Splunk 7.2 Was ist neu? SmartStore, Lastmanagement und mehr ...



    Vor einigen Tagen hat Splunk eine neue Version seiner Plattform, Splunk 7.2, veröffentlicht, in der viele Innovationen zur Optimierung der Leistung aufgetaucht sind, darunter ein neues Speichersystem, die Verwaltung der verwendeten Leistung und vieles mehr. Siehe die Details unter dem Schnitt.

    SmartStore


    SmartStore ist eine neue Methode zum Verwalten von Data Warehouses in Splunk. Bisher wurden alle Daten in Indexern gespeichert, sodass die Daten für die Verarbeitung leicht zugänglich waren. Erweitern Sie gegebenenfalls das Volume, um einen neuen Indexer hinzuzufügen. Dieses Modell eignet sich hervorragend für niedrige und mittlere Datenmengen. Wenn Sie mehr Daten hinzufügen, benötigen Sie nicht nur mehr Speicherplatz, sondern auch mehr Rechenleistung. Bei exponentiell wachsenden Datenmengen übersteigt jedoch der Speicherbedarf den Bedarf an schnellen Berechnungsmöglichkeiten. Mit SmartStore können Sie Daten lokal entweder auf Indexern oder auf entfernten Repositorys hosten. Die Datenbewegung zwischen Indexern und Remote-Speicher wird vom Cache-Manager gesteuert, der sich auf den Indexern befindet.

    Mit SmartStore können Sie die Größe des Indexerspeichers auf ein Minimum reduzieren und die optimalen Rechenressourcen für E / A auswählen. Die meisten Daten werden in einem Remote-Speicher gespeichert, während der Indexer einen lokalen Cache enthält, der eine minimale Datenmenge enthält: heiße Daten, Kopien von warmen Daten, die kürzlich in Suchvorgänge involviert waren.



    Wann ist es besser, SmartStore zu verwenden?

    • Infrastrukturkosten verlangsamen die Skalierung und begrenzen die Datenaufbewahrung.
    • Die Datenarchivierung ist keine erschwingliche Lösung, da alte Daten (~ 1 Jahr) durchsuchbar sein müssen.
    • Eine große Splunk-Bereitstellung, normalerweise mehr als ~ 10 Indexer.
    • Die Mehrheit der Anfragen (mehr als 95%) wird für die neuesten Daten (weniger als 90 Tage) ausgeführt.
    • Suchabfragen für ältere Daten (> 90 Tage) sind selten und eine langsame Suchleistung ist akzeptabel.

    Workload-Management




    Das Workload-Management ist ein Mechanismus, der auf einer Systemressourcenreserve-Richtlinie (CPU, Arbeitsspeicher) basiert, um Daten herunterzuladen und Suchabfragen entsprechend den geschäftlichen Prioritäten auszuführen. Auf diese Weise können Administratoren Workloads in verschiedene Gruppen einteilen und Teile der Systemressourcen (CPU, Arbeitsspeicher) pro Workloadgruppe unabhängig von der gesamten Systemlast reservieren.

    Wann ist es besser zu benutzen?

    • Festlegen der Priorität von Schlüsselanforderungen und Aufgaben;
    • Begrenzung der Auswirkungen auf die Gesamtleistung starker Suchanfragen;
    • Um Verzögerungen beim Laden von Daten aufgrund von Ressourcen zu vermeiden, die für die Suche aufgewendet werden.

    Echtzeitüberwachung des Splunk-Zustands




    In Version 7.2 wurden die Splunk-Zustandsüberwachungswerkzeuge erheblich erweitert. Es ist jetzt ein Integritätsbericht-Manager verfügbar, über den Sie Funktionen aktivieren / deaktivieren und Schwellenwerte für einzelne Funktionen direkt über die grafische Benutzeroberfläche festlegen können.

    Sie können Splunk-Statusmeldungen auch für E-Mail, Telegramm, Slack usw. einrichten.



