Prve izkušnje po prehodu na Splunk> Enterprise 6.3

Kmalu po izdaji Splunka 6.3 je sledil prvi test namestitve nove različice v naše produkcijsko okolje. Po slabih dveh tednih uporabe se je nabralo že nekaj izkušenj, ki jih bi rad predstavil v tej objavi.

Kaj prinaša Splunk 6.3


Izboljšave platforme
search_parallelization
Po skoraj letu dni od izida različice 6.2 je svet ugledala verzija 6.3. Napovedi prihajajoče različice so obljubljale veliko pomembnih izboljšav, seznam je tako dolg, da bi lahko verzijo "dvignili" kar na 7.0. Najbolj navdušujoča je izboljšana utilizacija strojnih virov. Splunk obljublja 2x hitrejše čase izvajanja paketnih (batch) iskanj v distribuiranih okoljih. Hkrati pa je optimiziran tudi zajem podatkov, sedaj je prepustnost sistema dvignjena kar na 300 GB dnevno. To dosežejo z boljšo izrabo procesorskih jeder, kar pomeni nižje stroške lastništva večjih Splunk okolij. Naslednja pomembna izboljšava je pametno razporejanje iskanj. Vsakemu iskanju lahko nastavimo časovno okno, znotraj katerega se izvede. Funkcionalnost je uporabna za iskalne glave, kjer se izvaja veliko sočasnih iskanj. Iskanja se tako lahko izvajajo v času, ko je obremenitev strežnika nižja. Seznam izboljšav platforme je seveda mnogo daljši, tako lahko omenimo varnostne mehanizme, ki omogočajo verifikacijo integritete podatkov, izboljšane funkcionalnosti gruč iskalnih glav in indeskerjev, HTTP zbiralnik podatkov (JSON endpoint) in Single Sign-ON s pomočjo SAML 2.0. Izboljšave za upravljanje in administracijo
mobile_access
Administratorje bo razveselila funkcionalnost "Sourcetype manager", ki zmanjšuje potrebo po urejanju props.conf datotek. Te lahko sedaj urejamo preko grafičnega vmesnika brez potrebe po ponovnih zagonih Splunka ob spremembah. Izboljšan je vmesnik za defiriranje polj znotraj virov podatkov, predvsem na področju datotek z glavami. Navdušeni uporabniki tablic in pametnih telefonov pa bodo navdušeni nad mobilnim dostopom do Splunka. Iz Apple App Store ali Google Play Store si bodo prenesli Splunk Mobile App. Aplikacija omogoča prilagojen prikaz preglednih plošč in obveščanje o incidentih preko mobilne naprave. Funkcionalnosti za končne uporabnike Končni uporabniki pa bodo zagotovo najbolj veseli novih vizualizacij. Izdelovalci preglednih plošč lahko sedaj brez ročnega urejanja konfiguracijskih datotek pripravijo kazalce, ki grafično prikazujejo trende numeričnih podatkov. Seksi puščice gor/dol torej. Obogatene so tudi knjižnice za geografsko predstavitev podatkov po območjih. Doslej smo se za ugotavljanje anomalij v podatkih posluževali ukaza "predict". V novi različici smo pridobili ukaz, ki omogoča detekcijo anomalij s histogramskim pristopom. Ta jasno nakazuje smer razvoja Splunka proti platformi, ki bo vsebovala vse več elementov napredne analitike.
new_single_value

geospatial_visualization

anomaly_detection

charting_improvements
 

In kako se Splunk> Enterprise 6.3 obnese v praksi?


Hitrost Torej dovolj PRa o novi različici, preidimo k izkušnjam. 6.3 je res fajerski! :) Nadgradnjo priporočam v petek zvečer, saj se vam bodo takoj po nadgradnji začeli v celoti ponovno izračunavati pospešeni podatkovni modeli (data model acceleration). Spremenjena je namreč arhitektura teh modelov, ki so sedaj na indekserjih - zagotovo bolj logično, kot doslej, ko jih je imela vsaka iskala glava zase. V času preračunavanja modelov procesor premleva podatke s 100% utilizacijo - super, torej so procesorska jedra res bolje izrabljena. Med tem je Splunkov grafični vmesnik nekoliko slabše odziven, a naj nas ne zagrabi panika. Ko so modeli preračunani, se stvari res pričnejo odvijati hitreje, kot smo vajeni. Bonbončki Uspelo se mi je poigrati tudi z novimi vizualizacijami in nadušen sem nad novimi kazalci - doslej sem za podoben prikaz uporabljal aplikacijo "SA-Utils" iz Enterprise Securityja, kar je bila nekoliko zapletena procedura. Sedaj lahko boljši rezultat dosežemo z manj dela. Namestil in konfiguriral sem tudi Mobile Access strežnik, ki preko DMZ omogoča dostop do Splunka iz mobilne aplikacije. Slednja me ni ravno prepričala, saj je precej počasna, vendar sumim, da ima tukaj prste vmes moj počasno-pametni telefon. Nekajkrat sem se spomnil uporabiti urejevalnik "sourcetype"-ov in moram reči, da res prihrani nekaj minut, kolikor traja ponovni zagon Splunk servisa. Ali bi priporočil nadgradnjo? Pred nadgradnjo na novo verzijo vedno preberem Known issues. Z napako, opisano v defektu SPL-107200 se še nisem srečal, verjamem pa, da bo različica 6.3.1 to napako odpravila. Tisti, ki bi radi preizkusili nove funkcionalnosti in izboljšali performanse ste primerni kandidati za nadgradnjo. Drugim pa predlagam, da počakate na različico 6.3.1, ki bo imela odpravljene glavne pomanjkljivosti te verzije.