簡化資料準備與樞紐分析，Splunk 6.2降低分析操作門檻

相隔短短5個月，Splunk企業版在今年5月推出6.1版，到了10月，原廠接續發表更新的6.2版，產品改版速度相當快。

6.1版時，Splunk更新了多點站臺叢集（Multi-site Clustering）、客製警示（Custom Alerts）、先進分析（Enhanced Analytics）功能等重要分析工具，並且提供更多功能，來協助企業達成重要任務及目標、營運智慧融入（Embedding Operational Intelligence），並獲得大幅提升的互動分析功能。

而在10月最新發布的Splunk 6.2企業版，強調將針對IT及商業使用者提供簡化的分析方式，以及強大的模式偵測功能（pattern detection），強化自動發現機制，找出機器數據（Machine Data）內有用的模式，為一般無技術背景的使用者提供更簡易且更直覺的分析，使企業更容易發現資料中的關聯性，並執行進階的分析。

6.2版同時也改善並行搜尋（Concurrent Searches）的延展性，並且不再需要搭配共享儲存架構，可降低整體成本。

此外，就處理效能強化上，現在6.2新版也強化了搜尋伺服器叢集（Search Head Clustering）、多重站臺叢集和即時樞紐功能，讓Splunk系統能讓更多的使用者獲得機器數據的分析能力。
在部署方式上，Splunk Enterprise 6.2現在不只能以軟體形式建置在企業內部環境，或外部的雲端環境上，10月28日起，用戶也可運用Splunk Cloud雲端服務來取得系統，只要登記Splunk Online Sandbox，即可獲得免費的私人雲端工作空間。

簡化資料輸入與準備作業

想要分析資料，首先要先收集與準備不同來源的資料，Splunk Enterprise 6.2對此提供了全新的使用精靈介面，讓機器資料輸入Splunk系統內的程序更為簡單。在這個新的資料輸入精靈裡面，使用者可透過預覽、輸入（onboarding）與準備，獲得相關的操作指示。例如在執行上傳、監控與轉發等動作時，可以自行選取需要的項目，當中的介面會一步步引導你操作，讓你在正確的工作流程當中完成這些作業，為後續的分析工作打好基礎。

Splunk新版的另一個特色是，增加了進階的欄位資料擷取功能（Advanced Field Extractor，AFX），能夠針對機器數據中的分析項目，簡化辨識、命名及標示的工作，達到快速分析的效果。

其實，Splunk Enterprise原本就有欄位擷取工具，到了6.2版以後，將由新的AFX所取代。AFX能讓使用者更妥善地執行準備分析資料的工作，例如，可以在單一資料擷取程序中，取出多個欄位的資料；使用者也可以在AFX功能裡面，指定所需要的文字資訊，以過濾其他資訊而凸顯真正想要查看的事件；同時，也可以檢視事件之間的差異性與稀有性。

提供更強大的分析能力，而且讓每個人都能使用

Splunk 6.2企業版當中，也加入了快速樞紐分析（Instant Pivot）、事件模式偵測（Event Pattern Detection）與預建面板（Prebuild Panel）。

若想要著手分析資料，獲得正確的情報洞察力，Splunk自6.0版開始，新增了樞紐分析與資料模型的功能，到了最新發布的6.2版，當我們想要操作樞紐分析工作時，已經不需要先建立資料模型，取而代之的是，能直接從搜尋資料當中，建立樞紐分析資料表，以及接續的資料視覺化機制，而且只需要用滑鼠點一下，就可以達到目的。這意味著，當我們建立樞紐分析表時，Splunk也會建立有效的資料模型，該功能對於不具備Splunk搜尋程序語言相關知識的人而言，相當有幫助，因為他們皆能通過這樣的即時樞紐功能在任何搜尋中，啟動強大的分析功能及快速創造儀表板。

不僅如此，快速樞紐分析還可以搭配6.2版所加入的事件模式偵測機制，透過自動化去發掘機器數據中的有價值模式，強化事件模式偵測功能讓分析更快速。

透過事件模式偵測功能，使用者只需用滑鼠點選一次，就可以自動發掘資料當中的模式與異常項目，如此可根本地減少大型資料集（Massive Data Sets）的出現。這項功能的推出，等於賦予使用者看到常見模式與稀有事件的能力，也表示使用者可以從資料中正確地觀察出相關趨勢。

