Müde von monotonen Routinen? Dann skaliert euren Splunk Cloud-Betrieb – mit der Splunk Content Manager App!

Die Evolution des Splunk Cloud Service: vereinfachtes App-Management und mehr betriebliche Effizienz

Öffentliche und private Splunk-Apps über mehrere Splunk-Umgebungen hinweg effektiv zu verwalten, ist alles andere als einfach – es kostet jede Menge Zeit und Mühe und kann schnell in monotone Routine ausarten. Dieses Problem ist auch uns bei Splunk bewusst, und deshalb haben wir Splunk Cloud nach und nach um neue Funktionen erweitert, um das komplexe App-Management schrittweise zu vereinfachen.

Sicher erinnert ihr euch daran, dass die Installation einer Anwendung in einem beliebigen Splunk Cloud-Stack noch vor wenigen Monaten ziemlich umständlich war. Man musste ein Support-Ticket erstellen und reichlich Geduld aufbringen, da die Aufgabe oft erst nach Stunden oder sogar Tagen erledigt war. Dank der kürzlich eingeführten ACS-Features ist dieser zeitraubende Vorgang mittlerweile eine Sache von wenigen Minuten. Diese Neuerung ermöglicht ein nahtloses, effizientes Stack-Management per Self-Service. Damit ist der Splunk Cloud-Dienst seinem Anspruch, eine bessere User Experience und mehr betriebliche Effizienz zu bieten, ein gutes Stück nähergekommen.
Was jedoch immer noch fehlt, ist eine direkt in Splunk integrierte Methode zur Stack-übergreifenden Automatisierung und Ausführung dieses Prozesses. Diese Lücke konnten Managed Service Providers (MSPs) und Managed Security Service Providers (MSSPs) bislang nur mit einer selbst erstellten Lösung überbrücken.

Vorhang auf für App Content Manager for Splunk

Um eben diese Lücke zu schließen und so die Verwaltung von Splunk-Instanzen zu vereinfachen – ihr sollt euch schließlich voll und ganz auf die Datennutzung konzentrieren können –, habe ich App Content Manager for Splunk entwickelt.
Diese neue Splunkbase-Anwendung unterstützt unsere Partner und großen Splunk Cloud-Kundinnen und -Kunden beim Management umfangreicher App-Bereitstellungen. Davon dürften insbesondere MSSPs profitieren, denn diese können Apps nun über zahlreiche Splunk Cloud-Stacks hinweg effizient verwalten und Splunk Cloud nahtlos als Grundstruktur für ihre Aktivitäten integrieren.

Als intuitives, benutzerfreundliches Tool für das Content-Deployment soll die neue Anwendung also vor allem Komplexität reduzieren.

Mit App Content Manager for Splunk werden Administratoren zu Chefköchen: Sie stellen die Speisekarte zusammen (ganze Anwendungen oder nur einzelne Konfigurationen) und bestimmen, wann serviert wird (sofortige oder terminierte Bereitstellung) und wo (einzelne oder mehrere Stacks). Sie können sogar ganze Menüfolgen kreieren, indem sie Workflows für die Ausführung einer Reihe von Aktionen festlegen oder CI/CD-Pipelines nahtlos in GitHub integrieren.

App Content Manager for Splunk steht jetzt als Betaversion in Splunkbase zum Download bereit!

Features und Funktionsweise 

Die Anwendung umfasst im Wesentlichen vier Funktionen:

• Servermanagement: Diese Funktion vereinfacht das Management von Splunk Cloud-Stacks, die beliebig hinzugefügt, bearbeitet, entfernt oder in Gruppen zusammengefasst werden können.
  Die einzige Voraussetzung dafür ist ein gültiges Authentifizierungs-Token zum Herstellen der Kommunikation mit dem Splunk Cloud Stack.

• Content-Management: In dieser Ansicht könnt ihr flexibel Splunk-Konfigurationen oder ganze Anwendungen zusammenstellen und anschließend eine der vordefinierten Verarbeitungsoptionen auswählen.
  Bulk-Aktionen für mehrere Anwendungen bzw. Konfigurationen gleichzeitig werden automatisch ausgeführt, auch die Bereitstellung in diversen Stacks erfolgt automatisch.
  Ein benutzerfreundlicher Assistent führt euch Schritt für Schritt durch die Auswahl des Contents und der Bereitstellungsziele. Danach könnt ihr eure Auswahl überprüfen und die Bereitstellung sofort vornehmen oder terminieren.
  Vier Modi stehen euch zur Verfügung:
  

  • Export All (Basic): Hier könnt ihr Anwendungen auswählen und alle damit verbundenen Konfigurationen exportieren bzw. bereitstellen. Dies ist eine simple Methode, um beispielsweise eine größere Zahl von Apps in mehreren Splunk Cloud-Stacks bereitzustellen – in Wahrheit ein komplexer Vorgang, mit dessen Details ihr euch aber nicht herumplagen müsst. Alle nötigen Prüfschritte mittels AppInspect und die Ausführung der ACS-Endpunkte laufen automatisch ab und werden von ACM (App Content Manager) verwaltet.
    Apps können aus drei Quellen ausgewählt werden: vom lokalen Managementknoten-Server, aus Splunkbase (sofern die Apps mit Splunk Cloud kompatibel sind) oder aus hochgeladenen .spl/tgz-Paketen.
    

