Splunk的“黑科技”

　　第八届Splunk年度大会conf2017在美国华盛顿落幕，机器学习与大数据的激烈碰撞让人印象深刻。“把机器数据转换成答案”这一直是Splunk的理想和奋斗的目标，而人工智能、机器学习为这一理想插上了翅膀。

　　在Gartner列举的“2017年十大战略技术趋势”中，人工智能和先进的机器学习位列第一。Gartner的报告指出，人工智能和先进的机器学习技术是被广泛关注的新兴技术，将在企业甚至整个行业中掀起革命浪潮。它们将大幅度降低劳动力成本，产生意想不到的新见解，从原始数据中发现新模式，并建立预测模型。

　　机器学习无处不在

　　有了人工智能、机器学习，似乎一切难题都会迎刃而解。真是这样吗？至少在conf2017大会上，我们看出了一些苗头。

　　Splunk给我们带来的惊喜是，其主打产品，包括Splunk Enterprise 7.0、Splunk IT Service Intelligence（ITSI）3.0、Splunk User Behavior Analytics（UBA）4.0以及Splunk Cloud等在内都进行了更新，进一步增强了机器学习的能力。尤其是将分析技术和机器学习用于欺诈监测和云监测等应用场景中，拓宽了人工智能和机器学习的应用领域。

　　数据是企业的一种战略资产。如今，企业正在寻找将数据转换为答案的快速且行之有效的方法。而Splunk将这当成自己的使命。

　　Splunk首席产品官Richard Campione表示：“机器学习对于客户的成功和Splunk的发展都非常重要。我们的无缝集成功能使每个人都能够使用机器学习，更好地预测未来结果，以及更有效地分析数据。Splunk Enterprise 7.0和Splunk Cloud能够比以往更快速、更容易地提交任务关键问题的答案。”

　　Splunk Enterprise 7.0已经推出，Splunk ITSI 3.0和UBA 4.0将于下个月提供。新版Splunk Cloud将于2018年1月推出。

　　Splunk的解决方案中增加了哪些机器学习的新功能？其重点列举如下。

　　■Splunk ITSI 3.0：将服务环境与机器学习相结合，以减少误报，只提交最关键的信息，从而彻底改变事件监测服务，有助于发现现有的和潜在的问题，实现分析驱动的IT运营。

　　■Splunk UBA 4.0：支持客户使用Splunk UBA新的软件开发套件（SDK），创建和加载自己的机器学习模型，从而识别自定义的异常和威胁事件。这一创新进一步增强了用户检测内部攻击的能力，把异常行为自动关联到高度保真的威胁中。

　　■Splunk机器学习工具包：客户可以免费使用的Splunk机器学习工具包（MLTK）是一款数据科学应用程序，它更新了机器学习模型管理，包括公共机器学习API，可用于开源和专有算法，能够帮助客户在启动机器学习建模之前的准备和清洗数据。

　　Splunk不仅能够提供强大的机器数据分析和预测能力，而且在安全上也是一把好手，人工智能和机器学习技术的引入，让企业安全更有保障。

　　■Splunk ES内容更新：Splunk Enterprise Security（ES）内容更新是一种新的订阅服务，它为Splunk ES客户提供预先封装好的安全内容，比如定期提供安全动态新内容，用于检测具体的威胁，并可协助安全部门调查威胁和管理决策过程，使其更容易选择应对措施。

　　■Splunk Security Essentials for Fraud Detection：这是一款适用于欺诈检测的免费Splunk应用程序，来用指导客户怎样使用Splunk来识别和研究不同类型的欺诈行为，包括医保、支付卡和交易欺诈等。使用Splunk MLTK和一系列的Splunk数据分析功能，使得Splunk Security Essentials for Fraud Detection的用户更容易理解和应对欺诈行为。

　　■Splunk Insights for AWS Cloud Monitoring：在亚马逊市场上以亚马逊机器镜像（AMI）的形式提供，适用于AWS云监控，为企业提供了基于分析的方法来监控云。

　　■Splunk Insights for Ransomware：针对勒索软件，可根据用户人数来定价，为企业提供实时深度分析，可主动评估并快速调查可能存在的勒索软件威胁。

