這是10月12日-18日在北京舉行的的“2016國(guó)家大眾創(chuàng)業(yè)萬(wàn)眾創(chuàng)新活動(dòng)周（簡(jiǎn)稱(chēng)‘國(guó)家雙創(chuàng)周’）暨中關(guān)村創(chuàng)新創(chuàng)業(yè)季”推出的“最具創(chuàng)新潛力創(chuàng)業(yè)企業(yè)榜單”入選企業(yè)展示活動(dòng)。

這不是日志易的公司形象首次在中關(guān)村創(chuàng)業(yè)大街出現(xiàn)。半年前，中關(guān)村創(chuàng)業(yè)大街南街口的大屏，同樣展示過(guò)日志易及創(chuàng)始人陳軍，彼時(shí)的主題，是“騰訊系創(chuàng)業(yè)風(fēng)云榜”。2009年-2012年，日志易創(chuàng)始人陳軍在騰訊負(fù)責(zé)數(shù)據(jù)中心網(wǎng)絡(luò)平臺(tái)部，并同時(shí)在搜搜任職。

“我們已經(jīng)申請(qǐng)了12項(xiàng)日志處理方面的技術(shù)發(fā)明專(zhuān)利，6項(xiàng)軟件著作權(quán)登記。日志易在2014年成立之初即獲得朝陽(yáng)區(qū)政府的‘鳳凰計(jì)劃’初創(chuàng)企業(yè)資助，去年獲得北京科技型中小企業(yè)促進(jìn)專(zhuān)項(xiàng)（創(chuàng)新類(lèi)）獎(jiǎng)金，今年入選北京中關(guān)村前沿企業(yè)，獲得中關(guān)村管委會(huì)500萬(wàn)元資助?！?em>日志易創(chuàng)始人兼CEO陳軍告訴記者。

不僅僅如此。2014年日志易剛成立時(shí)，已經(jīng)獲得真格基金等天使投資人1400萬(wàn)天使輪融資，2015年12月，獲得紅杉資本A輪6000萬(wàn)融資。2016年，預(yù)計(jì)公司營(yíng)業(yè)收入將超過(guò)千萬(wàn)元。

資料顯示，日志易的海量日志搜索分析產(chǎn)品，能對(duì)日志進(jìn)行集中采集和實(shí)時(shí)索引，提供實(shí)時(shí)搜索、分析、可視化和監(jiān)控告警等功能，幫助企業(yè)用戶在統(tǒng)一平臺(tái)實(shí)時(shí)管理日志數(shù)據(jù)，進(jìn)行線上業(yè)務(wù)實(shí)時(shí)監(jiān)控、異常原因定位、數(shù)據(jù)統(tǒng)計(jì)分析及安全與合規(guī)審計(jì)。

看起來(lái)，這同樣是一家技術(shù)立足的創(chuàng)業(yè)公司。而從其融資、業(yè)務(wù)收入初步判斷，這也是一個(gè)走在健康發(fā)展軌道上的初創(chuàng)企業(yè)。

日志易創(chuàng)始人兼CEO陳軍

日志，是IT運(yùn)維的基礎(chǔ)。而無(wú)論是IT運(yùn)維管理解決方案，或是日志管理解決方案，目前市場(chǎng)可以用百花齊放來(lái)形容。作為后來(lái)者，日志易為什么能立足？又憑什么能脫穎而出？

大數(shù)據(jù)改變IT運(yùn)維，ITOM發(fā)展到ITOA

大數(shù)據(jù)改變了一切，IT運(yùn)維也不能例外；日志易，就與日志大數(shù)據(jù)緊密相關(guān)。

所有CIO、CTO或IT Manager，恐怕沒(méi)有不知道IT運(yùn)維管理（ITOM，IT Operations Management）。
這是一個(gè)古老、龐大的行業(yè)。從最基礎(chǔ)的IT維護(hù)，到目前的運(yùn)維監(jiān)控、自動(dòng)化、分析，運(yùn)維工程師通過(guò)對(duì)運(yùn)維數(shù)據(jù)、系統(tǒng)負(fù)載、安全等各方面的即時(shí)把控和處理，以保證企業(yè)業(yè)務(wù)與管理的正常進(jìn)行。

但是，隨著大數(shù)據(jù)的出現(xiàn)，近兩年，在ITOM之外，出現(xiàn)了一個(gè)新的行業(yè)——ITOA（IT Operation Analytics），這就是IT運(yùn)維分析。

