Vor einigen Tagen veröffentlichte Splunk eine neue Version seiner Splunk 7.2-Plattform, die viele Innovationen zur Leistungsoptimierung einführte, darunter ein neues Datenspeicherungsschema, die Verwaltung der verwendeten Leistung und vieles mehr. Siehe Details unter dem Schnitt.
Smartstore
SmartStore ist eine neue Methode zum Verwalten von Data Warehouses in Splunk. Bisher wurden alle Daten in Indexern gespeichert, sodass die Daten für die Verarbeitung leicht zugänglich waren. Wenn das Volume erweitert werden muss, wurde dem Cluster ein neuer Indexer hinzugefügt. Dieses Modell eignet sich hervorragend für kleine bis mittlere Datenmengen. Wenn Sie mehr Daten hinzufügen, benötigen Sie nicht nur mehr Speicherplatz, sondern auch mehr Rechenleistung. Bei exponentiell wachsenden Datenmengen übersteigt die Nachfrage nach Speicher die Nachfrage nach schnellem Computing. Mit SmartStore können Sie Daten lokal auf Indexern oder Remote-Repositorys hosten. Die Verschiebung von Daten zwischen Indexern und Remotespeicher wird vom Cache-Manager gesteuert, der sich auf den Indexern befindet.
Mit SmartStore können Sie die Größe des Indexerspeichers auf ein Minimum reduzieren und die optimalen Rechenressourcen für E / A auswählen. Die meisten Daten werden auf einem Remotespeicher gespeichert, während der Indexer einen lokalen Cache enthält, der eine Mindestdatenmenge enthält: heiße Daten, Kopien der warmen Daten, die kürzlich an Suchvorgängen beteiligt waren.
Wann ist es am besten, SmartStore zu verwenden?- Infrastrukturkosten verlangsamen die Skalierbarkeit und begrenzen die Speicherzeit.
- Das Archivieren von Daten ist keine kostengünstige Lösung, da alte Daten (~ 1 Jahr) durchsuchbar sein sollten.
- Große Bereitstellung von Splunk, normalerweise mehr als ~ 10 Indexer.
- Die meisten (über 95%) Anfragen werden für die neuesten Daten ausgeführt (weniger als 90 Tage).
- Suchen nach älteren Daten (> 90 Tage) sind selten und eine langsame Suchleistung ist akzeptabel.
Workload-Management
Workload Management ist ein Mechanismus, der auf einer Systemressourcenreservierungsrichtlinie (CPU, Speicher) zum Herunterladen von Daten und Ausführen von Suchabfragen gemäß Geschäftsprioritäten basiert. Auf diese Weise können Administratoren Workloads in verschiedene Gruppen einteilen und Teile der Systemressourcen (CPU, Speicher) pro Workload-Gruppe reservieren, unabhängig von der Gesamtsystemlast.
Wann ist es besser zu verwenden?- Angabe der Priorität von Schlüsselanforderungen und -aufgaben;
- Begrenzung der Auswirkungen schwerer Suchanfragen auf die Gesamtleistung;
- Um Verzögerungen beim Laden von Daten aufgrund verbrauchter Suchressourcen zu vermeiden.
Splunk-Gesundheitsüberwachung in Echtzeit
Release 7.2 hat das Splunk-Tool zur Zustandsüberwachung erheblich erweitert. Der Health Report Manager ist jetzt verfügbar, über den Sie Funktionen aktivieren / deaktivieren und Schwellenwerte für einzelne Funktionen direkt über die grafische Oberfläche festlegen können.
Sie können Splunk-Gesundheitswarnungen auch per E-Mail, Telegramm, Slack usw. einrichten.
Metriken
Auch die Funktionen zum Arbeiten mit Metriken haben eine neue Ebene erreicht. Erstens ist ein völlig neues Tool zum Analysieren und Überwachen von Metriken ohne Verwendung von Suchabfragen erschienen -
Splunk Metrics Workspace . Es bietet eine benutzerfreundliche visuelle Analyseoberfläche. Sie können interaktive Visualisierungen im Arbeitsbereich erstellen und verschiedene Analysefunktionen ausführen, um sich ein Bild von den Indikatoren zu machen.
Analytische Operationen und Funktionen:- Aggregation
- Zeitvergleich - Überlagern Sie das vorherige Diagramm mit dem aktuellen Diagramm.
- Trennung - zeigt die Ergebnisse für eine bestimmte Messung.
- Filter - Einschluss oder Ausschluss bestimmter Ergebnisse.
Zweitens wurde es möglich, strukturierte und unstrukturierte Protokolle in Metriken umzuwandeln. Bisher gab es in Splunk zwei Hauptmethoden zum Empfangen von Metriken: Verwenden von Agenten wie statsd und collectd sowie Erstellen und Speichern von Daten mit mcollect. Mit der neuen Funktion "In
Metriken protokollieren" kann die Splunk-Plattform Protokolle mit Metrikdaten in diskrete Metrikdatenpunkte konvertieren. Sie können auch Kennzahlen definieren, die als Metriken extrahiert werden sollen, und eine schwarze Liste von Feldern erstellen, die nicht in Metrikdaten angezeigt werden sollen
MTLK 4.0
Mit der neuen Splunk-Version wird auch eine neue Version des Splunk Machine Learning Toolkit veröffentlicht. Wir haben früher über frühere Versionen von MTLK geschrieben und jetzt wollen wir sehen, was jetzt neu ist.
Integration:- Tensorflow
- Apache Funken
- Github
Neue Algorithmen:- LocalOutlierFactor
- MLP-Klassifikator
Algorithmusbewertung- Score-Funktion
- Kreuzvalidierung (Parameter kfold_cv)
Onboarding verwalteter Daten
Neue grafische Benutzeroberfläche mit Anleitung zum Laden von Daten, damit Splunk-Benutzer die wesentlichen Konzepte zum Abrufen von Daten aus verschiedenen Quellen in Splunk verstehen.
Docker-Unterstützung
Mit der Veröffentlichung von Enterprise 7.2 können Splunk-Benutzer Splunk jetzt in einem Docker-Container bereitstellen. Ein Container ist ein leichtes Softwarepaket, das Anwendungscode mit der Laufzeit, Tools, Systembibliotheken und Umgebungseinstellungen kombiniert, die für seine Ausführung erforderlich sind. Auf diese Weise können Sie Anwendungen von der Umgebung abstrahieren, in der sie ausgeführt werden, sie von anderen Anwendungen isolieren und die Skalierung vereinfachen.
Dunkle Schnittstelle
Ja Ja! Jetzt können Sie das von Splunk-Designern entwickelte dunkle Thema in Ihren Dashboards verwenden. Früher war es natürlich auch möglich, den dunklen Hintergrund des Dashboards mithilfe von CSS anzupassen. Damit das Thema jedoch normal aussieht, musste für alle Elemente eine Farbpalette ausgewählt und hinzugefügt werden, was ziemlich trostlos ist. Jetzt wird dieses Problem mit einem Klick auf eine Schaltfläche behoben.
Für eine eingehende Untersuchung aller neuen Funktionen sollten Sie die
Splunk Enterprise 7.2-Übersichtsanwendung installieren und das
offizielle Release-
Video ansehen.
