2. 2
Agenda
Qui sommes-nous ?
L’exploitation des logs avant Splunk
Le lancement du projet Splunk
Comment a t’on géré le « C’est cher » et acheté nos 10 premiers Go
Les succès qui nous ont permis de passer à 50 GO
Si on avait des conseils à vous donner
Ce que nous avons apprécié de Splunk
Conclusion
3. 3
Neocles Corporate
Neocles, filiale à 100% d’Orange Business Services.
Fournit des solutions pour la transformation du poste de
travail & des infrastructures vers le Cloud.
200 personnes
100 000 postes de travail gérés
120 projets de centralisation ou virtualisation effectués par an
+ 200 clients infogérés
3 datacenters, +2000 serveurs
4. Qui sommes nous ?
Cyril GODON
Responsable ingénierie de production
Explorer et valoriser les données et
mesurer l’impossible.
« I’am looking for trouble »
Mais ca pourrait être aussi :
« Je crois ce que je mesure »
« Comment tu le sais ? »
Julien LEMOING
Architecte département Solutions
Représenter les données de façon
visuelle afin de la partager et d’en
faciliter la compréhension.
«See your world. Maybe wish you
hadn't. »
6. 6
Les débuts de l’exploitation des logs
2011/2013
2013/2015
Collecte :
Développements internes (nxlog + perl)
pour piloter une offre phare « le forfait
informatique »
Analyse / Présentation :
SQL + Excel dynamique
A partir de 2011
7. 7
Le début de la valorisation
2011/2013
2013/2015
Diffusion de la donnée
• Partage & accessibilité
• Centralisation
• Vulgarisation
• Transparence
A partir de 2013
8. 8
L’information sur mesure – Le 360°
2013/2015
Interactivité
• Contextualisation
• Indicateurs de qualité perçue
• Partage de la même interface et
de la même donnée pour tous
A partir de 2015
10. 10
Limites et enjeux
Les constats dès 2014
– Très belle réussite qui a amorcé un changement de culture
– Collecte et stockage peu scalables et étendables aux autres offres.
Recherche d’un nouvel outil
– Déploiement puissant de configuration
– Prise en main abordable et graphique
– Scalabilité
– Souplesse de l’architecture
Nos freins psychologiques
– Investissements nécessaires (temps, budget global)
11. Le lancement du « projet »
Octobre 2015
… Et passer à l’actionDes contraintes
• Pas de budget
• Challengé (interne/externe) sur
« c’est cher »
• Pas beaucoup de temps à
consacrer au projet
• Appel chez Splunk
• Choix d’un projet phare pour
l’entreprise comme cible d’un pilote
• Soirée Pizzas « Splunk 4 Rookies »
• Récupération d’un serveur physique
et provisionning de quelques VM
Un challenge, une invitation à faire
différemment…
Lancement d’un pilote « en
production »
12. Les 5 points clés du pilote
Challenge des fonctionnalités de paramétrage
Installation globale de l’architecture de collecte
Validation de l’agent universal fowarder en production
Suivi fin de la consommation de la licence
Configuration des règles de filtrage
13. Comment a t’on géré le « C’est cher » …
… et « vendu » nos 10 premiers GO
• En admettant que peut être nous ne
mettrions pas tous nos logs dans Splunk.
• En se focalisant sur les logs à plus forte
valeur ajoutée (Et en déployant très large)
1
• En vendant une valorisation fonctionnelle
et non des « logs » ou un outil
– Dashboards
– Indicateurs de qualité de service
• En choisissant un périmètre stratégique
pour le pilote :
– Cœur de métier
– Projets/clients phares
Les premiers GO de licence sont les plus chers et
doivent être amortis par les logs qui ont le plus de
valeur (temps et tranquillité)
1.Calcul du coût de chaque log :
longueur * nombre/jour = volume coût
2.Comparaison avec son potentiel de valorisation
3.Sélection par valeur décroissante
14. 14
Les réussites qui ont fortement contribué…
A passer à 50 GO 3 mois plus tard
Qualification très rapide de plusieurs problèmes
Evitement d’une escalade client en 24h
Publication d’un nouvel indicateur métier clé (Qualité perçue
par l’utilisateur)
Déploiement en 48H sur un nouveau périmètre complexe
pour aider le client à qualifier un problème applicatif majeur
Un client important en visite disant devant une télé : « je
veux la même chose dans mon bureau »
17. Si on avait des conseils à vous donner
A posteriori, ce qui a contribué au succès de notre démarche
Déployez Splunk (test, licence petit
volume) et explorez vos données !
