Antaŭ preskaŭ unu jaro, Splunk malaperis en Rusio. Ĉi tiu artikolo estas plejparte recenzo. Temas pri maŝinaj datumoj, kaj pri merkata niĉo, kaj pri ekzemplo de import-anstataŭado, kiu okazis sen laŭtaj sloganoj – simple ĉar la merkato tion postulis. Ekskluzive - versio de la aŭtoro pri la kialo de la foriro de Splunk el Rusio, sed eblas, ke ĉio estis tute malsama.
Multe da teksto, 15 mil signojLegtempo ĉ.
10 min
Kio estas maŝinaj datumoj?
Kvankam multaj el ni aŭdas la terminon "Grandaj Datumoj" multe pli ofte, ni parolos pri maŝinaj datumoj, t.e. ciferece generitaj datumoj de diversaj fontoj. Kaj la punkto ne estas en malvastigo de la temo, sed en la precizeco de la difino.
Maŝinaj datumoj estas ajnaj datumoj generitaj de ciferecaj aparatoj. Ĉi tiuj inkluzivas protokolojn de kompaniaj serviloj kaj retaj aparatoj, datumoj de sensiloj de industriaj sistemoj kaj IoT-aparatoj, mesaĝoj al kompania retpoŝto, agado en retservilo, registroj de dungitoj ensalutantaj kaj elirantaj el siaj kontoj, financaj transakcioj en cifereca formo, vokoj al la subteno de la kompanio kaj multe, multe pli.
Gravas, ke inter pure teknikaj mesaĝoj en maŝinaj datumoj estas grandega kvanto da informoj, kiuj reflektas la komercajn procezojn de la organizo - la interago de komerco kun ĝiaj kontraŭpartioj kaj perantoj (bankoj, asekuroj kaj servaj kompanioj, reguligaj aŭtoritatoj). Statistiko pri dungita agado en la kompania reto kaj dum fizika movado ĉirkaŭ la entrepreno, movado de varoj tra la magazeno, postulo kaj daŭro de servoj ktp. - ĉio ĉi estas ankaŭ maŝinaj datumoj.
Poste, ideo ekestas: analizi maŝinajn datumojn por identigi botelojn en IT-sistemoj kaj komerco, optimumigi la kvaliton de klientservo, trovi vundeblecojn en la informsekureco de la entrepreno kaj spurojn de agoj de fraŭdantoj.
La defio kun uzado de maŝinaj datumoj estas, ke ĝi venas en nekredebla nombro da formatoj.
La ideo estas ĝusta, sed malfacile efektivigebla. La defio kun maŝinaj datumoj estas, ke ĝi venas en kapturna aro de formatoj, kaj tradiciaj monitoraj kaj analizaj iloj ne estas dezajnitaj por trakti la varion, rapidecon, volumenon aŭ ŝanĝeblecon de tiuj datumoj.
Ni komencis per SIEM-sistemoj kaj komerca analizo kaj finiĝis per Splunk-solvoj
Kiam la studo de la aplikebleco de maŝinaj datumoj komenciĝis antaŭ proksimume 10 jaroj, softvarsolvoj por ilia prilaborado kaj analizo komencis aperi sur la merkato. Por krei la plej bonajn ilojn en sia klaso, programistoj komencis malvastigi la temon de maŝina datuma analizo.
Tiel aperis sistemoj SIEM (Security Information and Event Management) kaj atingis altan maturecon. Ĉi tiuj estas softvaraĵoj en la kampo de informa sekureco (IS). Ili monitoras informsistemojn en reala tempo, kolektas kaj analizas maŝinajn datumojn rilatajn al informa sekureco. La amplekso de SIEM-sistemoj inkluzivas servilojn, retajn aparatojn, sensilojn, labortablon kaj porteblajn aparatojn, informsekurecajn ilojn, sistemon kaj aplikan infrastrukturon.
Alia branĉo de maŝina datenanalizo iĝis IT-infrastrukturkondiĉa monitoradsistemoj. La tria estas komercaj inteligentecaj sistemoj (BI, Komerca inteligenteco), kiuj analizas komercajn procezojn bazitajn sur aro de datumoj rilataj al la komerca agado de la entrepreno.
Bone estas, ke signifa progreso estis farita en ĉiu el la listigitaj branĉoj de maŝina datuma analizo kaj indaj solvoj kaj produktoj estis surmerkatigitaj. Kio ne estas tiel bonega estas, ke la integriĝo de heterogenaj sistemoj por monitori IT-infrastrukturon, registri kaj malhelpi informsekurecajn okazaĵojn kaj analizi komercajn procezojn montriĝis sufiĉe kompleksa afero, foje rememoriga pri "kruciĝo de erinaco kaj serpento".
