Frank Böning provozierte die Besucher der Veranstaltung in seiner Eröffnungsrede mit der Feststellung: "In den meisten Unternehmen ist der Data Lake nur eine Ablagestelle für Daten". Splunks Vice President Central Europe vermied das Wort Müllhalde und führte aus, dass in den Data Lakes Daten aus unterschiedlichen Quellen zusammenliefen, mit denen die Unternehmen meist wenig anzufangen wüssten.
Splunk bemühe sich gar nicht erst darum, diese Daten zu organisieren. "Wir wissen zu Beginn noch gar nicht, welche Fragen wir an unseren Datenbestand richten werden. Deshalb werden bei uns erst zum Zeitpunkt einer konkreten Anfrage die dafür erforderlichen Daten strukturiert. Das ist unser USP und nicht irgendeine zentralistische Art der Aggregation."
Böning beschrieb auf der Münchner Konferenz das vierstufige Verfahren zur Bearbeitung großer heterogener Datenmengen, das Splunk verfolge: Investigate, Monitor, Analyze und Automate/Act. Sein Kollege Matthias Maier, EMEA-weit für das Produkt-Marketing verantwortlich, ergänzte im Gespräch mit der COMPUTERWOCHE, Splunks Fokus liege auf dem Bereich Investigate, also dem gezielten Recherchieren in aggregierten, unstrukturierten Datenbeständen - insbesondere in Logfiles und Sensordaten.
Maier erklärte das am Beispiel der IT-Sicherheit, einem der Haupteinsatzgebiete von Splunks Lösungen: "Jeder CIO weiß heute, dass er eines Tages Opfer eines Cyberangriffs werden wird. Aber die Möglichkeit, sehr schnell die Root Causes zu finden, indem er in die Logs reinschaut, hilft ihm, das Problem frühzeitig in den Griff zu bekommen."
Interesse an Splunk? Lesen Sie auch:
Porsche analysiert Portalnutzung und Lieferantenkommunikation
Welche Vorteile es für Unternehmen bringen kann, gezielt unstrukturierte Daten für bestimmte Problemstellungen auszuwerten, zeigten auf der Veranstaltung verschiedene Anwendervorträge. Berkin Aksoy, Service Expert Splunk bei der Porsche AG, beschrieb die Konstellation beim schwäbischen Sportwagenbauer, wo ein kleines Team die Splunk-Plattform betreibe, auf der mittlerweile bis zu 350 Nutzer aus verschiedenen Unternehmensbereichen ihre Use Cases verfolgten. Ziel sei es, eine Splunk-Community aufzubauen und die Anzahl der Projekte ständig zu erhöhen. "Wir hatten ein Riesen-Verbesserungspotenzial in Hinblick auf Log Files. Heute haben wir strukturierte und aufgeräumte Log-Daten, mit denen wir arbeiten können."
Was dabei konkret herauskommt, zeigte Aksoy am Projekt "Standard Reporting": Porsche erhob bislang auf manuelle, durchaus fehleranfällige Art Kennzahlen über sein weltweit genutztes Unternehmensportal. Ausgewertet wurden dabei beispielsweise Login-Zahlen, die CPU-Auslastung oder die Nutzung der jeweils bereitgestellten Applikationen. Diesen Report erstellten die Datenspezialisten bislang Monat für Monat von Hand. "Wir hatten viele Schnittstellen und haben ganz unterschiedliche Technologien genutzt. Wir waren in der Performance-Auswertung eingeschränkt, weil wir sie manuell betrieben haben. Echtzeit-Analysen waren nicht möglich", so Aksoy.
Jetzt komme dafür die Splunk-Plattform zum Einsatz, die Porsche eine automatisierte Auswertung in Echtzeit ermögliche und das Hinzufügen ständig neuer individueller Dashboards erlaube. "Wir konnten zum Beispiel zeigen, wie viele Nutzer über welche Applikation und Server auf das Portal zugreifen." Auch die Visualisierung der Analyseergebnisse habe sich verbessert.
