Nachbericht Splunk .conf 2022 Splunk bindet externe Datenquellen aus der Public Cloud ein

Von Michael Matzer

Anbieter zum Thema

Auf seiner Anwenderkonferenz .conf 2022 hat Splunk, ein Anbieter von Datemanagementsoftware, mehrere Neuerungen für seine Splunk Cloud Platform wie auch für sein Hauptprodukt Splunk Enterprise vorgestellt. Ein Data Manager, Ingest Actions und Federated Search erlauben es, nicht nur umfassendere Datenquellen anzuzapfen, sondern diesen Zugriff auch feingranular zu steuern.

Splunk Enterprise liegt nun in der Version 9.0 vor, zusammen mit der Splunk Cloud Platform.
Splunk Enterprise liegt nun in der Version 9.0 vor, zusammen mit der Splunk Cloud Platform.
(Bild: Splunk )

Gary Steele ist der neue CEO bei Splunk.
Gary Steele ist der neue CEO bei Splunk.
(Bild: Splunk )

Seit die Investmentfirma SilverLake im Sommer 2021 eine Milliarde US-Dollar in Splunk gesteckt hat, ist die Cloud als Plattform von höchster Priorität. Das hat der neue CEO Gary Steele mehrfach unterstrichen. Die Gründe sind vielfältig. Erstens wollen die Kunden vor allem die Cloud, deren Widerstandsfähigkeit während der Pandemie mehrfach unter Beweis gestellt wurde. Zweitens liegen in der Public Cloud riesige Datenmengen, beispielsweise in AWS S3 oder Snowflake. Und last, but not least, ist die Gewinnmarge bei Cloud-Abonnements höher als bei On-premises-Lizenzen. Vorausgesetzt, der Anbieter erfüllt die Verpflichtung, für das Abo regelmäßig neue Leistungsmerkmale und Funktionen zu liefern.

Garth Fort ist Chief Product Officer bei Splunk. Er stellte die Neuheiten vor.
Garth Fort ist Chief Product Officer bei Splunk. Er stellte die Neuheiten vor.
(Bild: AUDA & COUDAYRE PHOTOGRAPHY )

Das tut Splunk, das „Google für Maschinendaten“, auch dieses Jahr in reichlichem Maße. Neuerungen im neunten Major-Release des Hauptprodukts Splunk Enterprise gehen einher mit denen in der Splunk Cloud Platform (SCP). Die SCP folgt nach Angaben von Chief Product Officer (CPO) Garth Fort mit vier bis sechs Wochen Verzögerung dem, was Enterprise 9.0 neu bietet.

Data Manager

Auf der Cloud basierende Erkenntnisse sorgen mit Splunk Assist in Splunk Enterprise 9.0 für die Sicherheit einer Splunk-Installation. Im Bild sind zwei Indexer in kritischem Zustand.
Auf der Cloud basierende Erkenntnisse sorgen mit Splunk Assist in Splunk Enterprise 9.0 für die Sicherheit einer Splunk-Installation. Im Bild sind zwei Indexer in kritischem Zustand.
(Bild: Splunk )

Die Extraktion von Daten aus der Cloud, etwa aus dem jetzt zugänglichen S3-Fundus bei AWS, sei bislang zu kompliziert und zu langsam gewesen. Mit dem Data Manager für die SCP lassen sich Daten aus AWS S3 und MS Azure mithilfe des Data Managers „in Minuten statt in Wochen“ in die Datenverwaltung der SCP bringen. In einer Demo löste Faya Peng, eine Mitarbeiterin Forts, diesen Anspruch ein: Logdaten aus dem Azure Active Directory ließen sich in wenigen Schritten integrieren. Ein „Hybrid Cloud Control Panel“ – also ein Dashboard – erleichtert solche Schritte. Die Unterstützung für die Google Cloud Platform (GCP) soll im Laufe des Sommers folgen.

Cold Storage

Splunk Enterprise 9.0 erweitert den kosteneffizienten „Cold Storage“ über AWS und Google Cloud Platform hinaus auf MS Azure mit dem Feature „SmartStore for Azure“. SmartStore ist die Datenspeicherungseinheit für die SCP. Die aktuelle Version soll eine Reduktion der Betriebskosten um bis zu 70 Prozent erlauben. Dies funktioniert ähnlich wie „Intelligent Tiering“ in AWS S3: Diejenigen Speicherklassen, auf die am wenigsten zugegriffen wird, sind am preisgünstigsten in der Nutzung.

Log Observer Connect im Setup: Mit diesem Tool können Nutzer ihre Daten ebenso wie deren Verwaltung in der Splunk Platform zentralisieren.
Log Observer Connect im Setup: Mit diesem Tool können Nutzer ihre Daten ebenso wie deren Verwaltung in der Splunk Platform zentralisieren.
(Bild: Splunk )

Auch das neue Tool „Log Observer Connect“ befüllt den zentralen Splunk-Index mit Log-Daten. Der Nutzer kann damit Ereignisse auf Fehler untersuchen und neue Anwendungsfälle erzeugen. Die Zielgruppen für Log Observer Connect sind vor allem Network- und Security Operations Center (NOC und SOC), denn es ist Teil der Splunk Observability Suite.

Ingest Actions

Die Funktion „Ingest Actions“, 2021 angekündigt, ist ebenfalls wichtig für den Index. Das Werkzeug unterstützt die Nutzer dabei, Daten an die richtigen Stellen in der richtigen Form und zur richtigen Zeit zu transferieren. Es bietet detaillierte Steuerungsmöglichkeiten, um durch Filtern, Maskieren und Routing von Data-in-motion innerhalb der Splunk-Plattform oder zu externen AWS-S3-Speichern je nach Datenbasis zu agieren. Weitere externe Datenquellen dürften folgen.

Federated Search

Die Funktion Federated Search ist für Splunk on-premises und die Splunk Cloud Platform verfügbar. Da liegt es nahe, dass diese Suchfunktion nun auch auf Datenquellen außerhalb von Splunk zugreifen und diese durchsuchen kann. Admins und User der SCP erhalten eine einheitliche Ansicht ihres gesamten Splunk-Ökosystems zur Verfügung gestellt. Sie sollen damit schneller verwertbare Erkenntnisse gewinnen können. Denn Splunk will seine Nutzer in die Lage versetzen, solchen Erkenntnissen auch Taten folgen zu lassen. Die erste solche Datenquelle ist AWS S3. Die SCP soll entsprechend skalierbar gemacht worden sein.

Eine entsprechende Demonstration von Federated Search zeigte die Anwendung auf Betrugserkennung und -vermeidung. Bislang seien die JSON-Daten einer Beispiel-Datenbank binnen zwölf Stunden analysiert worden, doch mit Federated Search lässt sich der Vorgang auf wenige Minuten reduzieren. Das Publikum der Konferenz konnte mitverfolgen, wie 20 Terabyte Daten aus vier Jahren binnen Sekunden durchforstet wurden. Dabei tauchten drei verdächtige Transaktionen auf, die zur genaueren Untersuchung herangezogen werden konnten.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zu Big Data, Analytics & AI

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

CPO Garth Fort empfahl den Einsatz des Machine Learning Toolkits MLTK, das Splunk schon seit etwa 2017 anbietet. Das MLTK enthält unter anderem wesentliche Algorithmen zur Klassifizierung, Segmentierung und zum Forecasting, Fort kündigte für den kommenden Herbst ein neues Release des vielfach und vielseitig genutzten Werkzeugkastens an.

(ID:48421367)