Das ist Splunk IT Service Intelligence 5.0

Was macht eurer Team nach einer Störung als Erstes?

Bekommt ihr ein klares Bild des Servicezustands?
Oder eher eine Flut von Warnmeldungen, eine Handvoll Dashboards und eine hektische Suche nach Ursache und Wirkung?

Der Druck dazu lastet zentral auf dem IT-Betrieb. Teams sollen schnell handeln, relevante Meldungen aus der Flut herausfiltern und kritische Services am Laufen halten und müssen dabei gleichzeitig mit der zunehmenden Komplexität von Anwendungen, Infrastruktur, Netzwerken und der sie überwachenden Tools zurecht kommen. Ausfallzeiten verursachen nach wie vor enorme Kosten. Laut dem Bericht Die versteckten Kosten von Ausfallzeiten von Splunk verlieren die Global 2000-Unternehmen jährlich 600 Milliarden Dollar durch Ausfallzeiten. Und auch die neueste Studie des Uptime Institute zum Thema Ausfälle zeigt, dass größere Ausfälle weiterhin schwere finanzielle Auswirkungen haben.

Das ist der Hintergrund von Splunk IT Service Intelligence 5.0.

ITSI 5.0 löst drei Probleme, mit denen IT-Teams tagtäglich zu kämpfen haben:

1. Es beschleunigt die Wertschöpfung 
2. Es reduziert Reibungsverluste 
3. Es bietet mehr Kontext für schnellere Reaktionen auf Warnmeldungen. 

Für neue und bestehende ITSI-Kunden bringt dies spürbare Verbesserungen bei der Einarbeitung, der Ereignisanalyse und im Betriebsalltag. Für Splunk-User, die vielleicht schon einmal mit dem Gedanken gespielt haben, ITSI einzusetzen (dann aber doch lieber noch abgewartet haben) lohnt sich ein erneuter Blick auf diese Lösung.

Wer bereits mit Splunk Enterprise oder der Splunk Cloud Platform arbeitet, kann mit ITSI mehr aus den Daten herausholen, die bereits erfasst sind. Es lässt sich außerdem reibungslos mit der Splunk Observability Cloud, Splunk Enterprise Security und Splunk SOAR kombinieren und stellt Datenzusammenhänge und -korrelationen über Drittanbieter-Tools hinweg her, die Teams bereits einsetzen, um sich ein besseres Gesamtbild der Umgebung zu machen.

Der Einstieg ist jetzt noch leichter

Gleich zu Beginn fällt bei ITSI 5.0 auf, dass sich der Einstieg anders anfühlt.

Auf der neuen ITSI-Startseite (Home) fühlt man sich wie in einer Steuerzentrale: Sie kombiniert geführte Installationsanleitungen, Echtzeittransparenz bei Betriebsabläufen und Lernressourcen in einer einzigen, datenbezogenen Ansicht mit den wichtigsten Episoden und Services sowie direkten Links zu wichtigen Workflows.

Loszulegen war noch nie so einfach. Von der ersten Anmeldung bis zur operativen Transparenz – ganz ohne Rätselraten oder mühsames Durchforsten der Produktdokumentation, um zu erfahren, was konfiguriert werden muss, wo man die entsprechenden Einstellungen findet und in welcher Reihenfolge vorzugehen ist. Der neue, geführte Installationsassistent übernimmt den Großteil der Arbeit, sodass ihr mit nur zwei Klicks von der Startseite zu einem sinnvollen Workflow gelangt.

Auch für Integrationen von Warnmeldedaten gilt dieselbe Geschwindigkeit und Einfachheit. ITSI umfasst jetzt eine breitere Palette vorkonfigurierter Integrationen für Monitoring-Tools von Drittanbietern sowie eine KI-gestützte Felderkennung und -zuordnung, um eingehende Warnmeldungen zu standardisieren. Dies reduziert den manuellen Normalisierungsaufwand und beschleunigt die Tool-übergreifende Ereigniskorrelation.

In der Preview gibt es zudem eine KI-gestützte Service- und KPI-Erkennung. Diese Funktion analysiert vorhandene Splunk-Daten, empfiehlt Services und KPIs und erstellt Sandbox-Konfigurationen, die Teams vor der Veröffentlichung prüfen können. Was früher fundierte Produktkenntnisse und viel Zeit erforderte, beginnt heute mit einem geführten Workflow.