舉例來說，你可以看到圍繞在食品安全議題上的相關事件，以及事件發生的模式，有些情況是因為食物保存的溫度所致，屬於中度風險，有些則是因為標示或選單呈現不當而造成，屬於低度風險。

將快速樞紐分析表和事件模式偵測結合，會有什麼樣的效果呢？就Splunk系統來說，這些事件模式大多數是跟系統自動產生的搜尋有關，因此我們可以輕而易舉地將特定事件模式的搜尋結果，轉換成樞紐分析表，同時，Splunk也加入超強下探資料功能（Ultra Drilldown），讓使用者能夠更快速查看資料，並以圖形化的檢視來增加與更新底層的資料搜尋作業。

至於所謂的預建面板，指的是儀表板介面的操作功能，這項新特色能夠幫助使用者去建立各自的儀表板組合，並且支援封裝與分享，達到可重複使用的目的，加速儀表板的建立。

在6.2版的Splunk環境下，使用者可自行將預設的面板項目加以組裝或重新利用，以便更快建立自己專屬的儀表板。系統內建了面板項目或Widget的儲存庫，能讓你將所屬資料用於視覺化的作業上。

當自己的儀表板建立起來之後，使用者可以瀏覽相關項目的內容，並執行搜尋報表、儀表板和面板的動作，同時還可以這些項目加入自己的儀表板之前，預先檢視套用結果。

我們還可以將這些視覺化元件的狀態，轉換到線上模式，之後這些項目就可以依照使用者各自的需求來複製和修改。此外，這些元件也可以封裝在應用程式內，讓使用者建立單一風格的操作面板。

在大規模使用環境下，提供簡化系統管理的機制

一般而言，在應用大資料分析技術時，所屬系統能否具有足夠的延展性，支援大規模的使用是重點，6.2版特別為此增加了搜尋伺服器的叢集。顧名思義，這項特色針對的對象，主要是搜尋伺服器，可改善延展性、備援能力與可靠度。而有了這項機制之後，就可以避免單點故障的影響，也不再需要搭配共享儲存的架構，而搜尋伺服器叢集的採用，也將為Splunk的系統部署環境配置，帶來降低總體持有成本的效益，因為企業不需為此額外採購或建置儲存設備或系統。

若運用搜尋伺服器叢集，Splunk會將位於不同搜尋伺服器上的設定，例如使用者組態、儀表板與報表，以及各種搜尋結果，複製到其他搜尋伺服器上。如此一來，系統允許同時上線的使用者數量，也能藉此擴增。對使用者而言，在統一的操作介面下，就能享有這樣的高處理性能與可靠度，而不需透過其他方式進行。

伴隨這項新機制而來的另一個特色是，Splunk針對分散式管理主控臺的系統（Distributed Management Console，DMC）增添了進階的操作介面，協助管理者集中監控Splunk系統的健康狀態與效能表現。

在DMC當中，包含了許多新的儀表板介面，像是可針對整個Splunk系統或個別層級，檢視企業在搜尋與索引上的用量與效能，以及平臺資源（例如處理器、記憶體和硬碟）的使用率，同時，這裡還提供了平臺警示機制，當出現危害Splunk系統運作的預設情況時，可自動寄發電子郵件形式警告相關人等，提高警覺。

Splunk Enterprise 6.2版新增了進階擷取功能（Advanced Field Extractor），對於機器數據中的各種分析項目，可協助簡化辨識、命名、及標示，以供快速分析。

新版Splunk加入了事件模式偵測機制，使用者透過自動化發掘技術，找出底層機器數據當中具有特殊意義的模式，讓分析更快速。

對於分散式管理主控臺（Distributed Management Console），Splunk Enterprise 6.2提供全新介面，以利集中監控整個分析系統的運作狀態與效能表現。

想應用Splunk Enterprise，現在也可透過Splunk Cloud雲端服務取得。上圖為Splunk Cloud提供的方式，以及與其他產品、服務的比較。