Kiam ĉi tiu problemo iĝis rekonita de la merkato, diversaj vendistoj direktis la klopodojn de siaj programistoj krei universalan sistemon por analizi maŝinajn datumojn. Tio estas, sistemo, kiu sola kapablus respondi kaj la demandon de la CIO – “Kial mi havas tian neegalan servilan ŝarĝon”, kaj la demandon de la CEO – “Kiu el la komercaj procezoj de la entrepreno kondukas nin al profito kaj kiuj kondukas nin al bankroto.”
Ĝenerale, la merkato konsentas, ke la plej sukcesa universala solvo por analizi maŝinajn datumojn estis proponita de la usona kompanio Splunk.
Okazis, ke la plej sukcesa universala solvo por analizi maŝinajn datumojn estis proponita de la usona kompanio Splunk. Malgraŭ tio, ke Splunk havas konkurantojn kiel IBM, BMC Software, Microsoft, Quest Software, kaj ankaŭ eblojn por efektivigi analizojn sur la malfermfonteca ELK-stako. Sed estis la solvoj de Splunk kiuj fariĝis merkataj gvidantoj. — produkto kun la plej larĝa funkcieco fariĝis la fakta industria normo por kompleksaj maŝinaj datumaj analizsistemoj por grandaj entreprenoj.
La merkato akceptis Splunk-produktojn ĉefe pro sia bonega kombinaĵo de facileco de instalado, agorda fleksebleco kaj diversaj analizaj iloj. Splunk havas sian propran ekosistemon nomitan . Ĉi tie, programistoj kaj klientoj, kiuj estas parto de la komunumo Splunk, afiŝas diversajn aldonaĵojn, teknologiajn aldonaĵojn kaj aplikaĵojn, kiuj solvas malsamajn problemojn. Ekzemple, vi povas elŝuti aplikaĵojn tie, unu el kiuj kolektas protokolojn de Cisco-aparatoj, la dua de retaj aparatoj de alia fabrikanto, ktp. Ĉi tiu interago profitas kaj al programistoj kaj klientoj.
Ĝenerala vido de la ekrano de Splunkbase. Fonto: Splunk
Deproksima foto de ekzemploj de aldonaĵoj kaj aplikoj en Splunkbase. La nombro da elŝutoj estas indikita kiel metriko de populareco. Fonto: Splunk
Se ni enprofundiĝas iomete en la ekosistemon de Splunkbase, ni povas klarigi la diferencojn - aplikaĵo diferencas de aldonaĵo pro tio, ke la aplikaĵo havas grafikan interfacon. Ĉi tiuj estas vidaj paneloj, paneloj (ciferdiskoj), formoj, diagramoj, kiuj ebligas al vi vidi analizojn pri afero adresita al la sistemo en grafika interfaco. La uzanto povas konstrui serĉojn kaj analizojn bazitajn sur diversaj parametroj, enirante kiel eble plej profunde en la tempoperiodon de la okazaĵoj kiuj okazis por identigi la kaŭzojn de kio okazis.
La historio de Splunk en Rusio estas brila, sed mallongdaŭra
Produkto tiel riĉa je funkcieco kiel Splunk ne povis eskapi la atenton de la CIO de grandaj rusaj kompanioj. Post ĉio, ju pli granda estas la entrepreno, des pli malfacilas administri ĝin kaj identigi faktorojn influantajn komercan efikecon, la stabilecon de la IT-infrastrukturo kaj informsekurecaj iloj.
Superrigarda prezento de la Splunk Enterprise solvo (). Fonto: VolgaBlob
Splunk venis al Rusio je la fino de 2013 kaj komencis konstrui partneran reton laŭ la klasika skemo - licenca distribuisto (RRC) kaj efektivigpartneroj (VolgaBlob, TS Solution, Talmer). Konsiderante, ke la kosto de Splunk-licencoj estas sufiĉe alta, kaj la vendisto koncentriĝis pri klientoj de grandaj entreprenoj (kaj ili ĉiuj kontraŭas ilin), la nombro da partneroj estis malgranda.
VolgaBlob iĝis unu el la unuaj partneroj se temas pri komenci labori kun Splunk-solvoj. La antaŭaj 10 jaroj da sperto en la evoluo, personigo kaj efektivigo de informasekurecaj iloj estis tre utila.
"Ni estis sufiĉe matura ludanto en la cibersekureca merkato, sed Splunk fariĝis vera malkovro (!) kaj nova ekscita perspektivo por ni. Ni komencis evoluigi nian kompetentecon en la kampo de komercproceza analizo, inkluzive ĉe la interfaco kun informa sekureco, konstrui aron de niaj teknikaj konektiloj kaj aplikoj en la Splunk-ekosistemo kaj oferti ĉion en la kadro de specifaj kompletaj uzantkazoj por federaciaj- nivelaj kompanioj,” dividas siajn impresojn , Ĉefoficisto de VolgaBlob.
