像我们这一代稍有年纪的人,应该都听过“没有人会因为购买IBM而被解雇”(Nobody get fired for buying IBM) 这句广告词。而在日志分析和安全领域,我们已经很幸运地做到了“没有人会因为购买Splunk而被解雇”这一步。在这些领域,人们对Splunk已经形成了印象,那就是一谈到日志分析和安全,人们对Splunk有什么样的产品以及能够提供什么样的服务都能如数家珍。
但这中间也存在一定的问题,那就是大多数人并不能枚举 Splunk 的全部产品和服务。对于那些工作内容是程序设计或操作系统的人,他们可能会认为 Splunk 就是一个日志分析平台。说的没错,但这只是 Splunk 实际功能的一小部分,Splunk可以发挥的能力远不止于此。也正是基于这个原因,我们将通过以下文章向您展示Splunk的其他功能。
日志并非全部
诚然,Splunk可以处理海量日志,向您提供深入洞察,但日志只是现代应用生成数据的一部分。跨多云环境托管的基于微服务架构的现代应用不仅会生成日志,还会生成指标、追踪和事件等信息。这些信息不仅有助于我们了解应用的运行状况,也可以向我们展示数据类型,帮助我们掌握业务运营情况,同时,通过这些信息,领导可以更加容易地知道需要关注什么,以及如何在实现业务可观察性方面向您提供支持。这个时候,Splunk可观察性系统便可以通过分析这些数据,向您提供深入洞察,这种洞察是一般日志分析无法做到的。
这些额外的数据源包括:
指标 (Metric) 由应用生成,以数字形式发出,可在网络中实现轻松传输并更易于分析和追踪
追踪 (Trace) 是成功运营现代应用的秘诀。借助追踪,您可以确定用户请求在何处被处理,以及该请求的所有下游依存项发生了什么
事件 (Event) 让您可以查看使用者浏览器(或模拟浏览器)上发生的情况,以确认终端用户体验是否良好
许多Splunk用户并没有善用这些数据源,即使他们已经采用了Splunk Enterprise和Splunk Cloud Platform。这些平台都可以对数据源进行分析,但如果我们将这些数据源发送至Splunk可观察性系统以及高级工具 (如Splunk Application Performance Monitoring) 中,则可获得更多额外的功能和洞察。
可观察性的力量
如果我们将全部此类数据源发送至Splunk可观察性系统上面,实现的功能将更多,绝非日志分析一个。举例来说,通过追踪信息,您会看到一副动态服务地图,上面会显示请求的去向和问题发生的位置。与其看到绝大多数面向用户服务发出的500信息,然后淹没于日志当中通过挖掘日志来找到问题的下游依存项,还不如直接在请求图表上看到实际的下游故障点 (见下图醒目的红点——这就是错误所在)。
除了在服务地图上显示错误之外,我们还为数据准备了一套先进的标记系统,可让您仔细拆解追踪信息,快速定位失败原因——您可以根据标签单独分析,查看有哪些特定类型用户、哪些地理位置或哪些特定版本的应用发出的请求更容易失败。以下是借助Tag Spotlight功能达成的结果。使用这一功能后,您可以按环境、错误代码等分类查看细分问题。
事件分析是可观察性的最新技术。由于现代应用在用户浏览器中运行的次数与在服务器中一样多 (或更多),您需要了解用户是如何与您的应用实现互动的。随着第三方架构以及CDN数量的不断增加,如果用户浏览器无法汇报有哪些事件正在发生,您就根本无法了解整个应用运行情况以及用户体验如何。RUM和Synthetics可以让您实时查看用户见到的内容,这样可以提前把问题解决掉,避免客户业务受到影响,或者避免客户发文抱怨。
如何着手
上述三个元素只是可观察性系统的一小部分,我们挑出来专门讨论,是因为它们可为您带来巨大的投资回报,能够强化您的排障能力,交付更好的用户体验。这些功能远非日志所能比拟,也就是说,日志是疑难解答的基础,只要您是Splunk Enterprise的现有客户,就可以通过Log Observer Connect将日志快速导入Splunk可观察性系统。
Splunk可观察性系统的一大优势,是我们所有的可观察性组件(Application Performance Monitoring, Infrastructure Monitoring, Real-User Monitoring, Synthetic Monitoring, Log Observer)都是基于公开的业界标准OpenTelemetry所建构。OpenTelemetry让您在可观察性之旅中取得成功。您只需对应用进行一次检测,就可以将数据发送到任何地方。当然我们希望您能继续将它与Splunk一起使用,但您也可以将其应用于其他厂商或开放原始码或内部开发的解决方案之中。尊重您的数据所有权是Splunk的一项基本原则,而OpenTelemetry则是我们对这一承诺的体现。
检测完应用后,您可以在几分钟内实时查看流向Splunk可观察性系统的数据流。