• Pequenas TIs, grandes problemas: Registros de dados revelam o desconhecido

Computer technician in server room, data center operations

Pequenas equipes de TI e grandes equipes de TI, dependem de informações atualizadas para resolução de problemas, investigações de incidentes de segurança, e outras tarefas importantes. Identificar e priorizar problemas com rapidez e eficiência pode significar a diferença entre crise e sucesso, para uma empresa, independentemente do seu porte. Grande parte dessas informações críticas atualizadas vem na forma de dados de registro.


É importante observar que uma "pequena equipe de TI" não significa poucos dados. Muitas equipes de TI pequenas e seus sistemas associados geram muitos gigabytes de registros todos os dias. No entanto, com orçamentos e pessoal limitados, pequenas equipes de TI enfrentam desafios únicos quando se trata de análise de registros. Pequenas equipes de TI são, não surpreendentemente, comuns nos milhões de pequenas empresas no mercado (e até mesmo em algumas grandes empresas). De acordo com o relatório anual da Spicework, sobre tendências de adoção de tecnologia, uma empresa com 99 empregados ou menos normalmente tem 2,5 ou menos profissionais de TI na equipe.


Dados de registros são o Clark Kent dos dados de TI: por fora leve e despretensioso, mas esconde um poder tremendo. Registros de eventos capturam sinais vitais do seu negócio e fornecem um registro definitivo de cada comportamento, desde a popularidade dos produtos ao estado da segurança e desempenho de sua rede. Analisar dados de registros corretamente transforma a maneira como as decisões são tomadas e até mesmo a forma como as empresas operam. Com bastante frequência, estes dados ficam dormentes em servidores, esperando para serem descobertos. Mas isto não precisa ser assim - as pequenas empresas e as equipes de TI simplesmente precisam de uma forma de aproveitá-los.

Para entender dados de registros

Um dos maiores problemas que as equipes de TI enfrentam com relação a dados de registos são simplesmente juntar e correlacionar os dados. Não há padrões de dados. Cada aplicativo personalizado tem registros personalizados. Ferramentas existentes como o grep tem sérias limitações, como limite de caracteres para arquivos de registro que são devolvidos (ver Figura 1).  



Figura 1: A realidade de usar a ferramenta grep para filtrar dados manualmente através de arquivos de registros. Quando você tem apenas 2,5 profissionais de TI na equipe, agregar e correlacionar todos os dados de registros que sua empresa cria, torna-se uma tarefa monumental. A tarefa ainda é agravada pela tecnologia atual, que muda tão rapidamente que os novos dados de registros são criados continuamente, em regime de 24/7, por cada aplicação e sistema em sua infraestrutura. Para a sua equipe de TI alavancar com sucesso os dados de registros, primeiro você precisa encontrar uma maneira de gerenciá-los.

Coletar e centralizar

Agregar dados de registro em um lugar - conforme são geradas por aplicativos, infraestrutura e ambientes distribuídos - é essencial para obter de uma visão de ponta a ponta da TI. Ter de pesquisar através de silos individuais de dados manualmente e fazer correlações pode ser demorado, especialmente quando um serviço importante está parado. Por exemplo, enviar todos os eventos do syslog e do Windows para um único local significa que você pode resolver o problema de ter que depender de várias ferramentas pontuais para resolver um problema. Automatizar a coleta de dados de registros e centralizá-la é o ponto de partida para obter mais valor dos seus dados. (Ver na Tabela 1 exemplos de dados que os departamentos de TI precisam centralizar e coletar.)


A maioria das ferramentas e abordagens manuais requer que os usuários normalizem ou selecionem dados específicos dos arquivos de registro, que leva tempo e perde o contexto final. Uma abordagem melhor é coletar em tempo real e manter os dados de registros em seu formato nativo bruto para responder perguntas imprevistas. Entretanto, isso pode ser desafiador. Não há formatos padrão para dados de registros. Quase todos os sistemas, aplicações e dispositivos de segurança tem um formato de dados de registros de eventos diferente.


Planilhas e ferramentas de BI falham quando usadas para analisar dados de registro de sistemas distintos. No momento em um esquema é criado ou os dados são colocados em linhas e colunas, as planilhas e ferramentas de BI apresentam muito trabalho adicional, além da simples adição dos dados de registro de outros sistemas. O cenário de pior caso é pegar o contexto de um arquivo de registros de eventos completo, só para descobrir que o contexto foi perdido quando os dados foram normalizados ou passados através do processo ETL (de extração, transformação e carga).


Vasculhar dados de registro para identificar um problema, equivale essencialmente a procurar uma agulha em um palheiro. Assim como alguém poderia usar um ímã para encontrar a agulha, pequenas equipes de TI precisam de uma maneira fácil de separa os arquivos de registo que são necessários. Estes seriam os arquivos que indicam se algo ocorreu errado, um sistema falhou ou a segurança foi violada.


A solução para esse problema é simples, estamos bem familiarizados com ela: pesquisar. Ter uma função de pesquisa para explorar dados de registros centralizados elimina a necessidade de usar a ferramenta grep ou uma planilha para encontrar os problemas de TI. Imagine ser capaz de simplesmente digitar erro OU falha* e ter as respostas de todos os arquivos de registros de eventos relevantes, em todos os seus sistemas.

