عام بدون Splunk - كيف غيرت إحدى الشركات الأمريكية سوق تحليلات بيانات الماكينات في روسيا ومن تركتها وراءها

منذ عام تقريبًا ، توفي سبانك في روسيا. هذه المقالة هي مراجعة إلى حد كبير. يتعلق الأمر ببيانات الماكينة ، ومكانة السوق ، ومثال استبدال الواردات الذي حدث بدون شعارات رفيعة المستوى - لمجرد أن السوق تطلب ذلك. حصريًا - رواية المؤلف عن سبب مغادرة Splunk لروسيا ، لكن من المحتمل أن كل شيء كان خاطئًا تمامًا.

ما هي بيانات الجهاز؟

على الرغم من أن الكثير منا يسمع مصطلح "البيانات الكبيرة" في كثير من الأحيان أكثر من ذلك بكثير ، فإننا سنتحدث عن بيانات الجهاز ، أي البيانات المولدة رقميا من مجموعة واسعة من المصادر. وهي ليست مسألة تضييق المجال ، ولكن بدقة دقة التعريف.

بيانات الجهاز هي أي بيانات يتم إنشاؤها بواسطة الأجهزة الرقمية. وتشمل هذه السجلات من خوادم الشركات وأجهزة الشبكة ، والبيانات من أجهزة استشعار النظم الصناعية وأجهزة إنترنت الأشياء ، والرسائل إلى البريد الإلكتروني للشركات ، والنشاط على خادم الويب ، وسجلات الموظفين الذين يدخلون ويتركون حساباتهم ، والمعاملات المالية الرقمية ، والمكالمات لدعم الشركة وأكثر من ذلك بكثير.

من المهم أنه من بين الرسائل التقنية البحتة في بيانات الماكينة ، تحتوي كمية هائلة من المعلومات على معلومات تعكس العمليات التجارية للمؤسسة - تفاعل الشركة مع نظرائها والوسطاء (البنوك وشركات التأمين والخدمات والهيئات التنظيمية). إحصائيات نشاط العاملين في شبكة الشركة وأثناء الحركة المادية حول المؤسسة ، وحركة البضائع في المستودع ، والطلب ومدة الخدمة ، إلخ. - كل هذا هو أيضا بيانات الجهاز.

ثم تبرز الفكرة: تحليل بيانات الماكينة لتحديد اختناقات أنظمة تكنولوجيا المعلومات والأعمال ، وتحسين جودة خدمة العملاء ، والعثور على ثغرات أمنية في أمن المعلومات للمؤسسة ، وآثار المحتالين.

يكمن تعقيد استخدام بيانات الماكينة في حقيقة أنها مقدمة في عدد لا يصدق من التنسيقات.

الفكرة صحيحة ، ولكن من الصعب تنفيذها. يكمن تعقيد استخدام بيانات الماكينة في حقيقة أنه يتم تقديمها بعدد لا يصدق من التنسيقات ، وأن أدوات المراقبة والتحليل التقليدية ليست مصممة لمثل هذه البيانات المتنوعة أو سرعة استلامها أو حجمها أو تنوعها.

بدأت مع أنظمة SIEM وذكاء الأعمال ، وانتهى الأمر مع حلول Splunk.

عندما بدأت دراسة مدى قابلية تطبيق بيانات الماكينة قبل 10 سنوات ، بدأت تظهر حلول البرمجيات الخاصة بمعالجتها وتحليلها في السوق. في محاولة لإنشاء أفضل الأدوات في فئتها ، بدأ المطورون في تضييق نطاق موضوع تحليل بيانات الجهاز.

لذلك ظهرت ووصلت إلى مستوى عالٍ من النضج SIEM-system (المعلومات الأمنية وإدارة الأحداث). هذه هي منتجات البرمجيات في مجال أمن المعلومات (IS). إنهم يراقبون أنظمة المعلومات في الوقت الفعلي ، ويقومون بجمع وتحليل بيانات الماكينة المتعلقة بأمن المعلومات. يشمل نطاق أنظمة SIEM الخوادم وأجهزة الشبكة وأجهزة الاستشعار وأجهزة سطح المكتب والأجهزة المحمولة ، وأدوات أمن المعلومات ، والبنية التحتية للنظام والتطبيق.

