Hai case un ano, Splunk desapareceu en Rusia. Este artigo é en gran parte unha revisión. Trátase de datos de máquinas e dun nicho de mercado e dun exemplo de substitución de importacións que se produciu sen consignas fortes, simplemente porque o demandaba o mercado. Exclusivamente - a versión do autor do motivo da saída de Splunk de Rusia, pero é posible que todo fose completamente diferente.
Moito texto, 15 mil caracteresTempo de lectura aprox.
Min 10.
Que son os datos da máquina?
Aínda que moitos escoitamos o termo "Big Data" con moita máis frecuencia, falaremos dos datos da máquina, é dicir. datos xerados dixitalmente a partir dunha gran variedade de fontes. E a cuestión non está en estreitar a área temática, senón na precisión da definición.
Os datos da máquina son todos os datos xerados por dispositivos dixitais. Estes inclúen rexistros de servidores corporativos e dispositivos de rede, datos de sensores de sistemas industriais e dispositivos IoT, mensaxes ao correo electrónico corporativo, actividade nun servidor web, rexistros dos empregados que inician sesión e desconectan das súas contas, transaccións financeiras en formato dixital, chamadas a o servizo de soporte da empresa e moito, moito máis.
É importante que entre as mensaxes puramente técnicas dos datos da máquina haxa unha gran cantidade de información que reflicta os procesos comerciais da organización: a interacción dunha empresa coas súas contrapartes e intermediarios (bancos, compañías de seguros e servizos, autoridades reguladoras). Estatísticas sobre a actividade dos empregados na rede corporativa e durante o movemento físico pola empresa, o movemento de mercadorías polo almacén, a demanda e a duración dos servizos, etc. - todo isto tamén son datos da máquina.
A continuación, xorde unha idea: analizar os datos da máquina para identificar os pescozos de botella nos sistemas informáticos e nos negocios, optimizar a calidade do servizo ao cliente, atopar vulnerabilidades na seguridade da información da empresa e rastros das accións dos defraudadores.
O reto do uso de datos da máquina é que vén nun número incrible de formatos.
A idea é correcta, pero difícil de implementar. O reto dos datos da máquina é que se presentan nunha vertixinosa variedade de formatos, e as ferramentas tradicionais de seguimento e análise non están deseñadas para xestionar a variedade, a velocidade, o volume ou a variabilidade deses datos.
Comezamos cos sistemas SIEM e a análise de empresas e rematamos coas solucións Splunk
Cando hai uns 10 anos comezou o estudo da aplicabilidade dos datos da máquina, comezaron a aparecer no mercado solucións de software para o seu procesamento e análise. Nun esforzo por crear as mellores ferramentas da súa clase, os desenvolvedores comezaron a reducir a área temática da análise de datos de máquinas.
Así xurdiron os sistemas SIEM (Security Information and Event Management) que alcanzaron un alto nivel de madurez. Trátase de produtos de software no campo da seguridade da información (IS). Monitorizan os sistemas de información en tempo real, recollen e analizan datos de máquinas relacionados coa seguridade da información. O alcance dos sistemas SIEM inclúe servidores, dispositivos de rede, sensores, dispositivos de escritorio e móbiles, ferramentas de seguridade da información, infraestrutura de sistemas e aplicacións.
Outra rama da análise de datos de máquinas converteuse en sistemas de monitorización do estado da infraestrutura de TI. O terceiro son os sistemas de intelixencia empresarial (BI, Business intelligence), que analizan os procesos de negocio baseándose nunha serie de datos relacionados coa actividade empresarial da empresa.
O bo é que se logrou un progreso significativo en cada unha das ramas enumeradas de análise de datos de máquinas e que se lanzaron ao mercado solucións e produtos dignos. O que non é tan xenial é que a integración de sistemas heteroxéneos para supervisar a infraestrutura informática, rexistrar e previr incidentes de seguridade da información e analizar procesos empresariais resultou ser un asunto bastante complexo, que ás veces recorda a "cruzar un ourizo e unha serpe".