IT運(yùn)維分析，就是把大數(shù)據(jù)的技術(shù)運(yùn)用到IT運(yùn)維產(chǎn)生的數(shù)據(jù)里進(jìn)行分析。分析的作用，就是更好地進(jìn)行運(yùn)維監(jiān)控、安全審計(jì)、業(yè)務(wù)分析等。

ITOA把大數(shù)據(jù)應(yīng)用到運(yùn)維里，所以數(shù)據(jù)源就很關(guān)鍵。而數(shù)據(jù)源最主要的來(lái)源，就是日志與網(wǎng)絡(luò)抓取?？梢哉f(shuō)，日志，是ITOA最重要的數(shù)據(jù)源。

其實(shí)，在ITOM階段，日志管理同樣重要并且也很成熟。那么，為什么ITOA依然會(huì)出現(xiàn)并且發(fā)展迅猛？事實(shí)上，這與IT運(yùn)維的精細(xì)化密切相關(guān)。

實(shí)時(shí)搜索引擎：日志3.0到來(lái)

我們知道，日志也叫機(jī)器數(shù)據(jù)，因?yàn)樗麄兌际蔷W(wǎng)絡(luò)設(shè)備、服務(wù)器、操作系統(tǒng)、應(yīng)用系統(tǒng)在操作或運(yùn)行中產(chǎn)生的數(shù)據(jù)，帶有時(shí)間戳。不同的設(shè)備、系統(tǒng)，產(chǎn)生不同的日志文件，通過(guò)日志文件，可以查看、監(jiān)控設(shè)備、系統(tǒng)的運(yùn)行狀況，是ITOM的基石。

不難想象日志管理在企業(yè)ITOM中的重要性。然而，在過(guò)去，日志管理面臨各種或大或小的問(wèn)題，給ITOM帶來(lái)挑戰(zhàn)。這些問(wèn)題可以總結(jié)為以下幾個(gè)方面：

首先是散，日志散落在不同的設(shè)備里，會(huì)被刪除和覆蓋；工程師需要登陸到不同的服務(wù)器，用命令或腳本查看；其次是亂，日志數(shù)據(jù)來(lái)源多樣、格式多樣，是完全的非結(jié)構(gòu)化、自由文本；第三是難，提取分析很困難，故障根源分析、不同系統(tǒng)之間的關(guān)聯(lián)分析都很困難；第四是慢，用批處理的方式來(lái)分析比較慢，實(shí)時(shí)性很差。

為了解決“散”的問(wèn)題，十幾年前，業(yè)界開(kāi)始用數(shù)據(jù)庫(kù)的方法來(lái)存儲(chǔ)日志。但是數(shù)據(jù)庫(kù)本質(zhì)上是處理結(jié)構(gòu)化數(shù)據(jù)的，其固定表格的方式，無(wú)法適應(yīng)日志的任意格式和大數(shù)據(jù)量特點(diǎn)。即使這個(gè)過(guò)程通過(guò)程序進(jìn)行自動(dòng)化處理，依然不能改變數(shù)據(jù)庫(kù)管理的局限性。

“這是日志1.0的階段。目前市場(chǎng)中基于日志的審計(jì)產(chǎn)品都是基于數(shù)據(jù)庫(kù)的。這種數(shù)據(jù)庫(kù)的表格一般就是三列，第一列是主機(jī)名，第二列是時(shí)間戳，第三列就是日志本身。但實(shí)際上沒(méi)有對(duì)日志本身進(jìn)行結(jié)構(gòu)化處理。”日志易CEO陳軍說(shuō)。

8-10年前，隨著Hadoop的出現(xiàn)和發(fā)展，業(yè)界開(kāi)始用Hadoop或NoSQL來(lái)處理日志，但Hadoop只是開(kāi)發(fā)框架，需要研發(fā)團(tuán)隊(duì)進(jìn)行開(kāi)發(fā)，而且也是批處理，實(shí)時(shí)性差，更主要的是，不支持全文檢索。這是日志2.0階段。

近幾年，日志3.0已經(jīng)到來(lái)，其代表就是美國(guó)公司Splunk。Splunk的核心是“實(shí)時(shí)搜索引擎”，主要有三個(gè)特點(diǎn)：實(shí)時(shí)，海量，支持全文檢索。這個(gè)引擎與Google或百度的搜索引擎不一樣，后者的搜索引擎是批處理的，無(wú)法解決實(shí)時(shí)性問(wèn)題，都有一定的滯后性。

通過(guò)實(shí)時(shí)搜索引擎，機(jī)器或系統(tǒng)日志出來(lái)幾秒鐘，就能搜索和分析，馬上看到相應(yīng)的結(jié)果。