Antaŭ 2018, en kiu la plej granda nombro da projektoj bazitaj sur Splunk Enterprise estis kompletigita en Rusio, klientoj uzantaj Splunk jam inkludis tiajn markojn kiel Rosneft kaj SUEK, Sberbank kaj Tinkoff Bank, MTS, Moscow Exchange kaj Megafon. La kulmino de eventoj estis la konferenco de Splunk Discovery Day Moskvo 0, impona laŭ la nombro da partoprenantoj kaj la nivelo de raportoj, la 2018-an de oktobro 2018. Plena salono kaj CIO-oj de multaj kompanioj. Kiu el la partoprenantoj tiam povus imagi, ke nur 3 monatojn poste estos tute malsamaj humoroj sur la merkato.
Fotoj de la konferenco Splunk Discovery Day Moskvo 2018. Fonto:
La 19-an de februaro 2019, Splunk anoncis sian krizan retiriĝon de la rusa merkato, neatendite por nia IT-komunumo. Partneroj kaj klientoj, kiuj restis konfuzitaj, povis legi nur nekompreneblan . En ĝi, la foriro el Rusio estis malklare klarigita per "investaj kialoj". Vanaj estis ĉiuj provoj de la partneroj akiri pli kompreneblajn klarigojn.
Ne nur Splunk-partneroj spertis malagrablajn sentojn, sed ankaŭ klientojn, kiuj subite havis aliron al siaj kontoj fortranĉitaj. Kiam post kelkaj tagoj la pasioj iom trankviliĝis (), Splunk diris, ke klientoj kun aktivaj licencoj povas uzi siajn kontojn ĝis iliaj licencoj eksvalidiĝas, kaj partneroj povas daŭrigi servi ilin je sia propra risko, sed sen helpo de la vendisto.
Versio de la aŭtoro pri la foriro de Splunk el Rusio, sed eblas, ke ĉio ne estis tiel
En ĉi tiu sekcio ni havos kontraŭheroon, estas eĉ du el ili, ambaŭ de Splunk - Doug Merritt (CEO) kaj Carrie Palin (CMO, Chief Marketing Officer).
Publikaj usonaj kompanioj havas mirindan sekcion de sia retejo, kie ili devas malkaŝi sian komercan situacion al investantoj. De tie vi povas ekscii la jenon: 19.02.2019/XNUMX/XNUMX, kiam Splunk (SPLK, NASDAQ) publikigis komunikon pri forlaso de Rusio, ĝi estis la unua labortago de Carrie Palin, CMO - ŝi ĵus estis dungita. Sed la decido forlasi la Rusan Federacion verŝajne estis farita iom pli frue. Plej verŝajne, estis interkonsiliĝoj kun ŝi, intertraktadoj eĉ antaŭ la oficiala unua labortago kaj tranĉado de kostoj dum eliro de la Rusa Federacio estis ŝia propono por "freŝaj merkataj ideoj", kiel kutimas ĉe intervjuoj kun ĉefmanaĝeroj.
La ĉefoficisto, Doug Merritt, eble aprobis la ideon, kaj la tiama CFO (ĉeffinanca oficisto) de Splunk, kiu finfinas sian oficon en tiu momento kaj forlasis la firmaon, ŝajne ne kontraŭis (en majo 2019 ili dungis novan CFO). ).
Ĉiu, kiu investas en la usona merkato, la unua afero, kiun ili faros, estas rigardi kiel Splunk-akcioj reagis al sia retiriĝo de la rusa merkato? La respondo estas neniel, neŭtrala (vidu tabelon). La posta malkresko de akcioj ekde la 1-a de marto 2019 estas rilata al Cisco - enulo estis ĵetita en tio, ke ili estis supozeble aŭ venditaj al ili aŭ ne (kaj ne estis venditaj ĝis hodiaŭ).
Ĉiutaga diagramo de SPLK-akcioj por printempo 2019. Fonto: Tradingview
La grafikaĵo montras, ke la oficiale deklarita kialo por forlasi la Rusan Federacion pri "optimumigo por investantoj" ne estis 100% ekskuzo, sed almenaŭ parte vera. Vi povas kompreni ilian logikon - la kreska kurbo de akcioj en tiu tempo estis impona (kaj ne estas merito en tio por la rusa merkato - estis la Fed, kiu pumpis la usonan borsmerkaton per likvideco). Samtempe, laŭ la skalo de Splunk, komerco en la Rusa Federacio estis videbla nur per mikroskopo (malgraŭ ĉiuj klopodoj de partneroj en la Rusa Federacio), kaj estas multe da tumulto kaj ĉiumomente vi povas fali sub. distribuo de sankcioj (kiu komence de 2019 estis tre reala risko).