Embora ser capaz de pesquisar problemas economize tempo significativo e reduza os custos, o benefício real vem da mudança de uma abordagem reativa para uma proativa. Ao monitorar proativamente coisas similares a "erro OU falha*" e receber um alerta quando isto aparecer, permite que as equipes de TI consigam identificar e resolver os problemas antes que se tornem verdadeiros exercícios de apagar incêndios. (Veja na Figura 2 um exemplo de pesquisa que extrai todos os erros e falhas de um arquivo de registros de eventos.)

Figura 2: Pesquisar erros ou falhas em arquivos de registros de eventos oferece recompensas rápidas. Observe como uma linha de tempo visual ajuda a isolar o problema

Visualizar e relatar
Criar painéis de instrumentos e relatórios com todos os dados relevantes fornece informações em um relance sobre condição e questões de TI. Por exemplo, criar uma visualização de falhas por host ajudará uma equipe de TI a priorizar melhor e resolver as falhas maiores primeiro (veja na Figura 3 um exemplo do poder de visualizações).
 
A progressão natural é passar das visualizações individuais para os painéis de instrumentos, que incluem várias visualizações com base nas vistas de dados em tempo real e históricos. Painéis de instrumentos são o ponto base para as equipes de TI monitorarem várias condições de limite e de tendências.
 
É importante observar que identificar e pesquisar em detalhes os problemas diretamente em um painel de instrumentos é essencial para um fluxo de trabalho eficiente ao gerenciar e utilizar dados de registros. Ser capaz de clicar em um quadro ou gráfico e ir diretamente aos dados brutos reduz o tempo necessário para resolver problemas, e ajuda as equipes a mudar de um estado reativo para um proativo.
 

Figura 3: Visualizações podem mostrar rapidamente onde os problemas estão ocorrendo.
 
Coletar e analisar centralmente os dados de registro é apenas o ponto de partida. Os benefícios reais começam quando as equipes são capazes de sair do modo de apagar incêndios e automatizar o processo.

Eliminar pesquisas manuais  

Ir além da ferramenta grep e buscas manuais em registro reduzirá o tempo médio de resolução de problemas e liberará recursos de TI para trabalhar em projetos mais estratégicos. Lembre-se que ser capaz de acessar os dados de registros e eliminar silos que se espalham por todos os sistemas e aplicações é fundamental para se obter a visão necessária para resolver problemas e perceber o valor integral dos dados de registros. Pesquisar um ou dois aplicativos ou até mesmo um único sistema pode acabar apenas em tratar os sintomas de um problema e não a causa raiz. Além disso, cavar através de registros e fontes individuais reduz os benefícios da eficiência que ganhamos ao eliminar o processo manual.

Sistemas de monitores, aplicações e KPIs  

Uma pitada de prevenção vale mais que um punhado de correção. Monitorar proativamente os dados da internet e de aplicações quanto a problemas, ajudará as equipes de TI a sair do modo de apagar incêndios. Monitorar problemas e disparar um alerta quando um indicador-chave de desempenho não está sendo atendido ou um sistema está parado transformará uma equipe de TI radicalmente de uma mentalidade reativa em proativa. Fazer essa transformação desempenha um papel importante em ajudar as equipes de TI a gastar seus recursos limitados a identificar oportunidades para otimizar os sistemas e aplicações, em vez de reagir a problemas. Tornar-se proativo permite, em última análise, que a equipe assuma trabalhos mais estratégicos, como melhorar a segurança da TI.

Melhorar a segurança da TI  

Como os dados de registros de eventos contêm um registro definitivo das atividades em sua infraestrutura e rede, eles também incluem informações que podem indicar fraudes, violações e ameaças sérias. Usando dados de registro para apoiar a segurança da TI pode acelerar investigações de segurança e ajudar a determinar a causa raiz de uma violação. Usar uma planilha ou outra ferramenta com linhas e coluna para os dados de registros de eventos pode interromper uma investigação ou mesmo remover inadvertidamente os dados que detêm o fator-chave da violação - porque os dados importantes não se encaixam em um esquema em particular.

Resolver problemas de segurança também pode depender do tempo. Ser capaz de pesquisar em dados de registros de eventos rapidamente ou receber um alerta quando uma atividade anômala ocorre representa recursos de missão crítica para prevenir ou impedir um ataque.

Como Clark Kent, que evoluiu de um jovem de uma pacata cidade do meio-oeste em um super-herói com todos os poderes, os dados de registros devem passar pela transformação de feedbacks despretensiosos a visões poderosas, para superar problemas complexos. Lembre-se: Só porque você é uma pequena empresa ou tem uma pequena equipe de TI não quer dizer que você não seja capaz de saltos ousados ou até mesmo de voar.

Shay Mowlem é vice-presidente de gestão de produtos na Splunk.

O New Tech Forum oferece um local para explorar e discutir tecnologias de empresas emergentes com profundidade e detalhes sem precedentes. A seleção é subjetiva, baseado em nossa escolha das tecnologias que acreditamos serem importantes e de grande interesse para os leitores da InfoWorld. A InfoWorld que não aceita material de marketing para publicação e se reserva o direito de editar todo o conteúdo contribuído. Envie todas as consultas para newtechforum@infoworld.com.