Bron i flwyddyn yn ôl, diflannodd Splunk yn Rwsia. Mae'r erthygl hon yn adolygiad i raddau helaeth. Mae'n ymwneud â data peiriannau, ac am niche marchnad, ac am enghraifft o amnewid mewnforio a ddigwyddodd heb sloganau uchel - yn syml oherwydd bod y farchnad yn mynnu hynny. Yn benodol - fersiwn yr awdur o'r rheswm dros ymadawiad Splunk o Rwsia, ond mae'n bosibl bod popeth yn hollol wahanol.
Llawer o destun, 15 mil o gymeriadauAmser darllen tua.
Min 10.
Beth yw data peiriant?
Er bod llawer ohonom yn clywed y term “Data Mawr” yn llawer amlach, byddwn yn siarad am ddata peiriant, h.y. data a gynhyrchir yn ddigidol o amrywiaeth eang o ffynonellau. Ac nid culhau'r maes pwnc yw'r pwynt, ond cywirdeb y diffiniad.
Data peiriant yw unrhyw ddata a gynhyrchir gan ddyfeisiau digidol. Mae'r rhain yn cynnwys logiau o weinyddion corfforaethol a dyfeisiau rhwydwaith, data o synwyryddion systemau diwydiannol a dyfeisiau IoT, negeseuon i e-bost corfforaethol, gweithgaredd ar weinydd gwe, cofnodion gweithwyr sy'n mewngofnodi ac allan o'u cyfrifon, trafodion ariannol ar ffurf ddigidol, galwadau i gwasanaeth cymorth y cwmni a llawer, llawer mwy.
Mae'n bwysig, ymhlith negeseuon technegol pur mewn data peiriannau, fod llawer iawn o wybodaeth sy'n adlewyrchu prosesau busnes y sefydliad - rhyngweithio busnes â'i wrthbartïon a'i gyfryngwyr (banciau, cwmnïau yswiriant a gwasanaethau, awdurdodau rheoleiddio). Ystadegau ar weithgaredd gweithwyr yn y rhwydwaith corfforaethol ac yn ystod symudiad corfforol o amgylch y fenter, symud nwyddau trwy'r warws, galw a hyd gwasanaethau, ac ati. - mae hyn i gyd hefyd yn ddata peiriant.
Nesaf, mae syniad yn codi: dadansoddi data peiriannau i nodi tagfeydd mewn systemau TG a busnes, gwneud y gorau o ansawdd gwasanaeth cwsmeriaid, dod o hyd i wendidau yn niogelwch gwybodaeth y fenter ac olion gweithredoedd twyllwyr.
Yr her gyda defnyddio data peiriant yw ei fod yn dod mewn nifer anhygoel o fformatau.
Mae'r syniad yn gywir, ond yn anodd ei weithredu. Yr her gyda data peiriant yw ei fod yn dod mewn amrywiaeth syfrdanol o fformatau, ac nid yw offer monitro a dadansoddi traddodiadol wedi'u cynllunio i drin amrywiaeth, cyflymder, cyfaint nac amrywioldeb y data hwnnw.
Dechreuon ni gyda systemau SIEM a dadansoddeg busnes a gorffen gyda datrysiadau Splunk
Pan ddechreuodd yr astudiaeth o gymhwysedd data peiriant tua 10 mlynedd yn ôl, dechreuodd datrysiadau meddalwedd ar gyfer eu prosesu a'u dadansoddi ymddangos ar y farchnad. Mewn ymdrech i greu'r offer gorau yn eu dosbarth, dechreuodd datblygwyr gulhau maes pwnc dadansoddi data peiriannau.
Dyma sut y daeth systemau SIEM (Gwybodaeth Ddiogelwch a Rheoli Digwyddiadau) i'r amlwg a chyrraedd lefel uchel o aeddfedrwydd. Mae'r rhain yn gynhyrchion meddalwedd ym maes diogelwch gwybodaeth (IS). Maent yn monitro systemau gwybodaeth mewn amser real, yn casglu ac yn dadansoddi data peiriannau sy'n ymwneud â diogelwch gwybodaeth. Mae cwmpas systemau SIEM yn cynnwys gweinyddwyr, dyfeisiau rhwydwaith, synwyryddion, dyfeisiau bwrdd gwaith a symudol, offer diogelwch gwybodaeth, seilwaith systemau a rhaglenni.