Dazu stärken einige weitere Änderungen die Basis:

Verbesserungen am Content Pack-Lebenszyklus erleichtern das Installieren, Aktualisieren, Überprüfen und Entfernen von Inhaltspaketen, ohne dass dies später Probleme macht. Die neue Datenmodelldefinition für ITSI führt ein einheitlicheres Schema für Warnmeldungen und Ereignisse ein. So haben Teams eine klarere Grundlage für die Anreicherung, für Richtlinien und die Korrelation über verschiedene Quellen hinweg.

Alltagsaufgaben werden leichter

Natürlich ist die Einrichtung nur ein Teil des Ganzen. Die eigentliche Bewährungsprobe für das Produkt folgt in der Praxis, bei der Sichtung von Incidents und der Systemoptimierung durch Administratoren.

Auch hier überzeugt ITSI 5.0 auf ganzer Linie:

• Die Episodenüberprüfung wurde überarbeitet, um die Triage intuitiver zu machen. Das Layout ist übersichtlicher. Details lassen sich leichter organisieren. Teams können Ansichten speichern und teilen sowie Episoden direkt in der Benutzeroberfläche aufteilen und zusammenführen. Für die Benutzer bedeutet das weniger Reibungsverluste bei genau dem Workflow, mit dem sie die meiste Zeit verbringen.
• Auf Administratorseite vereint die neue zentrale Verwaltungskonsole Event Analytics-Einstellungen und erweiterte Anwendungssteuerungen an einem Ort. Dies reduziert das Hin- und Herwechseln zwischen Seiten und gibt Administratoren die Möglichkeit, die Umgebung einheitlicher zu verwalten.
• Außerdem haben wir die Aggregationsrichtlinien für relevante Ereignisse verbessert, damit Teams besser steuern können, wie Warnmeldungen gruppiert und priorisiert werden. Eine bessere Aggregation bedeutet weniger Fehlalarme, sauberere Episoden und Incidents, die die Vorgänge in der Umgebung präziser widerspiegeln.
• Speziell für größere Unternehmen ist die überarbeitete rollenbasierte Zugriffskontrolle mit ihrem stärkeren Shared-Services-Modell interessant. Teams können bei Bedarf serviceübergreifend Erkenntnisse teilen und gleichzeitig Zugriffsbeschränkungen aufrechterhalten. Dies ist eine praktische Lösung für ein weitverbreitetes operatives Problem.

Weniger Rauschen, gezielteres Handeln

Das Reduzieren von Rauschen durch irrelevante Meldungen ist sicherlich wichtig. Doch wenn das Rauschen einmal reduziert wurde, müssen Teams schnell die nächsten Fragen beantworten: Was ist passiert, und was müssen wir jetzt tun?

Genau hier setzen die neuen Workstream-Verbesserungen an.

Event iQ Detect (angekündigt als Event iQ) ist eine KI-gestützte Engine für die Korrelation von Warnmeldungen. Sie gruppiert zusammengehörige Warnmeldungen mit Methoden wie feldübergreifender Abgleich, Topologieerkennung und Fuzzy Matching in Episoden. Die Engine ist auf die Bewältigung hoher Warnmeldungsvolumen von bis zu 100.000 Warnmeldungen pro Minute ausgelegt und hilft Teams, den Fokus auf Incidents mit höherer Zuverlässigkeit zu legen, anstatt sich durch unzusammenhängende Benachrichtigungen zu wühlen.

In Version 5.0 verfügt Event iQ Detect über Benutzerfeedback-Learning, sodass es jetzt auch von euren Analysten lernen kann. Wenn Response-Teams eine Episode aufteilen, in der nicht zusammenhängende Warnmeldungen gruppiert waren, oder Episoden zusammenführen, die eigentlich ein einziger Incident hätten sein sollen, dann wird dieses Feedback direkt in der Episodenüberprüfung erfasst und beim Neutrainieren wieder in das Event iQ-Modell eingespeist. Mit der Zeit werden Warnmeldungen so ohne manuelle Anpassung immer präziser gruppiert. Administratoren behalten die Kontrolle durch Zeitpläne für das Neutrainieren, Genehmigungseinstellungen und Optionen für automatisches Training in der Richtlinienkonfiguration. Das Ergebnis wird in der Praxis direkt deutlich: klarere Episodentitel, bessere Korrelationszusammenfassungen, weniger Gruppierungsfehler und eine Ereigniskorrelation, die sich mit der Nutzung verbessert, selbst bei hohem Volumen.

