Splunk und Red Hat arbeiten gemeinsam an der Automatisierung der Reaktion auf Beobachtbarkeitswarnungen für verbesserte AIOps

Event-Driven Ansible, Teil von Red Hat Ansible Automation Platform, automatisiert Aktionen, um AIOps-Szenarien zu ermöglichen und mehr Geschwindigkeit, Konsistenz und Resilienz bei der Reaktion auf Probleme und Warnungen zu bieten. Splunk, Teil von Cisco Systems, bietet ein vielfach bewährtes Observability-Portfolio, mit dem Unternehmen ihre digitalen Systeme besser verstehen, Bedrohungen erkennen und die operative Effizienz verbessern können. 

In Zusammenarbeit mit Red Hat und Cisco kann Splunk die Erstellung automatisierter Reaktionsszenarien für Splunk-Warnungen beschleunigen und vereinfachen. Gemeinsame Kunden können nun vollständige Reaktionen von der Warnung bis zur Aktion einfacher automatisieren. Dies bietet Vorteile wie weniger Service-Tickets, eine schnellere MTTR (Mean Time To Resolution) und eine bessere Resilienz, einschließlich einer schnellen Reaktion auf Sicherheitswarnungen oder der Behebung von Problemen, die die Verfügbarkeit wichtiger Anwendungen beeinträchtigen. 

Vorteile der Integration

Wie andere Funktionen in Ansible Automation Platform ist auch Event-Driven Ansible sehr flexibel. Nutzende können spezifische Alarme auswählen und die gewünschte Reaktion festlegen – von der automatischen Erstellung von Tickets und Benachrichtigungen über das Sammeln von schreibgeschützten Fakten bis hin zur kodifizierten Fehlerbehebung, dem Ausführen automatisierter IT-Managementschritten und dem Aufrufen vertrauenswürdiger Ansible Playbooks. Kunden können die Event Analytics-Funktionen der Splunk IT Service Intelligence (ITSI) Observability-Lösung in Verbindung mit Event-Driven Ansible nutzen, um geschäftskritische Probleme schneller zu korrelieren und zu identifizieren sowie Reaktionen in einem AIOps-Modell zu automatisieren. 

Als eine AIOps-, Analyse- und IT-Management-Lösung unterstützt Splunk ITSI Teams dabei, Vorfälle zu verhindern, bevor diese sich auf Kunden auswirken können. Mithilfe von KI und Regeln korreliert Splunk ITSI die von Monitoring-Quellen gesammelten Daten und bietet eine zentrale Live-Ansicht relevanter IT- und Geschäftsservices. Dies reduziert unnötige Warnmeldungen und verhindert proaktiv Ausfälle.

„Wir sehen einen großen Mehrwert für die Nutzenden von Splunk ITSI und Ansible Automation Platform, daher ist diese Zusammenarbeit für unsere gemeinsamen Kunden sehr wertvoll.“ Indem wir die Leistungsfähigkeit von Splunk mit Event-Driven Ansible kombinieren, helfen wir unseren Kunden, durch Automatisierung schnellere und intelligentere Maßnahmen zu ergreifen, um ihre Systeme resilient und ihre Teams agiler zu machen“, so Anush Jayaraman, Director of Partner Solutions Engineering, Splunk, einem Unternehmen von Cisco.  

Splunk hat außerdem Daten aus dem gesamten Cisco-Ökosystem genutzt. Dabei wurden Daten von Cisco ThousandEyes, Catalyst Center und Meraki in eine umfassendere Beobachtbarkeitslösung umgewandelt. Diese Lösung unterstützt Unternehmen dabei, die Elemente in ihrem digitalen Stack besser zu verbinden – von der Anwendung über die Infrastruktur bis hin zum Netzwerk. Mithilfe von Event-Driven Ansible erhalten Unternehmen ein Gesamtbild von ihrem gesamten Stack und können schnell auf veränderte Bedingungen und Probleme reagieren.

