Neocles explore et valorise ses données machines avec Splunk
Derrière la grande histoire, il y a d'abord la petite histoire. D'où vient le nom Splunk ? Il s'agit tout simplement d'un dérivé du mot spéléologie qui se dit « spelunking » en anglais. Les créateurs de Splunk utilisaient cette métaphore de la grotte pour expliquer l'intérêt de leur solution à explorer les tréfonds des machines pour en sortir des données utiles et exploitabes. Car le fondement même de Splunk, c'est cette capacité de recherche de la donnée. « Nous sommes dans une économie de la donnée, elle est soutenue par des machines et elles sont très bavardes. Le problème est que les informations produites sont non structurées », rappelle Eric Lecoq, vice-président EMEA de Splunk. Même si la société a évolué à travers les besoins des clients par rapport aux données. Elle propose dorénavant un portefeuille complet allant de l'intelligence opérationnelle, à la sécurité et au business analytics, tout en n'occultant pas l'incontournable Internet des objets.
Tirer la substantifique moelle des logs
Mais à l'occasion du Splunk Live qui s'est déroulé à Paris, les participants (environ 300) étaient là pour entendre les retours des utilisateurs. Cyril Godon, responsable ingénierie de production et Julien Lemoing (en photo ci-dessus), architecte département solutions chez Neocles étaient dans le même état d'esprit il y a deux quand ils partaient à la recherche d'une solution pour « faire parler les données ». Pour mémoire, Neocles est une activité d'Orange Business Services, qui s'occupe de virtualisation et notamment de VDI (virtual desktop infrastructure). La filiale gère 100 000 postes de travail et environ 120 projets de virtualisation par an, avec une présence dans 3 datacenters comprenant plus de 2000 serveurs. Un sacré terrain de chasse pour débusquer et déterrer de la donnée machine. Tirer la substantifique moelle des logs, tel est le credo des deux responsables.
Ils décident avant 2013 de lancer « le forfait informatique, une plateforme qui avait comme ambition de piloter les bugs en développant des outils (nxlog + perl) et proposer des tableaux Excel », se souvient Cyril Godon. Un premier jet qui reçoit un écho poli des métiers dont certains ont du mal à ouvrir les fichiers Excel. D'où l'idée de passer à une seconde étape en 2013 en élaborant des tableaux de bord plus visuels « plus sexy, avec de la couleur », constate Julien Lemoing. Et d'ajouter : « Les gens se sont alors intéressés à la donnée, il y avait une transparence entre les équipes. » Une autre étape franchie, mais avec un handicap. « Il n'y avait pas d'interaction », admet Julien Lemoing. En 2015, le projet monte en puissance avec la volonté d'avoir une vision 360°, comme par exemple « obtenir des indicateurs de qualité vue par l'utilisateur. Une donnée essentielle quand on travaille sur la virtualisation du poste de travail ».
Un effort sur la consommation de la licence
Voyant le projet tourner en rond, Cyril Godon décide de faire appel à Splunk en octobre 2015. Et les choses s'enchaînent vite. « Un appel, un serveur décommissionné, quelques VM et une session « rookies » avec des formateurs Splunk. » Si les deux responsables voulaient aller vite, ils se sont focalisés sur certains points essentiels. « La capacité de paramétrage, nous faisons du sur-mesure, il était donc impératif que l'outil s'adapte. Une souplesse également sur l'architecture de collecte, car nous avons des utilisateurs hors site ou avec des réseaux datés. »
Mais le plus gros travail, avoue Cyril Godon, « c'est la question du coût, il faut arriver à persuader la direction et les équipes d'aller au-delà du « c'est cher ». Le problème porte donc sur la consommation de la licence. Elle est fixée par un prix au Go. Or nous souhaitions ne pas utiliser toute la licence pour garder des capacités sur des nouveaux projets ». Un gros effort a donc été mené sur l'utilisation des 10 Go de données par jour et donne quelques conseils. « Ne pas mettre tous les logs sur Splunk, se focaliser sur les logs à valeur ajoutée et en calculant un coût pour chaque log avec un classement décroissant », rapporte Cyril Godon. Un travail de fond qui a permis de dégager deux types de logs essentiels. « Les alertes qui ont beaucoup de valeur et qui prennent peu de place, ainsi que la mesure sur la qualité perçue par l'utilisateur permet d'être proactif. » Au final, « la licence peut apparaître comme une contrainte, mais c'est une opportunité pour réfléchir sur la valorisation des données ».
Un succès sur plusieurs fronts
Trois mois après avoir commencé avec Splunk, le succès ne s'est pas démenti et de donner quelques exemples. « Nous avions un problème avec un client sur l'incapacité d'imprimer certains fichiers, notre direction nous mettait la pression de résoudre le problème en 24h alors que nous n'avions pas d'alertes particulières, en passant par Splunk, on a su quelles données posaient un souci et on l'a résolu en quelques minutes. » De même la rapidité de déploiement a été apprécié et démontré « chez un client qui avait un problème applicatif majeur, Splunk nous a permis de montrer que le problème venait de chez lui ».
La mise en place d'un nouvel indicateur sur la perception de la qualité par l'utilisateur a été très appréciée par les équipes. De même un client de passage dans les locaux de Neocles a vu les tableaux de bord (cf photo ci-dessous) et a demandé à avoir la même chose chez lui. Une consécration pour Cyril Godon et Julien Lemoing qui ont pu passer à une licence de 50 Go sans avoir à se justifier.
Lire aussi : La XRD peut-elle remplacer les SIEM dans les SOC ?
A lire aussi :
Splunk convertit sécurité et performances IT au machine learning
Sécurité : Splunk dépense 190 millions de dollars pour Caspida
Sur le même thème
Voir tous les articles Cloud