zurück zur Übersicht

splunk> 7.0 – Auf der Überholspur

Splunk hilft, Big Data zu verwertbaren Informationen zu machenDie .conf2017 von Splunk in der letzten Woche hat einige frische Ideen aus dem Hut gezaubert. Matthias Kowalewski war vor Ort und berichtet demnächst aus erster Hand darüber.

Die wahrscheinlich wichtigste Neuerung ist das Update von Splunk Enterprise. Version 7.0 zielt eindeutig in Richtung Verbesserung der Enterprise Security App. Eigentlich alle Neuerungen kommen jedoch auch den Basisnutzern von Splunk zu Gute.

Darunter fallen starke Laufzeitverbesserungen in der Summarization von Data Models, stärker beschleunigte Suchen und auch eine Beschleunigung des Beschleunigungsvorgangs an sich. Auch die Ressourcenlast für Data Models wurde verringert. Der effizienten Nutzung der ohnehin praktischen Data Models und beschleunigten Suchen steht also nichts mehr im Wege.

Überholspur für Metriken

Dazu kommt ein neuer Index-Typ, speziell optimiert für Metriken. Die konnten vorher natürlich auch schon in Splunk eingefüttert werden, die Auswertung der Daten war jedoch nicht so effizient, wie sie hätte sein können. In diesen Metrik-Indizes liegt der Fokus jetzt nicht mehr auf Rohdaten, wie üblicherweise der Fall, sondern auf der Aggregation der Informationen. Dazu kommen die passenden Suchbefehle (z.B. mstats) und Support für übliche Datenquellen (z.B. collectd und StatsD).

Doch nicht nur hinter den Kulissen hat sich einiges getan, es gibt auch etwas für’s Auge. Was dem geschulten Nutzer sofort auffällt, sind die neuen Ansichten für die Monitoring Console.

Zusatzinfos über Annotations

Für den Architekten von Suchen und Dashboards ist das Konzept der Event Annotations interessant. Mit Hilfe einer kurzen Zusatzssuche und einem einfachen XML-Schnipsel können einem Timechart Zusatzinformationen hinzugefügt und mit einer Signalfarbe versehen werden. Diese werden dann mit einem einfachen Hover-Over sichtbar.

Mit dieser Suche beispielsweise werden die Daten aus dem message-Feld als Inhalt angezeigt und mit Hilfe des Loglevels kategorisiert:

index=_internal (log_level=“WARN“ OR log_level=“ERROR“) | eval annotation_label = message | eval annotation_category = log_level

… und vieles mehr!

Außerdem gibt es Updates für Charts (z.B. einstellbare Linienstärke der Kurven), Alert-Actions (z.B. Log Event erzeugen, Mail versenden) können jetzt auch für Reports eingestellt werden, Cloud-Installationen profitieren vom verbesserten App-Management und auch im Machine Learning Toolkit gibt es einige Upgrades.

Für Interessierte gibt es hier die Informationen aus erster Hand und mit Hilfe dieser App können Sie in die Funktionalitäten Ihrer neuen splunk-7-Instanz hineinschnuppern.

Schreibe einen Kommentar