Öffentliche und private Splunk-Apps über mehrere Splunk-Umgebungen hinweg effektiv zu verwalten, ist alles andere als einfach – es kostet jede Menge Zeit und Mühe und kann schnell in monotone Routine ausarten. Dieses Problem ist auch uns bei Splunk bewusst, und deshalb haben wir Splunk Cloud nach und nach um neue Funktionen erweitert, um das komplexe App-Management schrittweise zu vereinfachen.
Sicher erinnert ihr euch daran, dass die Installation einer Anwendung in einem beliebigen Splunk Cloud-Stack noch vor wenigen Monaten ziemlich umständlich war. Man musste ein Support-Ticket erstellen und reichlich Geduld aufbringen, da die Aufgabe oft erst nach Stunden oder sogar Tagen erledigt war. Dank der kürzlich eingeführten ACS-Features ist dieser zeitraubende Vorgang mittlerweile eine Sache von wenigen Minuten. Diese Neuerung ermöglicht ein nahtloses, effizientes Stack-Management per Self-Service. Damit ist der Splunk Cloud-Dienst seinem Anspruch, eine bessere User Experience und mehr betriebliche Effizienz zu bieten, ein gutes Stück nähergekommen.
Was jedoch immer noch fehlt, ist eine direkt in Splunk integrierte Methode zur Stack-übergreifenden Automatisierung und Ausführung dieses Prozesses. Diese Lücke konnten Managed Service Providers (MSPs) und Managed Security Service Providers (MSSPs) bislang nur mit einer selbst erstellten Lösung überbrücken.
Um eben diese Lücke zu schließen und so die Verwaltung von Splunk-Instanzen zu vereinfachen – ihr sollt euch schließlich voll und ganz auf die Datennutzung konzentrieren können –, habe ich App Content Manager for Splunk entwickelt.
Diese neue Splunkbase-Anwendung unterstützt unsere Partner und großen Splunk Cloud-Kundinnen und -Kunden beim Management umfangreicher App-Bereitstellungen. Davon dürften insbesondere MSSPs profitieren, denn diese können Apps nun über zahlreiche Splunk Cloud-Stacks hinweg effizient verwalten und Splunk Cloud nahtlos als Grundstruktur für ihre Aktivitäten integrieren.
Als intuitives, benutzerfreundliches Tool für das Content-Deployment soll die neue Anwendung also vor allem Komplexität reduzieren.
Mit App Content Manager for Splunk werden Administratoren zu Chefköchen: Sie stellen die Speisekarte zusammen (ganze Anwendungen oder nur einzelne Konfigurationen) und bestimmen, wann serviert wird (sofortige oder terminierte Bereitstellung) und wo (einzelne oder mehrere Stacks). Sie können sogar ganze Menüfolgen kreieren, indem sie Workflows für die Ausführung einer Reihe von Aktionen festlegen oder CI/CD-Pipelines nahtlos in GitHub integrieren.
App Content Manager for Splunk steht jetzt als Betaversion in Splunkbase zum Download bereit!
Die Anwendung umfasst im Wesentlichen vier Funktionen:
Servermanagement: Diese Funktion vereinfacht das Management von Splunk Cloud-Stacks, die beliebig hinzugefügt, bearbeitet, entfernt oder in Gruppen zusammengefasst werden können.
Die einzige Voraussetzung dafür ist ein gültiges Authentifizierungs-Token zum Herstellen der Kommunikation mit dem Splunk Cloud Stack.
Content-Management: In dieser Ansicht könnt ihr flexibel Splunk-Konfigurationen oder ganze Anwendungen zusammenstellen und anschließend eine der vordefinierten Verarbeitungsoptionen auswählen.
Bulk-Aktionen für mehrere Anwendungen bzw. Konfigurationen gleichzeitig werden automatisch ausgeführt, auch die Bereitstellung in diversen Stacks erfolgt automatisch.
Ein benutzerfreundlicher Assistent führt euch Schritt für Schritt durch die Auswahl des Contents und der Bereitstellungsziele. Danach könnt ihr eure Auswahl überprüfen und die Bereitstellung sofort vornehmen oder terminieren.
Vier Modi stehen euch zur Verfügung:
Export All (Basic): Hier könnt ihr Anwendungen auswählen und alle damit verbundenen Konfigurationen exportieren bzw. bereitstellen. Dies ist eine simple Methode, um beispielsweise eine größere Zahl von Apps in mehreren Splunk Cloud-Stacks bereitzustellen – in Wahrheit ein komplexer Vorgang, mit dessen Details ihr euch aber nicht herumplagen müsst. Alle nötigen Prüfschritte mittels AppInspect und die Ausführung der ACS-Endpunkte laufen automatisch ab und werden von ACM (App Content Manager) verwaltet.
