miércoles, 20 de julio de 2016

Segunda destilación: entendiendo Splunk

En la primera entrada de este Blog sólo comente en general acerca de lo que puedes hacer con Splunk, pero bien; aún quedan dudas acerca de qué es y cómo lo hace, en esta nueva entrada trataré de dar respuesta a estas incógnitas.

Cuando vas a probar un MEZCAL por primera vez, piensas que es una bebida más del maguey o que es la forma corriente del tequila, o  peor aún... que es un Tequila. Pero grande es tu sorpresa que cuando lo pruebas conoces detalles como: Tipo de Maguey: espadín, tobalá, cuishe, jabalí, coyote… de pechuga, gusano, lavanda, cedrón…Tiempo de añejamiento:  joven, reposado o añejo y grados de alcohol, es más hasta el tipo de vaso, copa o calihuey donde lo tomarás.

(nota: amigos de LATAM no sólo hay tequila les dejo este link de unos maestros mezcaleros: Nación Mezcal y conozcan más de esta bebida de los dioses)

Lo principal es conocer que quieres probar, que buscas y conocer tu alcance con la bebida.



Lo mismo pasa con los Datos y SPLUNK, ya que al conocer splunk te das cuenta que es una plataforma que permite, VER, ANALIZAR y ENTENDER tus datos, no sólo de un dispositivo o fuente, si no de varios, no importanto TIPO, VOLUMEN, VARIEDAD o VARIABILIDAD,  incluyendo LOGS, clickstream, sensores, tráfico de red, servidores WEB (físicos o virtuales), aplicaciones hechas en casa, aplicaciones comerciales, redes sociales, Sistemas Operativos, firewalls, Bases de Datos, Routers,servicios de Red y Mainframe.


Pero después de estas maravillas con que se cómo y como empiezo aquí te dejo unos tips que he utilizado con algunos clientes para implementaciones y POCs (Pruebas de Concepto) de SPLUNK

3 Etapas para implementar SPLUNK

Primero debes identificar las preguntas que quieres contestar, mi recomendación es echarte un clavado en la situación de tu área, de tu empresa, puedes empezar buscando problemáticas, objetivos de negocio o estratégicos, necesidades de cumplimiento, normativas, auditorías, mejoras, cosas que te han pedido pero que analizarlas; te pueden llevar tiempo pero sabes que los datos ahí están; por ejemplo:  
  • ¿Por qué el sistema ha fallado? 
  •  Esté incidente ya se volvió problema y no podemos encontrar la causa raíz  
  • ¿Por qué se ha visto disminuido el performance de mi sistema?
  • Nos van auditar y necesitan top ten de usuarios que acceden a aplicación y su ubicación (IP) 
  • El top ten de las descargas en nuestro sitio, en tiempo real. 
  • Necesitamos identificar vulnerabilidades 
  • Monitorear un servicio completo punta – punta
  • Objetivos de Seguridad, incrementar mi seguridad
  • Buscamos un SIEM
  • Disminuir cyber ataques
  • Identificar patrones de fraude
  • Monitorear al mismo tiempo muchas plataformas sin importar marcas
  • Monitorear performance y salud de un sistema/aplicativo/ elemento de configuración (CI)
Segundo: Con estas preguntas identificadas necesitamos IDENTIFICAR LAS FUENTES,  para empezar a contestarlas.


Con las fuentes Identificadas necesitamos transformar los datos en respuesta, viendo que efectivamente en estos datos maquina están nuestras respuestas y si esos datos sirven, si no buscar donde están. Si estos logs sirven ver cuales efectivamente nos dan lo que buscamos, Es como ir al campo y seleccionar el mejor Maguey para nuestro mezcal.

Tercero: Visualizar: generar Dashboards, alertas, reportes  y elementos visuales que permitan mostrar el resultado a las respuestas que buscas.