Cando este problema foi recoñecido polo mercado, varios provedores dirixiron os esforzos dos seus desenvolvedores para crear un sistema universal para analizar os datos da máquina. É dicir, un sistema que só sería capaz de responder tanto á pregunta do CIO: "Por que teño unha carga do servidor tan desigual", como á pregunta do CEO: "Cales dos procesos de negocio da empresa nos levan a obter beneficios e cales nos levan a bancarrota”.
En xeral, o mercado coincide en que a empresa estadounidense Splunk ofreceu a solución universal máis exitosa para analizar os datos da máquina.
Aconteceu que a solución universal máis exitosa para analizar os datos da máquina foi ofrecida pola empresa estadounidense Splunk. A pesar de que Splunk ten competidores como IBM, BMC Software, Microsoft, Quest Software, así como opcións para implementar análises na pila ELK de código aberto. Pero foron as solucións de Splunk as que se converteron en líderes do mercado. — un produto coa funcionalidade máis ampla converteuse no estándar da industria de facto para sistemas complexos de análise de datos de máquinas para grandes empresas.
O mercado aceptou produtos Splunk principalmente pola súa excelente combinación de facilidade de instalación, flexibilidade de configuración e unha variedade de ferramentas analíticas. Splunk ten o seu propio ecosistema chamado . Aquí, os desenvolvedores e clientes que forman parte da comunidade de Splunk publican varios complementos, complementos tecnolóxicos e aplicacións que resolven diferentes problemas. Por exemplo, alí pode descargar aplicacións, unha das cales recolle rexistros de dispositivos Cisco, a segunda de dispositivos de rede doutro fabricante, etc. Esta interacción beneficia tanto aos desenvolvedores como aos clientes.
Vista xeral da pantalla de Splunkbase. Fonte: Splunk
Primeiro plano de exemplos de complementos e aplicacións en Splunkbase. O número de descargas indícase como unha métrica de popularidade. Fonte: Splunk
Se afondamos un pouco máis no ecosistema de Splunkbase, podemos explicar as diferenzas: unha aplicación difire dun complemento en que a aplicación ten unha interface gráfica. Trátase de paneis visuais, paneis de mando (diales), formularios, diagramas que permiten ver analíticas sobre unha cuestión dirixida ao sistema nunha interface gráfica. O usuario pode crear buscas e análises baseadas nunha variedade de parámetros, afondando o máis posible na franxa horaria dos eventos que ocorreron para identificar as causas do que aconteceu.
A historia de Splunk en Rusia é brillante, pero de curta duración
Un produto tan rico en funcionalidades como Splunk non podía escapar da atención do CIO das grandes empresas rusas. Despois de todo, canto máis grande é a empresa, máis difícil é xestionala e identificar os factores que afectan á eficiencia empresarial, á estabilidade da infraestrutura de TI e ás ferramentas de seguridade da información.
Presentación xeral da solución Splunk Enterprise (). Fonte: VolgaBlob
Splunk chegou a Rusia a principios de 2013 e comezou a construír unha rede de socios segundo o esquema clásico: un distribuidor de licenzas (RRC) e socios de implementación (VolgaBlob, TS Solution, Talmer). Tendo en conta que o custo das licenzas de Splunk é bastante alto e que o vendedor centrouse nos clientes de grandes empresas (e todos están en contra deles), o número de socios era pequeno.
VolgaBlob converteuse nun dos primeiros socios en comezar a traballar coas solucións Splunk. Os 10 anos anteriores de experiencia no desenvolvemento, personalización e implantación de ferramentas de seguridade da información foron moi útiles.
"Fomos un xogador bastante maduro no mercado da ciberseguridade, pero Splunk converteuse nun verdadeiro descubrimento (!) e nunha nova perspectiva emocionante para nós. Comezamos a desenvolver a nosa experiencia no campo da análise de procesos empresariais, incluso na interface coa seguridade da información, a construír un conxunto dos nosos conectores técnicos e aplicacións no ecosistema Splunk e ofrecéndoo todo no marco de casos de usuario completos específicos para federal- empresas de nivel”, comparte as súas impresións , CEO de VolgaBlob.