أصبح فرع آخر من تحليل بيانات الماكينة أنظمة مراقبة البنية التحتية لتكنولوجيا المعلومات. ثالثًا - أنظمة ذكاء الأعمال (BI ، ذكاء الأعمال) ، وتحليل العمليات التجارية استنادًا إلى مجموعة من البيانات المتعلقة بنشاط الأعمال في المؤسسة.

ما هو جيد - لقد تحقق نجاح كبير في كل فرع من فروع تحليل بيانات الماكينة المدرجة ، وتم تقديم حلول ومنتجات لائقة إلى السوق. ما هو غير كبير - لقد أثبت تكامل الأنظمة غير المتجانسة لرصد البنية التحتية لتكنولوجيا المعلومات وتسجيل ومنع حوادث أمن المعلومات وتحليل العمليات التجارية أنه أمر معقد إلى حد ما ، يذكرنا أحيانًا "بعبور القنفذ والثعبان".

عندما تم التعرف على هذه المشكلة من قبل السوق ، وجه العديد من البائعين جهود مطوريهم لإنشاء نظام عالمي لتحليل بيانات الجهاز. وهذا هو ، النظام الذي سيكون وحده قادرًا على الإجابة على كلٍ من سؤال المدير المالي - "لماذا لدي مثل هذا الحمل غير المتكافئ من الخوادم" ، وسؤال المدير التنفيذي - "أي من عمليات الأعمال في المؤسسة تؤدي بنا إلى الربح ، والتي تؤدي إلى الإفلاس".

بشكل عام ، يوافق السوق على أن الحل الأكثر نجاحًا عالميًا لتحليل بيانات الماكينات قد اقترحته الشركة الأمريكية Splunk.

لقد حدث أن الحل العالمي الأكثر نجاحًا لتحليل بيانات الماكينات تم اقتراحه من قِبل الشركة الأمريكية Splunk. بينما يحتوي Splunk على منافسين مثل IBM و BMC Software و Microsoft و Quest Software ، بالإضافة إلى خيارات لتطبيق التحليلات على مكدس ELK مفتوح المصدر. ولكن حلول Splunk هي التي أصبحت رائدة السوق. Splunk Enterprise - أصبح المنتج ذو الوظيفة الأوسع معيارًا فعليًا في الصناعة لأنظمة تحليل بيانات الماكينة المتكاملة للمؤسسات الكبيرة.

قبل السوق منتجات Splunk ، أولاً وقبل كل شيء ، لمزيج ممتاز من سهولة التثبيت ، ومرونة التكوين ومجموعة متنوعة من الأدوات التحليلية. Splunk لديها نظامها البيئي الخاص دعا Splunkbase . هنا ، يقوم المطورون والعملاء من مجتمع Splunk بنشر العديد من الإضافات والإضافات التكنولوجية والتطبيقات التي تحل المهام المختلفة. على سبيل المثال ، يمكنك تنزيل التطبيقات هناك ، التي يقوم أحدها بجمع السجلات من أجهزة Cisco ، والثاني من أجهزة الشبكة الخاصة بمُصنع آخر ، إلخ. هذا التفاعل مفيد لكل من المطورين والعملاء.


منظر عام لشاشة Splunkbase. المصدر: Splunk


لقطات مقربة هي أمثلة عن الوظائف الإضافية والتطبيقات في Splunkbase. يشار إلى عدد التنزيلات كمقياس للشهرة. المصدر: Splunk

إذا بحثت قليلاً في النظام البيئي Splunkbase ، فيمكنك توضيح الاختلافات - يختلف التطبيق عن الوظيفة الإضافية في أن التطبيق يحتوي على واجهة رسومية. هذه هي اللوحات المرئية ، ولوحات المعلومات (الأوجه) ، والنماذج ، والمخططات التي تسمح لك بمشاهدة التحليلات على سؤال موجه إلى النظام في الواجهة الرسومية. يمكن للمستخدم بناء البحث والتحليلات على مجموعة متنوعة من المعلمات ، مع الخوض قدر الإمكان في الفاصل الزمني للأحداث لتحديد أسباب ما حدث.

