Fa gairebé un any, Splunk va desaparèixer a Rússia. Aquest article és en gran part una revisió. Es tracta de dades de màquines i d'un nínxol de mercat, i d'un exemple de substitució d'importacions que es va produir sense consignes sonores, simplement perquè el mercat ho demanava. Exclusivament: la versió de l'autor del motiu de la sortida de Splunk de Rússia, però és possible que tot fos completament diferent.
Molt text, 15 mil caràctersTemps de lectura aprox.
Min 10.
Què són les dades de la màquina?
Tot i que molts de nosaltres escoltem el terme "Big Data" molt més sovint, parlarem de dades de màquina, és a dir. dades generades digitalment a partir d'una gran varietat de fonts. I no es tracta d'estrenyir l'àrea temàtica, sinó de l'exactitud de la definició.
Les dades de la màquina són qualsevol dada generada per dispositius digitals. Aquests inclouen registres de servidors corporatius i dispositius de xarxa, dades de sensors de sistemes industrials i dispositius IoT, missatges al correu electrònic corporatiu, activitat en un servidor web, registres d'empleats que inicien sessió i tanquen els seus comptes, transaccions financeres en format digital, trucades a el servei de suport de l'empresa i molt, molt més.
És important que entre els missatges purament tècnics de les dades de la màquina hi hagi una gran quantitat d'informació que reflecteixi els processos empresarials de l'organització: la interacció d'un negoci amb les seves contraparts i intermediaris (bancs, companyies d'assegurances i serveis, autoritats reguladores). Estadístiques sobre l'activitat dels empleats a la xarxa corporativa i durant el moviment físic per l'empresa, moviment de mercaderies pel magatzem, demanda i durada dels serveis, etc. - tot això també són dades de la màquina.
A continuació, sorgeix una idea: analitzar les dades de la màquina per identificar colls d'ampolla en els sistemes informàtics i el negoci, optimitzar la qualitat del servei al client, trobar vulnerabilitats en la seguretat de la informació de l'empresa i rastres d'accions dels estafadors.
El repte d'utilitzar les dades de la màquina és que es presenta en un nombre increïble de formats.
La idea és correcta, però difícil d'aplicar. El repte d'utilitzar les dades de la màquina és que es presenta en una varietat vertiginosa de formats, i les eines tradicionals de monitorització i anàlisi no estan dissenyades per gestionar la varietat, la velocitat, el volum o la variabilitat d'aquestes dades.
Vam començar amb sistemes SIEM i anàlisis empresarials i vam acabar amb les solucions Splunk
Quan fa uns 10 anys es va iniciar l'estudi de l'aplicabilitat de les dades de la màquina, van començar a aparèixer al mercat solucions de programari per al seu processament i anàlisi. En un esforç per crear les millors eines de la seva classe, els desenvolupadors van començar a reduir l'àrea temàtica de l'anàlisi de dades de màquines.
És així com van sorgir els sistemes SIEM (Security Information and Event Management) i van assolir un alt nivell de maduresa. Es tracta de productes de programari en l'àmbit de la seguretat de la informació (IS). Supervisen els sistemes d'informació en temps real, recullen i analitzen dades de màquines relacionades amb la seguretat de la informació. L'abast dels sistemes SIEM inclou servidors, dispositius de xarxa, sensors, dispositius d'escriptori i mòbils, eines de seguretat de la informació, infraestructura de sistemes i aplicacions.
Una altra branca de l'anàlisi de dades de màquines es van convertir en sistemes de monitorització de l'estat de la infraestructura informàtica. El tercer són els sistemes d'intel·ligència empresarial (BI, Business intelligence), que analitzen processos empresarials a partir d'una sèrie de dades relacionades amb l'activitat empresarial de l'empresa.
El que és bo és que s'han fet avenços significatius en cadascuna de les branques enumerades d'anàlisi de dades de màquines i que s'han introduït al mercat solucions i productes dignes. El que no és tan genial és que la integració de sistemes heterogenis per monitoritzar la infraestructura informàtica, registrar i prevenir incidents de seguretat de la informació i analitzar els processos empresarials va resultar ser una qüestió força complexa, que de vegades recorda "encreuar un eriçó i una serp".