Ahora si splunkers mezcolatras iremos por una entrada en el blog de paso a paso instalar y hacer búsquedas en SPLUNK

Bajen Splunk y comiencen a utilizarlo y jugar con él. www.splunk.com

Gracias por leerme: les pido que cualquier comentario, bueno o malo lo dejen en este medio o me contacten por:
correo: splunkfanslatam@gmail.com
twitter:  @splunkFansLATAM 
Linkedin:   Splunk LATAM

a la/s No hay comentarios.:
Etiquetas: , , , , , , ,

viernes, 8 de julio de 2016

Vamos a Splunkear



Como les había comentado en mi primer entrada en este blog mi intención es fomentar el uso de SPLUNK en México y Latinoamérica; existen ya algunos partners en países como México, Colombia, Chile, Argentina y Brasil.

El día de hoy quiero comenzar escribiendo acerca de: qué es SPLUNK, cómo lo podemos interpretar y describir, para entender como nos ayudará en nuestras organizaciones.

 

  • ¿Es un SIEM (Security Information and Event Management)
  • ¿Una herramienta de Monitoreo de TI, monitoreo de operaciones o del negocio?
  • ¿Un recolector de Logs/Registros/datos máquina?
  • ¿ Un repositorio de datos máquina?
  • ¿Un colector y analizador de eventos?
  • ¿Un correlacionador de eventos?

Pues les podría decir que sí; todo esto y más; Splunk es una poderosa plataforma para analizar Datos Máquina (haré una entrada más adelante de este tema). Los datos máquina son emitidos en grandes volúmenes, pero la realidad es que raramente son usados efectivamente, muchos los hacen a un lado, no los utilizan y si lo hacen es de manera artesanal (a mano) con procesos y herramientas tradicionales lo cual  hace todo complicado,  lento, costoso y aburrido.

Los métodos tradicionales de gestión y monitoreo de las infraestructuras de TI están fuera de sintonía con el cambio constante que se está llevando a cabo en los sistemas y la tecnología en si. Estos sistemas son inflexibles, demasiado costosos y no están diseñados para la complejidad de los entornos el dia de hoy, como lo son: 
  • El volumen generado cada segundo
  • La variedad de los datos
  • La diversas fuentes de los cuales se generan
  • La complejidad de información (estructurada y no estructurada)
Diseñados para una sola función en TI, estos no funcionan con todas las tecnologías para ayudar a resolver problemas. Además, sus enfoques de monitoreo a menudo se basan en el filtrado y el resumen. Por lo general, cuando surgen los problemas, carecen de la capacidad para profundizar y ofrecer un análisis granular de datos de TI. 

Las dificultades para conseguir el acceso a los datos del sistema se suman al problema. Los equipos de desarrollo encargados de encontrar y corregir problemas requieren un acceso seguro a los datos del sistema. Lograr que obtengan un acceso de seguridad adecuado puede ser una tarea manual y demandar mucho tiempo.

Imagina esta situación: Un cliente se ha quejado de que no pudo hacer una compra a la 1:00 am el pasado sábado, es un cliente un poco especial y ha dejado una nota mala en Twitter. La incidencia se levantó y envío a varios equipos:  El DBA revisó y todo esta bien, los responsables del servidor WEB y de Aplicaciones dicen que ellos no fueron, la gente de infraesctrura y redes ve todo normal y hasta el resonsable de la aplicación de compras ve todo en OK... siendo así... ¿Cúal fue el problema? ¿Este existió ? ¿Error Capa 8 ó 9 :S del usuario/cliente/ monower?. En este momento no lo sabemos con certeza, lo único  real es que no hubo una venta y a negocio no le hace gracia ... pero solo una venta... Por que sólo hubo una queja?????

Analizar que ocurrió llevaría tiempo, que no tenemos  (time to market) y se debería de involucrar a mucha gente, necesitamos analizar lo que aconteció y lo que esta sucendiendo ahora mismo con una sola persona, sin afectar la operación y con todas la fuentes, aplicaciones  y servicios  de TI relacionados con la tienda en línea.

