Splunk-User erzählen
Porsche, Wacker Chemie und DHL mit Projektbeispielen.
Wie lassen sich Log- und Sensordaten sinnvoll verwerten? Diese Frage beschäftigt viele Unternehmen, die ihre strukturierten und unstrukturierten Daten in Data Lakes aufstauen. Auf der User-Konferenz Splunk Live in München gab es Antworten von Praktikern.
Frank Böning provozierte die Besucher der Veranstaltung in seiner Eröffnungsrede mit der Feststellung: „In den meisten Unternehmen ist der Data Lake nur eine Ablagestelle für Daten.“Splunks Vice President Central Europe vermied das Wort Müllhalde und führte aus, dass in den Data Lakes Daten aus unterschiedlichen Quellen zusammenliefen, mit denen die Unternehmen meist wenig anzufangen wüssten.
Splunk bemühe sich gar nicht erst darum, diese Daten zu organisieren. „Wir wissen zu Beginn noch gar nicht, welche Fragen wir an unseren Datenbestand richten werden. Deshalb werden bei uns erst zum Zeitpunkt einer konkreten Anfrage die dafür erforderlichen Daten strukturiert. Das ist unser USP und nicht irgendeine zentralistische Art der Aggregation.“
Böning beschrieb das vierstufige Verfahren zur Bearbeitung großer heterogener Datenmengen, das Splunk verfolge: Investigate, Monitor, Analyze und Automate/Act. Sein Kollege Matthias Maier, EMEA-weit für das Produkt-Marketing verantwortlich, ergänzte im Gespräch mit der COMPUTERWOCHE, Splunks Fokus liege auf dem Bereich Investigate, also dem gezielten Recherchieren in aggregierten, unstrukturierten Datenbeständen – insbesondere in Logfiles und Sensordaten.
Maier erklärte das am Beispiel der IT-Sicherheit, einem der Haupteinsatzgebiete von SplunkLösungen: „Jeder CIO weiß heute, dass er eines Tages Opfer eines Cyber-Angriffs werden wird. Aber die Möglichkeit, sehr schnell die Root Causes zu finden, indem er in die Logs reinschaut, hilft ihm, das Problem frühzeitig in den Griff zu bekommen.“ Porsche wertet Lieferantenkontakte aus
Welche Vorteile es für Unternehmen bringen kann, gezielt unstrukturierte Daten für bestimmte Problemstellungen auszuwerten, zeigten auf der Veranstaltung verschiedene Anwendervorträge. Berkin Aksoy, Service Expert Splunk bei der Porsche AG, beschrieb die Konstellation beim schwäbischen Sportwagenbauer, wo ein kleines Team die Splunk-Plattform betreibe, auf der mittlerweile bis zu 350 Nutzer aus verschiedenen Unternehmensbereichen ihre Use Cases verfolgten. Ziel sei es, eine Splunk-Community aufzubauen und die Zahl der Projekte ständig zu erhöhen. „Wir hatten viel Verbesserungspotenzial in Hinblick auf Logfiles. Heute haben wir strukturierte und aufgeräumte Log-Daten, mit denen wir arbeiten können.“
Was dabei konkret herauskommt, zeigte Aksoy anhand des Projekts „Standard Reporting“: Porsche erhob bislang auf manuelle, durchaus fehleranfällige Art Kennzahlen über sein weltweit genutztes Unternehmensportal. Ausgewertet wurden dabei beispielsweise Login-Zahlen, die CPU-Auslastung oder die Nutzung der je
weils bereitgestellten Applikationen. Diesen Report erstellten die Datenspezialisten bisher Monat für Monat von Hand. „Wir hatten viele Schnittstellen und haben ganz unterschiedliche Technologien genutzt. Wir waren in der Performance-Auswertung eingeschränkt, weil wir sie manuell betrieben haben. Echtzeitanalysen waren nicht möglich“, berichtete Aksoy.
