Splunk机器数据及日志分析平台

Applications • Web logs • Log4J, JMS, JMX • .NET events • Code and scripts
Databases • Configurations • Audit/query logs • Tables • Schemas
Network • Configurations • syslog • SNMP • netflow
15
15
一个 Splunk 多种应用场景
基础架构 & 运维管理
应用程序管理
安全 & 合规
更多其他用例 . . .
Splunk 平台
运维智能平台
数据导入, 应用, 其他内容
Web Framework
内容
SDK
REST API
用户界面&开发接口
核心功能
核心引擎
搜索处理语言（SPL）
索引
收集
丰富的 Splunk 应用
在 Splunk app网站有超过500个 apps
XenApp XenDesktop
Server, Storage, Network
Server Virtualization
Operating Systems
Infrastructure Applications
Mobile Applications
– 可灵活定制展现层
– 部署统一策略，实现集中审计。
34
为什么选择 Splunk?
选型前有与其他工具进行测试比较。
Splunk优势
– 易操作,易部署 – 能识别日志的种类全面 – 不需要另外做归一化处理
– 查询速度较快
– 仪表盘能灵活定制 – 细粒度用户权限
35
安装部署
•
收集数据源包括操作系统、网络设备、安全设备和应用程序的日 志。（包括linux、Firewall、交换机、路由器、负载均衡，入侵 检测，审计系统、身份认证系统等）
Auto load-balanced forwarding to as many Splunk Indexers as you need to index terabytes/day
Send data from 1000s of servers using combination of Splunk Forwarders, syslog, WMI, message queues, or other remote protocols
Financial Services and Insurance
Government
Healthcare
Manufacturing
Media
Retail
Technology
Telecommunications
Travel and Leisure
Splunk 中国客户
5
数据在高速增长
Volume | Velocity | Variety | Variability
场景一：交易耗时分析
•
通过对所有交易最大耗时和平均耗时时序变化发现3月10日8点30分到8 点33分之间的交易耗时远超过其他时间段
26
通过对该时段AP1, AP2, GAPSAP 的日志查询得出，交易代码0307的交 易数量是最大的
27
继续查看交易代码0307在该时段的交易耗时情况
最大耗时和平均耗时都明显 高于其他时段
• 直接定位问题环节
• 快速交付给处理部门
谢谢！
上海复深蓝信息技术有限公司 zhangwenxing@fulan.com.cn
28
2012.3.10 8:30am-8:33am
根据交易代码列出各个步骤 耗时的最大/最小/平均值
启动3的最大耗时远远超过 其他几个步骤
29
基于关键信息快速查询定位
•
根据交易流水号查询交易总耗时以及各个步骤耗时
列出各个步骤的耗时, 颜色区分大小, 快速定 位到最大的耗时步骤
1
只需键入所要查询 的交易流水号，然 后点击搜索按钮
Customer IDwenku.baidu.com
Time Waiting On Hold
Care IVR
Customer ID
Twitter ID
Customer’s Tweet
Twitter
Company’s Twitter ID
机器数据包含有大量有价值的信息
Sources
Order Processing
Customer ID
Cloud Services
Custom Biz Applications
Web Framework SDKs REST API
Ticketing/Help Desk Other Monitoring
灵活的扩展能力
Offload search load to Splunk Search Heads
Sources
Order Processing
机器数据是什么样的?
Middleware Error
Care IVR
Twitter
机器数据包含有大量有价值的信息
Sources
Order Processing
Customer ID
Order ID
Product ID
Order ID
Middleware Error
Windows • Registry • Event logs • File system • sysinternals
Linux/Unix • Configurations • Syslog • File system • Ps, iostat, top
Virtualization • Hypervisor • Guest OS • Guest Apps
42
交易总体指标
交易时延分析
交易类型解析
交易来源/渠道分析
多维度分析报告
告警监控
帮助台－自助查询
IT部门从中获益
客服人员 技术专家 服务经理 运维主管
• 操作灵活简单
• 数据及时 • 我可以追踪交易事件 • 深度解析问题原因
• 业务运行良好
• SLA符合预期 • 服务保障变得敏捷
• 运维成本可控 • 实施快速落地 • 团队排障效率提升
36
使用场景分析
•
•
日常状态监测（CPU、内存、存储、连接池等资源情况）
排错查询（硬件错、软件错、人为操作错）利用存储查询语句完 成知识转移。
•
• •
基线管理（定期排程）
告警
统计报告
37
报告举例
•
确保数据并进行相关报告：
– 频繁用户登陆出错 – 非授权的访问出错 – 网络接口down – 主备设备切换信息
机器数据 是大数据领域中增长最快、内容
最复杂、也最具有价值的一类数据
GPS, RFID, Hypervisor, Web Servers, Email, Messaging, Clickstreams, Mobile, Telephony, IVR, Databases, Sensors, Telematics, Storage, Servers, Security Devices, Desktops
环境复杂，设备品牌较多，包括国产和国外设备，日志格式无法 统一。
•
合规性要求：
– 重要日志文件不少于半年。 – 应能根据审计记录进行数据分析，并生成统计报表。 – 避免审计记录遭受未预期的删除、修改或覆盖。 – 实施信息系统的统一安全策略，实现集中审计。
33
应对挑战
•
搭建统一的日志管理系统
– 有足够的存储空间和备份归档策略满足存储时间要求 – 处理多样的日志格式 – 查询快、易分析 – 对审计记录的保护
利用 Splunk 分析业务数据。
40
Copyright © 2012 Splunk, Inc.
