It-landschappen worden steeds groter en complexer, met als gevolg meer en complexere integraties tussen systemen. Omdat elke keten zo sterk als de zwakste schakel is, is het noodzakelijk de volledige keten te monitoren om downtime van bedrijfskritische informatiestromen te voorkomen.
Onder ketenmonitoring verstaan we monitoring van de integratielaag, aanleveringssystemen en ontvangende systemen. Denk hierbij aan beschikbaarheid van koppelingen en services. Dit staat ook wel bekend als de integratielaag plus en min één. Je kunt tools gebruiken als Splunk of Elk-stack (elasticsearch, logstash, kibana), die je in staat stellen allerlei typen logfiles bij elkaar te brengen op één platform en deze in samenhang te analyseren. Denk hierbij aan logfiles van softwarecomponenten, maar ook applicatieve logfiles van bijvoorbeeld een Apache-webserver of een securitydevice. Als je zelf je eigen applicaties host, dan kun je ook de infrastructuur- en netwerkcomponenten toevoegen.
Verschil actieve- en trendmonitoring
Het is daarbij belangrijk onderscheid te maken tussen twee typen monitoring: actieve monitoring die een alert genereert op het moment dat er problemen ontstaan of dreigen te ontstaan en trendmonitoring, ook wel predictive monitoring genoemd, waarmee je trends kunt ontdekken. Op basis van deze trends kun je voorspellen of en wanneer er problemen ontstaan, zodat je preventief kunt handelen. Met trendmonitoring doe je een health check: hoe gezond is mijn systeem?
Nu de behoefte ontstaat om steeds meer integraties te maken tussen systemen en steeds meer bedrijven kiezen voor een hybride multi-cloudstrategie, wordt ketenmonitoring nóg belangrijker, maar ook complexer. Je kunt niet langer volstaan met het monitoren van de silo’s. Want je hebt naast meer componenten ook nog eens te maken met meer datacenters, meer applicaties en meer netwerkverbindingen. Wees je ervan bewust dat het inrichten van zo’n monitoringomgeving een specialisme is dat je niet kunt overlaten aan de functionele beheerteams die ermee gaan werken.
In zo’n hybride multi-cloud-omgeving, gecombineerd met microservices, zijn zowel actieve ketenmonitoring als trendmonitoring onontbeerlijk. Actieve ketenmonitoring stelt je namelijk in staat veel sneller de root cause te achterhalen. Je vindt immers sneller de oorzaak van problemen als je naar verbanden in logdata zoekt. Voor trendmonitoring ontkom je al helemaal niet aan een big-dataplatform zoals Splunk, vanwege het volume aan logging. Je wilt immers langere tijd kunnen terugkijken en correlaties kunnen leggen om trends te ontdekken. Trends die kunnen duiden op de oorzaak van een vaker terugkerende storing. Overigens kun je met Splunk heel specifiek per datatype aangeven hoelang data bewaard mogen worden. Zo kun je makkelijk voldoen aan privacyrichtlijnen en andere dataretentie-eisen.
Ai in ops-monitoring
In de toekomst zullen we meer en meer ops-monitoring op basis van kunstmatige intelligentie (ai) zien. De meerwaarde van ai hierin is dat je correlaties vindt, waar je zelf nooit aan had gedacht. In securityland is het gebruik van ai in monitoring al heel gebruikelijk. In die wereld zijn er veel bekende patronen, zoals een ddos-aanval, en wordt ai gebruikt om nieuwe patronen te ontdekken. Deze kunnen duiden op nieuwe tactieken die hackers gebruiken, of nieuwe regio’s waar aanvallen vandaan komen. In de it-operationswereld is het gebruik van ai in ketenmonitoring nog geen gemeengoed. Maar de vooruitzichten zijn veelbelovend en verdienen het om nauw in de gaten te worden gehouden.
Marcel van Gemert, devops engineer bij Conclusion Virtual Sciences