Takmer pred rokom Splunk zmizol v Rusku. Tento článok je z veľkej časti recenziou. Je to o strojových dátach, o medzere na trhu ao príklade nahradenia dovozu, ku ktorému došlo bez hlasných sloganov – jednoducho preto, že to trh požadoval. Exkluzívne - autorova verzia dôvodu Splunkovho odchodu z Ruska, ale je možné, že všetko bolo úplne inak.
Veľa textu, 15 tisíc znakovČas čítania cca.
10 min.
Čo sú strojové dáta?
Hoci mnohí z nás počujú výraz “Big Data” oveľa častejšie, reč bude o strojových dátach, t.j. digitálne generované údaje zo širokej škály zdrojov. A nejde o zúženie predmetnej oblasti, ale o presnosť definície.
Strojové dáta sú akékoľvek dáta generované digitálnymi zariadeniami. Patria sem protokoly z podnikových serverov a sieťových zariadení, údaje zo senzorov priemyselných systémov a zariadení internetu vecí, správy do podnikového e-mailu, aktivita na webovom serveri, záznamy o prihlasovaní a odhlasovaní zamestnancov, finančné transakcie v digitálnej forme, hovory na podporné služby spoločnosti a oveľa, oveľa viac.
Je dôležité, aby medzi čisto technickými správami v strojových dátach bolo obrovské množstvo informácií odrážajúcich obchodné procesy organizácie - interakciu podniku s jeho protistranami a sprostredkovateľmi (banky, poisťovne a servisné spoločnosti, regulačné orgány). Štatistiky o aktivite zamestnancov v podnikovej sieti a pri fyzickom pohybe po podniku, pohybe tovaru po sklade, dopyte a trvaní služieb a pod. - to všetko sú aj strojové dáta.
Ďalej vzniká myšlienka: analyzovať strojové dáta s cieľom identifikovať úzke miesta v IT systémoch a podnikaní, optimalizovať kvalitu zákazníckych služieb, nájsť zraniteľné miesta v podnikovej informačnej bezpečnosti a stopy po činnostiach podvodníkov.
Výzvou pri používaní strojových dát je, že prichádzajú v neuveriteľnom množstve formátov.
Myšlienka je správna, ale ťažko realizovateľná. Výzva pri používaní strojových údajov spočíva v tom, že prichádzajú v závratnom množstve formátov a tradičné nástroje na monitorovanie a analýzu nie sú navrhnuté tak, aby zvládli rozmanitosť, rýchlosť, objem alebo variabilitu týchto údajov.
Začali sme systémami SIEM a obchodnou analytikou a skončili sme riešeniami Splunk
Keď sa asi pred 10 rokmi začalo so štúdiom použiteľnosti strojových dát, na trhu sa začali objavovať softvérové riešenia na ich spracovanie a analýzu. V snahe vytvoriť najlepšie nástroje vo svojej triede vývojári začali zužovať oblasť analýzy strojových údajov.
Takto vznikli systémy SIEM (Security Information and Event Management) a dosiahli vysokú úroveň zrelosti. Ide o softvérové produkty v oblasti informačnej bezpečnosti (IS). Monitorujú informačné systémy v reálnom čase, zbierajú a analyzujú strojové dáta súvisiace s informačnou bezpečnosťou. Rozsah systémov SIEM zahŕňa servery, sieťové zariadenia, senzory, desktopové a mobilné zariadenia, nástroje informačnej bezpečnosti, systémovú a aplikačnú infraštruktúru.
Ďalším odvetvím analýzy strojových dát sa stali systémy monitorovania stavu IT infraštruktúry. Treťou sú systémy business intelligence (BI, Business intelligence), ktoré analyzujú obchodné procesy na základe množstva údajov súvisiacich s obchodnou činnosťou podniku.
Dobré je, že v každej z uvedených oblastí analýzy strojových dát sa dosiahol významný pokrok a na trh boli uvedené hodnotné riešenia a produkty. Čo nie je také skvelé, je to, že integrácia heterogénnych systémov na monitorovanie IT infraštruktúry, zaznamenávanie a predchádzanie incidentom informačnej bezpečnosti a analyzovanie obchodných procesov sa ukázala ako pomerne zložitá záležitosť, niekedy pripomínajúca „skríženie ježka a hada“.