Apps können aus drei Quellen ausgewählt werden: vom lokalen Managementknoten-Server, aus Splunkbase (sofern die Apps mit Splunk Cloud kompatibel sind) oder aus hochgeladenen .spl/tgz-Paketen.
Take a Slice (Intermediate): Bei dieser etwas anspruchsvolleren Methode wählt ihr eine oder mehrere Rollen für das Splunk-Bereitstellungsziel. ACM zerlegt alle ausgewählten Apps in benutzerdefinierte Teile, die nur rollenspezifische Konfigurationen enthalten. Anschließend könnt ihr generierte Apps exportieren, bereitstellen oder herunterladen.
Use-Case-Beispiel: Admins müssen mitunter mehrere Technologie-Add-ons (TAs) bereitstellen, aber gleichzeitig bestimmte Konfigurationen entfernen, um die App für den Zielserver zu optimieren. So könnte es etwa sein, dass bei der Bereitstellung auf der Search-Head-Ebene gewisse inputs.conf-Dateien gelöscht werden sollen.
Build your App (Advanced): Diese Funktion ist für fortgeschrittene Anwender und gibt euch die freie Wahl: Ihr könnt beliebige Konfigurationen aus vorhandenen Apps oder TAs auswählen, um eine ganz neue Anwendung nach euren Vorstellungen zu entwickeln.
Use-Case-Beispiel: In der Splunk-Umgebung haben User die Möglichkeit, über die Splunk-Benutzeroberfläche Wissensobjekte oder Konfigurationen zu erstellen, die zu verschiedenen Splunk-Anwendungen (Suche usw.) gehören können. Mithilfe der „Build your App“-Funktion können Admins solche Konfigurationen erfassen und ganz einfach gruppieren oder in Paketen zusammenfassen.
Patch Mode (Expert): Mit dieser Profi-Option könnt ihr einzelne Konfigurationen mithilfe von REST-APIs oder ACS-Features in Splunk Cloud bereitstellen. Admins haben die Wahl, ob sie die originalen Zugriffssteuerungslisten beibehalten oder für jeden Code-Abschnitt spezifische Berechtigungen oder Freigaben erstellen möchten. Use-Case-Beispiel: Korrelationssuchen für mehrere Instanzen lassen sich aktualisieren oder erstellen, indem Suchkonfigurationen an REST-Endpunkte gesendet werden. Dieses Feature basiert auf REST-APIs für Splunk Cloud. Die IP-Adresse eures Managementknoten-Servers muss auf der IP-Whitelist des Stacks stehen.
Überprüfung und Abgleich des Stack-Contents: Mit dieser Funktion können Administratoren alle in Splunk Cloud-Stacks installierten Anwendungen auflisten, deren Versionsnummer überprüfen und neuere Versionen von Splunkbase-Apps finden.
Ist mehr als ein Stack ausgewählt, wird der Vergleichsmodus aktiviert. Hier können Admins überprüfen, ob häufig genutzte Apps auf allen ausgewählten Stacks installiert sind und ob der Versionsstand aller Stacks einheitlich ist.
Außerdem kann der Vergleichsmodus die aktiven Konfigurationen von Apps aus verschiedenen Stacks nebeneinander anzeigen, sodass Inkonsistenzen schnell sichtbar werden.
Workflow-Management: Ein Workflow umfasst eine vordefinierte Reihe an Aktionen, die Anwender oder Administratoren erstellen und anpassen können. Anwender haben die Option, neue Workflows anzulegen, indem sie aus einer Bibliothek mit folgenden vordefinierten Aktionen auswählen:
Die Splunk-Plattform beseitigt die Hürden zwischen Daten und Handlungen, damit Observability-, IT- und Security-Teams in ihren Unternehmen für Sicherheit, Resilienz und Innovation sorgen können.
Splunk wurde 2003 gegründet und ist ein globales Unternehmen – mit mehr als 7.500 Mitarbeitern, derzeit über 1.020 Patenten und einer Verfügbarkeit in 21 Regionen rund um den Globus. Mit seiner offenen, erweiterbaren Datenplattform, die die gemeinsame Nutzung von Daten in beliebigen Umgebungen unterstützt, bietet Splunk allen Teams im Unternehmen für jede Interaktion und jeden Geschäftsprozess End-to-End-Transparenz mit Kontext. Bauen auch Sie eine starke Datenbasis auf – mit Splunk.