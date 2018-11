Splunk is waarschijnlijk niet overdreven bekend in de IT-markt als geheel. Toch is het geen kleine jongen, met een verwachte omzet van 1,6 miljard dollar voor het huidige jaar, ten opzichte van 1,3 miljard in het voorgaande. Het feit dat er zo'n 8500 mensen aanwezig waren bij .conf18, geeft daarnaast ook aan dat het bedrijf en de producten en diensten die het levert leven binnen de doelgroep. Ter vergelijking, vorig jaar waren er nog zo'n 4000 mensen minder. Zeggen dat Splunk in de lift zit, is dus zeker geen understatement.

Log searches

We spreken met Matthias Maier en Stephane Estevez van Splunk, beide EMEA Director Product Marketing, de eerste voor Security, de tweede voor IT Operations, waarbij we uiteraard allereerst benieuwd zijn naar wat de reden is geweest om met het bedrijf te starten.

Splunk is in 2003 opgericht door enkele mensen die elkaar kenden vanuit de Yahoo-datacenters. Ze wilden graag gecentraliseerde log-searches. Daar is het dus allemaal begonnen. Allereerst op het gebied IT operations, na enkele jaren kwam ook het SIEM-verhaal op, waarover verderop meer.

Dat Splunk zijn oorsprong vond in de datacenters van Yahoo, is op zich best boeiend als een terzijde. Het geeft aan dat Yahoo ooit een broeinest van interessante ontwikkelingen was, ook al heeft het die naam inmiddels niet meer. Zo is Hortonworks ook het resultaat van een verzelfstandiging (in 2011) van het Hadoop-project binnen Yahoo.

Maar goed, terug naar Splunk. Het probleem waar de oprichters een oplossing voor wilden hebben, is dat het op dat moment niet mogelijk was om standaard databases te bevragen om te achterhalen of alles naar behoren functioneert. De reden hiervoor is dat data die worden gegenereerd door machines doorgaans ongestructureerd zijn. Daar kun je wel vragen op afvuren, maar je zal dan nooit zinvolle antwoorden krijgen. Daarvoor heb je software nodig, die alles structureert alvorens er vragen gesteld kunnen worden. Dat is wat Splunk in de basis doet.

De missie van het bedrijf is volgens Maier en Estevez dan ook doodeenvoudig te formuleren: make machine data valuable. Alleen dan kun je als bedrijf het verschil maken.

Rechtstreeks van de bron

Splunk haalt de data daar op waar deze wordt gegenereerd, bij de bron dus, de machines. Dit kunnen endpoints zijn zoals laptops, maar ook servers, IoT-apparatuur en ga zo maar door. Splunk zit overal tussen, om de data op te halen. Ook als er sprake is van silo's, die je eigenlijk in nagenoeg iedere organisatie en in ieder datacenter tegenkomt. Die silo's kunnen niet met elkaar praten, maar dat is ook helemaal niet nodig om het mogelijk te maken voor Splunk om de data eruit te trekken en centraal te verzamelen.

Ook legacy is geen probleem voor Splunk, volgens de heren Maier en Estevez. Ook als je als onderneming bijvoorbeeld nog zeer oude SCADA-systemen hebt draaien, kan Splunk met de logs die daar worden gegenereerd overweg. Het enige wat Splunk feitelijk nodig heeft, is wat tekst en een tijdstempel. Meer is het niet.

In de basis bestaat Splunk uit drie componenten. Met de forwarder worden data naar de plaats van bestemming gepusht. Dat is de indexer, die data opslaat, indexeert en waar wordt gereageerd op zoekopdrachten. Tot slot is er de search head, die fungeert als het front-end.

Let wel, dit houdt in dat Splunk van zichzelf niets kan aanvangen met binaire data. Dat is immers geen tekst. Denk hierbij aan PDF's, bitmaps en dergelijke. Om ook daarmee overweg te kunnen, moet er een vertaling naar tekst gemaakt worden, alvorens het aan Splunk wordt gevoerd.