日志易所做的，就是“可編程的實(shí)時(shí)日志搜索分析引擎”，不單實(shí)時(shí)，而且還在搜索框?qū)崿F(xiàn)了腳本處理語(yǔ)言，叫做SPL（Search Processing Language）。

SPL，是日志易的核心技術(shù)?！叭罩疽讓?duì)標(biāo)美國(guó)Splunk公司，因此我們的技術(shù)跟美國(guó)是平齊的，在國(guó)內(nèi)僅此一家?！标愜姳硎尽?jù)悉，日志易于2014年10月推出第一代產(chǎn)品。

我們也許會(huì)問(wèn)：陳軍為何會(huì)選擇日志這個(gè)細(xì)分行業(yè)切入？這是因?yàn)?，從初入職?chǎng)，陳軍即與日志結(jié)下不解之緣。

源于職業(yè)經(jīng)歷

1998年，陳軍從美國(guó)南加州大學(xué)畢業(yè)，隨即加入思科公司做研發(fā)，那時(shí)就開(kāi)始接觸日志。當(dāng)時(shí)的工作內(nèi)容與軟件有關(guān)，但是軟件有BUG，怎么分析BUG，一籌莫展。后來(lái)，開(kāi)始從日志里面分析BUG，但當(dāng)時(shí)是通過(guò)編輯器，手工查看日志。

2006年，陳軍加入Google，工作內(nèi)容與數(shù)據(jù)中心、云計(jì)算、搜索有關(guān)。當(dāng)時(shí)，陳軍與同事在Google做網(wǎng)頁(yè)搜索，每天要爬100多億個(gè)網(wǎng)頁(yè)，需要分析各種錯(cuò)誤信息，這些全部記錄在日志里面。此時(shí)的日志文件很大，一個(gè)日志就是幾十GB的文件；一個(gè)功能輸出的日志就有幾百GB。

“這么大的日志，不可能用編輯器查看，更不用說(shuō)打開(kāi)一個(gè)幾十GB的文件，加載就要幾十分鐘。所以當(dāng)時(shí)使用了Google的Map Reduce計(jì)算框架?！保ㄗⅲ篐adoop就是基于Map Reduce寫(xiě)的開(kāi)源軟件）

當(dāng)時(shí)，陳軍在Google每天寫(xiě)MapReduce程序。早上上班第一件事，就是從日志看昨天爬網(wǎng)頁(yè)的情況，為此，他們開(kāi)發(fā)了一套系統(tǒng)來(lái)看報(bào)表。但是如果網(wǎng)頁(yè)爬蟲(chóng)系統(tǒng)加了一些新的功能，又會(huì)出現(xiàn)新的錯(cuò)誤信息，那么就要改Map Reduce程序，通過(guò)新的程序來(lái)處理新的特性、新的錯(cuò)誤信息?！半m然MapReduce有一個(gè)很好的框架，可以很快地寫(xiě)一個(gè)小程序，調(diào)試后運(yùn)行，但真正看到結(jié)果已經(jīng)是下午，所以想最后看點(diǎn)東西需要幾個(gè)小時(shí)，周期依然太長(zhǎng)?！?/p>

2009年，陳軍回國(guó)加入騰訊，在騰訊數(shù)據(jù)中心部門(mén)。當(dāng)時(shí)騰訊有20多萬(wàn)臺(tái)服務(wù)器，陳軍所在的團(tuán)隊(duì)也是開(kāi)發(fā)騰訊數(shù)據(jù)中心的運(yùn)維監(jiān)控系統(tǒng)。2010年，陳軍接觸了Splunk，這是最早使用實(shí)時(shí)搜索引擎來(lái)處理日志的，“因此覺(jué)得很有特色”。

約3年后的2012年，陳軍離開(kāi)騰訊加入高德，也是每天要看前一天高德地圖的用戶行為、統(tǒng)計(jì)數(shù)據(jù)。由于每天早上十點(diǎn)要出數(shù)據(jù)，因此基本上通宵跑Hadoop程序進(jìn)行統(tǒng)計(jì)分析。但有時(shí)候，比如碰到節(jié)假日，像國(guó)慶節(jié)、黃金周這種，出行的人多，用戶量一下子增加幾倍，那么就要到下午甚至是第二天才能看到結(jié)果。