Keď tento problém rozpoznal trh, rôzni predajcovia nasmerovali úsilie svojich vývojárov na vytvorenie univerzálneho systému na analýzu strojových dát. To znamená systém, ktorý by jediný vedel odpovedať na otázku CIO – „Prečo mám také nerovnomerné zaťaženie servera“, aj na otázku generálneho riaditeľa – „Ktoré z podnikových obchodných procesov nás vedú k zisku a ktoré nás vedú k bankrot.”
Vo všeobecnosti sa trh zhoduje v tom, že najúspešnejšie univerzálne riešenie na analýzu strojových dát ponúkla americká spoločnosť Splunk.
Tak sa stalo, že najúspešnejšie univerzálne riešenie na analýzu strojových dát ponúkla americká spoločnosť Splunk. Napriek tomu, že Splunk má konkurentov ako IBM, BMC Software, Microsoft, Quest Software, ako aj možnosti implementácie analytiky na open source ELK stack. Boli to však riešenia od spoločnosti Splunk, ktoré sa stali lídrami na trhu. — produkt s najširšou funkčnosťou sa stal de facto priemyselným štandardom pre komplexné systémy na analýzu strojových dát pre veľké podniky.
Trh akceptoval produkty Splunk predovšetkým pre ich vynikajúcu kombináciu jednoduchej inštalácie, flexibility konfigurácie a množstva analytických nástrojov. Splunk má svoj vlastný ekosystém tzv . Tu vývojári a klienti, ktorí sú súčasťou komunity Splunk, uverejňujú rôzne doplnky, technologické doplnky a aplikácie, ktoré riešia rôzne problémy. Môžete si tam napríklad stiahnuť aplikácie, z ktorých jedna zbiera logy zo zariadení Cisco, druhá zo sieťových zariadení od iného výrobcu atď. Táto interakcia je prínosom pre vývojárov aj klientov.
Celkový pohľad na obrazovku Splunkbase. Zdroj: Splunk
Detail príkladov doplnkov a aplikácií v Splunkbase. Počet stiahnutí je uvedený ako metrika popularity. Zdroj: Splunk
Ak sa ponoríme trochu hlbšie do ekosystému Splunkbase, môžeme si vysvetliť rozdiely – aplikácia sa od doplnku líši tým, že aplikácia má grafické rozhranie. Sú to vizuálne panely, dashboardy (ciferníky), formuláre, diagramy, ktoré vám umožňujú vidieť analytiku problému adresovaného systému v grafickom rozhraní. Používateľ môže vytvárať vyhľadávania a analýzy založené na rôznych parametroch, pričom môže ísť čo najhlbšie do časového úseku udalostí, ktoré sa vyskytli, aby identifikoval príčiny toho, čo sa stalo.
História Splunk v Rusku je jasná, ale krátkodobá
Funkčne bohatý produkt ako Splunk nemohol uniknúť pozornosti CIO veľkých ruských spoločností. Koniec koncov, čím je podnik väčší, tým je ťažšie ho riadiť a identifikovať faktory ovplyvňujúce efektivitu podnikania, stabilitu IT infraštruktúry a nástroje informačnej bezpečnosti.
Prehľadná prezentácia riešenia Splunk Enterprise (). Zdroj: VolgaBlob
Splunk prišiel do Ruska na prelome rokov 2013 a začal budovať partnerskú sieť podľa klasickej schémy - distribútor licencií (RRC) a implementačných partnerov (VolgaBlob, TS Solution, Talmer). Vzhľadom na to, že náklady na licencie Splunk sú pomerne vysoké a predajca sa zameriaval na klientov z veľkých podnikov (a všetci sú proti nim), počet partnerov bol malý.
VolgaBlob sa stal jedným z prvých partnerov, ktorí začali pracovať s riešeniami Splunk. Predchádzajúcich 10 rokov skúseností s vývojom, prispôsobením a implementáciou nástrojov informačnej bezpečnosti bolo veľmi užitočných.
„Boli sme celkom vyspelým hráčom na trhu kybernetickej bezpečnosti, ale Splunk sa pre nás stal skutočným objavom (!) a novou vzrušujúcou perspektívou. Začali sme rozvíjať naše odborné znalosti v oblasti analýzy podnikových procesov, vrátane rozhrania s informačnou bezpečnosťou, budovať súbor našich technických konektorov a aplikácií v ekosystéme Splunk a ponúkať to všetko v rámci špecifických kompletných používateľských prípadov pre federálne spoločnosti na úrovni,“ zdieľa svoje dojmy , generálny riaditeľ spoločnosti VolgaBlob.