  • Take a Slice (Intermediate): Bei dieser etwas anspruchsvolleren Methode wählt ihr eine oder mehrere Rollen für das Splunk-Bereitstellungsziel. ACM zerlegt alle ausgewählten Apps in benutzerdefinierte Teile, die nur rollenspezifische Konfigurationen enthalten. Anschließend könnt ihr generierte Apps exportieren, bereitstellen oder herunterladen.
    Use-Case-Beispiel: Admins müssen mitunter mehrere Technologie-Add-ons (TAs) bereitstellen, aber gleichzeitig bestimmte Konfigurationen entfernen, um die App für den Zielserver zu optimieren. So könnte es etwa sein, dass bei der Bereitstellung auf der Search-Head-Ebene gewisse inputs.conf-Dateien gelöscht werden sollen.
    

  • Build your App (Advanced): Diese Funktion ist für fortgeschrittene Anwender und gibt euch die freie Wahl: Ihr könnt beliebige Konfigurationen aus vorhandenen Apps oder TAs auswählen, um eine ganz neue Anwendung nach euren Vorstellungen zu entwickeln.
    Use-Case-Beispiel: In der Splunk-Umgebung haben User die Möglichkeit, über die Splunk-Benutzeroberfläche Wissensobjekte oder Konfigurationen zu erstellen, die zu verschiedenen Splunk-Anwendungen (Suche usw.) gehören können. Mithilfe der „Build your App“-Funktion können Admins solche Konfigurationen erfassen und ganz einfach gruppieren oder in Paketen zusammenfassen.
    

  • Patch Mode (Expert): Mit dieser Profi-Option könnt ihr einzelne Konfigurationen mithilfe von REST-APIs oder ACS-Features in Splunk Cloud bereitstellen. Admins haben die Wahl, ob sie die originalen Zugriffssteuerungslisten beibehalten oder für jeden Code-Abschnitt spezifische Berechtigungen oder Freigaben erstellen möchten. Use-Case-Beispiel: Korrelationssuchen für mehrere Instanzen lassen sich aktualisieren oder erstellen, indem Suchkonfigurationen an REST-Endpunkte gesendet werden. Dieses Feature basiert auf REST-APIs für Splunk Cloud. Die IP-Adresse eures Managementknoten-Servers muss auf der IP-Whitelist des Stacks stehen.

• Überprüfung und Abgleich des Stack-Contents: Mit dieser Funktion können Administratoren alle in Splunk Cloud-Stacks installierten Anwendungen auflisten, deren Versionsnummer überprüfen und neuere Versionen von Splunkbase-Apps finden.
  Ist mehr als ein Stack ausgewählt, wird der Vergleichsmodus aktiviert. Hier können Admins überprüfen, ob häufig genutzte Apps auf allen ausgewählten Stacks installiert sind und ob der Versionsstand aller Stacks einheitlich ist.
  Außerdem kann der Vergleichsmodus die aktiven Konfigurationen von Apps aus verschiedenen Stacks nebeneinander anzeigen, sodass Inkonsistenzen schnell sichtbar werden.

• Workflow-Management: Ein Workflow umfasst eine vordefinierte Reihe an Aktionen, die Anwender oder Administratoren erstellen und anpassen können. Anwender haben die Option, neue Workflows anzulegen, indem sie aus einer Bibliothek mit folgenden vordefinierten Aktionen auswählen:

  • Deploy: Bereitstellen von Paketen oder Konfigurationen in einem oder mehreren Splunk Cloud-Stacks
  • Inspect: Prüfen von Paketen mit AppInspect
  • Save: Speichern generierter Pakete auf der Festplatte
  • Push: Senden der Pakete an eine CI/CD-Pipeline

Wichtige Use Cases: 

• Bereitstellung einer oder mehrerer öffentlicher/privater Splunk-Apps für einen oder mehrere Splunk Cloud-Mandanten
• Bereitstellung eines Teils (z. B. gespeicherte Suchen) einer oder mehrerer öffentlicher/privater Splunk-Apps für einen oder mehrere Splunk Cloud-Mandanten
• Versionsvergleich einer oder mehrerer öffentlicher/privater Splunk-Apps zwischen einem oder mehreren Splunk Cloud-Mandanten
• Konfiguration einer Reihe von Workflow-Aktionen, sodass Admins bei der Bereitstellung von Splunk-Apps einer bestimmten Sequenz folgen können (Bereitstellen, Prüfen, auf Festplatte speichern oder an GitHub senden)
• Übrigens habe ich in dieser App ein Easter Egg versteckt. Wer es entdeckt, kann sich gerne bei mir melden!

Nützliche Links:

• Download von ACMS: https://splunkbase.splunk.com/app/7062
• ACS-Ankündigung von Splunk:   https://www.splunk.com/en_us/blog/platform/splunk-cloud-self-service-announcing-the-new-admin-config-service-api.html
• ACS Helper for Splunk: https://www.splunk.com/en_us/blog/tips-and-tricks/administer-your-splunk-cloud-stacks-easily-and-efficiently-with-acs-helper-for-splunk.html
• Splunk Cloud-Blueprint für MSPs: https://partners.splunk.com/prm/English/s/assets?id=472277&q=msp