“用Hadoop這些大數(shù)據(jù)框架，一個(gè)是慢，第二是不方便，要分析點(diǎn)新的東西，需要在代碼里添加功能，因此很不方便?！?/p>

怎么辦？

框計(jì)算中的另一個(gè)自主研發(fā)者

2009年，百度李彥宏說(shuō)，“百度是個(gè)框計(jì)算公司，因?yàn)樗阉骺蚝竺嬗泻芏嘤?jì)算”。其時(shí)，云計(jì)算剛剛興起，大數(shù)據(jù)開(kāi)始萌芽。

在云計(jì)算、大數(shù)據(jù)的這一背景下，基于多年的日志管理與分析經(jīng)驗(yàn)，創(chuàng)業(yè)的想法開(kāi)始在陳軍腦中產(chǎn)生。2014年初，北京優(yōu)特捷信息技術(shù)有限公司成立，10月，日志易走向市場(chǎng)。

日志易的定位，就是框計(jì)算，是實(shí)時(shí)流式大數(shù)據(jù)處理架構(gòu)加上實(shí)時(shí)搜索。最開(kāi)始，日志易基于Spark Streaming；經(jīng)過(guò)自主研發(fā)，“可編程的實(shí)時(shí)日志搜索分析引擎（SPL）”誕生了，基于SPL已經(jīng)實(shí)現(xiàn)更快的檢索速度。

陳軍介紹，日志易的日志分析解決方案具有以下幾個(gè)特點(diǎn)：

一個(gè)是實(shí)時(shí)分析，速度快，日志從產(chǎn)生到搜索到分析到出結(jié)果，只有幾秒鐘的延遲。比如在樂(lè)視，每秒鐘處理100萬(wàn)條日志，相當(dāng)于每天20TB，檢索1000億條日志只需要60秒；

第二個(gè)特點(diǎn)是海量，每天可以處理TB級(jí)的海量日志；

第三個(gè)是易用，SPL是給IT工程師使用的搜索引擎腳本語(yǔ)言，可以搜索、分析任何格式的日志文件。

“我們是全產(chǎn)業(yè)鏈的，包含日志的采集、解析、索引、搜索、分析、告警，價(jià)值就在運(yùn)維監(jiān)控、業(yè)務(wù)分析、用戶數(shù)據(jù)分析、安全合規(guī)審計(jì)等方面。”陳軍說(shuō)。

從2014年10月推出產(chǎn)品到今天，日志易客戶已分布在金融、能源、運(yùn)營(yíng)商、互聯(lián)網(wǎng)、制造等行業(yè)，金融客戶包括中國(guó)銀行、華夏銀行、新疆農(nóng)信、鵬華基金、某綜合金融集團(tuán)、某大型股份制銀行，以及第三方支付公司；能源行業(yè)客戶有國(guó)家電網(wǎng)、中石油、中石化；運(yùn)營(yíng)商客戶有中國(guó)移動(dòng)；互聯(lián)網(wǎng)客戶有小米、樂(lè)視、網(wǎng)宿等；制造業(yè)客戶有上汽通用、格力電器、中車(chē)等。其SaaS版本在阿里云、騰訊云、金山云、AWS、Azure等多個(gè)公有云中積累了幾千個(gè)客戶。

IT運(yùn)營(yíng)走向精細(xì)化提升ITOA的需求

可以看到，基于云計(jì)算和大數(shù)據(jù)，ITOA應(yīng)運(yùn)而生，其特點(diǎn)，是通過(guò)日志大數(shù)據(jù)的實(shí)時(shí)挖掘分析展現(xiàn)結(jié)果，這彌補(bǔ)了ITOM在監(jiān)控層面的滯后性。這對(duì)于那些以IT支撐作為核心競(jìng)爭(zhēng)力之一的企業(yè)來(lái)說(shuō)，意義重大。

2015年，國(guó)內(nèi)某綜合金融集團(tuán)使用日志易搭建了集團(tuán)內(nèi)部的日志云，進(jìn)行實(shí)時(shí)日志搜索分析。

此前，他們的日志散落在不同的生產(chǎn)服務(wù)器上。當(dāng)出現(xiàn)問(wèn)題時(shí)，工程師需要登錄服務(wù)器，通過(guò)腳本命令查看日志，不僅非常慢，而且?guī)?lái)很大的管理風(fēng)險(xiǎn)，因?yàn)榈顷懮a(chǎn)服務(wù)器查看日志等操作，一不小心就會(huì)誤操作，產(chǎn)生新的故障，而且從ITIL的角度，生產(chǎn)服務(wù)器本身就不應(yīng)該隨便登陸的，涉及到非常嚴(yán)格的管理流程，比如變更管理。