Quan aquest problema va ser reconegut pel mercat, diversos venedors van dirigir els esforços dels seus desenvolupadors per crear un sistema universal per analitzar les dades de la màquina. És a dir, un sistema que només seria capaç de respondre tant la pregunta del CIO: "Per què tinc una càrrega tan desigual del servidor", com la pregunta del CEO: "Quin dels processos de negoci de l'empresa ens porten a obtenir beneficis i quins ens porten a fallida."
En general, el mercat coincideix que la solució universal més exitosa per analitzar les dades de les màquines la va oferir l'empresa nord-americana Splunk.
Va succeir que la solució universal més exitosa per analitzar les dades de la màquina la va oferir l'empresa nord-americana Splunk. Tot i que Splunk té competidors com IBM, BMC Software, Microsoft, Quest Software, així com opcions per implementar analítiques a la pila ELK de codi obert. Però van ser les solucions de Splunk les que es van convertir en líders del mercat. — un producte amb la funcionalitat més àmplia s'ha convertit en l'estàndard de facto de la indústria per a sistemes complexos d'anàlisi de dades de màquines per a grans empreses.
El mercat ha acceptat els productes Splunk principalment per la seva excel·lent combinació de facilitat d'instal·lació, flexibilitat de configuració i una varietat d'eines analítiques. Splunk té el seu propi ecosistema anomenat . Aquí, els desenvolupadors i clients que formen part de la comunitat Splunk publiquen diversos complements, complements tecnològics i aplicacions que resolen diferents problemes. Per exemple, hi podeu descarregar aplicacions, una de les quals recull registres de dispositius Cisco, la segona de dispositius de xarxa d'un altre fabricant, etc. Aquesta interacció beneficia tant als desenvolupadors com als clients.
Vista general de la pantalla de Splunkbase. Font: Splunk
Primer pla d'exemples de complements i aplicacions a Splunkbase. El nombre de descàrregues s'indica com a mètrica de popularitat. Font: Splunk
Si aprofundim una mica més en l'ecosistema de Splunkbase, podem explicar les diferències: una aplicació es diferencia d'un complement en què l'aplicació té una interfície gràfica. Es tracta de panells visuals, quadres de comandament (dials), formularis, esquemes que permeten veure analítiques sobre un tema adreçat al sistema en una interfície gràfica. L'usuari pot crear cerques i analítiques basades en una varietat de paràmetres, aprofundint com sigui possible en la franja horària dels esdeveniments ocorreguts per identificar les causes del que va passar.
La història de Splunk a Rússia és brillant, però de curta durada
Un producte tan ric en funcionalitats com Splunk no podia escapar de l'atenció del CIO de les grans empreses russes. Després de tot, com més gran és l'empresa, més difícil és gestionar-la i identificar els factors que afecten l'eficiència empresarial, l'estabilitat de la infraestructura informàtica i les eines de seguretat de la informació.
Presentació general de la solució Splunk Enterprise (). Font: VolgaBlob
Splunk va arribar a Rússia a principis de 2013 i va començar a construir una xarxa de socis segons l'esquema clàssic: un distribuïdor de llicències (RRC) i socis d'implementació (VolgaBlob, TS Solution, Talmer). Tenint en compte que el cost de les llicències de Splunk és força elevat i el venedor es va centrar en clients de grans empreses (i tots estan en contra), el nombre de socis era petit.
VolgaBlob es va convertir en un dels primers socis a començar a treballar amb les solucions Splunk. Els últims 10 anys d'experiència en el desenvolupament, personalització i implementació d'eines de seguretat de la informació va ser molt útil.
"Érem un jugador bastant madur en el mercat de la ciberseguretat, però Splunk es va convertir en un autèntic descobriment (!) i una nova perspectiva emocionant per a nosaltres. Vam començar a desenvolupar la nostra experiència en l'àmbit de l'anàlisi de processos empresarials, inclòs a la interfície amb la seguretat de la informació, a construir un conjunt dels nostres connectors tècnics i aplicacions a l'ecosistema Splunk i a oferir-ho tot en el marc de casos d'usuari complets específics per a federal- empreses de nivell”, comparteix les seves impressions , CEO de VolgaBlob.