Jetzt komme dafür die Splunk-Plattform zum Einsatz, die Porsche eine automatisierte Auswertung in Echtzeit ermögliche und das Hinzufügen ständig neuer individueller Dashboards erlaube. „Wir konnten zum Beispiel zeigen, wie viele Nutzer über welche Applikation und welchen Server auf das Portal zugreifen.“Auch die Visualisierung der Analyseergebnisse habe sich verbessert.
Aksoy nannte als zweiten Use Case bei Porsche das „End-to-End-Monitoring“in der Produktion. Porsche schicke permanent Messages mit Informationen über benötigte Fahrzeugteile an Lieferanten, ebenso gebe es umgekehrt Nachrichten, die von den Lieferanten an Porsche gesendet würden. Diese Messages können laut Aksoy inhaltliche oder technische Fehler enthalten. „Mit Splunk können wir die Fehler in Echtzeit sehen, was zu einer enormen Kostenund Arbeitsersparnis geführt hat. In der Praxis ist es ja häufig so, dass man zwar sieht, dass ein Fehler stattfindet, aber nicht, wo das der Fall ist.“Jetzt sehe man auch das. „Wir haben eine plattformübergreifende Lösung geschaffen und als Resultat mehr Transparenz bekommen.“
Bei Porsche hat man sich vorgenommen, Logund Sensordaten viel konsequenter zu nutzen und die Datenplattform im Konzern peu à peu weiter auszurollen. „Wir wollen auch die Optionen bezüglich Machine Learning, Mobile, Mixed Reality, Spracherkennung und die Business Flow App nutzen“, sagte Aksoy. Schließlich gehe es nicht nur darum, Fehler in Realtime zu erkennen, man wolle sie auch proaktiv vermeiden.
Wacker Chemie begann im IT-Security-Bereich
Ein zweiter Vorzeigekunde, der sich auf der Splunk Live präsentierte, war Wacker Chemie aus Burghausen. Das Unternehmen entschied sich 2016 dafür, bei der IT-Sicherheit aufzurüsten und im Zuge dessen nicht nur mehr Geld für Tools auszugeben, sondern auch den Personalstamm in diesem Bereich von zwei auf acht Personen aufzustocken. „Bei uns ist Splunk aus der IT-Security heraus ins Unternehmen hineingewachsen“, sagte Wolfgang Plank, Senior IT Security Engineer. Die Architektur sei daher so geplant worden, dass ein Ausbau in andere Bereiche möglich blieb.
Wacker Chemie begann klein mit dem Auswerten von Firewall-Logs, was nicht so schwierig gewesen sei, weil Splunk die meisten Firewalls out of the Box unterstütze. Man habe dann den Scope nach und nach ausgeweitet: „Wir haben E-Mail-Security-Appliances reingeholt, auch die Netzwerk-Linux-Server – das war so ein Beifang, den haben sich unsere Netzwerker gewünscht.“2017 sei es dann in die nächste Ausbaustufe gegangen mit einer Web Application Firewall, einem Vulnerability Scanner und einer OT-Firewall (Operation Technology). „Auch die Produktion spricht ja mit dem Internet“, so Plank, „da gibt es viel Sinn zu schauen, was dort passiert.“
Im vergangenen Jahr ging Wacker Chemie dann mit der Analyse von Active-Directory- und Antivirus-Logs noch weiter in die Breite: „Gerade das Active Directory ist ein schöner Informationstopf, ich kann jedem nur empfehlen, das mit einzusammeln“, sagte Plank. Inzwischen sei man mit den Splunk-Vorhaben in der bislang interessantesten Ausbaustufe angelangt, in der es gelte, „den Daten Kontext zu geben“. Diesen Kontext bekomme man aus einer gut gepflegten, aktuellen Configuration-Management-Database (CMDB). Nun könne man Datenbank-Server, SAP-Systeme, Gateways oder auch Cluster identifizieren und eine bestimmte Kritikalität zuweisen.
Wacker Chemie wolle noch einen Schritt weiter gehen in Richtung proaktiver Analyse und automatisierter Problembeseitigung. Incident Response oder das Handling von Phishing-Attacken sind laut Plank geeignete Einsatzgebiete. Ein Framework dafür sei geschaffen worden, jetzt komme es auf die Fähigkeit an zu korrelieren, also beispielsweise Muster in niedrig priorisierten Alarmen zu erkennen, weil diese im großen Zusammenhang möglicherweise ein anderes Bild ergeben.