　　■Booz Allen Hamilton Cyber4Sight for Splunk：为安全分析师和威胁捕获专家提供可操作的威胁情报，Cyber4Sight for Splunk现在已经得到了广泛应用。新的应用程序包括Booz Allen威胁情报服务的网络深度分析和安全情报，以及Splunk ES分析驱动的安全深度分析。

　　Splunk在conf2017上还预先展示了两种未来的“黑科技”：一是Splunk Project Waitomo，这是一款新的基础设施监控解决方案，结合了日志和评价指标，在报警、趋势和调查功能中集成了机器学习；另一个是Splunk Project Nova，这是专为开发人员和DevOps从业者提供的基于API的日志即服务解决方案。将人工智能、机器学习技术与现有产品和解决方案深度集成，让用户可以更快速、有效地发现潜在问题和安全隐患，并且为决策提供更可靠的支持，这应该是Splunk未来几年中钻研的重点。

　　将数据转换为答案

　　采用Splunk的分析和机器学习技术，将数据尽快转换为答案，这已经在政府机构和高校中得到了验证。在conf2017大会上，我们看到了许多这样的成功案例。

　　Splunk的解决方案帮助美国政府的3个分支机构、15个内阁部门、50个美国州中的43个，以及全球750多所高等教育机构实现了数字化转型，不断提高运营效率，降低成本，同时提高安全性。

　　Splunk帮助美国国防卫生局（DHA）成功地监测新部署的MHS GENESIS电子健康记录（EHR）系统，同时为DHA的企业日志整合、分析和保留服务（LCARS）打下了基础。借助Splunk的平台，DHA发现了那些他们不再需要的工具，并通过自动化的报告和IT过程，有效降低了成本。

　　美国乔治城大学首席信息安全官Joseph Lee介绍说：“Splunk为我们提供了多层次、基于分析的方法来对抗网络威胁。乔治城大学拥有超过1.4万个电子邮件地址以及众多的全球知名人物，是攻击者最喜欢攻击的目标。Splunk使我们能够在安全运营中心的核心部分应用分析技术，跟踪威胁，并采取相应的措施，以减轻威胁造成的损失。”

　　2017年度Splunk公共部门IT运营调查显示，与去年相比，至少60%的公共部门IT专业人士对履行职责的信心有所下降。而Splunk为这些IT和安全专业人员提供了专业、高效的分析解决方案，有助于提高其信心。

　　没有伙伴不行

　　Splunk十分倚重合作伙伴，目前全球共有超过950家合作伙伴，涵盖系统集成商、代理商、增值分销商、技术联盟伙伴、原始设备制造商和托管服务提供商等。

　　为了加强与合作伙伴的协作，推动销售和本地化服务，Splunk近期公布了一系列新的举措和工具，主要包括以下几方面内容：

　　■推出新的Partner+门户网站，使得Splunk的合作伙伴可以在一个使用方便的现代界面中开发并管理他们与Splunk业务。自7月中旬新门户网站推出后，已有近90个国家的1.8万多名用户进行了注册。

　　■推出Partner+托管服务提供商（MSP）计划，简化MSP合作伙伴流程，并提供相应的入职培训。

　　■丰富了Partner+专业服务计划，为合作伙伴提供了一个框架，帮助他们集成、实施和配置Splunk产品，同时还提供最佳实践和项目，确保参与“专业服务”的所有合作伙伴都能够通过Splunk的产品帮助客户取得成功。

　　■创建Partner+技术联盟计划（TAP），为合作伙伴提供简单易用的参与方式，在Splunk平台上针对IT和安全应用场景，联合开发解决方案。

　　对于Splunk新的销售和支持计划，全球各地的合作伙伴纷纷点赞。总部设在爱丁堡的ECS为企业客户提供全方位的IT服务，自从5年前成为Splunk的合作伙伴后，其业务飞速发展，收入增长2400%，员工数量也从最初的10人增加到现在的200多人。Splunk分析驱动的安全解决方案成了ECS重点销售的解决方案。随着合作的深入，ECS与Splunk之间的关系也变得更加牢固。“大数据和人工智能对于Splunk来说至关重要，未来将齐头并进。”Splunk公司总裁兼首席执行官Doug Merritt表示。

　　郭涛