Modernisation des plateformes Splunk avec VAST Data
La modernisation des plateformes Splunk avec la solution Universal Storage de VAST Data permet d'augmenter l'efficacité du stockage Splunk sans affecter de manière conséquente le temps moyen d'exécution des recherches ou le taux d'acquisition des indexeurs.
Splunk Enterprise est une plateforme logicielle largement utilisée pour la surveillance, la recherche, l'analyse et la visualisation des données. Elle capture, indexe et établit une corrélation entre les quantités importantes de données dans un support interrogeable et produit des graphiques, des alertes, des tableaux de bord et des visualisations. Au début de 2018, Intel IT a construit une plateforme de cyber intelligence (CIP) basée sur Splunk et Apache Kafka. Cette plateforme ingère des données provenant de centaines de sources et d'outils de sécurité offrant une visibilité riche en contexte et une surface de travail commune, réduisant ainsi le temps nécessaire pour identifier et répondre aux cybermenaces sophistiquées.
Splunk est souvent déployé sur une infrastructure convergente à haute performance. Cette approche peut s'avérer coûteuse si les indexeurs Splunk (serveurs) sont conçus avec des unités de stockage SSD pour permettre le stockage des données « chaudes » et « froides ». Une infrastructure convergente peut également entraîner l'ajout d'indexeurs Splunk simplement pour augmenter la capacité de stockage des données. L'alternative évidente consiste à dissocier le calcul du stockage. Cependant, une infrastructure désagrégée peut avoir un impact négatif sur les performances, aussi bien sur le temps d'exécution des recherches Splunk que sur les taux d'ingestion des données.
La solution Universal Storage de VAST Data offre une solution unique pour désagréger les plateformes Splunk. VAST Data utilise des algorithmes avancés de réduction des données et des unités de stockage SSD Intel® Optane™ pour réduire les besoins en matière de stockage des données Splunk sans sacrifier les performances. Intel IT a testé un boîtier de stockage entièrement flash de VAST Data avec les données de production à haute cardinalité d'Intel IT et a réduit de 2,5 fois la taille des données Splunk. Le temps d'exécution moyen des recherches Splunk s'est dégradé de 3 %, tandis que les indexeurs Splunk ont affiché une réduction de 10 % seulement du taux d'ingestion des données. La solution Universal Storage de VAST Data peut réduire les besoins en capacité de stockage froid de Splunk et permettre une mise à l'échelle indépendante du calcul et du stockage.
Nos tests ont démontré les avantages commerciaux de la modernisation des plateformes Splunk avec VAST Data :
- Réduire les besoins en termes de stockage de données. La solution Universal Storage de VAST Data permet de réduire considérablement les besoins en matière de stockage et les coûts de stockage de l'entreprise, avec un impact minimal sur le temps d'exécution des recherches et les taux d'ingestion des données des indexeurs.
- Améliorer l'efficacité opérationnelle. Un centre de données en rack peut contenir des pétaoctets de données.
- Faites évoluer le calcul et le stockage de manière indépendante. Cela permet aux organisations de répondre aux demandes en matière de croissance massive du stockage sans infrastructure informatique supplémentaire.
Intel IT est toujours à la recherche de nouvelles capacités pour gérer efficacement nos plateformes de données tout en minimisant notre coût total de possession. Nous avons besoin d'agilité pour facilement ajouter de nouveaux utilisateurs, tout en ajoutant et en supprimant des applications. Nous devons également être en mesure d'évoluer pour prendre en charge de nouvelles sources de données, ainsi qu'une augmentation des données, aussi bien en temps réel qu'à long terme. La plateforme de cyber intelligence (CIP) d'Intel basée sur Splunk et Kafka fait partie des plateformes évolutives. Notre étude de faisabilité a montré que la solution Universal Storage de VAST Data peut aider le service information à réaliser une économie de stockage sur disque dur sans compromettre les performances.