Ekzemplo de anstataŭiga produkto post kiam Splunk foriras
Kvankam Splunk ne havis rektan konkuranton en la formo de komerca solvo en nia merkato, rusaj programistoj provis krei analogon, kiu konvenis al ili surbaze de la malfermkodaj projektoj de ELK. Ĉi tio estis farita ĉefe en mezgrandaj kompanioj, kiuj ne povis havigi aĉeti Splunk. Sed la praktiko ne disvastiĝis, ĉar memskribitaj produktoj estas subtenataj de la entuziasmo de specifaj dungitoj, kaj post ilia foriro ili estas forlasitaj.
Ekzistas komerca versio por ELK, sed en la Rusa Federacio ĝi estas en minimuma postulo kaj plejparte konkuras kun libera programaro.
estas akronimo por tri malfermkodaj projektoj Elasticsearch, Logstash kaj Kibana. Ĉi tie Elasticsearch estas serĉo kaj analizo, Logstash prilaboras maŝinajn datumojn de pluraj fontoj samtempe, kaj Kibana estas projekto por krei ilojn por bildigi rezultojn de Elasticsearch kaj Logstash. Kvankam ELK ne estis komence celita analizi maŝindatenojn, ĝi baldaŭ kutimis prilabori tempmarkitajn tagalojn.
La aŭtoro ne entreprenas paroli pri la sorto de ĉiuj IT-kompanioj en la Rusa Federacio rilate al la efektivigo de Splunk, sed estas indika rakonto pri kiel la eventoj de 2019 turnis la komercon de VolgaBlob, partnero de Splunk.
Volgablob, kiel aliaj iamaj Splunk-partneroj, havis du merkatniĉojn aperi post kiam la vendisto foriris. La unua estas daŭre servi klientojn kun ekzistantaj licencoj sur la platformo Splunk (kaj inter ili estas kompanioj kun ĉiamaj licencoj), la dua estas doni al klientoj, kiuj volas migri al alia platformo, alternativon bazitan sur malfermkoda produkto.
Kiel vi scias, ajna krizo alportas ne nur perdojn, sed ankaŭ novajn ŝancojn. VolgaBlob trovis sin en tre malfacila situacio, ĉar la efektivigo kaj personigo de uzkazoj sur Splunk estis ilia signifa fonto de mendoj kaj, nature, enspezo. Anstataŭ fermi la komercon aŭ translokiĝi en aliajn niĉojn, ili regrupigis la teamon, dungis novajn programistojn kaj komencis movi sian aplikaĵevoluon de la Splunk-platformo al ELK.
"Dum la jaroj de ĉeesto de Splunk en la rusa merkato, ni kreis nian propran propran aron de aplikoj por Splunk, kiujn ni nomis Smart Monitor. Ĝi enhavas la plej popularajn funkciojn inter rusaj klientoj. Kiam la vendisto subite foriris, nin helpis la antaŭvidemo montrita tiutempe kaj la deziro diversiĝi en aferoj de elekto de platformo por labori kun maŝinaj datumoj,” diras Alexander Skakunov.
Kvazaŭ respondante al la foriro de la vendisto "... Eble estos metiistoj, kiuj faros alternativon," VolgaBlob sukcesis en mallonga tempo efektivigi aron de Smart Monitor-analizaj iloj, antaŭe evoluigitaj por Splunk, sed nun sur la platformo ELK. La nova solvo estis nomita . Ĝi ne havas sian propran ekosistemon de aplikoj de aliaj sendependaj programistoj. Sed ekzistas sufiĉe da datumkolektado kaj analizaj moduloj elektitaj surbaze de uzkazoj de ekzistantaj klientoj, t.e. en postulo sur la rusa merkato.
Smart Monitor Open Source estis prezentita ĉe la konferenco por la unua fojo , okazinta la 13-an de novembro 2019 en Moskvo. La nomo estas deziro oferti anstataŭan produkton kaj malkaŝi la kartojn pri temo, kiu maltrankviligas centojn da kompanioj en Rusio, kiuj antaŭe uzis Splunk.
La aŭtoro ne opinias ĝuste kopii materialojn el la konferenco ĉi tie. Specialistoj laborantaj en la kampo de maŝina datuma analizo lernos detalojn pri la produkto anstataŭanta Splunk sur la paĝoj de VB-Trend 2019. Kaj por ĉiuj aliaj, inkluzive de la aŭtoro, ni povas simple esti feliĉaj por la rusaj programistoj.
fonto: www.habr.com