Aksoy nannte als zweiten Use-Case bei Porsche das "End-to-End-Monitoring" in der Produktion. Porsche schicke permanent Messages mit Informationen über benötigte Fahrzeugteile an Lieferanten, ebenso gebe es umgekehrt Nachrichten, die von den Lieferanten an Porsche gesendet würden. Diese Messages können laut Aksoy inhaltliche oder technische Fehler enthalten. "Mit Splunk können wir die Fehler in Echtzeit sehen, was zu einer enormen Kosten- und Arbeitsersparnis geführt hat. In der Praxis ist es ja häufig so, dass man zwar sieht, dass ein Fehler stattfindet, aber nicht, wo das der Fall ist. Jetzt sehe man auch das. Wir haben eine plattformübergreifende Lösung geschaffen und als Resultat mehr Transparenz bekommen."
Bei Porsche hat man sich vorgenommen, Log- und Sensordaten viel konsequenter zu nutzen und die Datenplattform im Konzern peu à peu weiter auszurollen. "Wir wollen auch die Optionen bezüglich Machine Learning, Mobile, Mixed Reality, Spracherkennung und die Business Flow App nutzen", sagte der Porsche-Mann. Schließlich gehe es nicht nur darum, Fehler in Realtime zu erkennen, man wolle sie auch proaktiv vermeiden.
Wacker Chemie startete im IT-Security-Bereich
Ein zweiter Vorzeigekunde, der sich auf der Splunk Live präsentierte, war Wacker Chemie aus Burghausen. Das Unternehmen entschied sich 2016 dafür, bei der IT-Sicherheit aufzurüsten und im Zuge dessen nicht nur mehr Geld für Tools auszugeben, sondern auch den Personalstamm in diesem Bereich von zwei auf acht Personen aufzustocken. "Bei uns ist Splunk aus der IT-Security heraus ins Unternehmen hineingewachsen", sagte Wolfgang Plank, Senior IT Security Engineer. Die Architektur sei daher so geplant worden, dass ein Ausbau in andere Bereiche möglich blieb.
Wacker Chemie begann klein, mit dem Auswerten von Firewall-Logs, was nicht so schwierig gewesen sei, weil Splunk die meisten Firewalls out of the box unterstütze. Man habe dann den Scope nach und nach ausgeweitet: "Wir haben E-Mail-Security-Appliances reingeholt, auch die Netzwerk-Linux-Server - das war so ein Beifang, den haben sich unsere Netzwerker gewünscht." 2017 sei es dann in die nächste Ausbaustufe gegangen mit einer Web-Application Firewall, einem Vulnerability Scanner und einer OT-Firewall. "Auch die Produktion spricht ja mit dem Internet", so Plank, "da macht es viel Sinn zu schauen, was dort passiert."
Im vergangenen Jahr ging Wacker Chemie dann mit der Analyse von Active-Directory- und- Antivirus-Logs noch weiter in die Breite: "Gerade das Active Directory ist ein schöner Informationstopf, ich kann jedem nur empfehlen, das mit einzusammeln", sagte Plank. Inzwischen sei man mit den Splunk-Vorhaben in der bislang interessantesten Ausbaustufe angelangt, in der es gelte, "den Daten Kontext zu geben". Diesen Kontext bekomme man aus einer gut gepflegten, aktuellen Configuration Management Database (CMDB). Nun könne man Datenbank-Server, SAP-Systeme, Gateways oder auch Cluster identifizieren und eine bestimmte Kritikalität zuweisen.
Wacker Chemie wolle noch einen Schritt weiter gehen in Richtung proaktiver Analyse und automatisierter Problembeseitigung. Incident Response oder das Handling von Phishing-Attacken sind laut Plank geeignete Einsatzgebiete. Ein Framework dafür sei geschaffen worden, jetzt komme es auf die Fähigkeit an zu korrelieren, also beispielsweise Muster in niedrig priorisierten Alarmen zu erkennen, weil diese im großen Zusammenhang möglicherweise ein anderes Bild ergeben.