Van IT Operations naar SIEM

Splunk legde zich in het begin toe op het verzamelen van data voor IT Operations-doeleinden. Zo kun je in de gaten houden of alles goed gaat in de organisatie op dit vlak. Draait alles in het datacenter naar behoren bijvoorbeeld? Is dat niet het geval, dan heb je snel inzichtelijk waar het probleem zit, omdat je alle data continu binnenhaalt. Het resultaat is dan minder downtime en een hogere beschikbaarheid. Ook processen kunnen worden geoptimaliseerd en je kunt zelfs nieuwe zakelijke mogelijkheden herleiden uit de data die je te zien krijgt.

Na verloop van tijd had men bij Splunk de ingeving dat IT Operations niet de enige component is waarvoor data op deze manier in te zetten zijn. Ook voor de security van je IT-omgeving kan dit gebruikt worden. Vandaar dat Splunk ook SIEM al een hele tijd geleden aan het portfolio heeft toegevoegd. Hiermee hou je realtime, op basis van continue monitoring en het verzamelen van data, in de gaten of er problemen zijn met de security. Daarnaast is SIEM ook belangrijk voor zaken zoals compliance, bijvoorbeeld als het gaat om GDPR. Je kunt er rapporten mee genereren die bewijzen welke stappen je zoal hebt gezet voor het beveiligen van je organisatie.

Voorbij IT Operations en SIEM

IT en security zijn samen goed voor zo'n 80 procent van wat Splunk doet. De andere 20 procent is gericht op IoT en Business Intelligence. Volgens Maier en Estevez zullen die laatste componenten alleen maar belangrijker worden, uiteraard in combinatie met de twee eerste. Tijdens .conf18 was daar al meteen iets van te zien, met de introductie van Splunk for Industrial IoT. Op zich een logische stap, want op het gebied van manufacturing, oliewinning, krachtcentrales en transport is IoT al behoorlijk goed vertegenwoordigd. Als je dan een IoT-oplossing uitbrengt, dan zijn dat de sectoren waar je eerst voet aan de grond wil krijgen.

Op het gebied van Business Intelligence moet je overigens niet verwachten dat Splunk een alternatief wil bieden voor wat onder andere Tableau en Qlik op de markt brengen. Je moet het meer zien als een toevoeging daarop. Dat wil zeggen, Splunk wil hiermee ook ongestructureerde data inzichtelijk maken, naast de gestructureerde data die andere oplossingen inzichtelijk maken.

Je zou iets soortgelijks kunnen opmerken over de relatie tussen Splunk en process mining, waar Celonis zich onder andere primair mee bezighoudt. Business Flow (op dit moment nog in beta), lijkt namelijk iets soortgelijks na te streven, namelijk het analyseren van hoe klanten of gebruikers met de processen van of binnen een organisatie omgaan.

Desgevraagd geven Maier en Estevez aan dat ook hier sprake is van verschillende niveaus. Business Flow zou dus complementair moeten zijn aan wat een partij zoals Celonis aanbiedt. Navraag bij Alexander Rinke, co-CEO bij Celonis, leert dat men er daar ook zo over denkt.

De machinedata die Splunk bij elkaar verzamelt, kan process-mining dus verder versterken, maar vervangt het niet. Process-mining houdt zich zoals de naam al aangeeft bezig met de processen, niet zozeer met wat daaronder gebeurt. De data die daar worden gegenereerd en opgevangen kan echter wel helpen om de processen beter in kaart te brengen.

Splunk kun je binnen organisaties vergelijken met een olievlek. Over het algemeen neemt men nooit alles in een keer af, maar start men bij IT Operations of Security (SIEM). Dan ontstaat vanzelf de wens om het ook voor andere doeleinden in te gaan zetten, volgens Maier en Estevez. Of zoals CEO Doug Merritt het tijdens een Q&A verwoordt: unleash the power of Splunk.

Splunk CEO Doug Merritt tijdens .conf18

Steeds meer mogelijk

De quote van Merritt is niet alleen wat bedrijven volgens Splunk willen als ze de kracht van het platform hebben ervaren in een specifiek onderdeel. Het is ook de motivatie achter de ontwikkelingen binnen Splunk zelf.