Do roku 2018, v ktorom bol v Rusku dokončený najväčší počet projektov založených na Splunk Enterprise, už medzi klientmi využívajúcimi Splunk boli značky ako Rosneft a SUEK, Sberbank a Tinkoff Bank, MTS, Moscow Exchange a Megafon. Vrcholom podujatí bola konferencia Splunk Discovery Day Moscow 0, pôsobivá počtom účastníkov a úrovňou prezentácií, 2018. októbra 2018. Plná sála a CIO z mnohých spoločností. Kto z účastníkov si vtedy mohol predstaviť, že len o 3 mesiace neskôr budú na trhu úplne iné nálady.
Fotografie z konferencie Splunk Discovery Day Moskva 2018 Zdroj:
Dňa 19. februára 2019 spoločnosť Splunk oznámila núdzové stiahnutie z ruského trhu, čo je pre našu IT komunitu neočakávané. Partneri a klienti, ktorí zostali zmätení, mohli čítať len nezrozumiteľné . V ňom bol odchod z Ruska nejasne vysvetlený „investičnými dôvodmi“. Všetky pokusy partnerov získať zrozumiteľnejšie vysvetlenia boli márne.
Nepríjemné pocity zažívali nielen Splunk partneri, ale aj klienti, ktorí mali zrazu odrezaný prístup k svojim účtom. Keď po pár dňoch vášne trochu opadli (), Splunk povedal, že zákazníci s aktívnymi licenciami môžu používať svoje účty, kým im nevyprší platnosť licencií, a partneri ich môžu naďalej obsluhovať na vlastné riziko, ale bez pomoci zo strany predajcu.
Verzia autora o odchode Splunka z Ruska, ale je možné, že všetko tak nebolo
V tejto sekcii budeme mať antihrdinu, sú dokonca dvaja, obaja od Splunka - Doug Merritt (CEO) a Carrie Palin (CMO, Chief Marketing Officer).
Verejné americké spoločnosti majú skvelú časť svojej webovej stránky, kde sa od nich vyžaduje, aby investorom zverejňovali svoju obchodnú situáciu. Odtiaľ sa môžete dozvedieť nasledovné: 19.02.2019, keď Splunk (SPLK, NASDAQ) zverejnila správu o odchode z Ruska, bol to prvý pracovný deň Carrie Palin, CMO – práve bola zamestnaná. Ale rozhodnutie opustiť Ruskú federáciu padlo zrejme o niečo skôr. S najväčšou pravdepodobnosťou s ňou prebehli konzultácie, rokovania ešte pred oficiálnym prvým pracovným dňom a zníženie nákladov pri odchode z Ruskej federácie bol jej návrh na „čerstvé marketingové nápady“, ako je zvykom na pohovoroch s vrcholovými manažérmi.
Generálny riaditeľ Doug Merritt možno tento nápad schválil a vtedajší finančný riaditeľ (finančný riaditeľ) Splunka, ktorý v tom čase finišoval vo funkcii a odchádzal zo spoločnosti, zjavne nemal námietky (v máji 2019 najali nového finančného riaditeľa ).
Každý, kto investuje na americkom trhu, prvá vec, ktorú urobí, je pozrieť sa na to, ako akcie Splunk reagovali na ich stiahnutie z ruského trhu? Odpoveď nie je nijaká, neutrálna (pozri tabuľku). Následný pokles akcií od 1 je spojený so spoločnosťou Cisco - bol tam hodený insider, že im boli údajne buď predané alebo nie (a dodnes sa nepredali).
Denný graf akcií SPLK na jar 2019. Zdroj: Tradingview
Z grafu vyplýva, že oficiálne uvedený dôvod odchodu z Ruskej federácie o „optimalizácii pre investorov“ nebol 100% ospravedlnením, ale aspoň čiastočne pravdivým. Môžete pochopiť ich logiku - krivka rastu akcií v tom čase bola pôsobivá (a nemá to žiadnu zásluhu pre ruský trh - bol to Fed, ktorý napumpoval americký akciový trh likviditou). Zároveň na úrovni Splunk bolo podnikanie v Ruskej federácii viditeľné iba mikroskopom (napriek všetkému úsiliu partnerov v Ruskej federácii) a je tu veľa rozruchu a kedykoľvek môžete spadnúť pod rozdelenie sankcií (čo bolo na začiatku roka 2019 veľmi reálne riziko).