Ähnlich wie Porsche hat auch Wacker Chemie klein angefangen mit dem Sammeln, Ordnen und Auswerten von Log-Dateien. Doch nun soll die Plattform wachsen, immer mehr Use Cases sollen mit Splunk abgebildet werden. „Ich musste aufpassen, nicht zu sehr zu missionieren“, nennt Plank eine Lektion, die er gelernt hat. Man laufe Gefahr, die Kollegen zu überrennen, was dann Ablehnung zur Folge haben könne. Deswegen biete er manchen Abteilungen an, ihre bestehende Tool-Welt nicht zu verlassen und den Splunk-Spezialisten einfach die
gesammelten Log-Daten zwecks Auswertung zuzusenden. Dann könnten die Datenprofis damit arbeiten und mit Ergebnissen überzeugen.
DHL ordnet Paketlogistik in Fernost
Last, but not least gab auch Peter Schulz-Rittich, Vice President Product Management bei der Deutschen Post DHL, seine Eindrücke vom Splunk-Einsatz wieder – diesmal aus der Perspektive eines großen Konzerns. Hier entstand der Use Case nicht aus der IT heraus, sondern aus dem Business. Es ging um den Neuaufbau der Paketlogistik in den fernöstlichen Ländern Thailand, Malaysia und Vietnam, wo die Deutsche Post DHL 2016 praktisch auf der grünen Wiese angefangen habe und dann sehr schnell gewachsen sei.
Der Paketdienst lebt grundsätzlich von transparenten und datengestützten Prozessen, hat hier also eigentlich kein Problem, zumal viele Daten schon mit der Aufgabe eines Pakets vorhanden sind: Gewicht, Versendeverfahren, gegebenenfalls Inhaltsinformationen etc. „Dadurch, dass wir bei null anfingen, waren die Prozesse in diesen neuen Regionen aber teilweise noch handgestrickt und wurden nicht vernünftig unterstützt. Wir hatten anfangs keine besonders gute Transparenz und keine Kennzahlen, die man braucht, um einen hochqualitativen Logistikprozess möglich zu machen.“Schulz-Rittich blickt mit einem Schmunzeln auf die Pionierphase zurück: „Ein Kollege sagte mal, was wir dort machen, ist Excel-Weitwurf.“ „Wir brauchten eine Lösung, die uns das Ganze auf saubere Füße stellt und automatisiert. Außerdem sollte sie skalierbar sein und hochgranular. So sind wir zu Splunk gekommen.“Der Mann von der Post berichtete, wie ein crossfunktional zusammengesetztes Team klein und schnell anfing, „orientiert am Business Value“. Heute sei man viel weiter, bilde laufend lokal Power User aus und verfolge einen Community-Ansatz, um das Wissen schnell zu skalieren. Die Splunk-Plattform hat die Post DHL an einen Dienstleister outgesourct, der Datensicherheit und -schutz gewährleisten könne. „Wir wollen uns darauf konzentrieren, mehr Use Cases zu entwickeln. Das machen unsere Operations Analysts, Finance Analysts und Sales-Experten direkt vor Ort in den Regionen.“
Schulz-Rittich zeigte sich zufrieden damit, wie weit der Konzern inzwischen mit der „Demokratisierung von Daten“gekommen sei. „Ich habe 15 Power User in Thailand ausgebildet, das hat gut funktioniert. Schon nach vier Tagen konnten zwei Drittel einfache Dashboards bauen.“Splunk werde jetzt intern zur Skalierung bereitgestellt, um das Data-driven Unternehmen voranzutreiben. Die Geschäftsbereiche könnten damit ihren eigenen Business Case entwickeln. Über die Community nehme das Ganze Fahrt auf. „Wir konnten die Kollegen von der Plattform und auch von der Search Processing Language überzeugen – vor allem von der Geschwindigkeit in der Umsetzung.“