Central de atendimento · (047)30353777

Português pt English enEspañol es

Blog

Implantação Splunk: como fazer?

No post anterior, vimos o que é o Splunk e como essa ferramenta moderna de Big Data vem otimizando a inteligência operacional das empresas. 

Hoje vamos falar um pouco mais sobre o funcionamento por dentro do sistema, mais especificamente sobre o Splunk Enterprise, um dos produtos da marca, que captura, indexa e correlaciona os dados da empresa em tempo real. 

A arquitetura de dados por trás da implantação Splunk

Em primeiro lugar, o Splunk Enterprise consegue indexar qualquer tipo de dado textual vindo de qualquer fonte, sejam de máquinas virtuais, computadores, bases de dados, sensores e outros dispositivos. Ou seja, é um verdadeiro avanço no Big Data.

Na prática, a arquitetura básica de um cluster no Splunk Enterprise é dividida em três tipos de indexadores, que, como o nome afirma, têm o objetivo de indexar os dados:

  • Master Node;
  • Peer Node;
  • Search head. 

Cada cluster indexador é um grupo de indexadores (um grupo de nós) que apresenta réplicas dos dados – o que ajuda na prevenção da perda deles, além de promover a disponibilidade desses dados para pesquisa. 

Quem gerencia o cluster é o master node, pois ele coordena as atividades dos peer nodes (que recebem e indexam os dados) e informa aos search head onde estão os dados – ou seja, o search head gerencia as pesquisas nos peer nodes. 

Para que os dados consigam chegar às instâncias (aos indexadores) do Splunk Enterprise, a empresa disponibiliza outro programa para ser instalado e configurado em todas as máquinas onde os dados serão capturados – essas máquinas são chamadas, então, de fowarders


É muito simples configurar um cluster no Splunk. Basta designar na ferramenta o tipo de cada indexador, sendo necessário pelo menos um search head e um master node – e os demais indexadores são os peer nodes. E como o Splunk é altamente escalável, para expandir o cluster, basta adicionar mais peer nodes. 

Quanto aos repositórios do Splunk Enterprise, eles são chamados de índices. A ferramenta já vem com três índices por padrão (chamados de host, source e sourcetype), mas você pode criar outros através dos administradores da ferramenta para pré-definir o tamanho de acordo com o tipo de aplicação. 

A função dos índices é separar os dados pelo tempo em diretórios que são chamados de buckets

É justamente na fase de indexação dos dados que eles são transformados em eventos, sendo marcados com a informação do horário em que foram coletados (esse campo é chamado de timestamp ou _time) – como consequência, as pesquisas feitas com filtro de tempo ficam bem mais rápidas, o que é algo fundamental no Big Data. 

Outra característica do Splunk como plataforma de inteligência operacional é a criação de alertas, que podem, inclusive, ser recebidos por e-mail. Para criá-los, são necessárias algumas informações, tais como:

  • a pesquisa base;
  • os dias e horários em que essa pesquisa será efetuada;
  • o intervalo de tempo de dados que a pesquisa levará em conta;
  • as condições para o disparo de alertas;
  • quais ações serão executadas após o disparo. 

Observações e características do Splunk Enterprise

  • O Splunk é uma plataforma aberta com mais de 1.000 soluções disponíveis para resolver praticamente qualquer problema.
  • Como o Splunk Enterprise trabalha tanto com dados estruturados quanto não estruturados, a linguagem SQL não é adequada para a plataforma. Por isso, a própria marca criou uma linguagem específica para a utilização dos dados, chamada de SPL (Search Processing Language). 
  • Em sua empresa, pessoas de diferentes funções e departamentos podem aplicar uma lente diferente aos mesmos dados, obtendo respostas exatas às suas necessidades. Isso é fundamental para uma inteligência de negócios.
  • Como dissemos, o Splunk é altamente escalável, permitindo que novos dados sejam indexados à medida que a empresa cresce. Aqui na Indyxa, por exemplo, os nossos maiores clientes ingerem mais de 3 petabytes de dados por dia no Splunk.
  • Com o Splunk, é possível integrar o uso de Inteligência Artificial na empresa graças ao recurso de aprendizado de máquina, como a detecção de anomalias, bem como o agrupamento e a previsão de eventos – permitindo decisões bem mais fundamentadas.
  • A Indyxa também oferece uma solução híbrida para as empresas. O Splunk pode operar tanto em nossa nuvem ou na nuvem da sua empresa, além de poder ser operada na infraestrutura física de TI ou nas duas opções, de acordo com as suas necessidades.

Quer saber mais detalhes sobre a implantação Splunk e como essa plataforma de inteligência operacional pode ajudar no crescimento do seu negócio? 

Então fale agora mesmo com a equipe da Indyxa para uma consultoria personalizada sobre a implantação Splunk. Até a próxima!