Hampir setahun yang lalu, Splunk hilang di Rusia. Artikel ini sebahagian besarnya adalah ulasan. Ia adalah mengenai data mesin, dan tentang niche pasaran, dan tentang contoh penggantian import yang berlaku tanpa slogan yang kuat - semata-mata kerana pasaran menuntutnya. Secara eksklusif - versi pengarang sebab Splunk berlepas dari Rusia, tetapi ada kemungkinan semuanya berbeza sama sekali.
Banyak teks, 15 ribu aksaraMasa membaca lebih kurang.
Min 10.
Apakah data mesin?
Walaupun ramai di antara kita mendengar istilah "Data Besar" lebih kerap, kita akan bercakap tentang data mesin, i.e. data yang dijana secara digital daripada pelbagai sumber. Dan intinya bukan dalam menyempitkan kawasan subjek, tetapi dalam ketepatan definisi.
Data mesin ialah sebarang data yang dijana oleh peranti digital. Ini termasuk log daripada pelayan korporat dan peranti rangkaian, data daripada penderia sistem perindustrian dan peranti IoT, mesej kepada e-mel korporat, aktiviti pada pelayan web, rekod pekerja log masuk dan keluar daripada akaun mereka, transaksi kewangan dalam bentuk digital, panggilan ke perkhidmatan sokongan syarikat dan banyak lagi.
Adalah penting bahawa antara mesej teknikal semata-mata dalam data mesin terdapat sejumlah besar maklumat yang mencerminkan proses perniagaan organisasi - interaksi perniagaan dengan rakan niaga dan pengantaranya (bank, syarikat insurans dan perkhidmatan, pihak berkuasa kawal selia). Statistik mengenai aktiviti pekerja dalam rangkaian korporat dan semasa pergerakan fizikal di sekitar perusahaan, pergerakan barang melalui gudang, permintaan dan tempoh perkhidmatan, dsb. - semua ini juga data mesin.
Seterusnya, idea timbul: menganalisis data mesin untuk mengenal pasti kesesakan dalam sistem dan perniagaan IT, mengoptimumkan kualiti perkhidmatan pelanggan, mencari kelemahan dalam keselamatan maklumat perusahaan dan kesan tindakan penipu.
Cabaran menggunakan data mesin ialah ia datang dalam bilangan format yang luar biasa.
Idea itu betul, tetapi sukar untuk dilaksanakan. Cabaran menggunakan data mesin ialah ia datang dalam pelbagai format yang memeningkan, dan alat pemantauan dan analisis tradisional tidak direka untuk mengendalikan kepelbagaian, halaju, volum atau kebolehubahan data tersebut.
Kami bermula dengan sistem SIEM dan analitik perniagaan dan berakhir dengan penyelesaian Splunk
Apabila kajian tentang kebolehgunaan data mesin bermula kira-kira 10 tahun yang lalu, penyelesaian perisian untuk pemprosesan dan analisisnya mula muncul di pasaran. Dalam usaha untuk mencipta alat terbaik dalam kelas mereka, pembangun mula menyempitkan bidang subjek analisis data mesin.
Beginilah bagaimana sistem SIEM (Maklumat Keselamatan dan Pengurusan Acara) muncul dan mencapai tahap kematangan yang tinggi. Ini adalah produk perisian dalam bidang keselamatan maklumat (IS). Mereka memantau sistem maklumat dalam masa nyata, mengumpul dan menganalisis data mesin yang berkaitan dengan keselamatan maklumat. Skop sistem SIEM termasuk pelayan, peranti rangkaian, penderia, desktop dan peranti mudah alih, alat keselamatan maklumat, sistem dan infrastruktur aplikasi.
Satu lagi cabang analisis data mesin menjadi sistem pemantauan keadaan infrastruktur IT. Yang ketiga ialah sistem risikan perniagaan (BI, Perisikan perniagaan), yang menganalisis proses perniagaan berdasarkan pelbagai data yang berkaitan dengan aktiviti perniagaan perusahaan.
Apa yang baiknya ialah kemajuan ketara telah dicapai dalam setiap cabang analisis data mesin yang disenaraikan dan penyelesaian serta produk yang layak telah dibawa ke pasaran. Apa yang tidak begitu hebat ialah penyepaduan sistem heterogen untuk memantau infrastruktur IT, merekod dan mencegah insiden keselamatan maklumat dan menganalisis proses perniagaan ternyata menjadi perkara yang agak rumit, kadangkala mengingatkan "melintasi landak dan ular."
Apabila masalah ini diiktiraf oleh pasaran, pelbagai vendor mengarahkan usaha pembangun mereka untuk mencipta sistem universal untuk menganalisis data mesin. Iaitu, sistem yang sahaja akan dapat menjawab kedua-dua soalan CIO – “Mengapa saya mempunyai beban pelayan yang tidak sekata”, dan soalan CEO – “Manakah antara proses perniagaan perusahaan yang membawa kita kepada keuntungan dan yang membawa kita ke muflis.”
