> 在.CONFG20会上,SPLUNK 生态系统助力企业迈向数据时代
2,000 多家 Splunk 合作伙伴和 50 多家赞助商帮助客户将数据转化为行动
“将数据转化为一切(Data-to-Everything)”平台提供商 Splunk 公司在 Splunk 第 11 届年度用户大会.conf20 上宣布 Splunk® Partner+计划继续 保持增长,并公布了一些重要的合作伙伴活动。Splunk Partner+计划提供 支持和投资,助力全球 2,000 多家 Splunk 合作伙伴企业取得成功,包括代 理商、全球系统集成商、服务提供商、原始设备制造商、技术联盟合作伙 伴,以及增值经销商等。拥有超过 6,300 多名个人合作伙伴注册 者,.conf20 是数千名希望将其数据转化为行动的 IT、安全和业务专业人士 最重要的教育和思想领导力活动。
> Splunk Enterprise 8.1 新功能
Splunk,将数据转化为一切,提供产品和解决方案,共同使您的数据战略更强大,Splunk Enterprise 是我们产品组 合的核心。自从我们上次在 .conf19 发布 Splunk Enterprise 8.0 以来,我们通过倾听我们专业的 Splunk 用户来不 断加强我们的平台。在 Splunk Enterprise 8.1 中,我们整合了许多客户要求的功能,以提高您的日常工作效率,优 化搜索性能,从而获得更快的见解,并扩展了云环境选项来管理 Splunk。
如果您尚未听到,我们已经改变了我们交付新功能的方式,因为我们转向 Cloud First 交付模式。对于您来说,这意 味着如果您是 Splunk Cloud 客户,则新服务和增强功能会以大约六周的节奏增量提供,一旦这些服务和增强功能根 据客户反馈和使用而实现,Splunk Enterprise 客户将在更传统的交付周期中收到这些服务和增强功能。 现在,让我们继续新的部分。更新有五大类,但请务必查看 Splunk Docs,了解有关如何以及在哪些地点可以访问新 功能的完整和明确的指南。
首先,让我们来谈谈仪表板和 SPL
我们将直接在 Splunk Cloud 和 Splunk Enterprise 搜索栏中介绍搜索历史记录和在线注释。搜索历史记录是导航搜 索的更简单方法;您可以使用键盘快捷键来迭代以前的搜索。SPL 注释可以更易于阅读复杂的 SPL。所有你需要做的就 是在评论之前和之后使用三个背图。您可以根据需要添加尽可能多的内容,并且它有用于浅色和深色模式的语法突出显示。
无缝 SPL 历史记录导航
在线 SPL 注释
接下来,我们从原始数据到仪表板都有无 SPL 体验。本机表数据集”表视图”允许您直观地浏览和准备数据以进行分 析。此外,与分析工作区的集成可在不使用 SPL 的情况下创建直观的切片和骰子体验。
下一步是关于 Splunk Cloud 和 Splunk Enterprise 的所有访问和控制
现在,您可以查看角色或用户的继承,以便查看哪些角色在分层和分配级别对索引做出了贡献。现在,您可以花更少 的时间尝试排除谁有权访问哪些内容并验证用户不应看到哪些内容。现在,您还可以以特定用户方式进行搜索,以验 证 RBAC 配置是否按预期执行。
我们还停用了另一个流行的请求,即在每个 Splunk 页面顶部保留全局横幅的能力,以便您可以向所有用户宣布某些 内容!除了自定义横幅颜色和超链接之外,我们还允许您决定放在那里什么内容。
我们还改进了工作负载管理
此功能允许您根据业务需求确定工作负载的优先级,并通过用户定义的规则管理这些工作负载。使用最新版本的 Splunk Cloud 和 Splunk Enterprise 交付是一个新的入场规则框架,用于过滤恶意搜索,例如当用户执行不可避免 的 index=*时。您可以筛选任何所有时间范围搜索、在高峰时段禁止搜索或执行临时通配符搜索。这是一个非常强大 的工具,您可以在最需要 Splunk 时减少意外工作负载的影响。
现在让我们继续关注性能
我们进行了性能改进,以支持将部署扩展到 4000 万个存储桶,从而减少内存占用并加快恢复速度。与之前版本相 比,我们的测试显示滚动重新启动速度快 60%,群集管理器在滚动重新启动后消耗的内存减少 75%,滚动重新启动 后复制和搜索因子的速度比快 73%。
通过优化的查找和重构查询执行,我们提高了搜索处理性能,以便您日常使用 Splunk 时响应更快、更精简。您应该 体验常规仪表板使用情况,以更快、响应更快。
对于我们的本地 Splunk Enterprise 客户,我们现在有查找,这些查找在摄入时间(而不仅仅是搜索时间)是可能的。您可能需要考虑在摄入时使用此来节省查找性能时间,或者查找您知道一致使用的查找,例如查找 IP 地址和添 加 DNS 字段。
tsdix 索引文件的文件格式进行了更多改进。现在,您可以将文件格式设置为 4 级,这可以节省相关的存储成本
我们还对指标存储进行了重大改进
对于那些是指标存储的新功能,您可以使用它来获得搜索性能的量级速度提高,您需要以更具成本效益的方式聚合数 字指标。我们进行了改进,以便您以超过 200 万个指标事件/秒进行聚合,从而提高吞吐量和速度。在分析工作区 中,现在有一种更简单的方法来筛选数十万个指标,对于 Splunk Cloud 客户来说,现在支持计数器和次秒时间范 围。
对于在 Google 云上运行 Splunk 的 Splunk 客户来说,GCP 的 SmartStore 支持也是全新的。
在此版本中,还有在 KV 存储中使用有线老虎存储引擎来替换 MMAP。迁移到 WiredTiger 可提高读/写性能,并引 入显著降低存储需求的途径。
最后,我们宣布 Splunk Operator for Kubernetes 公开测试版
这使您能够在喜爱的公共云或私有云环境中轻松部署和管理 Splunk Enterprise。Splunk Operator for Kubernetes 是 Splunkers 开发的开源产品,由开源社区提供捐助。这是我们以云原生方式管理和运行 Splunk 的下一代平台架 构。除了以可扩展的方式轻松部署 Splunk Enterprise 之外,Splunk 操作员还可促进 Kubernetes 的其他优势,如 多云可移植性和 CI/CD 集成。在设计时,我们考虑的是规范性体系结构和部署升级,致力于封装在分布式环境中运行 Splunk 的最佳实践,因此安装和启用按钮部署的时间很少,以便轻松扩展和收缩群集。
> OT Security Add-on for Splunk
The OT Security Add-on for Splunk 需要安装 Splunk Enterprise Security。