تاريخ Splunk في روسيا مشرق ، ولكن لم يدم طويلا

منتج غني بالوظائف مثل Splunk لم يستطع جذب انتباه CIO للشركات الروسية الكبيرة. في الواقع ، كلما زاد حجم المؤسسة ، زادت صعوبة إدارة وتحديد العوامل التي تؤثر على أداء الأعمال ، واستقرار البنية التحتية لتكنولوجيا المعلومات وأدوات أمن المعلومات.


نظرة عامة على عرض حلول Splunk Enterprise ( https://www.volgablob.ru/ar/solutions/splunk ). المصدر: VolgaBlob

جاءت Splunk إلى روسيا في نهاية عام 2013 وبدأت في إنشاء شبكة تابعة وفقًا للمخطط الكلاسيكي - موزع ترخيص (RRC) وشركاء تنفيذ (VolgaBlob، TS Solution، Talmer). بالنظر إلى أن تكلفة ترخيص Splunk مرتفعة إلى حد ما ، وركز البائع على العملاء من الشركات الكبيرة (وكلهم يحسبون) ، كان عدد الشركاء قليلًا.

كانت VolgaBlob واحدة من أوائل الشركاء الذين بدأوا العمل مع حلول Splunk. إن السنوات العشر الماضية من الخبرة في تطوير وتخصيص وتنفيذ أدوات أمن المعلومات أصبحت في متناول اليد.

"لقد كنا لاعبًا ناضجًا في سوق الأمن السيبراني ، ولكن Splunk كان اكتشافًا حقيقيًا (!) بالنسبة لنا وتوقعات جديدة ومثيرة. لقد بدأنا في تطوير خبرتنا في مجال تحليل العمليات التجارية ، بما في ذلك في الواجهة مع IS ، وبناء مجموعات من الموصلات الفنية والتطبيقات في نظام Splunk البيئي وتقديمها جميعًا ضمن حالات مستخدمين محددين محددين للشركات على المستوى الاتحادي ، "يشارك الكسندر انطباعاته . Skakunov ، الرئيس التنفيذي لشركة VolgaBlob.

بحلول عام 2018 ، حيث تم الانتهاء من أكبر عدد من المشروعات القائمة على Splunk Enterprise في روسيا ، تضمن عدد العملاء الذين يستخدمون Splunk علامات تجارية مثل Rosneft و SUEK و Sberbank و Tinkoff Bank و MTS و Moscow Exchange و Megafon. تتويجا للأحداث - في 0 أكتوبر 2018 ، كان مؤتمر يوم Splunk Discovery Moscow Moscow 2018 مثيرًا للإعجاب من حيث عدد المشاركين ومستوى التقارير ، قاعة كاملة ومديري تقنية المعلومات من العديد من الشركات. أي من المشاركين قد اقترح بعد ذلك أنه في غضون 3 أشهر فقط ، سيكون للسوق مزاج مختلف تمامًا.


صورة من مؤتمر يوم اكتشاف Splunk في موسكو 2018. المصدر: avleonov.com

في 19 فبراير 2019 ، أعلنت Splunk عن خروج طارئ من السوق الروسية بشكل غير متوقع لمجتمع تكنولوجيا المعلومات لدينا. لم يتمكن الشركاء والعملاء الذين ظلوا في حيرة من قراءة البيان الصحفي غير الواضح على موقع البائع . في ذلك ، تم تفسير الانسحاب من روسيا بشكل غامض من خلال "أسباب الاستثمار". كل محاولات الشركاء للحصول على تفسيرات أكثر وضوحًا كانت عقيمة.

عانى الأحاسيس غير السارة ليس فقط من قبل شركاء Splunk ، ولكن أيضًا من قِبل العملاء الذين تم تعطيل وصولهم فجأة إلى حساباتهم. عندما تهدأ المشاعر بعد بضعة أيام ( راجع التفاصيل حول Habré ) ، قال Splunk أن العملاء الذين لديهم تراخيص صالحة يمكنهم استخدام حساباتهم حتى تنتهي صلاحية التراخيص ، ويمكن للشركاء الاستمرار في خدمتهم على مسؤوليتهم الخاصة ، ولكن دون مساعدة من بائع.

