Splunk

1. Splunk 소개
   1. Splunk Enterprise는 고객 클릭스트림과 트랜잭션에서 네트워크 활동 및 호출 기록에 이르기까지 모든 것을 모니터링하고 분석하여 머신 데이터(machine data)를 가치 있는 통찰력으로 변환
   2. 시간이나 일 단위가 아니라 분 단위로 문제를 해결하고 보안 사고를 조사
   3. 전체적인 인프라를 모니터링하여 서비스 품질 저하 또는 중단을 방지
   4. 고객 만족도, 트랜잭션 및 행동으로부터 실시간 가시성을 확보
   
   
2. 기능 / 특징
   1. 모든 소스의 모든 데이터 처리
      1. 모든 머신 생성 데이터[1]를 소스 또는 위치에 관계없이 실시간으로 수집하고 인덱싱
         • [1]기성 애플리케이션, ?춤 애플리케이션, 애플리케이션 서버, 웹 서버 데이터베이스, 네트워크, 가상 머신, 정보통신 장비, 운영 체제, 센서 등 매우 다양한 소스에서 스트리밍 되는 데이터
      2. 처리할 데이터만 알려주면 수집과 인덱싱이 즉시 시작되므로 사용자는 바로 검색과 분석을 시작 가능
         
   2. 원격 소스에서 데이터 수집
      1. 수만개의 소스에서 안전하고 신뢰할 수 있는 방식으로 데이터를 실시간으로 수집
      2. 로컬 데이터 소스(애플리케이션, 센서, 엔드포인트 장치)를 모니터링하고, 일정에 따라 상태 명령의 출력을 수집하며, 가상 또는 비가상 소스에서 성능 메트릭을 확보하고, 파일 시스템에서 구성, 권한 및 특성 변경을 감시
      3. Forwarder는 중앙 관리 방식의 경량형 장치로, 추가 비용 없이 빠르게 배포 가능
         
         
         
         
         
         
         
   3. 복잡한 이벤트 상관
      1. 작업 환경의 다양한 데이터 소스에서 파생되는 복잡한 이벤트를 상관 가능
      2. 이벤트 상관을 통해 머신 데이터(machine data)에서 더욱 풍부한 분석과 통찰력을 획득
      3. 상관 유형
         • 시간 기반 상관은 시간, 근접성 또는 거리를 기반으로 관계를 식별
         • 트랜잭션 기반 상관은 일련의 관련 이벤트를 단일 트랜잭션으로 추적하여 기간, 상태 또는 기타 분석을 측정
         • 하위 검색은 한 검색의 결과를 가져와서 다른 검색에 사용
         • 룩업은 머신 데이터(machine data)를 Splunk Enterprise 외부의 데이터 소스와 상관
         • 조인은 SQL과 유사한 내부 및 외부 조인을 지원
           
   4. 앤터프라이즈급 가용성 및 규모
      1. 확장하여 매일 수백 테라바이트의 데이터를 수집하고 인덱싱 가능
      2. 데이터로부터 미션 크리티컬한 통찰력을 얻을 수 있기 때문에 Splunk Enterprise 클러스터링 및 다중 사이트 클러스터링 기술은 지속적인 가용성을 제공
      3. 단일 서버 또는 사이트가 중단되더라도 머신 데이터(machine data)로부터 중요한 통찰력을 획득
      4. 자동 부하 분산은 워크로드와 응답 시간을 최적화하고 기본 페일오버를 지원
      5. 즉시 사용 가능한 보고서 작성 및 분석 기능을 통해 데이터로부터 통찰력을 신속히 획득
         
         
         
         
         
   5. 진정한 데이터 플랫폼
      
      데이터가 일반 데이터베이스, 데이터베이스 또는 Hadoop 중 어디에 있거나 관계 없이 Splunk Enterprise를 이용하면 모든 저장소를 연결하여 머신 데이터(machine data)를 조직의 다른 데이터와 통합하여 보다 강력한 통찰력을 제공
      