TODO ESTO EN MINUTOS Y CON RESULTADOS AL MOMENTO

AHI ES DONDE justo  ENTRA SPLUNK a nuestra vidas; vemos este Hipotetico-patetico ejemplo:
En este ejemplo feo, todos los sistemas, aplicaciones, CI, capas que conformen la tienda en línea generan un registro... un log  o bien datos máquina... recaban información valiosa de lo que está ocurriendo en ese preciso momento, como son los datos del: el usuario, la transacción, el producto, la fecha, la hora, el monto, la ip origen y demás datos valiosos (dependen de cada uno), etc.

Analizar estos logs sería lentisimo, primero recabarlos, luego segmentarlos, entenderlos para  analizarlos e identificar correlaciones de diversas fuentes.

Con Splunk nos ahorraremos ese esfuerzo y tiempo ya que colecta datos de cualquier fuente incluyendo LOGS, clickstream, sensores, tráfico de red, servidores WEB, aplicaciones hechas en casa, aplicaciones comerciales, redes sociales, servicios de red y Mainframe. Lo que permite que busques, monitores y analices esos datos descubriendo poderosas ideas para mejorar la seguridad, IT operations, aplication delivery, Internet de la cosas, proporcionando valiosa información para la toma de decisiones oportunas a través de la toda la organización
Hacer los datos de máquina accesibles, útiles y valiosos para todos.

Splunk convierte los datos máquina en información valiosa independientemente del negocio-fuente al que pertenezca. Es lo que llamamos inteligencia operacional.

La inteligencia operacional te proporciona una idea en tiempo real de lo que pasa en sus sistemas de TI e infraestructura tecnológica para que puedas tomar decisiones informadas.

Encontrar y corregir los problemas, siguiendo el rastro de un atacante, la presentación de informes de cumplimiento, análisis de uso del servicio y el  comportamiento  del cliente requiere una visión completa. Splunk Enterprise analiza los datos  máquina  para dotar  a los ingenieros de red, administradores de sistema administradores,  analistas de seguridad y cumplimiento, desarrolladores, personal  de las mesas de soporte y servicio y a usuario de negocio con nuevos niveles de visibilidad, análisis y comprensión que faciliten su operación diaria y la toma de decisiones en pocas palabras Splunk dota a  estos profesionales de Inteligencia Operativa.

Algunas ventajas de SPLUNK:
  • Solucionar problemas e identificar incidentes de seguridad en minutos
  •  Monitorear  la infraestructura de extremo a extremo para evitar la degradación del servicio o interrupciones.
  • Garantizar los SLA (Acuerdo de Nivel de Servicio) y mantener los KPI (indicador clave o medidor de desempeño) de TI como de Negocio.
  • Ganar inteligencia operativa con un entendimiento profundo de la experiencia del usuario a través de la visibilidad en tiempo real de las transacciones y otras métricas clave del negocio.
  • Obtener resultados inmediatos sin riesgo
  • Buscar de manera flexible como con un navegador WEB.
  • Buscar millones de eventos en segundos, localiza y analiza datos históricos en tiempo real
  • Generar dashboards y vistas enfocadas a resultados y perfiles de TI o de Negocio.
  • Integrar herramientas ITSM (IT Service Management, ITSM) para generar tickets en automático
  • Emitir alertas
  • Scripts para generar una acción y mitigar algún evento o umbral
  • Correlacionar diversas fuentes, múltiples eventos en un solo entorno de trabajo para identificar patrones de incidentes de seguridad o fraudes
  •  Prevenir incidentes de seguridad
  • Apoyar el análisis forense con eventos históricos 
Gracias por leerme: les pido que cualquier comentario, bueno o malo lo dejen en este medio o me contacten por:
correo: splunkfanslatam@gmail.com
twitter:  @splunkFansLATAM 
Linkedin:   Splunk LATAM
 
a la/s No hay comentarios.:
Etiquetas: , , , , , , ,
Suscribirse a: Entradas (Atom)

Componentes Básicos de una Arquitetura SPLUNK

Mediante el uso de un solo componente de software fácil de entender en sus configuraciones, Splunk Enterprise puede coexistir con la infrae...