案例分享三
应用数据分析与监控
背景介绍
大型商业银行，拥有大量自开发应用系统（网上银行、基金交易，等 等） 关注交易时延、用户体验以及系统运行状态 每天生成海量日志，只能手工检查，没有分析工具 无法获得业务系统 运行的整体状况和视图
Order ID
Product ID
Order ID
Middleware Error
Customer ID
Time Waiting On Hold
Care IVR
Customer ID
Twitter ID
Customer’s Tweet
Twitter
Company’s Twitter ID
让机器数据对所有人都可以访问、 使用并带来价值
美国旧金山
最大的 license:
SaaS
100+ TB/天
业内认可
#1 #4
Big Data Innovator Most Innovative
2013 SIEM Magic Quadrant
LEADER
2012 Security Market Growth
#1 Worldwide
2012 IT Operations Market Growth
10
业内领先的机器数据分析平台
仸何机器数据
Online Services
运维智能
Web Services Security GPS Location Networks
搜索与调查
主动监控
运维可视化
实时业务洞察
Servers
Packaged Applications
Storage
Desktops Messaging Telecoms Custom Applications
2
列出不同来源主机
30
统计分析报表/仪表板
•
各种响应码的占比情况展示
通过外部查找对照表列出 各种响应码的解释含义
0000(处理返回成功)之外的各 种响应码随时间分布情况展示
31
Copyright © 2012 Splunk, Inc.
案例分享二
安全合规/日志审计
日志管理面对的挑战
• •
日志较分散不便管理。
Splunk 介绍
上海复深蓝信息技术有限公司 Splunk工程师 zhangwenxing@fulan.com.cn
Splunk 公司
公司 (NASDAQ: SPLK) 业务模式 / 产品
企业软件
In the cloud
客户 7,000+
2004 2006
总部
成立
60+
财富100强
发布第一个软 件版本
IT 基础 运维
应用日 志分析
安全合规
虚拟化
业务分析
Web 分析
Developer Framework
22
问题?
Copyright © 2012 Splunk, Inc.
案例分享一
运维排错
背景介绍
• 根据不同主机来源的日志分析交易耗时、交易量、响应 码成功比率，等等 • 业务系统维护人员可以通过输入简单的条件（例如交易 流水号、卡号、账号，等等） • 快速定位匹配的事件 • 关联分析 • 实时业务报表
– 设备紧急故障信息
– 来自安全设备的高级类攻击事件信息 – 一段事件内大量出现的出错信息
38
使用 Splunk 之后
•
• • •
日志管理方面满足合规要求。
对IT 数据有全局视角。 提高了可视性。 提高了排错的效率
39
如何进一步利用 Splunk?
梳理各类设备的需关注日志关键字，结合短信网关配置告警。
Best SIEM North America Best Enterprise Security Solution EMEA
#3 Worldwide
全球 90+国家拥有7,000+ 客户
超过2/3 财富100企业
Cloud and Online Services
Education
Energy and Utilities
19
跨多个数据中心运行
分布式搜索提供跨多个位置的统一视图
20
Splunk 的独特优势
•
通用的数据引擎
•
• •
仸意格式定义
强大的搜索和报表语句 灵活的报表生成、分析和可视化展示
•
• • •
优异的可扩展性，从单机到分布式架构
开放的、可扩展的平台
立竿见影，快速价值体现
拥有激情和活跃的用户社区群体
21
Splunk 在IT和业务领域都可以使用
• •
Splunk 是一个针对机器数据的数据平台 • Splunk 是软件 – 几分钟就可以完成下载和安 装 针对所有 IT 系统和基础设施数据， 提供 数据搜索、报表和可视化展现 • 可以运行在各种主流的操作系统平台
12
12
索引任何的机器数据
实时从日志文件获取事件 运行脚本获取系统参数, 连接到 API 和数据库 监听 syslog 或获取 Windows 事件 通用方式索引任何内容格式的数据, 不需 要连接器
RFID
Energy Meters Databases Call Detail Records
Online Shopping Cart
Web Clickstreams Smartphones and Devices
HA Indexes and Storage
Commodity Servers
Splunk 是什么?