Daeth cangen arall o ddadansoddi data peiriannau yn systemau monitro cyflwr seilwaith TG. Y trydydd yw systemau cudd-wybodaeth busnes (BI, Cudd-wybodaeth Busnes), sy'n dadansoddi prosesau busnes yn seiliedig ar amrywiaeth o ddata sy'n ymwneud â gweithgaredd busnes y fenter.
Yr hyn sy'n dda yw bod cynnydd sylweddol wedi'i wneud ym mhob un o'r canghennau rhestredig o ddadansoddi data peiriannau ac mae atebion a chynhyrchion teilwng wedi'u dwyn i'r farchnad. Yr hyn sydd ddim mor wych yw bod integreiddio systemau heterogenaidd ar gyfer monitro seilwaith TG, cofnodi ac atal digwyddiadau diogelwch gwybodaeth a dadansoddi prosesau busnes wedi troi allan yn fater eithaf cymhleth, weithiau'n atgoffa rhywun o "groesi draenog a neidr."
Pan gydnabuwyd y broblem hon gan y farchnad, cyfeiriodd amrywiol werthwyr ymdrechion eu datblygwyr i greu system gyffredinol ar gyfer dadansoddi data peiriannau. Hynny yw, system a fyddai ar ei phen ei hun yn gallu ateb cwestiwn y CIO - “Pam fod gen i lwyth gweinydd mor anwastad”, a chwestiwn y Prif Swyddog Gweithredol - “Pa rai o brosesau busnes y fenter sy'n ein harwain at elw ac sy'n ein harwain at methdaliad.”
Yn gyffredinol, mae'r farchnad yn cytuno bod y cwmni Americanaidd Splunk wedi cynnig yr ateb cyffredinol mwyaf llwyddiannus ar gyfer dadansoddi data peiriannau.
Digwyddodd felly bod y cwmni Americanaidd Splunk wedi cynnig yr ateb cyffredinol mwyaf llwyddiannus ar gyfer dadansoddi data peiriannau. Er gwaethaf y ffaith bod gan Splunk gystadleuwyr fel IBM, BMC Software, Microsoft, Quest Software, yn ogystal ag opsiynau ar gyfer gweithredu dadansoddeg ar y stack ELK ffynhonnell agored. Ond yr atebion gan Splunk a ddaeth yn arweinwyr y farchnad. - mae cynnyrch â'r ymarferoldeb ehangaf wedi dod yn safon de facto yn y diwydiant ar gyfer systemau dadansoddi data peiriannau cymhleth ar gyfer mentrau mawr.
Mae'r farchnad wedi derbyn cynhyrchion Splunk yn bennaf am eu cyfuniad ardderchog o rwyddineb gosod, hyblygrwydd cyfluniad ac amrywiaeth o offer dadansoddol. Mae gan Splunk ei ecosystem ei hun o'r enw . Yma, mae datblygwyr a chleientiaid sy'n rhan o gymuned Splunk yn postio amrywiol ychwanegion, ychwanegion technoleg a chymwysiadau sy'n datrys gwahanol broblemau. Er enghraifft, gallwch lawrlwytho cymwysiadau yno, ac mae un ohonynt yn casglu logiau o ddyfeisiau Cisco, yr ail o ddyfeisiau rhwydwaith gan wneuthurwr arall, ac ati. Mae'r rhyngweithio hwn o fudd i ddatblygwyr a chleientiaid.
Golygfa gyffredinol o sgrin Splunkbase. Ffynhonnell: Splunk
Clos o enghreifftiau o ategion a chymwysiadau yn Splunkbase. Nodir nifer y lawrlwythiadau fel metrig o boblogrwydd. Ffynhonnell: Splunk
Os byddwn yn ymchwilio ychydig yn ddyfnach i ecosystem Splunkbase, gallwn esbonio'r gwahaniaethau - mae cymhwysiad yn wahanol i ychwanegyn gan fod gan y rhaglen ryngwyneb graffigol. Mae'r rhain yn baneli gweledol, dangosfyrddau (deialau), ffurflenni, diagramau sy'n eich galluogi i weld dadansoddeg ar fater sydd wedi'i gyfeirio at y system mewn rhyngwyneb graffigol. Gall y defnyddiwr adeiladu chwiliadau a dadansoddeg yn seiliedig ar amrywiaeth o baramedrau, gan fynd mor ddwfn â phosibl i slot amser y digwyddiadau a ddigwyddodd i nodi achosion yr hyn a ddigwyddodd.
