Luolatutkimusta

Olet varmasti joskus törmännyt sanaan, jota jäät ihmettelemään, mitä se oikein tarkoittaa. Yksi tällainen sana on Splunk. Splunk? Lyhyesti Splunk on teknologiatuote, joka kerää dataa, jota on sitten helppo hyödyntää.

Splunk sai alkunsa termistä “Google of Data Center”. Joskus vuonna 2006 IT-ylläpitäjiltä kysyttiin, miten he haluaisivat helpottaa työtään. Heillä oli yksinkertainen toive, että saisivat kaikki lokitiedostot yhteen paikkaan ja tehdä sinne tarvittavan grep-komennon. Tämä helpottaisi heidän elämäänsä huomattavasti. Silloin syntyi startup-yritys nimeltään Splunk. Vuonna 2009 Splunk julkaisi ensimmäisen komentorivikäyttöisen tuotteen, jolloin grep-haun pystyi tekemään yrityksen mihinkä tahansa dataan yhdellä komentorivikomennolla.

Splunk nimen alkuperä on lyhennettynä termistä “spelunking”. Sana tarkoittaa luolatutkimusta. Nyt ei puhuta sellaisesta luolasta, mikä tutkijat ovat jo luolapiirroksineen löytäneet. “Spelunking” luolatutkimuksessa ihmiset haluavat löytää koskemattomia luolia. He tarvitsevat kypärän ja otsalampun ja lähtevät vaeltelemaan löytämässään täysin sysimustassa luolassa. Luolassa, missä kukaan ei ole aikaisemmin käynyt. Siellä on mutaa, ahtaita tunneleita ja yllätyksiä. Sieltä luolatutkija yrittää löytää kultahippusia. Datasta voidaan ajatella samoin. Data on kuin pimeä musta luola.  Dataluolat voivat olla isojakin. Tuosta datamassasta voi löytää pienenkin arvokkaan asian. Löytyykö luolasta sitten jokin ötökkä tai timantti, se tekee etsinnästä mielenkiintoisen. Kun menet luolaan otsalamppu otsalla, niin valokeila on hyvin pieni. Valon täytyy osua kultahippuseen tai timanttiin sattumalta. Splunk tuo valokeilan dataasi äärimmäisen yksinkertaisella tavalla. Pystyt osoittamaan Splunkin hakukielellä, löytyykö datastasi pieniä kultahippusia, timantteja tai ötököitä. Ihan mitä tahansa haluat siitä löytää.

Alusta lähtien Splunkin visio oli, että järjestelmän pystyttämisen pitää olla äärimmäisen yksinkertaista. Sen tuli skaalautua pienestä yhden henkilön yrityksestä isoon miljardiluokan bisnekseen, pienestä datamäärästä valtavaan datamäärään. Käytännössä Splunkin asentamiseen menee muutamia minuutteja. Tämä kuulostaa liiankin helpolta ollakseen totta. Se on jopa niin helppoa, että asiakkaat, jotka eivät tunne Spunkin konseptia, sanovat suoraan: ”Te valehtelette, tämä ei voi toimia näin!”. On myyntitapauksia, missä Splunk on asennettu ensimmäisen palaverin aikana. Ennen kuin palaveri päättyi, yrityksen datasta löytyi ratkaisevia asioita, mitä vuosiin ei ollut havaittu. Sen jälkeen on helppoa tehdä Splunk kaupat. Splunkin asentaminen tarkoittaa sitä, että laitat otsalampun päähäsi, sytytät sen ja laitat kengät jalkaasi. Silloin Splunk on asennettu ja olet valmis luolatutkimukseen.

Splunk voidaan laittaa seuraamaan datavirtaa, ja se hakee sieltä pattern-tyyppisiä ratkaisuja. Heti kun tapahtuu jotain, mikä ei kuulu valtavirtaan, niin siitä tehdään hälytys. Jonkun täytyy kertoa Splunkille, onko tämä normaalia vai epänormaalia. Hyvin pienillä säädöillä Splunk elää ja osaa sitten raportoida. Splunkissa määritellään, että jos tapahtuu yksikin tällainen asia niin hälytä heti. Tai jos näitä tapahtuu yksi tunnissa, niin se ei haittaa, mutta kaksi aiheuttaa jo hälytyksen.

Tietoturvatapahtumia tulee valtavat määrät. Hallinta tarkoittaa sitä, että jonkun pitää päättää, onko nämä tapahtumia, joille oikeasti pitää tehdä jotain, vai saako ne vain mennä ohi. Se on myös hallintaa, että antaa tapahtumien valua yli ja unohtua. Mutta siinä vaiheessa, kun tapahtuu jotain sellaista, mitä ei saisi unohtaa, niin mikä on se riskitaso, millä tietoturvatapahtumia käsitellään? Splunkin ratkaisu tähän on Enterprise Security, joka valvoo tietoturvatapahtumia ja tekee niille sitten sen mitä on pyydetty.

Splunkia voidaan hyödyntää myös erilaisilla applikaatioilla sopivaksi erilaisille käyttäjäryhmille. Tällä hetkellä Splunkin sivuilla on ladattavissa hiukan yli tuhat applikaatioita, joita voidaan asentaa Splunkiin. Käytännössä jokainen asiakas voi myös itse rakentaa applikaatioita omaan ympäristöönsä. Splunkin ylläpitäjille satelee käyttäjiltä pyyntöjä, minkälaista dataa he haluaisivat nähdä. Bisnesosaajat eivät useinkaan halua käyttää Splunkin sisäistä hakukieltä, jonka nimi on SPL, Splunkin Search Processing Language. Splunkin ylläpitäjä tarjoaa datan erilaisille käyttäjille helposti luettavissa olevassa dashboard muodossa. Pankissa järjestelmän ylläpitäjiä kiinnostaa palvelimien CPU kuormat ja erilaiset kutsujen vasteajat. He näkevät tämän tiedon omissa dashboardeissaan. Pankin liiketoimintaosastolla työskentelevä haluaa tietää valuutan arvot, onko kaikki osakkeet myyty tai ostettu. Tämä data näkyy hänelle rakennetuissa dashboardeissa. Kuitenkin kyseessä on täysin sama datamassa ja sama Splunk. Splunkin oma hakukieli on kuorrutettu graafisen helppokäyttöisen käyttöliittymän taakse.

Nyt vain Splunkin otsalamppu käyttöön ja niin löytyvät kultahippuset, timantit ja ötökätkin.