從決定做袋鼠雲的那一天,我就在思考,做為一家雲計算和大資料的技術服務公司,做什麼樣的産品能給客戶提供價值?
從2012年開始,我一直在做一個移動日志分析産品,類似于友盟和talkingdata,不過因為各種原因,這個産品主要為阿裡集團内部的各個app提供服務,基本上成為了集團内部标配的工具,每天處理日志量超過1000億條,順利渡過了幾次雙十一大屏的大考,在穩定性和資料準确性方面都經受了挑戰。
但除了資料量和電商業務中的交易鍊路跟蹤和轉化率的變态需求之外,移動日志分析從某種意義上來說還是簡單的,因為日志資料的格式是預定義的,并且标準也由我們團隊來制定。控制了源頭,後續整個流動過程處理起來就相對容易。
2015年開始,我們也為阿裡雲的部分客戶提供移動分析服務,經常碰到的一個問題就是,除了app,還有pc網頁能一起分析麼?說實話,這是一個合理的需求,是以今年友盟、cnzz和締元信的合并,變成友盟+,是一個非常自然的演進,但要真正做到跨屏資料的融合分析,就不是那麼容易的事情了。
那麼,除了移動app日志,pc web日志,還有各種其他的日志,比如linux的登入日志、web伺服器的access log、mysql資料庫的error log,oracle資料庫的alert log、應用程式打的各種debug日志,等等。這些日志格式各異,分布在不同伺服器的不同地方,如何集中、結構化、分析和展現這些資料,從中挖掘出更多的價值,是一件有挑戰的事情。
2003年成立的splunk應該是最知名的一家用搜尋的思路來做日志産品的公司,但最初是以c/s架構做的,其雲端産品雖然功能強大,但試用過後易用性隻能說一版。而它的獨立部署版本,據一些合作夥伴回報,部署成本也很高。是以類似sumo logic、logentries、logz.io等新興的日志創業公司也是一個接一個,并且都獲得了不錯的融資。
而開源領域,elk技術棧也是因為日志的需求而獲得了極高的關注度,elasticsearch、logstash和kibaba的組合,對于有一定技術實力的創業公司來說,部署一套不存在問題,但除了搜尋功能之外,能用好的案例也不多,還需要投入人力來維護,對于創業公司也是不小的成本。
回到國内,之前有個做安全日志分析的日志寶,被360收購後已經停止營運。而最近在各個技術大會上露面較多的日志易,去年底号稱獲得了6000萬的a輪融資,是以在百度上把splunk關鍵字都買了。2015年8月份在36kr上也有軟文說日志易試用了spark streaming技術,并且正在開發基于機器學習的log reduce 技術。但到今天,實際上以日志易saas版的功能來說,完全沒有用spark的必要,log reduce也隻是借鑒了sumo logic的一個概念而沒有實際産品化出來。
是以說,日志分析沒那麼容易。真正要做好,像splunk一樣十幾年了還需要面對不斷推陳出新的對手。一通産品看下來,隻有sumo logic真正的做到了創新,尤其是log reduce,也确實有技術含量,而不僅僅是一個術語,但實際的使用場景和效果如何,也還有待更多客戶的驗證。
那麼袋鼠雲日志能做些什麼呢?首先,和所有的日志産品一樣,如何更簡單的完成日志的集中,統一搜尋入口,對日志字段進行分析探索,基于日志的監控告警等都是最基本的需求。除此之外,袋鼠雲日志目前版本也有兩個獨特的産品體驗:
1. 日志實時tail。 運維和開發同學在使用日志的時候,對日志檔案執行tail -f file.log是最常用的操作,我們把這個功能也直接做到雲日志中了,并且支援按主機、應用和日志類型進行篩選,也支援輸入關鍵字做過濾。
2. 自定義可視化大盤。 不是簡單的添加強定模闆拼出來的報表,而是可視化配置包括資料源和外觀的完整的自定義大盤,并且可以全屏在顯示器/電視機等螢幕上完美呈現。
當然,這隻是我們創業四個月來釋出的第一個公測版本,接下來一個月在簡化日志接入和web日志安全分析等方面也會快速實作。至于spark on elasticsearch實作關聯分析也在規劃中,但能否做到更好,也歡迎對這個方向有興趣的同學們加入進來,一起做國内最好的日志産品,解放運維和開發,滿足業務和老闆,把日志這麼不容易的事情,真正做到易用好用。
有興趣了解的朋友,歡迎加我的微信ningoo細聊。試用可以直接到http://www.dtstack.com注冊。