建起日志云之后，該集團(tuán)禁止工程師登陸生產(chǎn)服務(wù)器查看日志，數(shù)百個(gè)業(yè)務(wù)系統(tǒng)的日志，全部接到日志云，通過(guò)日志云進(jìn)行集中管理和查看、統(tǒng)計(jì)分析、故障排查。

這只是ITOM精細(xì)化管理與運(yùn)營(yíng)的一個(gè)案例。當(dāng)前，眾多大中型企業(yè)已從粗放型管理進(jìn)入到精益管理階段，這勢(shì)必對(duì)IT運(yùn)營(yíng)的精細(xì)化程度提出更高的要求。當(dāng)這些企業(yè)具備ITOM的管理基礎(chǔ)，具備大數(shù)據(jù)應(yīng)用的基礎(chǔ)，ITOA的需求將隨之而來(lái)。

根據(jù)Gartner報(bào)告，2014年，只有5%的大企業(yè)在積極使用ITOA的技術(shù)，而到2017年，這一比例將會(huì)上升到15%。這既說(shuō)明ITOA發(fā)展很快，也表明應(yīng)用處于早期，想象空間很大。在國(guó)內(nèi)，已經(jīng)有不同背景的初創(chuàng)企業(yè)涉足ITOA領(lǐng)域。

近兩年，隨著機(jī)器學(xué)習(xí)、人工智能的出現(xiàn)，這兩項(xiàng)技術(shù)不可避免地進(jìn)入到運(yùn)維領(lǐng)域，基于此，2016年，Gartner提出一個(gè)新的概念叫做AIOps（Algorithmic IT Operations，智能運(yùn)維）。

技術(shù)發(fā)展沒(méi)有止境。據(jù)介紹日志易正在開(kāi)發(fā)一個(gè)新的實(shí)時(shí)搜索引擎，每秒鐘能處理1000萬(wàn)條日志，比當(dāng)前的產(chǎn)品提升了10倍，每天可以處理200TB的數(shù)據(jù)量。

對(duì)標(biāo)Splunk不冒進(jìn)

作為日志易的對(duì)標(biāo)公司，Splunk目前的市值約80億美元，是華爾街的寵兒，財(cái)富500的公司，90%都是Splunk的客戶。但是，日志易能否在未來(lái)數(shù)年快速成長(zhǎng)為中國(guó)的獨(dú)角獸，恐怕不僅僅是技術(shù)能夠解決的。

更需要思考的是，Splunk已經(jīng)過(guò)了日志這個(gè)階段。雖然實(shí)際上還是做日志，但從跟蹤的資料看，Splunk已經(jīng)進(jìn)入到新的發(fā)展階段，這就是物聯(lián)網(wǎng)數(shù)據(jù)。

2014年初，谷歌以32億美元收購(gòu)智能恒溫器的公司Nest Labs，進(jìn)入智能家居行業(yè)。Nest Labs后臺(tái)智能恒溫器的數(shù)據(jù)是帶時(shí)間戳的，也是一種日志，就是用Splunk的產(chǎn)品來(lái)處理的。不僅如此，Splunk處理的數(shù)據(jù)還包括F35戰(zhàn)斗機(jī)、福特?zé)o人駕駛汽車(chē)，后者一秒鐘就產(chǎn)生1GB的日志，一天就是10TB。此外，Splunk還處理韓國(guó)浦項(xiàng)鋼鐵煉鋼爐的數(shù)據(jù)、日本三井物業(yè)的電梯數(shù)據(jù)。

這說(shuō)明什么？說(shuō)明Splunk已經(jīng)不講日志了，而是講物聯(lián)網(wǎng)的機(jī)器數(shù)據(jù)。

“物聯(lián)網(wǎng)在美國(guó)的發(fā)展，比國(guó)內(nèi)更快、更普及。但是，目前國(guó)內(nèi)物聯(lián)網(wǎng)本身的發(fā)展面臨很大的挑戰(zhàn)，比如帶寬等基礎(chǔ)架構(gòu)，還不支持物理網(wǎng)數(shù)據(jù)的采集與傳輸。”，

因此，日志易對(duì)標(biāo)Splunk，將來(lái)勢(shì)必進(jìn)入物聯(lián)網(wǎng)數(shù)據(jù)領(lǐng)域。然而，這需要時(shí)間。

“日志易從日志切入，處理各種機(jī)器大數(shù)據(jù)，這將是我們一個(gè)長(zhǎng)期的方向。未來(lái)，我們也會(huì)進(jìn)入物聯(lián)網(wǎng)領(lǐng)域，處理物聯(lián)網(wǎng)產(chǎn)生的各種數(shù)據(jù)?！标愜娙缡潜硎?。

zhoub