    Metriken


    Außerdem gibt es ein neues Level-Out für die Arbeit mit Metriken. Zunächst wurde ein völlig neues Werkzeug zum Analysieren und Überwachen von Metriken ohne Suchabfragen veröffentlicht - Splunk Metrics Workspace . Es bietet eine einfach zu verwendende visuelle Analyseoberfläche. Sie können interaktive Visualisierungen im Arbeitsbereich erstellen und verschiedene Analysefunktionen ausführen, um einen Eindruck von den Indikatoren zu erhalten.



    Analytische Operationen und Funktionen:

    • Aggregation
    • Zeitvergleich - Auferlegung des vorherigen Zeitplans im aktuellen Zeitplan.
    • Trennung - zeigt die Ergebnisse für eine bestimmte Messung.
    • Filter - bestimmte Ergebnisse einschließen oder ausschließen.

    Zweitens die Möglichkeit, strukturierte und unstrukturierte Protokolle in Metriken umzuwandeln. Bisher gab es zwei Hauptmethoden zum Empfangen von Metriken in Splunk: Verwenden von Agenten wie statsd und collectd sowie das Erstellen und Speichern von Daten mit mcollect. Mit der neuen Funktion " Protokollierung in Metriken" kann die Splunk-Plattform Protokolle mit Metrikdaten in Datenpunkte einzelner Indikatoren konvertieren. Sie können auch Metriken definieren, die als Metriken extrahiert werden sollen, und eine Blacklist mit Feldern erstellen, die nicht in den Metrikdaten angezeigt werden sollen.



    MTLK 4.0


    Mit der neuen Version von Splunk erscheint eine neue Version von Splunk Machine Learning Toolkit. Wir schrieben über die früheren Versionen MTLK früher , und nun einen Blick auf , was jetzt neu ist.

    Integration:

    • Tensorflow
    • Apache-Funke
    • Github

    Neue Algorithmen:

    • LocalOutlierFactor
    • MLP-Klassifizierer

    Algorithmenbewertung

    • Score-Funktion
    • Kreuzvalidierung (Parameter kfold_cv)



    Managed Data Onboarding


    Eine neue grafische Benutzeroberfläche mit einer Anleitung zum Herunterladen von Daten, mit der Splunk-Benutzer die wesentlichen Konzepte zum Abrufen von Daten aus verschiedenen Quellen in Splunk verstehen können.



    Docker-Unterstützung


    Mit der Veröffentlichung von Enterprise 7.2 können Splunk-Benutzer Splunk nun in einem Docker-Container bereitstellen. Der Container ist ein leichtes Softwarepaket, das Anwendungscode mit der Laufzeitumgebung, den Tools, Systembibliotheken und Umgebungseinstellungen kombiniert, die für die Ausführung erforderlich sind. Auf diese Weise können Sie Anwendungen von der Umgebung abstrahieren, in der sie ausgeführt werden, von anderen Anwendungen isolieren und die Skalierung vereinfachen.



    Dunkle Schnittstelle


    Ja Ja! Jetzt können Sie das dunkle Design verwenden, das von Splunk-Designern in ihren Dashboards entwickelt wurde. Natürlich war es früher auch möglich, einen dunklen Hintergrund von Dashboards mit CSS zu erstellen. Damit das Design jedoch normal aussieht, musste auch eine Farbpalette für alle Elemente ausgewählt und hinzugefügt werden, was eine ziemliche Arbeit ist. Jetzt wird dieses Problem durch Drücken einer einzigen Taste gelöst.



    Um eine gründliche Untersuchung aller neuen Funktionen zu erhalten, sollten Sie die Anwendung Splunk Enterprise 7.2 Overview installieren und die offizielle Video- Version ansehen .

    Wenn Sie Splunk noch nicht ausprobiert haben, ist es an der Zeit, die kostenlose Version mit bis zu 500 MB pro Tag für alle verfügbar zu machen. Und wenn Sie Fragen oder Probleme mit Splunk haben, können Sie diese fragenuns , und wir werden helfen.

    Wir sind der offizielle Premier Splunk Partner .


    Jetzt auch beliebt: