Splunk veut devenir le tableau de bord de tous les métiers
Lors de sa conférence annuelle, l’éditeur a multiplié les annonces pour faire de sa solution la plateforme de visualisation universelle. Ses atouts sont une fonction de prédiction et des connecteurs vers les services applicatifs externes.
Pour Splunk, la plateforme qui affiche les logs des machines sous la forme de tableaux de bord, il ne s’agit plus de valoriser l’image des informaticiens auprès des directions générales, mais à présent d’adresser directement les métiers. Tenant salon à Orlando début octobre, l’éditeur a multiplié les annonces avec l’ambition de fournir à toutes les catégories de professionnels les moyens d’investigation nécessaires pour améliorer leurs activités.
« Nous voulons élargir le champ des possibles, pour rendre Splunk utilisable partout et par tout le monde, pour aider nos clients à mieux visualiser tous les aspects de leurs activités. Nous proposons de le faire sur toutes les données, qu'elles soient en mouvement ou au repos, et quelle que soit leur source », a ainsi déclaré Tim Tully, le CTO de Splunk, lors de l’ouverture du salon .conf18.
Pêle-mêle, l’éditeur lance ainsi une version 7.2 du socle Splunk Enterprise dotée de fonctions pour intégrer n’importe quelle information métier (Guided Data Onboarding) et transformer les logs des serveurs de bases de données en métriques compréhensibles par les commerciaux (Logs to Metrics).
Le moteur de Machine Learning MLTK, qui faisait ses premiers pas l’année dernière, prédit à présent aussi bien les problèmes sur la chaîne d’approvisionnement que des incidents sur les serveurs. MLTK incite même Splunk à lancer Splunk for Industrial IoT, un nouveau logiciel « premium » grâce auquel les industriels vont surveiller le bon fonctionnement de leurs chaines de production et savoir en avance quand intervenir sur un équipement, afin d’éviter d’arrêter la production quand il tombera en panne.
Les tableaux de bord métier, nouvelle activité des DevOps
Selon Stéphane Estevez, directeur des produits IT Ops chez Splunk France, le rebond de Splunk vers les métiers est facilité par le développement dans les entreprises des profils DevOps, c’est-à-dire des techniciens capables d’utiliser Splunk avec son fameux langage de requêtes SPL mais qui dépendent des directions métier. L’idée de l’éditeur est donc de proposer aux DSI – qui restent les acheteurs historiques des solutions Splunk en entreprises - de reprendre la main en devenant chefs de projets sur la conception de tableaux de bord, en association avec les DevOps.
« Ne croyez surtout pas que nous voulons nous détourner des DSI et des directions techniques. Nous souhaitons plutôt les aider à mieux servir les métiers », avance Stéphane Estevez. « Le problème des DSI est que les directions générales leur reprochent depuis toujours de coûter de l’argent. Nous voulons donc leur donner les moyens de créer de la valeur pour toute l’entreprise en favorisant les interactions entre les utilisateurs et la technologie », explique-t-il.
A cette fin, les DevOps bénéficient désormais d’une bibliothèque d’API enrichie pour mieux interconnecter les services applicatifs cloud et les tableaux de bord Splunk. Outre le nécessaire pour lire des données depuis AWS, Google et autres, on y trouve des connecteurs assez pointus pour récupérer les informations traitées par Apache Spark (domaine du Big Data) et autres TensorFlow (domaine de la datascience) dans le moteur de Machine Learning MLTK.
Un nouveau programme Splunk Developper Cloud donne accès à des exemples de codes et l’on trouve même un GitHub dédié aux algorithmes-types pour MLTK. Accessoirement, l’une des nouveautés de Splunk Enterprise 7.2 est de pouvoir déployer des moteurs de recherche SPL en mode container, le format de ressources virtuelles privilégié des DevOps.
Des modules et des app métier en beta-version
Mis à part le nouveau Splunk for Industrial IoT, aucune application dédiée aux métiers n’est déjà disponible. Splunk annonce néanmoins l’arrivée prochaine de modules pour les utilisateurs finaux. Ceux-ci sont pour l’heure regroupés dans le programme de beta-test Splunk Next. Parmi eux, citons Splunk Natural Language, qui permet de lancer des recherches sur les données en langage naturel, sans avoir besoin de les écrire en SPL. On y trouve également Splunk Business Flow, qui illustre une succession d’événements appartenant à une même activité sous la forme d’un chemin graphique, par exemple pour visualiser l’historique d’un parcours client ou le cheminement logistique d’un produit.
Dans le domaine de la logistique, l’app Splunk AR sera une application de réalité augmentée au travers de laquelle on posera des étiquettes sur des équipements ou des produits. Liées aux métriques enregistrées en amont dans Splunk Enterprise, ces étiquettes afficheront en temps réel, là, la température, là, la consommation électrique, ou, là, une vitesse.
Autre module notable, Splunk Cloud Gateway servira d’interface entre Splunk Enterprise et l’App mobile Splunk pour autoriser des actions de haut niveau ; une démonstration sur .conf18 mettait ainsi en scène la réception d’une alerte sur un smartphone, ou même une smartwatch, qui invitait l’utilisateur à cliquer sur une icône pour déclencher la résolution d’un événement. Pour y parvenir, il fallait jusqu’à présent disposer d’un PC sur lequel était installé Splunk et d’une connexion VPN pour y parvenir.
L’enjeu de tout connecter à Splunk
Sur le terrain, Igor Herrmann, un expert en conception de tableaux de bord Splunk qui collabore notamment avec Canal Plus et Airbus, voit effectivement les métiers s’emparer de la plateforme Splunk depuis un an. « Alors que mon travail consistait jusqu’ici à identifier des événements dans des datacenters, je dois de plus en plus répondre à des directions métiers qui veulent savoir combien coûtent les ressources qu’elles utilisent dans AWS, par exemple. Cela est devenu possible grâce à l’arrivée des bons connecteurs », témoigne-t-il.
Selon lui, l’évolution de Splunk vers les métiers tient justement à la capacité de l’éditeur à fournir des connecteurs pour un maximum de services applicatifs. « Techniquement parlant, Splunk est en train de modulariser complètement sa solution afin de faire émerger des briques métiers, c’est-à-dire des tableaux de bord simples qui illustrent des fonctions complexes. Mais ils proposent surtout des API et pas nécessairement des applications finales. Leur module Natural Language par exemple, peut fonctionner à la voix, mais dans ce cas la traduction de la parole en texte est assurée par un service d’AWS ou Google. Il en va de même pour la reconnaissance d’image », analyse-t-il.
« Cela traduit une évolution chez les fournisseurs qui va au-delà de l’actualité de Splunk : tout porte à croire qu’il y a un nouvel Internet des API qui se développe. Et Splunk embrasse cette tendance, car ils savent pertinemment qu’il s’agira d’une condition sine qua none pour subsister à l’avenir », ajoute-t-il.
En ce qui le concerne, Igor Herrmann, attend surtout de voir arriver des connecteurs pour Hadoop et Kafka, dans le domaine de la Business Intelligence. Il estime en revanche que les usages liés au moteur MLTK attendront encore quelques années pour se développer : « J’ai commencé à suivre les sessions de Splunk sur le Machine Learning. Le fait est que c’est bien plus complexe que ce que l’on nous avait annoncé. Il faut avoir des notions de data science et j’ignore quand l’usage se démocratisera », dit-il.
Aider l’humain à prendre de meilleures décisions, plus vite
Romain Valentin, responsable Infrastructure cloud chez Engie Digital, pense au contraire qu’il est urgent de mettre de l’intelligence artificielle dans les tableaux de bord qui monitorent les opérations. « Je témoigne qu’il n’y a rien de moins efficace que de demander à des gens de regarder des courbes huit heures par jour. Il faut que l’être humain utilise son cerveau à faire des choses intéressantes et donc que les tableaux de bord lui servent à prendre rapidement des décisions importantes », lance-t-il. Engie Digital est l’entité qui porte la transformation digitale d’Engie et qui, justement, aide les métiers à développer des tableaux de bords Splunk pour piloter leurs activités.
Une idée que Splunk a surtout intégrée dans son catalogue de logiciels de sécurité. Ainsi, en plus du SIEM Enterprise Security (ES) désormais en version 5.2 et de l’outil de contrôle des accès UBA 4.2, cette catégorie accueille désormais Phantom 4.0. Ce logiciel, dit de SOAR (Security Orchestration and Automated Response), automatise l’investigation en rejouant tous les processus qu’il trouve suspects dans une Sandbox afin d’éliminer les faux positifs, puis se connecte aux API de Splunk pour renseigner les personnels afin qu’ils n’activent que les protections utiles. Phantom 4.0 utilise sa propre intelligence artificielle pour identifier les événements pertinents, tandis qu’UBA 4.2 repose sur MLTK pour identifier au long cours les comportements utilisateurs normaux et n’émettre des alertes que le jour où ceux-ci dévient.
« Même les banques n’ont pas assez de personnel et – ne parviennent pas à en recruter assez – pour surveiller des incidents de sécurité dont le nombre ne cesse de grandir. Donc nous leur donnons à présent les moyens de faire en 5 minutes ce qui leur prenait des heures avant et, ceci, en restant sur le même tableau de bord, alors qu’ils devaient jusqu’ici passer sans cesse d’une application à l’autre », commente Haiyan Song, patronne de l’activité sécurité chez Splunk.
Notons que les éléments d’UBA 4.2 et de Phantom 4.0 peuvent être regroupés dans un nouveau tableau de bord d’ES 5.2 dédié à l’investigation et qui regroupe, comme Business Flow, toutes les séquences d’un même incident de sécurité sur une frise chronologique.
Les nouvelles versions attendues pour fin octobre
Pour le reste, Splunk Enterprise 7.2 se dote d’une demi-douzaine de nouvelles fonctions. Il sait ainsi hiérarchiser les ressources de calcul et de stockage pour générer en premier les alertes les plus importantes et archiver sur des espaces peu cher (Amazon S3...) les relevés les moins souvent sollicités. Il fait tout ceci en respectant désormais les contraintes réglementaires comme le GDPR.
ITSI 4.0, l’application premium dédiée aux administrateurs IT, intègre les possibilités de prédiction de MLTK dans son interface (on saura ainsi quand un stockage menace d’être saturé) et prend désormais en compte les temps de latence des opérations pour déterminer qu’un problème existe dans un enchainement de briques alors que celles-ci fonctionnent a priori parfaitement.
ES 5.2 s’enrichit pour sa part d’une bibliothèque de cas d’usage, pour savoir comment réagir face aux attaques-type.
Enfin, Industrial IoT, le nouvel environnement premium des objets connectés, intègre 25 algorithmes MLTK pour les équipements industriels connectés les plus courants, afin de mieux analyser en temps réel leurs relevés dans le tableau de bord.
Toutes les nouvelles solutions Premium, ES 5.2 comprise, nécessitent Splunk Entreprise 7.2 pour fonctionner et seront disponibles d’ici à fin octobre. Il n’existe pas encore de bundle intégrant ES 5.2 avec Phantom 4.0 et UBA 4.2 ; celui-ci devrait néanmoins être proposé d’ici à un an.
Renouveler le succès des solutions de sécurité
Selon Stéphane Estevez, le gros des ventes de Splunk en France est réalisé aujourd’hui sur la partie Sécurité. Cependant, l’équipe française en charge des outils IT (Splunk Enterprise tout court, éventuellement vendu avec ITSI) devrait connaître un rebond commercial grâce aux nouvelles possibilités offertes au métiers. Un observateur interrogé par LeMagIT lors de l’événement .conf18 émet un doute : « l’activité sécurité de Splunk fonctionne mieux car elle sert un but simple : fournir un SIEM aux SOC. En revanche, la difficulté de la partie IT est que les entreprises n’identifient pas forcément bien ses avantages par rapport à d’autres outils de monitoring. Il est probable que Splunk bataille de la même manière pour adresser des métiers déjà bien pourvus en tableaux de bord dédiés », dit-il.
L’activité IoT est quant à elle surtout développée en Allemagne, où plusieurs industriels utilisaient déjà IAI (Industriel Asset Intelligence), une préversion d’Industrial IoT qui affichait juste les métriques des objets connectés, sans enrichissement particulier.
Selon Adam Roger, analyste financier pour le cabinet Market Realist, les revenus de Splunk pourraient augmenter de près de 33 % en 2019 pour atteindre 1,7 Md$. Ils augmenteraient ensuite de 24 % par an.
