viernes, 8 de julio de 2016

Vamos a Splunkear



Como les había comentado en mi primer entrada en este blog mi intención es fomentar el uso de SPLUNK en México y Latinoamérica; existen ya algunos partners en países como México, Colombia, Chile, Argentina y Brasil.

El día de hoy quiero comenzar escribiendo acerca de: qué es SPLUNK, cómo lo podemos interpretar y describir, para entender como nos ayudará en nuestras organizaciones.

 

  • ¿Es un SIEM (Security Information and Event Management)
  • ¿Una herramienta de Monitoreo de TI, monitoreo de operaciones o del negocio?
  • ¿Un recolector de Logs/Registros/datos máquina?
  • ¿ Un repositorio de datos máquina?
  • ¿Un colector y analizador de eventos?
  • ¿Un correlacionador de eventos?

Pues les podría decir que sí; todo esto y más; Splunk es una poderosa plataforma para analizar Datos Máquina (haré una entrada más adelante de este tema). Los datos máquina son emitidos en grandes volúmenes, pero la realidad es que raramente son usados efectivamente, muchos los hacen a un lado, no los utilizan y si lo hacen es de manera artesanal (a mano) con procesos y herramientas tradicionales lo cual  hace todo complicado,  lento, costoso y aburrido.

Los métodos tradicionales de gestión y monitoreo de las infraestructuras de TI están fuera de sintonía con el cambio constante que se está llevando a cabo en los sistemas y la tecnología en si. Estos sistemas son inflexibles, demasiado costosos y no están diseñados para la complejidad de los entornos el dia de hoy, como lo son: 
  • El volumen generado cada segundo
  • La variedad de los datos
  • La diversas fuentes de los cuales se generan
  • La complejidad de información (estructurada y no estructurada)
Diseñados para una sola función en TI, estos no funcionan con todas las tecnologías para ayudar a resolver problemas. Además, sus enfoques de monitoreo a menudo se basan en el filtrado y el resumen. Por lo general, cuando surgen los problemas, carecen de la capacidad para profundizar y ofrecer un análisis granular de datos de TI. 

Las dificultades para conseguir el acceso a los datos del sistema se suman al problema. Los equipos de desarrollo encargados de encontrar y corregir problemas requieren un acceso seguro a los datos del sistema. Lograr que obtengan un acceso de seguridad adecuado puede ser una tarea manual y demandar mucho tiempo.

Imagina esta situación: Un cliente se ha quejado de que no pudo hacer una compra a la 1:00 am el pasado sábado, es un cliente un poco especial y ha dejado una nota mala en Twitter. La incidencia se levantó y envío a varios equipos:  El DBA revisó y todo esta bien, los responsables del servidor WEB y de Aplicaciones dicen que ellos no fueron, la gente de infraesctrura y redes ve todo normal y hasta el resonsable de la aplicación de compras ve todo en OK... siendo así... ¿Cúal fue el problema? ¿Este existió ? ¿Error Capa 8 ó 9 :S del usuario/cliente/ monower?. En este momento no lo sabemos con certeza, lo único  real es que no hubo una venta y a negocio no le hace gracia ... pero solo una venta... Por que sólo hubo una queja?????

Analizar que ocurrió llevaría tiempo, que no tenemos  (time to market) y se debería de involucrar a mucha gente, necesitamos analizar lo que aconteció y lo que esta sucendiendo ahora mismo con una sola persona, sin afectar la operación y con todas la fuentes, aplicaciones  y servicios  de TI relacionados con la tienda en línea.

TODO ESTO EN MINUTOS Y CON RESULTADOS AL MOMENTO

AHI ES DONDE justo  ENTRA SPLUNK a nuestra vidas; vemos este Hipotetico-patetico ejemplo:
En este ejemplo feo, todos los sistemas, aplicaciones, CI, capas que conformen la tienda en línea generan un registro... un log  o bien datos máquina... recaban información valiosa de lo que está ocurriendo en ese preciso momento, como son los datos del: el usuario, la transacción, el producto, la fecha, la hora, el monto, la ip origen y demás datos valiosos (dependen de cada uno), etc.

Analizar estos logs sería lentisimo, primero recabarlos, luego segmentarlos, entenderlos para  analizarlos e identificar correlaciones de diversas fuentes.

Con Splunk nos ahorraremos ese esfuerzo y tiempo ya que colecta datos de cualquier fuente incluyendo LOGS, clickstream, sensores, tráfico de red, servidores WEB, aplicaciones hechas en casa, aplicaciones comerciales, redes sociales, servicios de red y Mainframe. Lo que permite que busques, monitores y analices esos datos descubriendo poderosas ideas para mejorar la seguridad, IT operations, aplication delivery, Internet de la cosas, proporcionando valiosa información para la toma de decisiones oportunas a través de la toda la organización
Hacer los datos de máquina accesibles, útiles y valiosos para todos.

Splunk convierte los datos máquina en información valiosa independientemente del negocio-fuente al que pertenezca. Es lo que llamamos inteligencia operacional.

La inteligencia operacional te proporciona una idea en tiempo real de lo que pasa en sus sistemas de TI e infraestructura tecnológica para que puedas tomar decisiones informadas.

Encontrar y corregir los problemas, siguiendo el rastro de un atacante, la presentación de informes de cumplimiento, análisis de uso del servicio y el  comportamiento  del cliente requiere una visión completa. Splunk Enterprise analiza los datos  máquina  para dotar  a los ingenieros de red, administradores de sistema administradores,  analistas de seguridad y cumplimiento, desarrolladores, personal  de las mesas de soporte y servicio y a usuario de negocio con nuevos niveles de visibilidad, análisis y comprensión que faciliten su operación diaria y la toma de decisiones en pocas palabras Splunk dota a  estos profesionales de Inteligencia Operativa.

Algunas ventajas de SPLUNK:
  • Solucionar problemas e identificar incidentes de seguridad en minutos
  •  Monitorear  la infraestructura de extremo a extremo para evitar la degradación del servicio o interrupciones.
  • Garantizar los SLA (Acuerdo de Nivel de Servicio) y mantener los KPI (indicador clave o medidor de desempeño) de TI como de Negocio.
  • Ganar inteligencia operativa con un entendimiento profundo de la experiencia del usuario a través de la visibilidad en tiempo real de las transacciones y otras métricas clave del negocio.
  • Obtener resultados inmediatos sin riesgo
  • Buscar de manera flexible como con un navegador WEB.
  • Buscar millones de eventos en segundos, localiza y analiza datos históricos en tiempo real
  • Generar dashboards y vistas enfocadas a resultados y perfiles de TI o de Negocio.
  • Integrar herramientas ITSM (IT Service Management, ITSM) para generar tickets en automático
  • Emitir alertas
  • Scripts para generar una acción y mitigar algún evento o umbral
  • Correlacionar diversas fuentes, múltiples eventos en un solo entorno de trabajo para identificar patrones de incidentes de seguridad o fraudes
  •  Prevenir incidentes de seguridad
  • Apoyar el análisis forense con eventos históricos 
Gracias por leerme: les pido que cualquier comentario, bueno o malo lo dejen en este medio o me contacten por:
correo: splunkfanslatam@gmail.com
twitter:  @splunkFansLATAM 
Linkedin:   Splunk LATAM
 
a la/s
Etiquetas: , , , , , , ,

No hay comentarios.:

Publicar un comentario

Suscribirse a: Comentarios de la entrada (Atom)

Componentes Básicos de una Arquitetura SPLUNK

Mediante el uso de un solo componente de software fácil de entender en sus configuraciones, Splunk Enterprise puede coexistir con la infrae...