Splunk et Red Hat collaborent pour automatiser la réponse aux alertes d'observabilité afin d'améliorer l'AIOps.

Event-Driven Ansible, un composant de Red Hat Ansible Automation Platform, automatise les actions pour permettre la mise en œuvre de scénarios AIOps et optimiser la vitesse, la cohérence et la résilience lors de la résolution des problèmes et des alertes. Splunk, une société de Cisco Systems, propose une gamme de produits d'observabilité largement adoptés, conçus pour aider les entreprises à comprendre leurs systèmes numériques, à détecter les menaces et à améliorer l'efficacité opérationnelle. 

En collaboration avec Red Hat et Cisco, Splunk peut accélérer et simplifier la création de scénarios de réponse automatisés pour les alertes Splunk. Les clients communs peuvent désormais automatiser plus facilement des réponses complètes allant de l'alerte jusqu’à l'action. Cette automatisation offre plusieurs avantages, tels qu'un nombre réduit de tickets d'intervention, un temps moyen de résolution (MTTR) plus rapide et une meilleure résilience. Ces avantages incluent une réponse rapide aux alertes de sécurité ou une résolution des problèmes qui affectent la disponibilité des applications clés. 

Avantages de l'intégration

Comme toutes les fonctionnalités d'Ansible Automation Platform, Event-Driven Ansible offre une grande flexibilité. Les utilisateurs peuvent sélectionner des alertes spécifiques et concevoir la réponse souhaitée, qu'il s'agisse de la création automatique de tickets et de notifications, de la collecte de faits en lecture seule, de la résolution des problèmes codifiée, de l'exécution automatisée des étapes de gestion informatique ou de l'appel de playbooks Ansible fiables. En association avec Event-Driven Ansible, la solution d'observabilité Splunk IT Service Intelligence (ITSI) permet aux clients de mettre en corrélation et d'identifier plus rapidement les problèmes critiques, et d'automatiser les réponses à l'aide du modèle AIOps. 

La solution d'AIOps, d'analyse et de gestion informatique Splunk ITSI aide les équipes à prévenir les incidents avant qu'ils n'affectent les clients. À l'aide de règles et de l'intelligence artificielle, Splunk ITSI met en corrélation les données collectées à partir des sources de surveillance et offre une vue unifiée et en direct des services informatiques et métier pertinents, permettant de réduire le bruit d'alerte et de prévenir proactivement les pannes.

« Nous constatons la valeur apportée aux clients par les utilisateurs de Splunk ITSI et d'Ansible Automation Platform. Notre collaboration est donc précieuse pour nos clients communs. En associant la puissance de Splunk à Event-Driven Ansible, nous aidons nos clients à prendre des mesures plus rapidement et plus intelligemment grâce à l'automatisation, afin d'assurer la résilience de leurs systèmes et l'agilité de leurs équipes », explique Anush Jayaraman, directeur de l'ingénierie des solutions partenaires chez Splunk, une société de Cisco.  

Splunk a également exploité les données de l'écosystème Cisco, en transformant les données de Cisco ThousandEyes, Catalyst Center et Meraki en une solution d'observabilité plus complète pour aider les entreprises à mieux connecter les différents éléments de leur pile numérique, des applications à l'infrastructure en passant par le réseau. Avec Event-Driven Ansible, les entreprises peuvent avoir une vue d'ensemble sur leur pile, et réagir rapidement à l'évolution des conditions et des problèmes.

L'automatisation orientée événements avec Splunk

Qu'est-ce qui a été développé pour accélérer et faciliter la mise en œuvre des scénarios de réponse automatisée ? Un module complémentaire Splunk est désormais disponible sur Splunkbase, ce qui permet d’envoyer des alertes à Event-Driven Ansible à l’aide de webhooks ou de Kafka. Red Hat propose ce module complémentaire aux clients qui disposent d'une souscription Red Hat Ansible Automation Platform. Cet article, publié sur le site Web Lantern de Splunk, axé sur la communauté, explique comment se lancer.   

Voyons comment elle fonctionne. La figure ci-dessous décrit le modèle recevoir-décider-répondre dans Event-Driven Ansible. Les rulebooks Ansible jouent un rôle clé dans la phase de décision. Ces rulebooks sont écrits à l’aide de méthodes similaires à celles des playbooks Ansible, mais ils incluent des règles conditionnelles. À la réception d'une alerte, le rulebook évalue l'événement en fonction de ses conditions. Lorsque les conditions sont remplies, l'automatisation déclenche l'action souhaitée pour la réponse ou la résolution de l'alerte. Les actions peuvent inclure l'appel de playbooks Ansible, de modules ou l'exécution de modèles d'automatisation dans Ansible Automation Platform.

Comment ce scénario fonctionne-t-il avec une alerte Splunk ? La Figure 2 est une vue plus détaillée du scénario recevoir-décider-répondre illustré ci-dessus. Vous verrez le module complémentaire en action, ainsi que les solutions Splunk ITSI et Splunk Enterprise Security, là où des alertes sont générées avec ou sans modèle d'IA.    

L'expansion de l'utilisation de l'automatisation orientée événements avec Splunk

Red Hat et Splunk s'attendent tous deux à adopter un modèle de maturité croissante. Nous soutenons une approche consistant à commencer petit et à voir les choses en grand. Vos premières tâches d'automatisation orientée événements doivent être simples, puis devraient gagner en ampleur et en sophistication pour offrir différents avantages, notamment un meilleur équilibre entre vie professionnelle et vie privée, et plus de temps pour l'innovation. Vos premières tâches d'automatisation orientée événements peuvent être la création automatique de tickets et de notifications, ou le renouvellement automatique des certificats, en particulier lorsqu'ils expirent pendant la nuit. 

Dès que vous constaterez ces avantages, vous pourrez alors étendre votre démarche. Par exemple, vous pouvez créer des rulebooks pour arrêter ou rediriger le trafic autour d'une zone où il existe une menace de sécurité. Vous pouvez également créer et déclencher des réponses de seuil, comme dans le cas d’un scénario de trafic élevé de commerce en ligne. Voici quelques idées supplémentaires pour augmenter la portée et la complexité des scénarios de réponse aux alertes :

• Résolution automatisée des incidents
• Conformité et correction des écarts de configuration
• Boucles de correction basées sur l'IA/ML
• Visibilité sur le provisionnement de l'infrastructure
• Flux de travail du Centre des Opérations de Sécurité (SOC)
• Audit de la gestion du changement
• Automatisation en boucle fermée

Conclusion et ressources

Red Hat et Splunk sont enthousiastes à l'égard de cette collaboration et de ce qui est à venir. Nous vous invitons à faire un essai avec les ressources ci-dessous. N'hésitez pas à partager vos réflexions avec Red Hat ou Splunk afin que nous puissions comprendre vos besoins et attentes. Consultez la page Web Event-Driven Ansible pour les actualités et les ressources relatives à cette collaboration.  

Ressources supplémentaires :

• Module complémentaire Splunkbase
• Article technique Splunk Lantern
• Page Web Event-Driven Ansible
• Atelier interactif Event-Driven Ansible
• Démonstration vidéo : l'art du possible pour l'AIOps
• Cisco et Splunk renforcent la résilience numérique des entreprises à l'ère de l'IA
• Webinar du 21 août : Red Hat, Splunk et Presidio