Mae hanes Splunk yn Rwsia yn ddisglair, ond yn fyrhoedlog
Ni allai cynnyrch mor gyfoethog o ran ymarferoldeb â Splunk ddianc rhag sylw CIO cwmnïau mawr Rwsia. Wedi'r cyfan, po fwyaf yw'r fenter, y mwyaf anodd yw ei reoli a nodi ffactorau sy'n effeithio ar effeithlonrwydd busnes, sefydlogrwydd y seilwaith TG ac offer diogelwch gwybodaeth.
Cyflwyniad trosolwg o ddatrysiad Splunk Enterprise (). Ffynhonnell: VolgaBlob
Daeth Splunk i Rwsia ar droad 2013 a dechreuodd adeiladu rhwydwaith partner yn ôl y cynllun clasurol - dosbarthwr trwydded (RRC) a phartneriaid gweithredu (VolgaBlob, TS Solution, Talmer). O ystyried bod cost trwyddedau Splunk yn eithaf uchel, a bod y gwerthwr yn canolbwyntio ar gleientiaid o fusnesau mawr (ac maent i gyd yn eu herbyn), roedd nifer y partneriaid yn fach.
Daeth VolgaBlob yn un o'r partneriaid cyntaf i ddechrau gweithio gydag atebion Splunk. Roedd y 10 mlynedd flaenorol o brofiad mewn datblygu, addasu a gweithredu offer diogelwch gwybodaeth yn ddefnyddiol iawn.
“Roeddem yn chwaraewr eithaf aeddfed yn y farchnad seiberddiogelwch, ond daeth Splunk yn ddarganfyddiad go iawn (!) ac yn obaith cyffrous newydd i ni. Dechreuon ni ddatblygu ein harbenigedd ym maes dadansoddi prosesau busnes, gan gynnwys ar y rhyngwyneb â diogelwch gwybodaeth, adeiladu set o'n cysylltwyr technegol a'n cymwysiadau yn ecosystem Splunk a chynnig y cyfan o fewn fframwaith achosion defnyddwyr cyflawn penodol ar gyfer ffederal- cwmnïau lefel,” yn rhannu ei argraffiadau , Prif Swyddog Gweithredol VolgaBlob.
Erbyn 2018, lle cwblhawyd y nifer fwyaf o brosiectau yn seiliedig ar Splunk Enterprise yn Rwsia, roedd cleientiaid sy'n defnyddio Splunk eisoes yn cynnwys brandiau o'r fath fel Rosneft a SUEK, Sberbank a Tinkoff Bank, MTS, Moscow Exchange a Megafon. Penllanw digwyddiadau oedd cynhadledd Diwrnod Darganfod Splunk Moscow 0, yn drawiadol o ran nifer y cyfranogwyr a lefel y cyflwyniadau, ar Hydref 2018, 2018. Neuadd lawn a CIOs gan lawer o gwmnïau. Gallai pa un o’r cyfranogwyr wedyn fod wedi dychmygu mai dim ond 3 mis yn ddiweddarach y byddai hwyliau hollol wahanol ar y farchnad.
Lluniau o gynhadledd Splunk Discovery Day Moscow 2018 Ffynhonnell:
Ar Chwefror 19, 2019, cyhoeddodd Splunk ei fod yn tynnu'n ôl ar frys o farchnad Rwsia, yn annisgwyl i'n cymuned TG. Dim ond annealladwy y gallai partneriaid a chleientiaid a adawyd eu drysu ddarllen . Ynddo, esboniwyd yr ymadawiad o Rwsia yn amwys gan “resymau buddsoddi.” Ofer oedd pob ymgais gan y partneriaid i gael esboniadau mwy dealladwy.
Nid yn unig y profodd partneriaid Splunk deimladau annymunol, ond hefyd cleientiaid a gafodd fynediad sydyn i'w cyfrifon wedi'u torri i ffwrdd. Pan, ar ôl ychydig ddyddiau, tawelodd y nwydau ychydig (), Dywedodd Splunk y gall cwsmeriaid â thrwyddedau gweithredol ddefnyddio eu cyfrifon nes bod eu trwyddedau'n dod i ben, a gall partneriaid barhau i'w gwasanaethu ar eu menter eu hunain, ond heb gymorth gan y gwerthwr.