رواية المؤلف عن مغادرة Splunk لروسيا ، لكن من المحتمل أن كل شيء كان خطأ

في هذا القسم ، سيكون لدينا مانع للحرارة ، يوجد حتى اثنين منهم ، وكلاهما من Splunk هما Doug Merritt (الرئيس التنفيذي) وكاري بالين (CMO ، مدير التسويق).

لدى الشركات الأمريكية العامة قسم رائع من الموقع حيث يتعين عليهم الكشف عن الوضع الخاص بشؤون المستثمرين. هنا يمكنك معرفة ما يلي: 02/19/2019 ، عندما نشرت Splunk (SPLK ، NASDAQ) بيانًا حول مغادرة روسيا ، كان أول يوم عمل لكاري بالين ، CMO - تم تعيينها فقط. لكن قرار مغادرة روسيا ربما اتخذ قبل ذلك بقليل. على الأرجح ، كانت هناك مشاورات معها ، وكانت المفاوضات قبل يوم العمل الرسمي الأول وخفض التكاليف لمغادرة روسيا اقتراحها بـ "أفكار تسويقية جديدة" ، كما هو معتاد في مقابلات كبار المديرين.

الرئيس التنفيذي ، دوغ ميريت ، من الممكن أن تتم الموافقة على الفكرة ، ثم المدير المالي (Spl Financial) آنذاك ، Splunk ، الذي كان يضع اللمسات الأخيرة على إيقاعه في تلك اللحظة ويترك الشركة ، لم يعترض (على ما يبدو في مايو 2019 قاموا بتعيين CFO).

أي شخص يستثمر في السوق الأمريكية - أول شيء فعله هو النظر إليه - كيف كان رد فعل أسهم Splunk على مغادرة السوق الروسية؟ الجواب لا ، محايد (انظر الرسم البياني). يرتبط الانخفاض اللاحق في الأسهم اعتبارًا من 1 مارس 2019 بشركة Cisco - تم إلقاء نظرة من الداخل على أنهم قاموا ببيعها ، ثم لم يبيعوها (ولم يبيعوها حتى الآن).


SPLK الرسم البياني اليومي للسهم لربيع 2019. المصدر: Tradingview

يوضح الرسم البياني أن السبب المعلن رسميًا لمغادرة روسيا حول "التحسين للمستثمرين" لم يكن عذرًا بنسبة 100٪ ، ولكنه صحيح جزئيًا على الأقل. يمكنك أن تفهم منطقهم - كان منحنى نمو الأسهم في ذلك الوقت مثيرًا للإعجاب (وليس هناك ميزة في السوق الروسية في هذا - قام الاحتياطي الفيدرالي بضخ سوق الأسهم الأمريكية بالسيولة). في الوقت نفسه ، على نطاق Splunk ، لم تكن الأعمال التجارية في الاتحاد الروسي مرئية إلا من خلال مجهر (على الرغم من كل الجهود التي بذلها الشركاء في الاتحاد الروسي) ، وكان هناك الكثير من الضجة وفي أي وقت يمكن أن تحصل تحت توزيع الجزاءات (الذي كان يمثل خطرًا حقيقيًا في بداية عام 2019).

مثال عن منتج بديل للرعاية اللاحقة Splunk

على الرغم من أن Splunk لم يكن لها منافس مباشر في شكل حل تجاري في سوقنا ، إلا أن المطورين الروس حاولوا إجراء التناظرية التي تناسبهم على أساس مشاريع مفتوحة المصدر من ELK. وقد تم ذلك بشكل رئيسي في الشركات متوسطة الحجم التي لا تستطيع شراء Splunk. لكن هذه الممارسة لم تكن منتشرة ، لأن يتم الاحتفاظ بالمنتجات المكتوبة ذاتيا بحماس موظفين محددين ، ويتم التخلي عنها بعد مغادرتهم.

يوجد إصدار تجاري لـ ELK ، لكن في الاتحاد الروسي يكون الطلب في حده الأدنى وفي العديد من النواحي يتنافس مع البرمجيات الحرة.

