Splunk y Red Hat trabajan en conjunto para automatizar sus respuestas a las alertas de observabilidad y así mejorar las AIOps

Event-Driven Ansible, parte de Red Hat Ansible Automation Platform, automatiza distintas acciones para posibilitar los casos de operaciones de la inteligencia artificial (AIOps) y ofrecer más velocidad, uniformidad y capacidad de recuperación a la hora de responder a los problemas y las alertas. Splunk, que forma parte de Cisco Systems, ofrece una cartera de productos para observabilidad muy populares. Este conjunto de productos está diseñado para ayudar a las empresas a comprender sus sistemas digitales, detectar amenazas y mejorar la eficiencia operativa. 

En colaboración con Cisco y Red Hat, Splunk puede agilizar y simplificar la creación de casos de respuesta automatizada para las alertas de Splunk. Ahora, los clientes conjuntos pueden automatizar con mayor facilidad respuestas completas, desde la alerta hasta la acción. Esto genera distintos beneficios, como menos solicitudes de seguimiento de incidentes, tiempo medio de resolución (MTTR) más corto y mayor capacidad de recuperación, lo que incluye responder con rapidez a las alertas de seguridad o resolver de forma más ágil los problemas que afectan la disponibilidad de aplicaciones clave. 

Ventajas de la integración

Como todas las funciones de Ansible Automation Platform, Event-Driven Ansible es muy flexible. Los usuarios pueden seleccionar alertas específicas y diseñar la respuesta que quieran: desde crear solicitudes de seguimiento de incidentes y notificaciones de forma automática hasta recopilar datos de solo lectura, resolver problemas de acuerdo con procesos establecidos, realizar pasos automatizados para gestionar la TI y recurrir a playbooks de Ansible de confianza. Los clientes pueden utilizar las funciones de análisis de eventos de la solución de observabilidad Splunk IT Service Intelligence (ITSI) con Event-Driven Ansible. Con esta combinación, pueden identificar con mayor rapidez los problemas más importantes para la empresa, relacionarlos y automatizar las respuestas en un modelo de AIOps. 

Splunk ITSI es una solución de AIOps, análisis y gestión de TI con la que los equipos pueden prevenir incidentes antes de que afecten a los clientes. Utiliza inteligencia artificial y reglas para relacionar los datos recopilados de las fuentes de supervisión y ofrecer una sola vista de los servicios empresariales y de TI relevantes que se actualiza en el momento. Así, se deshace de las alertas irrelevantes y previene las interrupciones de forma anticipada.

"Splunk ITSI y Ansible Automation Platform aportan mucho valor a los usuarios, por lo que esta colaboración es útil para nuestros clientes en común. Al combinar el poder de Splunk con Event-Driven Ansible, ayudamos a los clientes a tomar medidas más rápidas e inteligentes a través de la automatización. De esta manera, pueden mantener la capacidad de recuperación de sus sistemas y la agilidad de sus equipos", dijo Anush Jayaraman, director de Ingeniería de Soluciones para Partners, Splunk, una empresa de Cisco.  

Splunk también aprovecha los datos de todo el ecosistema de Cisco (Cisco ThousandEyes, Catalyst Center y Meraki) para convertirlos en una solución de observabilidad más completa. Con esta herramienta, puede ayudar a las empresas a conectar todo su stack digital, desde la aplicación hasta la infraestructura y la red. Con Event-Driven Ansible, las empresas pueden analizar su stack desde una perspectiva general y responder rápidamente a las condiciones y los problemas cambiantes.

Funcionamiento de la automatización basada en eventos con Splunk

Para agilizar y facilitar la presentación de los casos con respuestas automatizadas, se desarrolló un complemento de Splunk, ya disponible en Splunkbase, que permite enviar alertas a Event-Driven Ansible mediante webhooks o Kafka. Red Hat admite este complemento para los clientes que tengan una suscripción a Red Hat Ansible Automation Platform. En este artículo publicado en el sitio web de Lantern centrado en la comunidad de Splunk, se explica cómo dar los primeros pasos.   

Analicemos su funcionamiento. En la siguiente imagen, se describe el modelo de recepción, decisión y respuesta en Event-Driven Ansible. En la etapa de decisión, los rulebooks de Ansible desempeñan un papel fundamental. Dichos rulebooks se escriben con métodos similares a los de los playbooks de Ansible, pero incluyen reglas condicionales. Cuando se recibe una alerta, se evalúa el evento de acuerdo con las condiciones del rulebook. Si se cumplen las condiciones, se activa la acción deseada para responder a la alerta o resolverla. Las acciones pueden incluir recurrir a playbooks de Ansible o módulos, o bien, ejecutar plantillas de automatización en Ansible Automation Platform.

Entonces, ¿cómo funciona este caso con una alerta de Splunk? En la segunda imagen, se muestra una vista más detallada del caso anterior de recepción, decisión y respuesta. Verás el complemento en uso, así como Splunk ITSI y Splunk Enterprise Security, donde se generan alertas con o sin un modelo de inteligencia artificial.    

Expansión de la automatización basada en eventos con Splunk

Tanto Splunk como Red Hat prevén adoptar la automatización con un modelo de madurez creciente. Respaldamos una estrategia en la que se comience de a poco, pero se piense en grande. Las primeras tareas de automatización basada en eventos deben ser sencillas. Luego, puedes ampliar su alcance y sofisticación para ofrecer distintos beneficios, como un mejor equilibrio entre el trabajo y la vida personal, y más tiempo para generar innovaciones. Es posible que tus primeras tareas de automatización basada en eventos sean crear solicitudes de seguimiento de incidentes y notificaciones, o renovar certificados, especialmente cuando vencen durante la noche. 

Una vez que observes estos beneficios, puedes seguir avanzando. Por ejemplo, puedes diseñar rulebooks para detener o redirigir el tráfico en un área donde hay una amenaza para la seguridad. O bien, puedes diseñar y activar respuestas por límites, como en un caso de e-commerce con mucho tráfico. Estas son algunas ideas más sobre cómo se puede extender el alcance y la sofisticación de los casos de respuesta a alertas:

• respuesta automática ante incidentes;
• corrección de los desajustes en la configuración y el cumplimiento normativo;
• bucles de corrección basados en inteligencia artificial/machine learning (aprendizaje automático);
• control de la preparación de la infraestructura;
• flujos de trabajo del Centro de Operaciones de Seguridad (SOC);
• auditoría de la gestión de cambios;
• automatización de bucle cerrado.

Conclusión y recursos

Tanto a Splunk como a Red Hat les entusiasma esta colaboración y lo que está por venir. Te invitamos a probarla con los recursos que aparecen a continuación. Comparte tu opinión con Splunk o Red Hat para que entendamos lo que necesitas y los beneficios que obtienes. Visita la página web de Event-Driven Ansible para conocer las novedades sobre esta colaboración y los recursos relacionados.  

Recursos adicionales:

• complemento de Splunkbase;
• artículo técnico sobre los procedimientos de Splunk Lantern;
• página web de Event-Driven Ansible;
• laboratorio interactivo de Event-Driven Ansible;
• demostración en video: el arte de lo posible para las AIOps;
• Cisco and Splunk Strengthen Enterprise Digital Resilience in the AI Era;
• webinar del 21 de agosto: Red Hat, Splunk y Presidio.