Fersiwn yr awdur am ymadawiad Splunk o Rwsia, ond mae'n bosibl nad oedd popeth felly
Yn yr adran hon bydd gennym wrth-arwr, mae hyd yn oed dau ohonynt, y ddau o Splunk - Doug Merritt (Prif Swyddog Gweithredol) a Carrie Palin (Prif Swyddog Meddygol, Prif Swyddog Marchnata).
Mae gan gwmnïau Americanaidd cyhoeddus adran wych o'u gwefan lle mae'n ofynnol iddynt ddatgelu eu sefyllfa fusnes i fuddsoddwyr. Oddi yno gallwch ddarganfod y canlynol: 19.02.2019/XNUMX/XNUMX, pan gyhoeddodd Splunk (SPLK, NASDAQ) ddatganiad am adael Rwsia, dyma oedd diwrnod gwaith cyntaf Carrie Palin, Prif Swyddog Meddygol - roedd hi newydd gael ei chyflogi. Ond mae'n debyg bod y penderfyniad i adael Ffederasiwn Rwsia wedi'i wneud ychydig yn gynharach. Yn fwyaf tebygol, bu ymgynghoriadau â hi, trafodaethau hyd yn oed cyn y diwrnod cyntaf swyddogol o waith a thorri costau wrth adael Ffederasiwn Rwsia oedd ei chynnig am “syniadau marchnata ffres,” fel sy’n arferol mewn cyfweliadau â phrif reolwyr.
Efallai bod y Prif Swyddog Gweithredol, Doug Merritt, wedi cymeradwyo’r syniad, ac mae’n debyg nad oedd y Prif Swyddog Ariannol ar y pryd (prif swyddog ariannol) o Splunk, a oedd yn cwblhau ei ddeiliadaeth bryd hynny ac yn gadael y cwmni, yn gwrthwynebu (ym mis Mai 2019 fe wnaethant logi CFO newydd ).
Y peth cyntaf y bydd unrhyw un sy'n buddsoddi yn y farchnad Americanaidd yn ei wneud yw edrych ar sut yr ymatebodd cyfranddaliadau Splunk i'w hymadawiad o farchnad Rwsia? Nid yw'r ateb o gwbl, niwtral (gweler y siart). Mae'r gostyngiad dilynol mewn cyfranddaliadau ers Mawrth 1, 2019 yn gysylltiedig â Cisco - taflwyd rhywun mewnol gan yr honnir iddynt gael eu gwerthu iddynt ai peidio (ac nad ydynt wedi'u gwerthu hyd heddiw).
Siart dyddiol o gyfranddaliadau SPLK ar gyfer gwanwyn 2019. Ffynhonnell: Tradingview
Mae'r graff yn dangos nad oedd y rheswm a nodwyd yn swyddogol dros adael Ffederasiwn Rwsia am “optimeiddio i fuddsoddwyr” yn esgus 100%, ond o leiaf yn rhannol wir. Gallwch ddeall eu rhesymeg - roedd cromlin twf y stociau bryd hynny yn drawiadol (ac nid oes unrhyw rinwedd yn hyn ar gyfer y farchnad Rwsia - y Ffed a bwmpiodd y farchnad stoc Americanaidd gyda hylifedd). Ar yr un pryd, ar raddfa Splunk, dim ond trwy ficrosgop yr oedd busnes yn Ffederasiwn Rwsia i'w weld (er gwaethaf holl ymdrechion partneriaid Ffederasiwn Rwsia), ac mae llawer o ffwdan ac ar unrhyw adeg gallwch chi ddod o dan dosbarthu sancsiynau (a oedd yn risg real iawn ar ddechrau 2019).
Enghraifft o gynnyrch amnewid ar ôl i Splunk adael
Er nad oedd gan Splunk gystadleuydd uniongyrchol ar ffurf datrysiad masnachol yn ein marchnad, gwnaeth datblygwyr Rwsia ymdrechion i greu analog a oedd yn addas iddynt yn seiliedig ar brosiectau ffynhonnell agored ELK. Gwnaed hyn yn bennaf mewn cwmnïau canolig eu maint na allent fforddio prynu Splunk. Ond nid yw'r arfer wedi dod yn eang, oherwydd cefnogir cynhyrchion hunan-ysgrifenedig gan frwdfrydedd gweithwyr penodol, ac ar ôl eu hymadawiad cânt eu gadael.