Ähnlich wie Porsche hat auch Wacker Chemie klein angefangen mit dem Sammeln, Ordnen und Auswerten von Log-Dateien. Doch nun soll die Plattform wachsen, immer mehr Use Cases sollen mit Splunk abgebildet werden. "Ich musste aufpassen, nicht zu sehr zu missionieren", nennt Plank eine Lektion, die er gelernt hat. Man laufe Gefahr, die Kollegen zu überrennen, was dann Ablehnung zur Folge haben könne. Deswegen biete er manchen Abteilungen an, ihre bestehende Tool-Welt nicht zu verlassen und den Splunk-Spezialisten einfach die gesammelten Log-Daten zwecks Auswertung zuzusenden. Dann könnten die Datenprofis damit arbeiten und die - hoffentlich überzeugenden - Ergebnisse in die Teams zurücksenden.
Deutsche Post DHL ordnet Paketlogistik in Fernost
Last, but not least gab auch Peter Schulz-Rittich, Vice-President Product Management bei der Deutschen Post DHL, seine Eindrücke vom Splunk-Einsatz wieder - diesmal aus der Perspektive eines großen Konzerns. Hier entstand der Use Case nicht aus der IT heraus, sondern aus dem Business. Es ging um den Neuaufbau der Paketlogistik in den fernöstlichen Ländern Thailand, Malaysia und Vietnam, wo die Deutsche Post DHL 2016 praktisch auf der grünen Wiese angefangen und dann sehr schnell gewachsen sei.
Der Paketdienst lebt grundsätzlich von transparenten und datengestützten Prozessen, hat hier also eigentlich kein Problem, zumal viele Daten schon mit der Aufgabe eines Pakets vorhanden sind: Gewicht, Versendeverfahren, gegebenenfalls Inhaltsinformationen etc. "Dadurch, dass wir bei Null anfingen, waren die Prozesse in diesen neuen Regionen aber teilweise noch handgestrickt und wurden nicht vernünftig unterstützt. Wir hatten anfangs keine besonders gute Transparenz und keine Kennzahlen, die man braucht, um eine hochqualitativen Logistikprozess möglich zu machen." Schulz-Rittich blickt mit einem Schmunzeln auf die Pionierphase zurück: "Ein Kollege sagte mal, was wir dort machen ist Excel-Weitwurf."
"Wir brauchten eine Lösung, die uns das Ganze auf saubere Füße stellt und automatisiert. Außerdem sollte sie skalierbar sein und hochgranular. So sind wir zu Splunk gekommen." Der Mann von der Post berichtete, wie ein crossfunktional zusammengesetztes Team klein und schnell startete, "orientiert am Business Value." Heute sei man viel weiter, bilde laufend lokal Power-User aus und verfolge einen Community-Ansatz, um das Wissen schnell zu skalieren. Die Splunk-Plattform hat die Post DHL an einen Dienstleister outgesourct, der Datensicherheit und -schutz gewährleisten könne. "Wir wollen uns darauf konzentrieren, mehr Use Cases zu entwickeln. Das machen unsere Operations Analysts, Finance Analysts und Sales-Experten direkt vor Ort in den Regionen."
Schulz-Rittich zeigte sich zufrieden damit, wie weit der Konzern inzwischen mit der "Demokratisierung von Daten" gekommen sei. "Ich habe 15 Power User in Thailand ausgebildet, das hat gut funktioniert. Schon nach vier Tagen konnten zwei Drittel einfache Dashboards bauen." Splunk werde jetzt intern zur Skalierung bereitgestellt, um das Data-driven Unternehmen voranzutreiben. Die Geschäftsbereiche könnten damit ihren eigenen Business Case entwickeln. Über die Community nehme das Ganze Fahrt auf. "Wir konnten die Kollegen von der Plattform und auch von der Search Processing Language überzeugen - vor allem von der Geschwindigkeit in der Umsetzung."