Managed Services für Splunk Validated Architectures (SVA)

— Premium all inclusive

Splunk ist eine hervorragende Plattform zur Erfassung und Analyse von großen Datenmengen in verschiedensten Anwendungsbereichen, von IT Operation über IT Security und Internet of Things bis zu Business Intelligence. Unternehmen und Organisationen überall auf der Welt sind begeistert von der geringen Implementierungsdauer und den schnellen Ergebnissen, auf deren Basis wichtige Entscheidungen nahezu in Echtzeit getroffen werden können.

Eine Herausforderung in manchen Splunk-Projekten ist der Übergang vom Proof of Concept (PoC) zur produktiven und unternehmens-kritischen Anwendung. Der Betrieb einer komplexen Splunk-Infrastruktur bei optimaler Performance setzt vorausschauende Planung der Architektur, sorgfältige Umsetzung und fortlaufende Wartung und Erweiterung voraus – und genau dafür fehlt in Unternehmen und Organisationen oft das Personal oder die Zeit.  Bestehende Managed-Service-Programme lösen die Probleme nur unzureichend:

  • Splunk-Infrastrukturen mit zentralen Mängeln in Architektur oder Konfiguration werden einfach übernommen und weitergeführt, was zu einem erheblichen Mehraufwand für die kontinuierliche Wartung führt.
  • Alle zusätzlichen Komponenten wie neue Forwarder, ggf. notwendige Syslog-Receiver oder redundante Splunk-Instanzen für die Hochverfügbarkeit müssen extra bezahlt werden und erfordern Vertragsänderungen.

Splunk Operations as a Service

Als externer MSP-Partner übernimmt bridge:com die kontinuierliche Betreuung einer Splunk-Installation und sorgt für jederzeit funktionsfähige und performante Funktion der 4 wichtigsten Datenverarbeitungsphasen in Splunk: Daten-Input, Parsing, Indexierung, Suchen.

Unsere Verantwortung erstreckt sich über alle Kernmodule von Splunk wie Forwarder, Indexer und Search Heads, aber auch auf zusätzliche Komponenten wie Master Nodes, Deployment Server sowie HEC- oder Syslog-Receiver.

Der Aufwand für den Betrieb einer Splunk-Umgebung hängt dabei von einer Vielzahl von Faktoren ab wie der Anzahl der Splunk-Instanzen, der Komplexität der Architektur oder dem Verhalten der Anwender. Das bridge:com-Modell Splunk Operations as a Service basiert auf zwei einfachen Parametern:

  • Datenmenge entsprechend der verfügbaren Splunk Volumenlizenz
  • Komplexität der Infrastruktur basierend auf SVA

Splunk Validated Architectures (SVA)

Splunk kann in einer Vielzahl unterschiedlicher Architekturen und Konfigurationskonzepte installiert und eingerichtet werden. Nicht alle dieser Optionen folgen den bewährten Methoden und manche Wege führen häufig zu anhaltenden Problemen im Betrieb. Splunk Validated Architectures (SVA) basieren auf Kundenanforderungen, um 5 Hauptaspekte mit dem geringstmöglichen Aufwand sicherzustellen:

  • Verfügbarkeit
  • Performance
  • Skalierbarkeit
  • Sicherheit
  • Verwaltbarkeit

Wir richten die Splunk-Umgebung des Kunden ein und pflegen sie entsprechend den Best Practices und der SVA. Auf diese Weise wird der operative Aufwand auf das erforderliche Minimum reduziert.

Für neue Splunk-Projekte beginnen wir mit einem Kick-off-Workshop, in dem wir die Kundenanforderungen besprechen. Danach planen wir die Architektur, installieren und konfigurieren die Splunk-Umgebung entsprechend  und übernehmen dann den fortlaufenden Betrieb:

Für bestehende Splunk-Projekte beginnen wir mit einem Kick-off-Workshop zur Analyse der vorhandenen Umgebung, gefolgt von einem Health Check, um Abweichungen von den SVA und Best Practices zu ermitteln. Nachdem die Empfehlungen umgesetzt wurden, beginnen wir mit dem kontinuierlichen Betrieb:

„Premium all inclusive“ für Splunk

Nachdem die Splunk-Infrastruktur einmal gemäß den SVA und Best Practices im idealen Zustand eingerichtet ist, reduziert sich der Aufwand für die regelmäßige Wartung auf ein Minimum, gleichzeitig profitiert der Kunde von einer optimalen Performance beim Indexieren und Suchen.

Die Kosten für die Wartung kalkulieren wir ausschließlich auf Basis der Splunk-Volumenlizenz und dem SVA-Kennwert: Neue Forwarder, Syslog-Receiver oder redundante Splunk-Instanzen führen nicht zu steigenden Kosten und bedürfen somit auch keiner Vertragsänderungen. Nur ein deutliches Aufstocken der Lizenz oder gravierende Änderungen der Architektur (anderer SVA-Kennwert) erfordern eine Neukalkulation. Das ist in der Regel aber keine zusätzliche Hürde, da in diesem Falle ohnehin die Budget-Planungen im Unternehmen angepasst werden müssen. Unter dem Strich profitieren die Kunden von idealer Performance bei minimalem Wartungsaufwand sowie stabilen Kosten.