Mae fersiwn fasnachol ar gyfer ELK, ond yn Ffederasiwn Rwsia nid oes llawer o alw amdano ac mae'n cystadlu â meddalwedd am ddim i raddau helaeth.
yn acronym ar gyfer tri phrosiect ffynhonnell agored Elasticsearch, Logstash a Kibana. Yma mae Elasticsearch yn chwilio a dadansoddeg, mae Logstash yn prosesu data peiriannau o sawl ffynhonnell ar yr un pryd, ac mae Kibana yn brosiect i greu offer ar gyfer delweddu canlyniadau Elasticsearch a Logstash. Er nad oedd ELK wedi'i anelu i ddechrau at ddadansoddi data peiriannau, fe'i defnyddiwyd yn fuan i brosesu logiau â stamp amser.
Nid yw'r awdur yn ymrwymo i siarad am dynged yr holl gwmnïau TG yn Ffederasiwn Rwsia sy'n gysylltiedig â gweithredu Splunk, ond mae stori ddangosol o sut y gwnaeth digwyddiadau 2019 droi busnes VolgaBlob, partner Splunk.
Roedd gan Volgablob, fel cyn-bartneriaid Splunk eraill, ddwy gilfach farchnad i'r amlwg ar ôl i'r gwerthwr adael. Y cyntaf yw parhau i wasanaethu cwsmeriaid sydd â thrwyddedau presennol ar blatfform Splunk (ac yn eu plith mae cwmnïau â thrwyddedau parhaol), yr ail yw rhoi dewis arall yn seiliedig ar gynnyrch ffynhonnell agored i gwsmeriaid sydd am fudo i lwyfan arall.
Fel y gwyddoch, mae unrhyw argyfwng yn dod â cholledion nid yn unig, ond hefyd cyfleoedd newydd. Cafodd VolgaBlob ei hun mewn sefyllfa anodd iawn, gan mai gweithredu ac addasu achosion defnydd ar Splunk oedd eu ffynhonnell sylweddol o orchmynion ac, yn naturiol, incwm. Yn lle cau'r busnes neu symud i gilfachau eraill, fe wnaethant ail-grwpio'r tîm, llogi datblygwyr newydd, a dechrau symud eu datblygiad cais o'r platfform Splunk i ELK.
“Dros y blynyddoedd o bresenoldeb Splunk ym marchnad Rwsia, rydym wedi creu ein set o gymwysiadau perchnogol ein hunain ar gyfer Splunk, a alwyd gennym yn Smart Monitor. Mae'n cynnwys y nodweddion mwyaf poblogaidd ymhlith cleientiaid Rwsia. Pan adawodd y gwerthwr yn sydyn, cawsom ein helpu gan y rhagwelediad a ddangoswyd ar y pryd a'r awydd i arallgyfeirio mewn materion o ddewis platfform ar gyfer gweithio gyda data peiriant, ”meddai Alexander Skakunov.
Fel pe yn ymateb i ymadawiad y gwerthwr “... Efallai y bydd crefftwyr a fydd yn gwneud dewis arall,” llwyddodd VolgaBlob i weithredu set o offer dadansoddol Smart Monitor yn gyflym, a ddatblygwyd yn flaenorol ar gyfer Splunk, ond sydd bellach ar lwyfan ELK. Galwyd yr ateb newydd . Nid oes ganddo ei ecosystem ei hun o geisiadau gan ddatblygwyr annibynnol eraill. Ond mae cryn dipyn o fodiwlau casglu data a dadansoddeg wedi’u dewis yn seiliedig ar achosion defnydd gan gleientiaid presennol, h.y. yn y galw ar y farchnad Rwsia.
Cyflwynwyd Smart Monitor Open Source yn y gynhadledd am y tro cyntaf , a gynhaliwyd ar 13 Tachwedd, 2019 ym Moscow. Mae'r enw yn awydd i gynnig cynnyrch newydd a datgelu'r cardiau ar bwnc sy'n poeni cannoedd o gwmnïau yn Rwsia a ddefnyddiodd Splunk o'r blaen.
Nid yw'r awdur yn ystyried ei fod yn gywir i gopïo deunyddiau o'r gynhadledd yma. Bydd arbenigwyr sy'n gweithio ym maes dadansoddi data peiriannau yn dysgu manylion am y cynnyrch sy'n disodli Splunk ar dudalennau VB-Trend 2019. Ac i bawb arall, gan gynnwys yr awdur, gallwn fod yn hapus i ddatblygwyr Rwsia.
Ffynhonnell: hab.com