Soyez focus sur les logs à valeur
Soyez prêt à saisir toute opportunité
(« éviter » une « crise »)
Choisissez un périmètre « en vue »
fédérant le management et le plus grand
nombre
Déployez Splunk Mais surtout valorisez vos données !
1. Soignez autant la forme que le fond
pour donner envie
2. Créez des indicateurs métiers
3. Rendez vos données accessibles et
vivantes et partager les avec le plus
grand nombre
18. Ce que nous avons apprécié
La prise en main rapide aidée par les
soirées Splunk 4 Rookies et Ninjas
La disponibilité d’apps pour toutes nos
technos
La souplesse de gestion et déploiement
de configurations complexes par les apps
Anwers.splunk.com quand on est perdu
dans les confs parce qu’on n’a pas pris le
temps d’aller en formation
La puissance du langage de requête
Le système de dashboarding simple,
rapide et ouvert
L’engouement autour de l’outil « on peut
avoir un compte ? » « quand est ce
qu’on a une formation ? »
La « souplesse » de la licence au volume
L’ouverture du produit
19. Pour conclure
Splunk est l’outil qu’il nous fallait pour entrer dans une
nouvelle ère du pilotage de nos services
Timing 2 min
Splunking “maison”
Valorisation des données (Sauron : Dashin, 360°)
Les limites de l’artisanat à la recherche de la solution industrielle
Splunk live c’est sympa et les tee shirts sont marrants mais Splunk c’est cher !
1min20
1min 15 chacun = 2min30
Ma mission personnelle :
« Libérer le potentiel en stimulant la conscience »
Chrono sans les détails
2011/2013 : Développement interne d’une collecte de logs puissante pour piloter une offre phare « le forfait informatique »
NXLOG (collecte)
Scripts Perl (10000 lignes)
Base de données SQL (sql server, 150 tables, 200 vues, 120 GO)
2013/2015 : Valorisation et partage de l’information par tous
Dashboards temps réels
Sauron 360°
Chrono sans les détails
2011/2013 : Développement interne d’une collecte de logs puissante pour piloter une offre phare « le forfait informatique »
NXLOG (collecte)
Scripts Perl (10000 lignes)
Base de données SQL (sql server, 150 tables, 200 vues, 120 GO)
2013/2015 : Valorisation et partage de l’information par tous
Dashboards temps réels
Sauron 360°
Chrono sans les détails
2011/2013 : Développement interne d’une collecte de logs puissante pour piloter une offre phare « le forfait informatique »
NXLOG (collecte)
Scripts Perl (10000 lignes)
Base de données SQL (sql server, 150 tables, 200 vues, 120 GO)
2013/2015 : Valorisation et partage de l’information par tous
Dashboards temps réels
Sauron 360°
Titre et conclusion
Mise en place d’un dashboard de suivi fin du consommé de la licence
Configuration des règles de filtrage
Définition et déploiement global de l’architecture de collecte
Définition de la stratégie et des normes de paramétrage
Validation de l’agent universal fowarder en production
4 min
3min
(Capa planning, filtrage des spams, dashboards spécifiques…)
Des statistiques avancées sur les impressions fabriquées en 24h avant un comité de pilotage s’annonçant challengeant sur le sujet
La qualification ultra rapide d’un problème complexe rencontré sur une nouvelle technologie
La collecte et la valorisation des compteurs de performance Citrix des postes VDI
Permettant pour la première fois la mesure fiable de la qualité perçue par les utilisateurs
La récupération et la centralisation des logs éphémères des postes VDI
Un client important en visite disant devant une télé « je veux la même chose dans mon bureau »
Le déploiement en 48h sur une plate-forme d’un autre client « en crise »
A permis de localiser la source du problème au niveau de l’application du client.
2min
2min30Créer des indicateurs au plus proche des utilisateurs (mesure de la « qualité perçue »)
Rendre nos données accessibles et sexy et les partager avec plus grand nombre
Soigner autant la forme que le fond pour donner envie
Partager au plus tôt et impliquer les utilisateurs dans la démarche et la validation du fond et de la forme
2min30
La toute petite fenêtre de l’éditeur de requêtes
Quand on se demande qu’est ce qui est vraiment appliqué comme règle.
Quand on a le message « il faut reseter… »
Eric remonte sur scène
Merci Julien et Cyril pour ce beau témoignage.
Accueil Adrien pour démo IT Service Inteligenssssssss
Vous utilisez Splunk?
Vous souhaitez utiliser Splunk?
IT Service Inteligence c’est le Turbo