Verbeter de performance van je Splunk omgeving met het CINQ housekeeping dashboard

Een product als Splunk, komt vaak op een gefaseerde manier de organisatie binnen. Beginnend met wellicht een Proof of Concept met een enkele server begint men met Splunken. De waarde wordt al snel duidelijk, meer collega’s worden enthousiast en zo langzaam aan worden er steeds meer dashboards, alerts, rapportages en andere knowledge objecten gemaakt. Die ene Splunk server groeit uit naar een eerste cluster, Splunk groeit in de organisatie van 1 tot misschien wel honderden unieke gebruikers per dag.

Dit is een realistisch scenario dat we bij veel klanten tegenkomen, in de tussentijd zijn er veel collega’s gekomen en gegaan. Daardoor is de kans dat alle knowledge objecten nog relevant zijn kleiner geworden. Uit angst om bestaande functionaliteiten te slopen, wordt er dan vaak besloten om de objecten te behouden “want je weet maar nooit…”. Maar dit kan ten koste gaan van de performance van de Splunk omgeving.

Waarom is het zo belangrijk om je Splunk omgeving “schoon” te houden? 

Alle tags worden bij elke search geraadpleegd. Dit gaat ten koste van je search performance. Als de tags actief gebruikt worden, weegt het gebruikersgemak wellicht wel op tegen de degradatie van de search performance. Maar gebruik je tags niet meer? Dan is het uiteraard zonde om daar search performance aan kwijt te zijn.

Wat dacht je van saved searches? Een saved search draait op de achtergrond volgens zijn cron schedule, misschien zelfs wel elke minuut! Als een SAML user verwijderd wordt uit de Active Directory, betekend dit niet automatisch dat hij ook verwijderd wordt uit Splunk. Zo kan het dus zijn dat de objecten van een ex-collega die al maanden geleden het bedrijf heeft verlaten, nog steeds impact hebben op jouw dashboards! Wil jij de performance van je Splunk omgeving verbeteren, maar is uitbreiden geen optie? Dan is het tijd voor Splunk Housekeeping, met ons nieuwe dashboard!

Splunk Housekeeping in één dashboard

Bij CINQ hebben we een nieuw dashboard geïntroduceerd bij onze klanten die inzichtelijk maakt wat de relaties zijn tussen de knowledge objecten in Splunk. Tags kunnen gebruikt worden in dashboards, search macro’s en saved searches. Saved searches kunnen op hun beurt gebruikt worden in dashboards, search macro’s en zelfs in andere saved searches. Lookups kunnen gebruikt worden in dashboards, saved searches en search macro’s. Nogal wat complexe relaties dus! Standaard zijn die relaties in Splunk niet direct zichtbaar, maar met ons nieuwe dashboard wel!

Met het app overview dashboard wordt structuur gecreëerd in de chaos van knowledge objecten. De naam zegt het al, per app wordt er een mooi overzicht gemaakt van de knowledge objecten die bestaan in de app. Er wordt gecontroleerd wat de relaties zijn, of het gebruikt wordt en of het op een juiste manier gedeeld wordt met andere gebruikers. Het dashboard hoeft ook niet geconfigureerd te worden, zodat deze werkt op jouw Splunk omgeving, hij werkt out of the box!

Per knowledge object wordt in kaart gebracht of deze relaties heeft met andere objecten en zo ja, welke dan. Op die manier hoef je nooit meer bang te zijn dat je een object verwijderd die stiekem toch nog ergens gebruikt werd. Maar je hoeft ook zeker geen objecten te laten staan omdat men niet meer weet of deze nog gebruikt worden. Met behulp van dit dashboard, kun je precies zien wat je wel en niet kunt verwijderen. Als je ongebruikte searches, lookups en andere objecten verwijderd, verbeter je de performance van de Splunk omgeving - en houd je de boel lekker schoon!

Ben jij nieuwsgierig geworden naar de mogelijkheden voor jouw Splunk omgeving? Neem dan gerust even contact met ons op, we geven graag een demo.