Funktionsweise von eventgesteuerter Automatisierung mit Splunk

Was wurde also entwickelt, um automatisierte Reaktionsszenarien schneller und einfacher bereitzustellen? Ein Splunk-Add-on ist jetzt auf Splunkbase verfügbar, das es ermöglicht, Warnungen über Webhooks oder Kafka an Event-Driven Ansible zu senden. Red Hat unterstützt dieses Add-On für Kunden mit einer Subskription für Red Ansible Automation Platform. In diesem Artikel, der auf der Community-Website Lantern von Splunk veröffentlicht wurde, erfahren Sie mehr über die ersten Schritte.   

Im Folgenden erläutern wir, wie sie funktioniert. Die folgende Abbildung beschreibt das Modell „Receive-Decide-Respond“ in Event-Driven Ansible. In der Decide-Phase spielen Ansible Rulebooks eine Schlüsselrolle. Diese Rulebooks basieren auf ähnlichen Methoden wie Ansible Playbooks, enthalten jedoch bedingte Regeln. Sobald eine Warnung eingeht, wird das Event anhand der Bedingungen im Rulebook ausgewertet. Wenn die Bedingungen erfüllt sind, wird die gewünschte Aktion ausgelöst, um auf den Alarm zu reagieren oder ihn zu beheben. Aktionen können das Aufrufen von Ansible Playbooks oder Modulen oder die Ausführung von Automatisierungsvorlagen in Ansible Automation Platform umfassen.

Wie funktioniert dieses Szenario mit einer Splunk-Warnung? In Abbildung 2 sehen Sie eine detailliertere Ansicht des oben gezeigten Szenarios „Receive-Decide-Respond“. Sie sehen sowohl das Add-on als auch Splunk ITSI und Splunk Enterprise Security, die Alerts mit oder ohne KI-Modell generieren.    

Ausweitung der eventgesteuerten Automatisierung mit Splunk

Sowohl Red Hat als auch Splunk planen ein Modell mit zunehmendem Reifegrad einzuführen. Wir unterstützen das Prinzip „Klein anfangen, Großes planen“. Ihre ersten eventgesteuerten Automatisierungsaufgaben sollten einfach sein und dann an Umfang und Komplexität zunehmen, damit Sie von Vorteilen wie eine bessere Work-Life-Balance und mehr Zeit für Innovationen profitieren können. Ihre ersten eventgesteuerten Automatisierungsaufgaben könnten das automatische Erstellen von Tickets und Benachrichtigungen oder das automatische Erneuern von Zertifikaten sein, insbesondere wenn sie während der Nacht ablaufen. 

Wenn Sie diese Vorteile erkannt haben, können Sie nach und nach wachsen. Sie können beispielsweise Rulebooks erstellen, um den Datenverkehr in einem Bereich, in dem eine Sicherheitsbedrohung besteht, abzuschalten oder umzuleiten. Oder Sie können Schwellenwertreaktionen erstellen und auslösen, beispielsweise in einem E-Commerce-Szenario mit hohem Datenverkehr. Hier sind einige zusätzliche Ideen, wie Sie den Umfang und die Komplexität von Alert-Response-Szenarien erhöhen können:

• Automatisierte Reaktion auf Sicherheitsvorfälle
• Korrigieren von Compliance und Konfigurationsdrift
• KI-/ML-gestützte Korrekturschleifen
• Transparenz bei der Infrastruktur-Provisionierung
• Security Operations Center (SOC)-Workflows
• Änderungsmanagement-Auditing
• Closed-Loop-Automatisierung

Fazit und Ressourcen

Red Hat und Splunk sind gespannt auf diese Zusammenarbeit und auf die zukünftigen Entwicklungen. Nutzen Sie die unten aufgeführten Ressourcen, um es selbst auszuprobieren. Bitte teilen Sie Ihre Meinung entweder mit Red Hat oder Splunk, damit wir verstehen, was Sie benötigen und wie Sie davon profitieren. Auf der Event-Driven Ansible Webseite finden Sie Neuigkeiten und Ressourcen zu dieser Zusammenarbeit.  

Weitere Ressourcen:

• Splunkbase Add-on
• Splunk Latern – Technischer Artikel zur Verwendung
• Webseite zu Event-Driven Ansible
• Interaktives Lab zu Event-Driven Ansible
• Video Demo: Art of the possible for AIOps
• Cisco und Splunk stärken die digitale Resilienz von Unternehmen in der KI-Ära
• Webinar, 21. August: Red Hat, Splunk und Presidio