Modernização de plataformas Splunk com dados VAST
A modernização das plataformas Splunk com armazenamento universal de dados VAST é uma maneira de aumentar a eficiência do armazenamento Splunk sem afetar substancialmente o tempo médio de execução de pesquisa ou a taxa de ingestão do indexador.
Splunk Enterprise é uma plataforma de software amplamente utilizada para monitoramento, pesquisa, análise e visualização de dados. Ela captura, indexa e correlaciona quantidades maciças de dados em um contêiner pesquisável e produz gráficos, alertas, painéis e visualizações. No início de 2018, a Intel IT construiu uma plataforma de inteligência cibernética (CIP) baseada em Splunk e Apache Kafka. A plataforma ingere dados de centenas de fontes e ferramentas de segurança, fornecendo visibilidade rica em contexto e uma superfície de trabalho comum, diminuindo o tempo necessário para identificar e responder às ameaças cibernéticas sofisticadas.
Muitas vezes, o Splunk é implantado em infraestrutura convergida de alto desempenho. Esta abordagem pode ser cara se os indexadores Splunk (servidores) forem projetados com SSDs para armazenar dados “quentes” e “frios”. Uma infraestrutura convergida também pode permitir a adição de indexadores Splunk simplesmente para aumentar a capacidade de armazenamento de dados. Uma alternativa óbvia é desagregar a computação do armazenamento. No entanto, a infraestrutura desagregada pode causar impactos negativos no desempenho, tanto para os tempos de execução de pesquisa Splunk, quanto para as taxas de ingestão de dados.
O armazenamento universal de dados VAST oferece uma solução exclusiva para desagregar as plataformas Splunk. Os dados VAST usam algoritmos avançados de redução de dados e SSDs Intel® Optane™ para reduzir os requisitos de armazenamento de dados Splunk sem sacrificar o desempenho. A Intel IT testou um invólucro de armazenamento totalmente flash de dados VAST com alta cardinalidade da Intel IT, dados de produção e tamanho de dados Splunk reduzido em 2,5 vezes. O tempo médio de execução de pesquisa Splunk foi degradado em apenas três por cento, enquanto os indexadores Splunk mostraram uma mera redução de 10 por cento na taxa de ingestão de dados. O armazenamento universal de dados VAST pode reduzir os requisitos de capacidade de armazenamento frio do Splunk e permitir o escalonamento independente de computação e armazenamento.
Nossos testes demonstraram os benefícios comerciais da modernização das plataformas Splunk com dados VAST:
- Reduzir as necessidades de armazenamento de dados. O armazenamento universal de dados VAST pode reduzir significativamente as necessidades de armazenamento e custos da organização com armazenamento, com impacto mínimo para o tempo de execução da pesquisa e taxas de ingestão de dados do indexador.
- Melhorar a eficiência operacional. Petabytes de dados podem residir em menos da metade de um rack de data center.
- Escalonamento de computação e armazenamento de forma independe. Isso permite que as organizações atendam a demandas de armazenamento maciço sem infraestrutura de computação adicional.
A Intel IT está sempre procurando novos recursos para gerenciar nossas plataformas de dados com eficácia, enquanto minimiza nosso custo total de propriedade. Precisamos de agilidade para acrescentar novos usuários com facilidade e, ao mesmo tempo, adicionar e remover aplicativos. Também precisamos da capacidade de ampliação para suportar novas fontes de dados, bem como maior volume de dados, para casos de uso em tempo real e no longo prazo. A plataforma de inteligência cibernética da Intel (CIP), baseada em Splunk e Kafka, é uma dessas plataformas em evolução. Nossa prova de conceito demonstrou que a solução de armazenamento universal de dados VAST pode ajudar a TI a alcançar economia de armazenamento com nível de disco rígido sem sacrificar o desempenho.