Artykuł pochodzi z wydania: Listopad 2024
Złożoność współczesnych środowisk IT utrudnia scentralizowaną kontrolę i wgląd w status pracy poszczególnych komponentów. Istnieją jednak rozwiązania pozwalające okiełznać zalew informacji, odfiltrowując przy tym najistotniejsze zdarzenia.
Obserwowalność to nieco sztucznie brzmiące spolszczenie angielskiego „observability”. Określenie to używane jest do zdefiniowania grupy rozwiązań, które pozwalają w sposób analityczny interpretować dane z systemów opartych na architekturze rozproszonej, z uwzględnieniem danych historycznych. Jest to podstawowa różnica względem tradycyjnych systemów monitorowania, które zazwyczaj ograniczają się do zbierania informacji, na podstawie których generowane są wykresy i raporty. Posiadając system pozwalający na analizę danych z wielu zależnych od siebie komponentów, można pójść o krok dalej i spróbować podjąć akcje korygujące w przypadku wykrycia odpowiedniego zdarzenia lub ich grupy. Szczególnym przypadkiem użycia tego typu logiki jest jej wykorzystanie w celu wykrywania naruszeń bezpieczeństwa, a także automatycznego reagowania na incydenty. Właśnie do tego służy testowany Sumo Logic – to narzędzie do zbierania i analizy danych, umożliwiające podejmowanie zautomatyzowanych działań na podstawie wykrytych zdarzeń.
> MOŻLIWOŚCI
Przeglądając broszurę produktową Sumo Logic, można w miarę łatwo zdefiniować zakres funkcji tego rozwiązania. Podstawą jest autorski mechanizm zbierania logów oraz zdarzeń z systemów i urządzeń końcowych. Mowa tu zarówno o danych pochodzących z poziomu infrastruktury – tej tradycyjnej, jak również chmurowej – jak i z aplikacji oraz od użytkowników końcowych. Rozwiązanie dostarczane jest w modelu SaaS, w efekcie czego zagadnienia typu skalowalność, dobór platformy obliczeniowej i sposób składowania danych stanowią odpowiedzialność dostawcy usługi, co znacznie ułatwia wdrożenie. Dysponując zestawem informacji pochodzących z różnych źródeł, można przeprowadzić odpowiednią obróbkę, przekształcającą ustrukturyzowane lub nieustrukturyzowane dane w formę czytelną dla człowieka. Wizualizacja dostępna jest za pośrednictwem zróżnicowanych opcji wykresów (w tym typu honeycomb), heat map, tabel, map połączeń itd.
Wbudowany katalog pozwala wybierać spośród mniej lub bardziej popularnych aplikacji, dla których Sumo Logic ma predefiniowanie wsparcie niemal od razu po zainstalowaniu. Lista została odpowiednio skategoryzowana, aby ułatwić przeszukiwanie. Podział zawiera m.in. kategorie takie jak: IT Infrastructure, Security, Microsoft Azure, Amazon Web Services, Databases czy DevOps, dzięki czemu łatwiej nawigować pomiędzy dostępnymi aplikacjami.
DASHBOARDY
Poza instrukcją integracji dostępne są także prekonfigurowane dashboardy, które wyświetlają dane charakterystyczne dla monitorowanego rozwiązania. Przykładowa aplikacja PostgreSQL – OpenTelemetry zawiera osiem paneli dla logów i metryk pobieranych z poziomu samego Postgresa, którego konfigurację należy dostosować przy użyciu dołączonej dokumentacji. Znajdziemy tu między innymi statystyki czasu wykonywania zapytań do bazy, zestawienie kwerend slow queries, dashboard dotyczący bezpieczeństwa (z uwzględnieniem geograficznego położenia klientów na podstawie IP) oraz zwyczajne error logi. Ten sam lub nawet dużo bardziej złożony zestaw paneli można oczywiście uzyskać samodzielnie. Gotowe aplikacje znacznie skracają czas efektywnego wdrożenia i uzyskania pierwszych widoków pozwalających podjąć szczegółową analizę. Dzięki językowi kwerend zgromadzone dane można także łatwo przeszukiwać, parsować czy agregować.
Podobnie jak w innych rozwiązaniach tego typu konieczne jest zapoznanie się z dokumentacją, w której wyjaśniono sposoby notacji parametrów oraz dostępne polecenia. Wśród operatorów ułatwiających przeszukiwanie i analizę danych znaleźć można choćby isPublicIP, isPrivateIP, jsonArraySize, timeslice czy urldecode. Wszystkie dostępne opcje są dobrze udokumentowane, a opanowanie języka zapytań znacznie ułatwi prace analityczne i szybkie wyszukiwanie interesujących zestawień, począwszy od wyciągania najprostszych informacji, poprzez diagnostykę na podstawie zgromadzonych logów i zdarzeń, na kompleksowej analizie problemów opartej na wzorcach i kontekście zdarzeń kończąc.
WSPARCIE AI ORAZ ML
Podobnie jak w przypadku większości oprogramowania, również w Sumo Logic nie mogło zabraknąć wsparcia ze strony AI i ML. Na razie jedynie w wersji przedprodukcyjnej dostępny jest asystent w formie chatbota o brzmiącej znajomo nazwie Copilot, która może sugerować pochodzenie rozwiązania. Niestety nam nie udało się nawet przetestować promptowania w testowej wersji trial. Na podstawie informacji zawartych w dokumentacji funkcja ta pozwala uprościć sposób tworzenia zapytań poprzez wykorzystanie języka naturalnego (na razie mowa o wsparciu dla angielskiego). W analogiczny sposób można również zaordynować analizę RCA czy usprawnić analizę logów. Producent deklaruje, że narzędzie sprawdzi się w rękach inżynierów wsparcia, pozwalając na szybkie przeprowadzenie diagnostyki aplikacji oraz wykrycie zagrożeń bezpieczeństwa.
Inne mechanizmy bazujące na AI to LogReduce oraz LogCompare. W pierwszym przypadku mowa o narzędziu pozwalającym wykrywać wzorce na podstawie podobnych do siebie logów, dzięki czemu z gąszczu powtarzających się informacji o zbliżonym znaczeniu można odfiltrować konkretne komunikaty – istotne w podejmowaniu decyzji. W praktyce LogReduce to dodatkowy operator, do którego można przekierować wyszukane logi lub zdarzenia. W wyniku tego często wielotysięczne zbiory zostaną wyświetlone w skonsolidowanej formie. Dodatkowo dzięki LogCompare można porównać wyświetlane informacje do analogicznych danych historycznych w celu analizy zmian oraz wykrywania anomalii, na podstawie których można tworzyć alerty i powiadomienia. Sumo Logic pozwala na integracje z wieloma platformami AI na potrzeby analizy dużych zbiorów danych. Wśród wspieranych usług znajdziemy: Vertex AI, ChatGPT, Vectra AI, Microsoft Sentinel, Dartktrace, Criminal IP oraz Arcanna.
[…]
Marcin Jurczyk
Autor pracuje jako architekt IT w firmie Kyndryl. Zajmuje się infrastrukturą sieciowo-serwerową, wirtualizacją infrastruktury i pamięcią masową.