Secara umum, pasaran bersetuju bahawa penyelesaian universal yang paling berjaya untuk menganalisis data mesin ditawarkan oleh syarikat Amerika Splunk.
Kebetulan bahawa penyelesaian universal yang paling berjaya untuk menganalisis data mesin ditawarkan oleh syarikat Amerika Splunk. Walaupun pada hakikatnya Splunk mempunyai pesaing seperti IBM, BMC Software, Microsoft, Quest Software, serta pilihan untuk melaksanakan analisis pada timbunan ELK sumber terbuka. Tetapi penyelesaian daripada Splunk yang menjadi peneraju pasaran. — produk dengan fungsi terluas telah menjadi standard industri de facto untuk sistem analitik data mesin yang kompleks untuk perusahaan besar.
Pasaran telah menerima produk Splunk terutamanya untuk kombinasi yang sangat baik bagi kemudahan pemasangan, fleksibiliti konfigurasi dan pelbagai alat analisis. Splunk mempunyai ekosistem sendiri yang dipanggil . Di sini, pembangun dan pelanggan yang merupakan sebahagian daripada komuniti Splunk menyiarkan pelbagai alat tambah, alat tambah teknologi dan aplikasi yang menyelesaikan masalah berbeza. Sebagai contoh, anda boleh memuat turun aplikasi di sana, salah satunya mengumpul log daripada peranti Cisco, yang kedua daripada peranti rangkaian daripada pengeluar lain, dsb. Interaksi ini memberi manfaat kepada pembangun dan pelanggan.
Paparan umum skrin Splunkbase. Sumber: Splunk
Dekat contoh tambahan dan aplikasi dalam Splunkbase. Bilangan muat turun ditunjukkan sebagai metrik populariti. Sumber: Splunk
Jika kita menyelidiki lebih dalam sedikit ke dalam ekosistem Splunkbase, kita boleh menerangkan perbezaan - aplikasi berbeza daripada alat tambah kerana aplikasi itu mempunyai antara muka grafik. Ini ialah panel visual, papan pemuka (dail), borang, gambar rajah yang membolehkan anda melihat analitis mengenai isu yang ditujukan kepada sistem dalam antara muka grafik. Pengguna boleh membina carian dan analitik berdasarkan pelbagai parameter, pergi sedalam mungkin ke dalam slot masa peristiwa yang berlaku untuk mengenal pasti punca apa yang berlaku.
Sejarah Splunk di Rusia adalah cerah, tetapi berumur pendek
Produk yang kaya dengan fungsi seperti Splunk tidak dapat lari daripada perhatian CIO syarikat besar Rusia. Lagipun, semakin besar perusahaan, semakin sukar untuk mengurusnya dan mengenal pasti faktor yang mempengaruhi kecekapan perniagaan, kestabilan infrastruktur IT dan alatan keselamatan maklumat.
Pembentangan gambaran keseluruhan penyelesaian Splunk Enterprise (). Sumber: VolgaBlob
Splunk datang ke Rusia pada awal tahun 2013 dan mula membina rangkaian rakan kongsi mengikut skema klasik - pengedar lesen (RRC) dan rakan kongsi pelaksanaan (VolgaBlob, TS Solution, Talmer). Memandangkan kos lesen Splunk agak tinggi, dan vendor tertumpu pada pelanggan daripada perniagaan besar (dan mereka semua menentang mereka), bilangan rakan kongsi adalah kecil.
VolgaBlob menjadi salah satu rakan kongsi pertama yang mula bekerja dengan penyelesaian Splunk. Pengalaman 10 tahun sebelumnya dalam pembangunan, penyesuaian dan pelaksanaan alat keselamatan maklumat sangat berguna.
“Kami adalah pemain yang cukup matang dalam pasaran keselamatan siber, tetapi Splunk menjadi penemuan sebenar (!) dan prospek baharu yang menarik untuk kami. Kami mula membangunkan kepakaran kami dalam bidang analisis proses perniagaan, termasuk pada antara muka dengan keselamatan maklumat, membina satu set penyambung teknikal dan aplikasi kami dalam ekosistem Splunk dan menawarkan semuanya dalam rangka kerja kes pengguna lengkap khusus untuk persekutuan- syarikat peringkat,” berkongsi tanggapannya , Ketua Pegawai Eksekutif VolgaBlob.