Uiteindelijk wil het bedrijf een compleet verhaal neerzetten, van edge tot aan cloud. Dat wordt natuurlijk een steeds complexer verhaal, omdat je steeds meer datastromen vanuit steeds meer bronnen moet kunnen verwerken. Daarbij moet het bijvoorbeeld bij data in motion, waar IoT-data een goed voorbeeld van zijn, niet uitmaken of daar Apache Kafka, Hortonworks NiFi, Druid of welk platform dan ook achter zit. 'Embrace the chaos', zo verwoordt Merritt deze benadering. Hij heeft er in ieder geval niet veel fiducie in dat er binnen afzienbare termijn standaarden komen die het leven eenvoudiger zullen maken.

Het draait echter niet meer alleen om het binnenhalen en analyseren van data bij Splunk. Inmiddels heeft het bedrijf Data Fabric Search in beta. Dit moet de toekomst zijn van het zoeken in enorme bergen machinedata. Je moet dan denken aan biljoenen events binnen milliseconden. Volgens Merritt is Data Fabric Search 1400 tot 1800 procent sneller dan om het even welke andere methode dan ook. Het werd niet met zoveel woorden gezegd, maar Elasticsearch is ongetwijfeld een van die andere methodes. Dit onderdeel van de ELK Stack zou je kunnen zien als voornaamste concurrent op dit gebied. De ELK Stack - met naast Elasticsearch ook nog Logstash and Kibana - is sowieso een (opensource) alternatief voor Splunk.

AI en ML, hoe kan het ook anders

Uiteraard is ook Splunk bezig met AI, Machine Learning en automatisering. Splunk Phantom is een goed voorbeeld van dat laatste. Deze component valt onder het kopje security en stelt je onder andere in staat om bepaalde repetitieve taken te automatiseren. Denk hierbij aan het minen van endpoint data of de logs van antivirussoftware binnenhalen. Op deze manier krijg je steeds sneller de belangrijkste meldingen binnen. Je kunt ook meteen bepaalde acties automatiseren, bijvoorbeeld het in quarantaine zetten van apparaten. Deels kun je dit soort automatisering via een klik- en drag-and-drop gebaseerde interface doen, maar er is ook een Python-ontwikkelomgeving geïntegreerd. Dan kun je zelf de acties programmeren die je wenst.

Voor het gebruik van Machine Learning levert Splunk complete applicaties die meteen ingezet kunnen worden. Je kunt echter ook met de Machine Learning Toolkit (inmiddels versie 4.0) aan de slag gaan. Dan kun je de componenten die je wil gebruiken, selecteren en integreren in je applicatie.

Tijdens .conf18 deed BMW uit de doeken hoe het bedrijf Splunk gebruikt om verkeersinformatie in een ML-model te integreren.

Van passief naar actief

Tot nu toe kon je met het Splunk-platform heel veel data analyseren en bijvoorbeeld meldingen binnenkrijgen. Daarop actie ondernemen was vaak niet mogelijk. Daarvoor moest je dan weer een andere tool inschakelen. Dat is nu langzaam aan het veranderen. Hiermee vergroot Splunk niet alleen de mogelijkheden in de breedte (van IT Operations en SIEM naar Business Intelligence en IoT), maar ook in de diepte. Dat is natuurlijk slim, want zo maak je de markt groter voor jezelf. Daarnaast kun je de twee componenten 'dichter' bij elkaar ontwikkelen, omdat het binnen hetzelfde platform valt. Aan de andere kant krijg je hierdoor wat meer lock-in natuurlijk.

Als het gaat om waar Splunk vandaan komt, IT Operations en Security, zien we dus ook nog allerlei ontwikkelingen. Dit wordt zeker niet genegeerd bij het uitbreiden van de activiteiten. Dat is natuurlijk wel altijd het risico, als je over de hele breedte van organisaties waarde wilt toevoegen. Je kunt dan door een gebrek aan focus juist klanten van je vervreemden.