Príklad náhradného produktu po Splunk leaves
Hoci Splunk nemal na našom trhu priameho konkurenta vo forme komerčného riešenia, ruskí vývojári sa pokúsili vytvoriť analóg, ktorý by im vyhovoval, na základe open source projektov ELK. Toto sa dialo najmä v stredne veľkých spoločnostiach, ktoré si nemohli dovoliť kúpiť Splunk. Ale prax sa nerozšírila, pretože vlastnoručne písané produkty sú podporované nadšením konkrétnych zamestnancov a po ich odchode sú opustené.
Existuje komerčná verzia pre ELK, ale v Ruskej federácii je minimálny dopyt a vo veľkej miere konkuruje slobodnému softvéru.
je skratka pre tri open source projekty Elasticsearch, Logstash a Kibana. Elasticsearch je tu vyhľadávanie a analytika, Logstash spracováva strojové dáta z viacerých zdrojov súčasne a Kibana je projekt na vytváranie nástrojov na vizualizáciu výsledkov z Elasticsearch a Logstash. Hoci ELK nebol pôvodne zameraný na analýzu strojových údajov, čoskoro sa začal používať na spracovanie protokolov s časovou pečiatkou.
Autor sa nezaväzuje hovoriť o osude všetkých IT spoločností v Ruskej federácii spojených s implementáciou Splunk, ale existuje náznakový príbeh o tom, ako udalosti roku 2019 zmenili podnikanie spoločnosti VolgaBlob, partnera spoločnosti Splunk.
Volgablob, podobne ako ostatní bývalí partneri Splunk, po odchode predajcu objavili dve medzery na trhu. Prvým je naďalej slúžiť zákazníkom s existujúcimi licenciami na platforme Splunk (a medzi nimi sú aj spoločnosti s trvalými licenciami), druhým poskytnúť zákazníkom, ktorí chcú migrovať na inú platformu, alternatívu založenú na open source produkte.
Ako viete, každá kríza prináša nielen straty, ale aj nové príležitosti. VolgaBlob sa ocitol vo veľmi ťažkej situácii, keďže implementácia a prispôsobenie prípadov použitia na Splunk bola ich významným zdrojom zákaziek a, samozrejme, aj príjmov. Namiesto zatvorenia podnikania alebo presunu do iných výklenkov preskupili tím, najali nových vývojárov a začali presúvať vývoj aplikácií z platformy Splunk na ELK.
„V priebehu rokov prítomnosti Splunk na ruskom trhu sme pre Splunk vytvorili vlastnú sadu aplikácií, ktoré sme nazvali Smart Monitor. Obsahuje najobľúbenejšie funkcie medzi ruskými klientmi. Keď predajca náhle odišiel, pomohla nám vtedajšia predvídavosť a chuť diverzifikovať v otázkach výberu platformy na prácu so strojovými dátami,“ hovorí Alexander Skakunov.
Akoby reagoval k odchodu predajcu „... Možno sa nájdu remeselníci, ktorí vyrobia alternatívu,“ VolgaBlob dokázal rýchlo implementovať sadu analytických nástrojov Smart Monitor, ktoré boli predtým vyvinuté pre Splunk, ale teraz na platforme ELK. Nové riešenie bolo tzv . Nemá vlastný ekosystém aplikácií od iných nezávislých vývojárov. Existuje však pomerne veľa modulov zberu údajov a analýzy vybraných na základe prípadov použitia od existujúcich klientov, t.j. dopyt na ruskom trhu.
Smart Monitor Open Source bol na konferencii predstavený po prvý raz , ktorá sa konala 13. novembra 2019 v Moskve. Názov je túžbou ponúknuť náhradný produkt a odhaliť karty s témou, ktorá znepokojuje stovky spoločností v Rusku, ktoré predtým používali Splunk.
Kopírovať sem materiály z konferencie autor nepovažuje za správne. Špecialisti pracujúci v oblasti analýzy strojových dát sa podrobnosti o produkte, ktorý nahrádza Splunk, dozvedia na stránkach VB-Trend 2019. A za všetkých ostatných, vrátane autora, môžeme byť za ruských vývojárov jednoducho radi.
Zdroj: hab.com
