Splunk

Was man aus Maschinendaten lesen kann

| Autor / Redakteur: Ariane Rüdiger / Nico Litzel

„Maschinendaten werden sich in den nächsten Jahren verfünfzigfachen“, erklärt Frank Böning, Vice President Central Europe bei Splunk.
„Maschinendaten werden sich in den nächsten Jahren verfünfzigfachen“, erklärt Frank Böning, Vice President Central Europe bei Splunk. (Bild: Rüdiger)

Erst vor einigen Monaten brachte Splunk, spezialisiert auf die Analyse von Maschinendaten, die Version 7.0 seiner Enterprise-Software auf den Markt. Auf der Konferenz SplunkLive! in München zeigten einige Beispiele, was man mit dieser Lösung anfangen kann.

Die Analyse von Maschinendaten wird immer wichtiger. „Die Marktforscher sind sich endlich einig geworden“, sagte Frank Böning, Vice President Central Europe anlässlich der SplunkLive! im Münchner Sofitel vor rund 1.000 angemeldeten Kunden und Interessenten. „2015 waren es 7,5 Milliarden Geräte im Internet – 2025 werden es 75 Milliarden Geräte sein, also zehn Mal so viel.“ Die Datenmenge werde sich bis dahin verfünfzigfachen, was laut IDC schon im Jahr 2020 rund 44 Zettabyte Daten entsprechen würde. Böning: „Daten sind der Blutkreislauf der Wertschöpfungskette.“

Wer genau wissen wollte, was in der Version 7.0 von Splunk, die vor einigen Monaten auf den Markt kam, neu ist, der erfuhr dazu allerdings in der General Session der Veranstaltung wenig. Dafür schaut am besten auf Youtube nach. Dort findet sich ein kurzes Filmchen, in dem ein Mitarbeiter des Unternehmens das Wichtigste erklärt. Verbessert wurden damals vor allem das Monitoring, die analytischen Funktionen und die Verknüpfung des Machine Learning Toolkit (MLTK) mit dem Rest der Splunk-Software.

Beim Monitoring werden Metriken nun 20- bis 100-mal schneller verarbeitet. Die Event Annotation ermöglicht es, Events grafisch direkt mit anderen Daten, etwa Logfiles, Wertedaten oder Zeitstrahlen zu korrelieren. So lassen sich mehrere Datenebenen derart überlagern, dass am Ende feststellbar ist, ob ein Event unmittelbar mit bestimmten Auffälligkeiten bei den Werten oder Logfiles in Zusammenhang steht. Das MLTK besitzt nun eine bessere Anwendungsschnittstelle, einen rollenbasierten Zugang und diverse mitgelieferte Prognosealgorithmen.

Auf der SplunkLive! Konnten sich nun die Gäste darüber informieren, wie Splunk-Software funktioniert und vor allem, was Anwender heute damit anfangen. Rund 15 bis 20 Prozent der Anwesenden hoben den Arm auf die Frage, ob sie schon Splunk-Nutzer seien.

Mehr Auslastung beim Carsharing

Die gezeigten Anwendungen kamen aus den Bereichen Logistik/Verkehrsmanagement, Maschinenbau und Sicherheit. So nutzt BMW Splunk, um herauszufinden, wie man das hauseigene Carsharing-System, das an verschiedenen Standorten mit 400 bis 700 Wagen pro Standort im Einsatz ist, effektiver und vor allem profitabler gestalten könnte. Dazu, so berichtete Eduard Saller, Data Scientist Natural Language Processing bei der BMW Group, wurde zunächst ermittelt, wie teuer Stillstandszeiten sind. Daraus ergab sich der Ansatz, diese zu verringern und dadurch den Ertrag zu erhöhen.

Ein wichtiges Problem ist in diesem Zusammenhang, dass Fahrzeuge oft nicht da verfügbar sind, wo man sie brauchte, aber dafür an anderen Orten stehen, wo sie niemand benötigt. Um diese Situation zu ändern, wurde eine Lösung zum Monitoring der Fahrzeuge mit Daten-Inputs zu den Anmietungen und Stillständen der Fahrzeuge, ihren Koordinaten und Zeitskalen gearbeitet. Mittels eines speziellen Regressionsverfahrens ließ sich dann als Output flächenbezogen prognostizieren, wo am ehesten Fahrzeuge benötigt werden würden.

Für die erarbeiteten Algorithmen entwickelte die Gruppe um Saller weitere Verwendungsmöglichkeiten. „Wir können die Ergebnisse beispielsweise mit der Wartung so kombinieren, dass nach einem Wartungsereignis die Fahrzeuge dort wieder abgestellt werden, wo sie wahrscheinlich sofort wieder genutzt werden“, erklärte er. Mit den Daten seien auch incentivierende Preismodelle möglich, beispielsweise Freiminuten, um das Fahrzeug aus einer wenig nachfrageintensiven Gegend wegzubekommen. Und schließlich könne man in Hinblick auf das autonome Fahren daran denken, dass Fahrzeuge sich selbsttätig zu einer besseren Position bewegen, wenn sie an abgelegenen orten abgestellt werden. Doch zur Zeit ist das noch Zukunftsmusik.