      
   6. 데이터센터에서 클라우드로의 가시성
      
      1. 분산형 아키텍처를 사용하면 사내의 단일 사이트나 다중 사이트 또는 클라우드의 여러 Splunk Enterprise 환경에서 검색 및 보고서를 실행 가능
      2. 역할 기반 액세스를 통해 데이터 위치에 상관없이 지정된 사용자의 검색 범위를 통제
      3. 데이터에서 필요한 가시성과 인텔리전스를 한 장소에서 모두 확보
      4. Splunk Enterprise 설치를 안전하게 연결하는 데 몇 분 밖에 걸리지 않으므로 관리 가능한 엔터프라이즈 데이터 구조를 설계
         
         
         
         
         
         
   7. 세분화된 역할 기반 보안 제공
      1. 기본적으로 강력한 보안 모델이며, 안전한 데이터 처리, 역할 기반 액세스 제어, 감사(audit) 기능 및 데이터 무결성 보장 등의 기능을 제공
      2. 웹 사용자 인터페이스 및 명령줄 인터페이스를 통한 사용자 작업, Splunk Enterprise API를 통한 시스템 작업을 비롯한 모든 Splunk Enterprise 트랜잭션이 인증
      3. 사용자 유형별로 사용자 역할 및 기능을 쉽게 정의하고 Microsoft® Active Directory와 같은 LDAP 호환 디렉터리와 통합하여 전사적 보안 정책을 준수하고 SSO(Single Sign-On)를 지원
      4. 세분화된 역할 기반 액세스 제어는 중요한 머신 데이터(machine data)에 대한 액세스를 차단
         
         
         
         
         
         
   8. 기업 개발자용 플랫폼
      
      1. 개발자는 전체 제품 개발 라이프사이클에서 환경 코드 체크인 및 빌드 서버 모니터링부터 실시간 프로덕션 문제 확인, 애플리케이션 사용 및 사용자 환경설정에서 가치 있는 통찰력 확보에 이르기까지 운영 인텔리전스를 활용
      2. 개발자는 Splunk Web Framework를 통해 JavaScript 및 Django 등과 같은 익숙한 도구와 언어를 사용하여 사용자 지정 대시보드, 유연한 UI 및 사용자 지정 데이터 시각화가 포함된 Splunk 앱을 작성
      3. SDK(Software Development Kits) for Java, JavaScript, C#, Python, PHP 및 Ruby를 사용하여 Splunk Enterprise와 다른 애플리케이션 및 시스템을 신속히 통합함으로써 데이터의 가치를 극대화
      4. Splunk Enterprise에서 앱을 개발하거나 머신 데이터(machine data) 통찰력을 통합하는 것은 최신 웹 애플리케이션을 작성
         
         
         
         
         
         
3. 무료 사용
   1. 60일간 사용 가능한 Splunk Enterprise 라이선스를 받고 하루 최대 500MB까지 인덱싱 가능
   2. 60일 후 Enterprise 라이선스를 구입하지 않으면 무료 라이선스로 됨
   3. 라이선스 비교 테이블
      
      
      