Menjelang 2018, di mana bilangan terbesar projek berdasarkan Splunk Enterprise telah disiapkan di Rusia, pelanggan yang menggunakan Splunk telah memasukkan jenama seperti Rosneft dan SUEK, Sberbank dan Tinkoff Bank, MTS, Moscow Exchange dan Megafon. Kemuncak acara adalah persidangan Splunk Discovery Day Moscow 0, mengagumkan dari segi bilangan peserta dan tahap pembentangan, pada 2018 Oktober 2018. Dewan penuh dan CIO dari banyak syarikat. Manakah antara peserta yang boleh membayangkan bahawa hanya 3 bulan kemudian akan ada suasana yang berbeza di pasaran.
Foto dari persidangan Splunk Discovery Day Moscow 2018.
Pada 19 Februari 2019, Splunk mengumumkan pengeluaran kecemasannya daripada pasaran Rusia, secara tidak dijangka untuk komuniti IT kami. Rakan kongsi dan pelanggan yang dibiarkan bingung hanya boleh membaca yang tidak dapat difahami . Di dalamnya, pemergian dari Rusia dijelaskan secara samar-samar oleh "sebab pelaburan." Semua percubaan oleh rakan kongsi untuk mendapatkan penjelasan yang lebih mudah difahami adalah sia-sia.
Bukan sahaja rakan kongsi Splunk mengalami sensasi yang tidak menyenangkan, tetapi juga pelanggan yang tiba-tiba mempunyai akses kepada akaun mereka terputus. Apabila, selepas beberapa hari, nafsu itu berkurangan sedikit (), Splunk berkata bahawa pelanggan dengan lesen aktif boleh menggunakan akaun mereka sehingga lesen mereka tamat tempoh, dan rakan kongsi boleh terus memberi perkhidmatan kepada mereka atas risiko mereka sendiri, tetapi tanpa bantuan daripada vendor.
Versi pengarang tentang pemergian Splunk dari Rusia, tetapi ada kemungkinan semuanya tidak begitu
Dalam bahagian ini kita akan mempunyai anti-wira, malah terdapat dua daripada mereka, kedua-duanya dari Splunk - Doug Merritt (CEO) dan Carrie Palin (CMO, Ketua Pegawai Pemasaran).
Syarikat awam Amerika mempunyai bahagian yang menarik di laman web mereka di mana mereka dikehendaki mendedahkan situasi perniagaan mereka kepada pelabur. Dari sana, anda boleh mengetahui perkara berikut: 19.02.2019/XNUMX/XNUMX, apabila Splunk (SPLK, NASDAQ) menerbitkan keluaran mengenai meninggalkan Rusia, ia adalah hari bekerja pertama Carrie Palin, CMO - dia baru sahaja diupah. Tetapi keputusan untuk meninggalkan Persekutuan Rusia mungkin dibuat sedikit lebih awal. Kemungkinan besar, terdapat perundingan dengannya, rundingan sebelum hari pertama bekerja rasmi dan pemotongan kos semasa meninggalkan Persekutuan Rusia adalah cadangannya untuk "idea pemasaran segar," seperti kebiasaan semasa wawancara dengan pengurus atasan.
Ketua Pegawai Eksekutif, Doug Merritt, mungkin telah meluluskan idea itu, dan CFO (ketua pegawai kewangan) Splunk ketika itu, yang sedang memuktamadkan tempoh perkhidmatannya pada masa itu dan meninggalkan syarikat itu, nampaknya tidak membantah (pada Mei 2019 mereka mengupah CFO baharu ).
Perkara pertama yang akan dilakukan oleh sesiapa yang melabur dalam pasaran Amerika ialah melihat bagaimana saham Splunk bertindak balas terhadap keluarnya mereka dari pasaran Rusia? Jawapannya tidak boleh, neutral (lihat carta). Penurunan seterusnya dalam saham sejak 1 Mac 2019 dikaitkan dengan Cisco - orang dalam dilemparkan bahawa mereka didakwa sama ada dijual kepada mereka atau tidak (dan tidak dijual sehingga hari ini).
Carta harian saham SPLK untuk musim bunga 2019. Sumber: Tradingview
Graf menunjukkan bahawa alasan yang dinyatakan secara rasmi untuk meninggalkan Persekutuan Rusia tentang "pengoptimuman untuk pelabur" bukanlah alasan 100%, tetapi sekurang-kurangnya sebahagiannya benar. Anda boleh memahami logik mereka - keluk pertumbuhan saham pada masa itu sangat mengagumkan (dan tidak ada merit dalam hal ini untuk pasaran Rusia - Fed yang menaikkan pasaran saham Amerika dengan mudah tunai). Pada masa yang sama, pada skala Splunk, perniagaan di Persekutuan Rusia hanya dapat dilihat melalui mikroskop (walaupun semua usaha rakan kongsi di Persekutuan Rusia), dan terdapat banyak kekecohan dan pada bila-bila masa anda boleh jatuh di bawah pengedaran sekatan (yang pada awal tahun 2019 merupakan risiko yang sangat nyata).
