem SOC-Nutzer oft ankommt, ist neben der Geschwindigkeit der Maßnahme auch die Gründlichkeit. Wenn beispielsweise ein Rootkit nicht entdeckt wird, so kann dies fatale Folgen haben. Wichtig sind u. a. aktuelle Erkenntnisse, die in den bekannten Peer Groups der verschiedenen Branchen existieren. Sie stehen innerhalb der Adaptive Response Initiative zum Abruf bereit. Splunk UBA trägt eigene Erkenntnisse über Sicherheitsvorfälle bei, kann aber ebenfalls verdächtiges Verhalten in Echtzeit erkennen. UBAs Fähigkeiten werden also durch die des Ökosystems ergänzt, um besseren Schutz zu ermöglichen. Splunk investiert selbst in Security-Firmen und will so den Nutzwert seiner eigenen Security-Plattform erhöhen, sagte Snehal Antani.

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44326341 / Künstliche Intelligenz)