Zündkerzenausfälle prognostizieren

Die grafische Überlagerung verschiedener Ebenen von Daten und Events ermöglicht es – wie hier bei der Überwachung von Heizanlagen – zu erkennen, ob und wie Auffälligkeiten bei bestimmten Werten mit Ausfällen oder anderen Events zusammenhängen.
Die grafische Überlagerung verschiedener Ebenen von Daten und Events ermöglicht es – wie hier bei der Überwachung von Heizanlagen – zu erkennen, ob und wie Auffälligkeiten bei bestimmten Werten mit Ausfällen oder anderen Events zusammenhängen. (Bild: Rüdiger)

Ein weiteres Beispiel lieferte der Maschinenbauer Zeppelin. Dessen Bereich Power Systems verwendet Splunk, um überraschende Zündkerzen-Ausfälle zu verhindern, Reparaturzeiten zu verkürzen und so insgesamt für größere Verfügbarkeit und geringere Wartungskosten zu sorgen. Splunk ist dort seit 2010 im Einsatz und wird beispielsweise auch dafür genutzt, die 75 SAP-HANA-Systeme im Haus zu überwachen. „Das hat mehr Geld eingespart als die Splunk-Lizenz kostet“, meinte Andreas Zientek, Systemingenieur. Zeppelin brachte das Beispiel einer Großheizanlage mit sechs Maschinen, die auch die Abwärmenutzung ermöglichen. Solche Systeme sind beispielsweise in Großanlagen wie Kliniken im Einsatz. „Jedes Gerät hat rund 20 Zündkerzen, die gern einmal ausfallen“, erklärte René Ahlgrim, Manager Data Analytics bei Zeppelin Power Systems.

Angestrebt wurde, die Verfügbarkeit der Maschinen durch eine bessere Prognose und Analyse von Zündkerzen-Ausfällen näher an 100 Prozent zu bringen. Außerdem wurde angestrebt, die Zahl der Einsätze beim Kunden anlässlich einzelner Reparaturen zu verringern und schon im Vorfeld eines Wartungseinsatzes Informationen zur Fehleranalyse zu liefern. Ziel, so Ahlgrim, sei die „Smart Power Plant“, bei der Fehler frühzeitig prognostiziert und möglichst vor deren Eintreten die Ursache behoben, also beispielsweise eine instabile Zündkerze ausgewechselt werde.

Einsparungen in Höhe von 150.000 Euro

Dafür erhebt der Maschinenbauer inzwischen 200 Metriken, wobei jede Metrik minütlich durch neue Werte ergänzt wird. Weil es sich um sehr viele Werte handelt, werden hier die Daten außerhalb von Splunk in Json-Files erfasst und später in Splunk eingelesen. Mit den durch Splunk möglichen Analysen schaffe man es, von den 7 bis 15 ungeplanten Ausfällen von Systemen pro Anlage im Jahr fünf bis sieben zu vermeiden, was Einsparungen von 150.000 Euro bedeute. Doch will man das System weiter verbessern, beispielsweise durch weniger falsch-positive Meldungen. Bei Zeppelin Power Systems wurde, um Ausfälle mit Anomalien zu überlagern, die neue Annotationsfunktion genutzt, die Auffälligkeiten augenfällig macht.

Schließlich präsentierte Oliver Kollenberg, Sicherheitsspezialist bei Siemens, wie in dem hochsicheren Eagle-Rechenzentrum, in dem die geschäftskritischen Anwendungen des Unternehmens laufen, die Sicherheit durch den Einsatz von Splunk verbessert wird. Dabei geht es vor allem um die Erleichterung vieler alltäglicher Aufgaben. Sicherheitslücken können beispielsweise schon dadurch entstehen, dass der systeminterne Zeitgeber der verschiedenen Systeme unterschiedlich tickt, so dass in der Infrastruktur nicht alle Systeme die gleiche Zeit haben.

Solche Abweichungen lassen sich mit Splunk analysieren, ihre Quellen orten und beispielsweise feststellen, ob es spezielle Hardware sind, deren innere Uhr anders tickt. Nach Angriffen lassen sich ganze Verarbeitungsketten übersichtlich in Tabellenform darstellen und aufzeigen, an welchen Stellen im Lauf eines komplexen Angriffsgeschehens irgendwelche Auffälligkeiten stattgefunden haben. Dann ist erkennbar, an welchen Stellen Eingriffsmöglichkeiten bestehen, um einen nochmaligen Angriff mit derselben Methode durch mehrere, an sich wenig aufwändige Einzelmaßnahmen abzuwehren.

Sicherheit ist ohnehin dabei, einer der wichtigsten Märkte für Splunk zu werden. Deshalb veranstaltet der Anbieter im Jahr in Europa bis zu 120 Wettbewerbe unter dem Titel „Boss of the SOC“, in dem Teams hochqualifizierter Sicherheitsexperten darin wetteifern, fingierte Angriffe abzuwehren.

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45245041 / Best Practices)