Svenska Unomaly har tagit ett lite annorlunda grepp på att analysera stora mängder strömmande data. Algoritmerna för att analysera data är helt fokuserade på att lära sig vad som är normalt och hitta undantag i dataströmmarna. Det här skiljer sig från hur många ser på big data. En trossats brukar vara att spara alla data, eftersom man inte kan veta vilka analyser som kan bli intressanta i framtiden.

Det enda som lagras beständigt i databaser med Unomalys lösning är olika aggregeringar och data som representerar undantag från hur det vanligtvis ser ut. Unomaly har valt att koncentrera sig helt på att använda sin teknik för att skapa en lösning för att övervaka verksamhetskritiska it-plattformar.

Läs också: Utvecklare – det här behöver du ha koll på 2017

Man tänker sig visserligen att hantera alla tänkbara aspekter av it-drift, som att upptäcka datorintrång och krascher, men tekniken borde kunna användas även för andra tillämpningar. Exempel på sådana är finansiell analys och riskbedömningar.

Har man inte funderat på att ta fram en generell analysplattform på Unomaly?

– Nej. It-övervakning är ett tillräckligt stort problem. Loggdata utgör majoriteten av alla strömmande data som skapas idag och endast en bråkdel analyseras systematiskt, säger Göran Sandahl, teknikchef på och en av grundarna av Unomaly.

Rent tekniskt torde det största värdet i Unomalys plattform ligga i de algoritmer som används för att filtrera data.

– Vi kan se exakt vad som är normalt i en it-miljö. Det tar vanligtvis en till två veckor att skaffa sig den bilden. Den viktigaste aspekten är automation, alla data analyseras automatiskt utan någon kännedom om systemen på förhand, förklarar Göran Sandahl.

Plattformen som är byggd med språket Go installeras antingen lokalt i en kunds datacenter eller på en molnplattform som Amazons eller Microsofts. Eftersom bara 0,00001 procent av alla data som strömmar genom plattformen lagras så duger det bra med databaser som till exempel MongoDB och PostgreSQL för lagring. Eftersom så lite data lagras så blir inte det en flaskhals.

Vilka data är det som hanteras? Loggdata, varken mer eller mindre.

– Alla it-system producerar loggdata och 80 procent av alla systemen kan vidarebefordra dessa. Vi rekommenderar att kunderna använder öppna agentprogram vid behov. I enstaka fall för väldigt speciella system får de bygga agenter själva.

Att hitta alla källor för loggdata är enligt Göran Sandahl en enkel uppgift. Det ska bara vara att vidarebefordra alla loggdata från alla system, så ser man vilka källorna är i Unomalys verktyg.

Det är svårt att få grepp om vad som är annorlunda med Unomalys lösning, jämfört med konkurrenter som Splunk. Så här försöker Göran Sandahl beskriva skillnaden:

– Med andra verktyg får man själv tänka ut vilka de viktiga frågorna att ställa är. Med vårt verktyg ställs de frågarna av en algoritm som vet vad som är normalt och identifierar avvikelser.

Läs också: Jonas Lejon: Här är de värsta säkerhetshoten 2017

Det ska göras genom att Unomalys verktyg letar rätt på alla data som är intressanta och sedan rangordnar dem. Den analysen kan sedan användas för att ordna larm i olika kanaler eller utgöra underlag för automatiserade åtgärder. Återigen, det är kombinationen av automation och att bara hantera relevant information som ska ge smidig it-drift.

Det som talar emot angreppssättet rent principiellt är farhågan om att man faktiskt missar något genom att inte lagra alla loggdata som strömmar förbi. Går det verkligen att göra alla de analyser som kan behövas utan att ha ett komplett dataunderlag i efterhand? Finns inte risken att man missar något som helt enkelt inte kan analyseras med strömmande data?

– Att använda algoritmer och ai innebär ett stort teknikskifte som förenklar mycket men även naturligt väcker en del nya frågor.

Hittills verkar angreppssättet i alla fall ha gett resultat. Unomaly har kunder i elva länder i Europa, samt i USA. Göran Sandahl nämner inga namn, men berättar om ”finansbolag, kärnkraftverk och bettingföretag”.

Företaget som har 17 anställda, varav ungefär hälften är utvecklare, har huvudkontor i Stockholm och har fått investeringskapital. Det ”gick i princip cash-flow-positive förra året”, om man ska tro Göran Sandahl.