En 2018, no que se completou o maior número de proxectos baseados en Splunk Enterprise en Rusia, os clientes que usaban Splunk xa incluían marcas como Rosneft e SUEK, Sberbank e Tinkoff Bank, MTS, Moscow Exchange e Megafon. A culminación dos eventos foi a conferencia Splunk Discovery Day Moscow 0, impresionante en canto ao número de participantes e ao nivel de informes, o 2018 de outubro de 2018. Un salón cheo e CIOs de moitas empresas. Cal dos participantes podería imaxinar entón que só 3 meses despois habería estados de ánimo completamente diferentes no mercado.
Fotos da conferencia Splunk Discovery Day Moscow 2018. Fonte:
O 19 de febreiro de 2019, Splunk anunciou a súa retirada de emerxencia do mercado ruso, de forma inesperada para a nosa comunidade informática. Socios e clientes que quedaron desconcertados só podían ler un incomprensible . Nela, a saída de Rusia explicábase vagamente por "razóns de investimento". Todos os intentos dos socios de obter explicacións máis intelixibles foron en balde.
Non só os socios de Splunk experimentaron sensacións desagradables, senón tamén os clientes que de súpeto tiveron acceso ás súas contas cortadas. Cando, despois duns días, as paixóns amainaron un pouco (), Splunk dixo que os clientes con licenzas activas poden usar as súas contas ata que caduquen as súas licenzas, e os socios poden seguir atendendo a eles baixo o seu propio risco, pero sen a asistencia do vendedor.
Versión do autor sobre a saída de Splunk de Rusia, pero é posible que todo non fose así
Nesta sección teremos un antiheroe, incluso hai dous deles, ambos de Splunk: Doug Merritt (CEO) e Carrie Palin (CMO, Chief Marketing Officer).
As empresas públicas estadounidenses teñen unha sección marabillosa do seu sitio web na que se lles obriga a revelar a súa situación empresarial aos investimentos. A partir de aí podes descubrir o seguinte: o 19.02.2019/XNUMX/XNUMX, cando Splunk (SPLK, NASDAQ) publicou un comunicado sobre a saída de Rusia, era o primeiro día laborable de Carrie Palin, CMO: acababa de ser contratada. Pero a decisión de abandonar a Federación Rusa probablemente foi tomada un pouco antes. O máis probable é que houbo consultas con ela, negociacións incluso antes do primeiro día oficial de traballo e o recorte de custos ao saír da Federación Rusa foi a súa proposta de "novas ideas de mercadotecnia", como é habitual nas entrevistas cos altos directivos.
O conselleiro delegado, Doug Merritt, puido aprobar a idea, e o entón director financeiro (director financeiro) de Splunk, que estaba a finalizar o seu mandato nese momento e deixando a empresa, ao parecer non se opuxeron (en maio de 2019 contrataron un novo director financeiro). ).
Calquera que invista no mercado americano, o primeiro que fará é ver como reaccionaron as accións de Splunk ante a súa retirada do mercado ruso? A resposta é de ningún xeito, neutral (ver gráfico). O posterior descenso das accións desde o 1 de marzo de 2019 está asociado con Cisco: un insider foi lanzado en que supostamente se lles venderon ou non (e non se venderon ata o día de hoxe).
Gráfico diario das accións de SPLK para a primavera de 2019. Fonte: Tradingview
O gráfico mostra que o motivo declarado oficialmente para abandonar a Federación Rusa sobre a "optimización para os investimentos" non era unha escusa do 100%, pero polo menos parcialmente certo. Podes entender a súa lóxica: a curva de crecemento das accións nese momento era impresionante (e non hai mérito para o mercado ruso: foi a Fed quen bombeou liquidez ao mercado de accións estadounidense). Ao mesmo tempo, na escala de Splunk, os negocios na Federación Rusa só eran visibles a través dun microscopio (a pesar de todos os esforzos dos socios da Federación Rusa), e hai moito alboroto e en calquera momento podes caer baixo distribución de sancións (que a principios de 2019 era un risco moi real).
