Esta mañana he podido asistir al primer evento oficial de Splunk en España, de la mano de OpenS3 en Barcelona y como me ha parecido interesante algunas de las cosas que se han comentado, os las dejo.
Splunk comenzó en 2004 en San Francisco y tiene más de 400 empleados en 8 países. Las principales oficinas están en Hong Kong y Londres. Tienen más de 3500 clientes de 70 países, de los cuales 48 están en el Fortune 100.
Hay muchos casos en los que Splunk está analizando más de 10 TB diarios de información. Algunas empresas como Facebook, eBay, Linkedin, Sony, BBC, Symantec y otros están utilizando esta herramienta. Con sistemas similares a MapReduce no hay limitación en cuanto a la escalabilidad de la plataforma. Cisco además de ser un cliente es un partner en cuanto en algunos casos integran en sus sistemas Splunk. Según Cisco, Splunk es el único software capaz de interpretar cualquiera de los logs que se generan en las máquinas de Cisco, y no como en otros casos que tienen muchos pequeños productos que leen una parte de la información.
Splunk además es una gran herramienta de seguridad, ya que es pro activa en analizar comportamiento extraños en los logs. Por ejemplo, si estás recibiendo un ataque desde una serie de direcciones rusas, sería capaz de detectar qué máquina o qué servicio es el que está enviando o recibiendo esta información. A parte de logs, es capaz de recibir información de bases de datos, GPS, registros de sistema, cualquier elemento que se pueda concebir como «datos IT». Esta información, además de ser útil para los técnicos, puede ser útil para marketing o seguridad.
Otra de las funcionalidades interesantes de Splunk es la posibilidad de ser utilizado como sistema de Web Analytics, aunque es una pequeña parte del sistema, es capaz de analizar cualquiera de los elementos: páginas, vídeos, imágenes…
Splunk se divide en 3 partes: Collectors, Indexers y Search Heads (que es la web donde se ve la información). Se puede escalar horizontalmente, tienen alta disponibilidad y podría recoger unos 25 GB diarios. Cada máquina podría ser un quad-core con 8GB de RAM. El despliegue es bastante rápido y es capaz de usarse independientemente de cada lugar. Los Indexer pueden estar geolocalizados y el Search Head cercano a donde los usuarios lo van a utilizar.
El sistema es capaz de interpretar expresiones regulares para los distintos elementos que pueden encontrarse en los logs, de forma que es capaz de interpretar cualquier tipo de fichero. Es capaz de monitorizar el sistema de ficheros, registros del sistema operativo, control de hypervisores de máquinas virtuales, aplicaciones web, tablas o esquemas en bases de datos, configuraciones de red…
Splunk aparece como base como un buscador al estilo de Google en el que puedes realizar cualquier tipo de datos (buscar una IP, una dirección URL…) además de permitir generar informes personalizados en base a la información recogida. Además se puede hacer seguimiento de transacciones. Un ejemplo podría ser que un sitio web genere un identificador de una venta, se cruzan datos con que se haya enviado un correo avisando de la venta al usuario, y finalmente que el paquete (logística) se haya enviado.
Splunk tiene un sistema de geolocalización de direcciones IP, de forma que se podría analizar de una forma muy sencilla y mostrar o geolocalizar las visitas con mucho detalle (dependiendo incluso de qué sea, con datos de coordenadas GPS).
Existe un repositorio de paneles ya creados que analizan directamente los logs o datos. Muchas de estas extensiones están realizados directamente por la gente de Splunk aunque hay una gran comunidad detrás generando estos paneles.
Deja una respuesta