El 2018, en què es van completar el major nombre de projectes basats en Splunk Enterprise a Rússia, els clients que utilitzaven Splunk ja incloïen marques com Rosneft i SUEK, Sberbank i Tinkoff Bank, MTS, Moscow Exchange i Megafon. El punt culminant dels esdeveniments va ser la conferència Splunk Discovery Day Moscou 0, impressionant pel que fa al nombre de participants i al nivell de presentacions, el 2018 d'octubre de 2018. Una sala plena i CIOs de moltes empreses. Quin dels participants podria haver imaginat que només 3 mesos després hi hauria estats d'ànim completament diferents al mercat.
Foto de la conferència Splunk Discovery Day Moscou 2018 Font:
El 19 de febrer de 2019, Splunk va anunciar la seva retirada d'emergència del mercat rus, de manera inesperada per a la nostra comunitat informàtica. Els socis i clients que es quedaven desconcertats només podien llegir un incomprensible . En ell, la sortida de Rússia s'explicava vagament per "raons d'inversió". Tots els intents dels socis per obtenir explicacions més intel·ligibles van ser en va.
No només els socis de Splunk van experimentar sensacions desagradables, sinó també clients que de sobte van tenir accés als seus comptes tallats. Quan, al cap d'uns dies, les passions es van apaivagar una mica (), Splunk va dir que els clients amb llicències actives poden utilitzar els seus comptes fins que caduquin les seves llicències i els socis poden continuar prestant-los sota el seu propi risc, però sense l'assistència del venedor.
Versió de l'autor sobre la sortida de Splunk de Rússia, però és possible que tot no fos així
En aquesta secció tindrem un antiheroi, fins i tot n'hi ha dos, tots dos de Splunk: Doug Merritt (CEO) i Carrie Palin (CMO, Chief Marketing Officer).
Les empreses públiques americanes tenen una secció meravellosa del seu lloc web on se'ls obliga a revelar la seva situació empresarial als inversors. A partir d'aquí podeu esbrinar el següent: el 19.02.2019/XNUMX/XNUMX, quan Splunk (SPLK, NASDAQ) va publicar un comunicat sobre la sortida de Rússia, era el primer dia laborable de Carrie Palin, CMO: acabava de ser contractada. Però la decisió d'abandonar la Federació Russa probablement es va prendre una mica abans. El més probable és que hi hagi hagut consultes amb ella, negociacions fins i tot abans del primer dia oficial de treball i la reducció de costos a la sortida de la Federació Russa va ser la seva proposta d'"idees de màrqueting noves", com és habitual a les entrevistes amb els alts directius.
El conseller delegat, Doug Merritt, podria haver aprovat la idea, i l'aleshores director financer (director financer) de Splunk, que estava finalitzant el seu mandat en aquell moment i deixant l'empresa, sembla que no es va oposar (el maig de 2019 van contractar un nou director financer). ).
El primer que farà qualsevol que inverteixi al mercat americà és mirar com van reaccionar les accions de Splunk a la seva sortida del mercat rus? La resposta és de cap manera, neutral (vegeu el gràfic). La caiguda posterior de les accions des de l'1 de març de 2019 està associada a Cisco: es va llançar una informació privilegiada que suposadament se'ls va vendre o no (i no s'han venut fins avui).
Gràfic diari de les accions de SPLK per a la primavera de 2019. Font: Tradingview
El gràfic mostra que la raó declarada oficialment per abandonar la Federació Russa sobre "l'optimització per als inversors" no era una excusa del 100%, però almenys parcialment certa. Podeu entendre la seva lògica: la corba de creixement de les accions en aquell moment era impressionant (i això no té cap mèrit per al mercat rus: va ser la Fed qui va augmentar la liquiditat de la borsa nord-americana). Al mateix temps, a l'escala de Splunk, els negocis a la Federació Russa només eren visibles a través d'un microscopi (malgrat tots els esforços dels socis de la Federació de Rússia), i hi ha molt d'enrenou i en qualsevol moment podeu caure sota. repartiment de sancions (que a principis del 2019 era un risc molt real).