Contoh produk gantian selepas daun Splunk
Walaupun Splunk tidak mempunyai pesaing langsung dalam bentuk penyelesaian komersial dalam pasaran kami, pembangun Rusia membuat percubaan untuk mencipta analog yang sesuai dengan mereka berdasarkan projek sumber terbuka ELK. Ini dilakukan terutamanya dalam syarikat bersaiz sederhana yang tidak mampu membeli Splunk. Tetapi amalan itu tidak menjadi meluas, kerana produk yang ditulis sendiri disokong oleh keghairahan pekerja tertentu, dan selepas pemergian mereka, mereka ditinggalkan.
Terdapat versi komersial untuk ELK, tetapi di Persekutuan Rusia ia adalah dalam permintaan yang minimum dan sebahagian besarnya bersaing dengan perisian percuma.
ialah akronim untuk tiga projek sumber terbuka Elasticsearch, Logstash dan Kibana. Di sini Elasticsearch ialah carian dan analitik, Logstash sedang memproses data mesin daripada beberapa sumber secara serentak, dan Kibana ialah projek untuk mencipta alatan untuk menggambarkan hasil daripada Elasticsearch dan Logstash. Walaupun pada mulanya ELK tidak bertujuan untuk menganalisis data mesin, ia tidak lama lagi digunakan untuk memproses log bertanda masa.
Penulis tidak berjanji untuk bercakap tentang nasib semua syarikat IT di Persekutuan Rusia yang berkaitan dengan pelaksanaan Splunk, tetapi terdapat kisah indikatif bagaimana peristiwa 2019 mengubah perniagaan VolgaBlob, rakan kongsi Splunk.
Volgablob, seperti bekas rakan kongsi Splunk yang lain, mempunyai dua niche pasaran yang muncul selepas vendor itu pergi. Yang pertama adalah untuk terus memberi perkhidmatan kepada pelanggan yang mempunyai lesen sedia ada di platform Splunk (dan antaranya terdapat syarikat yang mempunyai lesen kekal), yang kedua adalah untuk memberi pelanggan yang ingin berhijrah ke platform lain alternatif berdasarkan produk sumber terbuka.
Seperti yang anda ketahui, sebarang krisis membawa bukan sahaja kerugian, tetapi juga peluang baru. VolgaBlob mendapati dirinya berada dalam situasi yang sangat sukar, kerana pelaksanaan dan penyesuaian kes penggunaan pada Splunk adalah sumber penting pesanan dan, secara semula jadi, pendapatan mereka. Daripada menutup perniagaan atau berpindah ke niche lain, mereka mengumpulkan semula pasukan, mengupah pembangun baharu dan mula memindahkan pembangunan aplikasi mereka daripada platform Splunk kepada ELK.
“Selama bertahun-tahun kehadiran Splunk dalam pasaran Rusia, kami telah mencipta set aplikasi proprietari kami sendiri untuk Splunk, yang kami panggil Smart Monitor. Ia mengandungi ciri yang paling popular di kalangan pelanggan Rusia. Apabila vendor tiba-tiba pergi, kami dibantu oleh pandangan jauh yang ditunjukkan pada masa itu dan keinginan untuk mempelbagaikan dalam hal memilih platform untuk bekerja dengan data mesin, "kata Alexander Skakunov.
Seolah-olah membalas kepada pemergian vendor "... Mungkin akan ada tukang yang akan membuat alternatif," VolgaBlob berjaya dengan cepat melaksanakan satu set alat analisis Monitor Pintar, yang sebelum ini dibangunkan untuk Splunk, tetapi kini pada platform ELK. Penyelesaian baru dipanggil . Ia tidak mempunyai ekosistem aplikasinya sendiri daripada pembangun bebas yang lain. Tetapi terdapat beberapa modul pengumpulan data dan analitik yang dipilih berdasarkan kes penggunaan daripada pelanggan sedia ada, i.e. dalam permintaan di pasaran Rusia.
Sumber Terbuka Smart Monitor telah dibentangkan pada persidangan itu buat kali pertama , diadakan pada 13 November 2019 di Moscow. Nama itu adalah keinginan untuk menawarkan produk gantian dan mendedahkan kad mengenai topik yang membimbangkan ratusan syarikat di Rusia yang sebelum ini menggunakan Splunk.
Penulis tidak menganggapnya betul untuk menyalin bahan dari persidangan di sini. Pakar yang bekerja dalam bidang analisis data mesin akan mempelajari butiran tentang produk yang menggantikan Splunk pada halaman VB-Trend 2019. Dan untuk orang lain, termasuk pengarang, kami hanya boleh gembira untuk pembangun Rusia.
Sumber: www.habr.com