ELK هو اختصار لثلاثة مشاريع مفتوحة المصدر Elasticsearch و Logstash و Kibana. هنا ، Elasticsearch هو البحث والتحليلات ، Logstash هو معالجة البيانات الآلية من عدة مصادر في نفس الوقت ، وكيبانا هو مشروع لإنشاء أدوات تصور النتائج من Elasticsearch و Logstash. على الرغم من أن ELK لم يكن يهدف في البداية إلى تحليل بيانات الماكينة ، إلا أنه سرعان ما بدأ استخدامه لمعالجة السجلات باستخدام طابع زمني.

لا يتعهد المؤلف بالكشف عن مصير جميع شركات تكنولوجيا المعلومات في روسيا المتعلقة بتنفيذ Splunk ، ولكن هناك قصة حكيمة - كيف حولت أحداث 2019 أعمال VolgaBlob ، شريك Splunk ، إلى أعمال تجارية.

كان لدى Volgablob ، وكذلك الشركاء السابقون الآخرون لشركة Splunk ، مكانتان في السوق بعد مغادرة البائع. الأول هو الاستمرار في خدمة العملاء من خلال التراخيص الحالية على منصة Splunk (ومن بينها الشركات التي لديها تراخيص دائمة) ، والثاني هو منح العملاء الذين يرغبون في الانتقال إلى منصة أخرى بديلاً يعتمد على منتج مفتوح المصدر.

كما تعلمون ، فإن أي أزمة ليست مجرد خسارة ، ولكن أيضًا فرص جديدة. تبين أن VolgaBlob في موقف صعب للغاية ، لأن إدخال وتخصيص حالات مستخدمي Splunk كانا مصدرهما المهم للطلبات وبالطبع العائدات. بدلاً من إيقاف العمل أو الانتقال إلى مجالات أخرى ، قاموا بإعادة تجميع الفريق وتوظيف مطورين جدد وبدأوا في سحب تطوير تطبيقاتهم من نظام Splunk إلى ELK.

"على مدار سنوات تواجد Splunk في السوق الروسية ، أنشأنا مجموعة تطبيقات الملكية الخاصة بنا لـ Splunk ، والتي أطلقنا عليها اسم Smart Monitor. يتم جمع هناك "الميزات" الأكثر طلبا من قبل العملاء الروس. يقول ألكسندر سكاكونوف: "عندما غادر البائع فجأة ، ساعدتنا الحكمة والرغبة في التنويع في اختيار منصة للعمل ببيانات الماكينة ، والتي تم عرضها في وقت واحد".

كما لو كان الرد على تعليق من Habr بشأن تقاعد البائع "... ربما هناك حرفيون سيصنعون بديلاً" ، فقد نجحت VolgaBlob في تنفيذ مجموعة من الأدوات التحليلية Smart Monitor في وقت قصير ، والتي تم تطويرها مسبقًا لـ Splunk ، ولكن الآن على منصة ELK. يسمى الحل الجديد Smart Monitor Open Source . لا يوجد أي نظام بيئي للتطبيقات من المطورين المستقلين الآخرين. ولكن هناك عدد غير قليل من وحدات جمع البيانات والتحليلات التي تم اختيارها من قبل الحالات الحالية من العملاء الحاليين ، أي طالب في السوق الروسية.

لأول مرة ، تم تقديم Smart Monitor Open Source في مؤتمر VB-Trend 2019: Plan> B ، والذي عقد في 13 نوفمبر 2019 في موسكو. في الاسم - الرغبة في تقديم منتج بديل والكشف عن البطاقات حول موضوع يقلق مئات الشركات في روسيا التي استخدمت Splunk سابقًا.

المؤلف لا يعتبر من الصحيح نسخ المواد من المؤتمر هنا. سيتعرف المتخصصون الذين يعملون في مجال تحليل بيانات الماكينة على المزيد حول منتج Splunk البديل على صفحات VB-Trend 2019. وأي شخص آخر ، بما في ذلك المؤلف ، يمكننا أن نكون سعداء للمطورين الروس.