Exemple d'un producte de substitució després de la sortida de Splunk
Tot i que Splunk no tenia un competidor directe en forma de solució comercial al nostre mercat, els desenvolupadors russos van intentar crear un anàleg que els convingués basant-se en els projectes de codi obert ELK. Això es va fer principalment en empreses mitjanes que no podien permetre's el luxe de comprar Splunk. Però la pràctica no s'ha generalitzat, perquè Els productes escrits per compte propi estan recolzats per l'entusiasme d'empleats específics i, després de la seva marxa, són abandonats.
Hi ha una versió comercial per a ELK, però a la Federació Russa té una demanda mínima i competeix en gran mesura amb el programari lliure.
és l'acrònim de tres projectes de codi obert Elasticsearch, Logstash i Kibana. Aquí Elasticsearch és cerca i anàlisi, Logstash està processant dades de màquines de diverses fonts simultàniament i Kibana és un projecte per crear eines per visualitzar resultats d'Elasticsearch i Logstash. Tot i que inicialment ELK no estava dirigit a analitzar les dades de la màquina, aviat es va utilitzar per processar registres marcats amb l'hora.
L'autor no es compromet a parlar del destí de totes les empreses de TI a la Federació Russa associades a la implementació de Splunk, però hi ha una història indicativa de com els esdeveniments del 2019 van convertir el negoci de VolgaBlob, soci de Splunk.
Volgablob, com altres antics socis de Splunk, va sorgir dos nínxols de mercat després que el venedor marxés. La primera és seguir atenent els clients amb llicències existents a la plataforma Splunk (i entre elles hi ha empreses amb llicències perpètues), la segona és oferir als clients que vulguin migrar a una altra plataforma una alternativa basada en un producte de codi obert.
Com sabeu, qualsevol crisi no només comporta pèrdues, sinó també noves oportunitats. VolgaBlob es va trobar en una situació molt difícil, ja que la implementació i personalització dels casos d'ús a Splunk era la seva font important de comandes i, naturalment, d'ingressos. En lloc de tancar el negoci o traslladar-se a altres nínxols, van reagrupar l'equip, van contractar nous desenvolupadors i van començar a traslladar el seu desenvolupament d'aplicacions de la plataforma Splunk a ELK.
"Durant els anys de presència de Splunk al mercat rus, hem creat el nostre propi conjunt d'aplicacions patentades per a Splunk, que vam anomenar Smart Monitor. Conté les funcions més populars entre els clients russos. Quan el venedor se'n va anar de sobte, ens va ajudar la previsió mostrada en aquell moment i el desig de diversificar-nos en matèria d'elecció d'una plataforma per treballar amb dades de màquines", diu Alexander Skakunov.
Com si respongués a la sortida del venedor "... Potser hi haurà artesans que faran una alternativa", VolgaBlob va aconseguir implementar ràpidament un conjunt d'eines analítiques de Smart Monitor, desenvolupades anteriorment per a Splunk, però ara a la plataforma ELK. Es va cridar la nova solució . No té el seu propi ecosistema d'aplicacions d'altres desenvolupadors independents. Però hi ha força mòduls de recollida de dades i anàlisi seleccionats en funció dels casos d'ús dels clients existents, és a dir. de la demanda al mercat rus.
Smart Monitor Open Source es va presentar a la conferència per primera vegada , celebrat el 13 de novembre de 2019 a Moscou. El nom és un desig d'oferir un producte de substitució i revelar les cartes sobre un tema que preocupa a centenars d'empreses de Rússia que abans utilitzaven Splunk.
L'autor no considera correcte copiar aquí materials de la conferència. Els especialistes que treballen en el camp de l'anàlisi de dades de màquines aprendran detalls sobre el producte que substitueix Splunk a les pàgines de VB-Trend 2019. I per a tots els altres, inclòs l'autor, podem estar contents amb els desenvolupadors russos.
Font: www.habr.com