      Feature	Description	Splunk Free	Splunk Enterprise
      Indexing Volume	Maximum indexing volume per day	500MB/day	Unlimited (according to license)
      Universal Indexing	Universal real-time indexing of machine data	O	O
      Search	Ad hoc search across real-time and historical data	O	O
      Distributed Search	Search across multiple Splunk deployments; supports load balancing and failover		O
      Monitoring & Alerting	Monitor and alert for individual and correlated real-time events		O
      Reporting	Ad hoc reports across real-time and historical data	O	O
      Knowledge Mapping	Knowledge mapped to machine data artifacts	O	O
      Dashboards	Highly customizable and interactive dashboards integrating real-time machine data and charts, reports and tables	O	O
      Data Model	Used to define consistent relationships in machine data	O	O
      Pivot	Drag-and-drop UI to explore, manipulate and visualize machine data	O	O
      High Performance Analytics Store	High performance analytics technology		O
      Report Acceleration	Transparent data summarization technology		O
      Embedded Reports	Embed charts and reports in other third-party business applications external to Splunk Enterprise	O	O
      PDF Delivery	Scheduled and automated PDF generation and delivery of reports and dashboards		O
      Access Control and Single Sign-On	Integrated role-based access control and user authentication with LDAP directory and single sign-on integration		O
      Single-site Clustering	High availability architecture for machine data availability in a single site deployment		O
      Single-site Cluster Management	Centralized dashboard reporting on the health of clusters		O
      Multi-site Clustering	High availability architecture for disaster recovery in a multi-site deployment		O
      Universal Forwarder	Forwarding of data securely and reliably from remote systems in real time	O	O
      Forwarder Management	UI for monitoring and deploying Forwarder configurations	O	O
      Rich Developer Environment	Developer platform for building enterprise apps that leverage Splunk modern web languages	O	O
      Apps	Access to hundreds of partner, community and Splunk apps from the Splunk apps website	O	O
      Premium Apps	Access to premium Splunk apps from the		O
      Standard Support	Access full product documentation, Splunk apps, Splunk Answers and IRC channel	O	O
      Enterprise Support	Direct access to Splunk Customer Support, ability to manage cases online, tailored support levels		O

      
      
4. Enterprise 가격 정책
   1. 모든 기능을 사용할 수 있는 Enterprise 버전의 경우 일일 기준으로 인덱스화되는 데이터의 양에 따라 가격이 결정
      
      
   2. 추가 비용 없이 원하는 모든 사람이 소프트웨어를 사용하여 검색 및 경고, 상관관계, 보고서, 대시보드를 만들 수 있으며 필요한 수정 조치까지 자동화 가능 
      1. 사용자 수를 무시
         
      2. CPU, 코어, 노드 수 무시
      3. 데이터 소스, 유형 무시
      4. 검색, 경고 횟수 및 검색된 데이터 볼륨 무시
      5. Splunk에 저장한 전체 데이터 양 무시
   3. 구매 할인
      1. 많은 데이터를 처리할수록 즉 일일 인덱싱 수준이 높을 수록 구매 할인 비율이 높음
      2. Enterprise 소프트웨어 비용
         
   4. 라이선싱 방식
      1. 영구 라이선스: 1GB/일 인덱싱을 $4,500으로 시작
      2. 기간 라이선스: 1GB/일 인덱싱을 $1,800으로 시작하여 매년 지불
      3. 가격은 매일 인덱싱할 데이터 양에 의해 결정
      4. 매일 인덱싱할 데이터 양이 증가함에 따라 가격도 증가
      5. 증가 방식에 대한 상세 내용은 온라인 세일즈 팀에 문의
   5. 유연성
      1. 지정된 일일 인덱싱 용량을 월 기눈 최대 5회까지 초과 가능
      2. 매 초과 시마다 경고 메세지를 받지만 데이터는 계속 인덱스화되며 모든 기능을 그대로 사용 가능
      3. 사용자가 일일 라이선싱 한계를 한 달에 5회 이상 초과하는 경우, 모든 데이터는 계속 수집되고 인덱스화되지만 Splunk의 검색 및 기타 기능을 사용하려면 Splunk로 문의하여 라이선스 용량을 늘려야 함
         
         
   6. 가치
      1. 라이선스 크기와 상관 없이 Splunk 고객은 거부할 수 없을 정도의 높은 ROI를 달성
      2. 그 가치를 몇 개월이나 몇 년이 아닌 며칠에서 몇 주 안에 실현
      3. ROI는 종종 비용 절감, 수익 증대 및 정확한 사업 예측 능력과 같은 다양한 운영 및 재정적 혜택을 통해 올라감
      4. 고객 ROI 사례 연구에 대한 예: http://ko.splunk.com/view/splunk-roi/SP-CAAAFVN
5. 참고 자료
   
   http://www.splunk.com/