Außerdem gibt es noch Event iQ Diagnose (ursprünglich Episodenzusammenfassung genannt). Einfach ausgedrückt: Event iQ Detect fasst die Warnmeldungen zusammen, und Event iQ Diagnose erläutert die Episode und macht ab Version 5.0 jetzt KI-gestütztes Troubleshooting innerhalb des Episoden-Workflows möglich. Dabei wird ein großes Sprachmodell verwendet, um eine Zusammenfassung der Geschehnisse in natürlicher Sprache zu erstellen, die beschreibt, was passiert ist, wann es begann und welche Ereignisse im Wesentlichen dazu beigetragen haben. Außerdem werden die wahrscheinliche Kernursache und mit Konfidenzwerten versehene Empfehlungen für den nächsten Schritt angegeben. Das beschleunigt die Incident-Sichtung für Level-1-Analysten, verbessert die Eskalation von Vorfällen mit hoher Priorität und gibt erfahrenen Engineering-Mitarbeitern mehr Zeit, sich auf die Lösung statt auf die Rekonstruktion des Problems zu konzentrieren. Diese Funktion ermöglicht auch die Korrelation mit Änderungsdaten aus Tools wie ServiceNow und Jira, sodass Nutzern schon zu einem frühen Zeitpunkt der Untersuchung nützlicher Kontext zur Verfügung steht und sie sich langes Suchen ersparen.

ITSI 5.0 bringt zudem Verbesserungen bei der Anreicherung, die bei der Sichtung von Benachrichtigungen wichtig sind. Durch die Anreicherung durch Drittanbieter-CMDB- und Änderungsdaten können Warnmeldungen Metadaten zu Konfigurationselementen, Topologie, Routing und Änderungskontext aus Systemen wie ServiceNow enthalten. Dadurch können sich Teams ein besseres Bild davon machen, was sich geändert hat, was betroffen ist und wie ein Incident mit den Services zusammenhängt, die sie unterstützen.

Die auf Service- und KPI-Tags basierte Anreicherung fügt eine weitere Kontextebene hinzu. Teams können Services oder KPIs mit Tags wie „kritisch“ oder „kundenorientiert“ versehen, und dieser Kontext begleitet die Warnmeldungen durch die gesamte Pipeline. Dies erleichtert das Filtern, Weiterleiten, Korrelieren und Priorisieren auf der Grundlage dessen, was für das Unternehmen wichtig ist und nicht, was am auffälligsten ist.

Und da geplante Arbeiten nicht unnötig Wirbel verursachen sollten, unterstützen flexible, wiederkehrende Wartungsfenster jetzt wiederkehrende und mehrtägige Zeitpläne sowie umfassendere Wartungs-Workflows. Dies hilft, erwartetes Rauschen bei geplanten Änderungen zu unterdrücken, und ermöglicht den Nutzern, sich auf die Probleme zu konzentrieren, die tatsächlich Maßnahmen erfordern.

Was diese Version so wichtig macht

ITSI diente schon immer dem Ziel, Teams zu helfen, den Zusammenhang zwischen dem Servicezustand und den Auswirkungen auf das Unternehmen herzustellen. Die neue Version macht diese Aufgabe leichter.

Für Neu- und auch Bestandskunden verbessert ITSI 5.0 die Workflows, die sie täglich nutzen – vom Onboarding und der Konfiguration bis hin zur Ereigniskorrelation und Fehlerbehebung. Für Splunk-Benutzer, die ITSI noch nicht einsetzen, gibt es bei dieser Version viele Gründe, sich das Produkt noch einmal genauer anzusehen.

Die Benutzererfahrung ist übersichtlicher. Die Setup-Vorgehensweise ist klarer. Darüber hinaus übernimmt das Produkt einen größeren Teil der Arbeit – vom Normalisieren von Warnmeldungen bis hin zum Feststellen wahrscheinlicher Ursachen.

Das ist wichtig, da ITOps-Teams sicher nicht noch mehr Rohdaten brauchen. Sie brauchen weniger Sackgassen. Sie brauchen eine schnellere Sichtung. Sie brauchen die Möglichkeit zu sehen, was wichtig ist, um entsprechend zu handeln und das Geschäft am Laufen zu halten.

Entdeckt Splunk IT Service Intelligence 5.0 und überzeugt euch selbst davon, wie euer Team die Zahl irrelevanter Warnmeldung reduzieren, die Problemlösung beschleunigen und die Serviceleistung mit unternehmerischen Auswirkungen in Zusammenhang bringen kann.