Historia del soporte de Elasticsearch de Symantec | Elastic Blog
User Stories

El Soporte de Elastic: Una inversión que sigue dando frutos para Symantec

Incluso con 18 años de experiencia en búsqueda y un doctorado en informática, esta ingeniera sénior de Symantec encuentra valor en el soporte y la capacitación específicos de Elastic.

*****

Cuando Geena Rollins (in/rollins) -experta de búsqueda- se unió a Symantec, compañía líder a nivel mundial listada en Fortune 500 que se dedica a ciberseguridad de empresas y clientes y creadora de Norton Antivirus, lideró la transición de Solr 3 a Elasticsearch. A partir de entonces, Geena se ha convertido en una especialista en Elasticsearch para Symantec, consultando con muchos grupos internos que usan el software open source en toda la empresa.

¿Cómo obtuvo tantos conocimientos? Como dice Geena: “Me convertí en una experta en Elasticsearch y llegué a eso a través de capacitación y soporte. Tengo buenos antecedentes en búsqueda y mucha experiencia, pero el soporte sigue teniendo mucho valor para mí. Sigue dando sus frutos”.

Nos sentamos con Geena, ingeniera de software sénior principal, y su ingeniero de soporte de Elastic, Greg Nieman, para aprender más sobre cómo trabajaron juntos para mantener los despliegues de Elasticsearch de Symantec funcionando a toda máquina.

Ten en cuenta que esta entrevista ha sido editada por cuestiones de extensión y claridad. Geena señala que todas las opiniones que expresa a continuación son propias y que pueden o no reflejar las de Symantec.

*****

Cuéntanos sobre la decisión de Symantec de trabajar junto con el soporte de Elastic. ¿Cómo sucedió?

Geena: Luego de decidir que migraríamos a Elasticsearch, necesitaba aprender más porque no lo había usado antes. Podía aprender muchas cosas por mi cuenta, pero me inscribí para una sesión de capacitación y adquirí más conocimientos rápidamente.

Luego nos inscribimos para una suscripción Platino. Comencé con algunos tickets pequeños y luego se volvieron más interesantes a medida que pasó el tiempo. En un principio, conocí a Greg solamente a través del sistema de tickets de soporte, y establecimos una buena relación. Después nos conocimos en Elastic{ON}15, lo cual ayudó a desarrollar más nuestra relación.

Greg, desde tu perspectiva, ¿cómo ha evolucionado la relación con el cliente con Geena y Symantec?

Greg:Las preguntas y los tickets iniciales eran principalmente sobre montar clusters y todos los pequeños problemas que encuentras cuando intentas que todo funcione y esté afinado hasta el punto donde obtienes un rendimiento aceptable. No estás recibiendo tickets por fallas o las típicas cosas de novatos que ocurren cuando estás abriéndote camino en este campo por primera vez.

Es un proceso de enseñanza, así que Geena y Symantec comenzaron a sentirse más cómodos con las cosas en los primeros tickets; podían pasar a escenarios más conectados y complejos y ahora están usando el producto de maneras nuevas e interesantes en las que podemos ayudarlos.

Y como tenemos ingenieros que tienen conocimientos profundos e internos sobre los productos, el soporte le ahorra tiempo y esfuerzo a Symantec. Uno no va por un camino donde dice: “Esto se ve bien ahora”; pero en dos o tres años más piensas: “Oh, bueno, ojalá no hubiera hecho eso”. Nosotros ayudamos a encontrar esas cosas por adelantado. No puedes subestimar el valor de algo como eso.

Geena: Como Greg dijo, es un proceso educativo. Comencé a trabajar en Symantec hace dos años, y actualmente me consideran la experta en Elasticsearch de esta empresa de 10 000 empleados. Hice tres sesiones de capacitación, fui a dos conferencias y presenté muchos tickets. Eso es lo que en realidad me trajo hasta aquí; además de la documentación, pero eso solo te dice qué puedes hacer. Cuando estás intentando entender qué quieres hacer para tu caso de uso, es útil tener soporte de Elastic.

Geena, ¿puedes contarnos cómo el soporte de Elastic ha sido fundamental en parte de tu éxito en Symantec?

Geena: He usado Lucene directamente durante años, para no tener que presentar tickets sobre modelado de datos o analizadores, sino sobre el sistema distribuido. Por ejemplo, teníamos un sistema donde hacíamos logging de eventos de seguridad, por lo que todos los equipos de nuestros clientes nos enviaban eventos como “Las definiciones del antivirus se actualizaron” o “Hubo un ataque de suplantación de identidad fallido”. Tenemos un índice diario en el que podemos buscar y agregar esos datos. Notamos que algunas de nuestras consultas que buscaban eventos con un valor de más de 14 días eran muy lentas. No solo eran lentas, sino que recibíamos rechazos de búsqueda porque la cola se estaba acumulando. Así que presenté un ticket para eso.

Pregunté: “¿Por qué se está acumulando esta cola? Solo son 14 días”.

Greg me respondió y me explicó que dependía de cuántos shards buscas; por lo que si tienes cinco shards en 14 días, da una suma de 70 shards. Y si buscas 90 días de shards, es imposible. Lo que sucede es que cuando realizas una búsqueda, se crea un elemento en la cola de hilos para cada shard que buscas. Entonces realmente se acumulan. Entender esto fue muy importante para hacer que nuestra aplicación funcionara con muchos usuarios buscando al mismo tiempo.

Greg, ¿podrías desarrollar los escenarios en los que has podido ayudar proactivamente a Geena y al equipo con su entorno?

Greg: Geena y su equipo tienen bastante conocimiento, por lo que no necesitaban realmente mucha orientación sobre las cosas que están mapeadas explícitamente. Generalmente, me buscaban para que les explicara cómo funcionaban las cosas. Como por ejemplo, ¿cómo impacta el número de shards que tienes en la búsqueda real, especialmente cuando tienes tantos índices? O cuando recibes un rechazo, ¿cuál es el proceso detrás de escena en las colas de ejecución reales? ¿Cómo se encolan esas cosas y por qué tienes un rechazo? Cosas como esa. Es una relación más consultiva. Es una conversación y, al final, los resultados tienden a presentar la solución.

Symantec ya ha estado involucrado con Elastic durante dos años. ¿Qué hace que valga la pena?

Geena: La parte educativa hace que valga la pena, como aprender no solo qué cantidad de shards usar, sino también por qué. Ahora puedo hacerlo para muchos casos de uso; podemos tomar buenas decisiones y algunas cuentas de shards serán diferentes para casos de uso distintos. El ecosistema de Elastic se sigue expandiendo con características y productos nuevos. Ahora que soy consultora para varios grupos de productos de ingeniería de Norton, necesito aprender rápido.

Tener un ingeniero de soporte específico es tener un mentor que me ayuda a crecer. Esto me da confianza en mi conocimiento técnico cuando hablo con mis colegas de ingeniería en Symantec.

¿Hay algo que no hayamos preguntado y que te gustaría agregar?

Geena: Lo mejor que puedo decir es que a pesar de tener un PhD en informática y que he estado haciendo aplicaciones de búsqueda desde 1998, aún obtengo mucho valor del soporte de Greg. Incluso después de dos años, los desafíos se vuelven cada vez más interesantes, y sigue dando sus frutos. 

¿Te interesan otras historias de clientes? Revisa los casos de uso de ciberseguridad de USAA con Elastic Stack o la historia del análisis de amenaza de syslog y logging centralizado de Vandi.