Exemplo de produto de substitución despois de que Splunk saia
Aínda que Splunk non tiña un competidor directo en forma de solución comercial no noso mercado, os desenvolvedores rusos intentaron crear un análogo que lles adaptase baseándose nos proxectos de código aberto ELK. Isto fíxose principalmente en empresas de tamaño medio que non podían permitirse o luxo de comprar Splunk. Pero a práctica non se estendeu, porque Os produtos autoescritos son apoiados polo entusiasmo de empregados específicos, e despois da súa saída son abandonados.
Hai unha versión comercial para ELK, pero na Federación Rusa ten unha demanda mínima e compite en gran medida co software libre.
é un acrónimo de tres proxectos de código aberto Elasticsearch, Logstash e Kibana. Aquí Elasticsearch é busca e análise, Logstash está procesando datos da máquina de varias fontes simultaneamente e Kibana é un proxecto para crear ferramentas para visualizar resultados de Elasticsearch e Logstash. Aínda que ELK non tiña como obxectivo inicialmente analizar os datos da máquina, pronto utilizouse para procesar rexistros marcados de tempo.
O autor non se compromete a falar sobre o destino de todas as empresas de TI da Federación Rusa relacionadas coa implementación de Splunk, pero hai unha historia indicativa de como os acontecementos de 2019 converteron o negocio de VolgaBlob, socio de Splunk.
Volgablob, do mesmo xeito que outros antigos socios de Splunk, xurdiu dous nichos de mercado despois de que o vendedor marchase. O primeiro é seguir atendendo aos clientes con licenzas existentes na plataforma Splunk (e entre elas hai empresas con licenzas perpetuas), o segundo é ofrecer aos clientes que queiran migrar a outra plataforma unha alternativa baseada nun produto de código aberto.
Como sabedes, calquera crise trae non só perdas, senón tamén novas oportunidades. VolgaBlob atopouse nunha situación moi difícil, xa que a implementación e personalización dos casos de uso en Splunk era a súa importante fonte de pedidos e, por suposto, de ingresos. En lugar de pechar o negocio ou mudarse a outros nichos, reagruparon o equipo, contrataron novos desenvolvedores e comezaron a mover o seu desenvolvemento de aplicacións da plataforma Splunk a ELK.
"Ao longo dos anos de presenza de Splunk no mercado ruso, creamos o noso propio conxunto de aplicacións propietarias para Splunk, que chamamos Smart Monitor. Contén as funcións máis populares entre os clientes rusos. Cando o vendedor marchou de súpeto, axudáronnos a previsión mostrada nese momento e o desexo de diversificar en materia de elección dunha plataforma para traballar con datos de máquinas", di Alexander Skakunov.
Como respondendo á saída do vendedor "... Se cadra haxa artesáns que fagan unha alternativa", VolgaBlob conseguiu en pouco tempo implementar un conxunto de ferramentas analíticas de Smart Monitor, desenvolvidas anteriormente para Splunk, pero agora na plataforma ELK. Chamouse a nova solución . Non ten o seu propio ecosistema de aplicacións doutros desenvolvedores independentes. Pero hai bastantes módulos de recollida de datos e análise seleccionados en función dos casos de uso dos clientes existentes, é dicir. demanda no mercado ruso.
Smart Monitor Open Source presentouse na conferencia por primeira vez , celebrada o 13 de novembro de 2019 en Moscova. O nome é un desexo de ofrecer un produto de substitución e revelar as tarxetas sobre un tema que preocupa a centos de empresas en Rusia que utilizaron anteriormente Splunk.
O autor non considera correcto copiar aquí materiais da conferencia. Os especialistas que traballan no campo da análise de datos de máquinas coñecerán detalles sobre o produto que substitúe a Splunk nas páxinas de VB-Trend 2019. E para todos os demais, incluído o autor, podemos simplemente estar contentos polos desenvolvedores rusos.
Fonte: www.habr.com