Volgens Jon Rooney, VP Product Marketing bij Splunk onderstreept niet alleen Phantom dit voor Security, maar voor IT Operations is er VictorOps, waarmee incident management kan worden geautomatiseerd. Ook hier zie je weer een een gang van passief naar actief. Je moet VictorOps zien als een 'war room', waar je centraal actie kunt ondernemen bij incidenten. Ook hier kunnen zaken worden geautomatiseerd om veel voorkomende meldingen op te lossen. Dit is prettig volgens Splunk, omdat veel mensen die in zogeheten on-call teams werken, die continu bezig zijn met monitoring en het verhelpen van storingen en dergelijke, last hebben van alert fatigue. Aan de technische kant zorgt het ervoor dat eventuele downtime wordt verkort.

Wat komt er nog aan?

Het is duidelijk dat men bij Splunk nog lang niet uitontwikkeld is. Om aan te geven waar men zoal achter de schermen mee bezig is (en al in beta beschikbaar is), is er Splunk Next. Daar vallen onder andere het al genoemde Business Flow en Data Fabric Search onder, maar ook Developer Cloud en Data Stream Processor zijn noemenswaardige componenten. In Developer Cloud kun je als ontwikkelaar leren hoe je Splunk applicaties ontwikkelt, in de cloud dus. Data Stream Processor maakt het mogelijk om data 'in transit' binnen milliseconden te bewerken en aan te passen.

Verder was het tijdens .conf18 duidelijk dat Splunk in de basis een developersclub is en dat ook nog wel een tijdje zal blijven. Zo ging er een luid gejuich op uit de zaal toen werd bekendgemaakt dat het dashboard er nu ook in een donkere kleurstelling is. Daarnaast werd er een Apple TV app getoond, waarmee je dashboards op die manier op een aangesloten scherm kunt laten zien. Dit was voor zover wij konden zien nog niet realtime overigens. Tot slot had men een demo rondom AR, waarbij je realtime veranderingen kunt zien in sensordata.

Conclusie: Splunk in de praktijk bij ABN AMRO

Op zich is het interessant om te zien wat Splunk allemaal in de aanbieding heeft en waar men daar de nadruk op legt. Uiteindelijk vinden wij het altijd minstens net zo interessant om eens met een organisatie te praten die ook daadwerkelijk gebruikmaakt van wat een vendor (in dit geval Splunk) kan leveren. Bij wijze van conclusie kijken we daar nu ook nog even iets beter naar.

Ingmar Vis, Product Owner bij ABN AMRO was bereid om toe te lichten hoe men daar Splunk gebruikt voor hun Continuous Integration Continuous Deployment (CI/CD) benadering van applicatie-ontwikkeling.

Waar het op neerkomt is dat zijn team Splunk gebruikt om bij alle stappen van de (agile) ontwikkeling van applicaties en features van applicaties de quality gates in de gaten te kunnen houden. Een team is verantwoordelijk voor een bepaald aantal componenten. Vooraf wordt per component het eigenaarschap aangegeven. Uiteindelijk gaat het om 350 teams en 2000 componenten. Dat komt dus neer op 2000 artefacten/applicaties die moeten worden uitgerold.

Met behulp van Splunk worden de logfiles per component binnengehaald. Daar wordt een algemeen dashboard van gemaakt, waar op ieder team kan zien wat de stand van zaken is. Je kunt bijvoorbeeld de progressie van je codekwaliteit zien. Gaat die omhoog, dan zit de eigenaar van dat specifieke element op het goede spoor. Is dat niet het geval, dan kan het team daar zelfstandig op sturen.

De meeste organisaties zullen Splunk vooralsnog op een manier inzetten zoals ABN AMRO dit doet. Dat wil zeggen IT Operations is zonder twijfel het verst doorontwikkeld, omdat het bedrijf daarvandaan komt. Misschien niet het meest in het oog springende gebruik, maar wel erg belangrijk voor organisaties. Het voorbeeld van ABN AMRO is daarnaast ook een goed voorbeeld van het gebruik van Splunk voor DevOps, een aandachtspunt voor veel bedrijven.

Er zijn uiteraard nog legio voorbeelden te geven van het gebruik van Splunk in de praktijk. Dat is echter iets voor een volgende keer, want we zullen het bedrijf in ieder geval goed blijven volgen.