強化收集、減量、隱私防護與分層儲存，Cribl打造企業級機器資料處理引擎

<p>歷經多種技術浪潮的洗禮，現代IT架構越來越複雜，若要做好IT營運與資安，單靠逐一檢視個別系統的事件記錄，已無法滿足即時掌握運作狀態的需求，三十多年前隨著網站應用崛起，陸續出現多種類型的解決方案，早先有HP OpenView、IBM Tivoli、CA Unicenter、BMC Patrol與Remedy，提供IT服務管理（ITSM）；在資安資訊與事件管理系統（SIEM）方面，有ArcSight、RSA enVision與後繼的NetWitness、NetIQ Sentinel；日誌與事件管理的部分，IT人員常用Syslog或rsyslog、Graylog、PRTG、WhatsUp Gold，以及SolarWinds、ManageEngine、GFI等廠商的這類產品。</p>

Splunk進入市場後，受到許多企業與組織採用，震撼IT與資安市場，原因在於：提供類似搜尋引擎的簡易檢索，以及運用搜尋處理語言（SPL）實現進階與複雜的查詢；不須預先定義資料綱要（Schema），即可處理所存取到的資料；採用「讀取時定義資料綱要（Schema-on-Read）」的方法，經由輕量化資料轉發器Universal Forwarder將原始資料送入索引器（indexer）；用戶也能透過增添索引器與搜尋頭（search head），建置橫向擴展規模的資料處理架構；提供延伸應用程式市集Splunkbase，企業可選用Splunk或其他廠商開發的Splunk App。

後續伴隨雲端服務、DevOps、雲端原生、AI的技術普及，促成應用系統與服務效能的監控與可觀測性掌控需求大增，以及資安營運與威脅偵測的涵蓋範圍持續擴大，多家IT與資安廠商積極強化監控與資料分析處理能力，與Splunk之間形成一定程度的競爭關係。

在此同時，由Elasticsearch、Logstash、Kibana（ELK）等開放原始碼軟體組成的技術堆疊，以及基於雲端原生架構的Datadog、Dynatrace、New Relic、Sumo Logic，這幾年有越來越多企業採用，均成為建置系統遙測資料（telemetry）收集與分析方案的重要選項。

因應這類產品的蓬勃發展，市場研究分析機構Software Analyst Cyber Research（SACR）在2025年上半提出「安全資料管線流程處理平臺（Security Data Pipeline Platform，SDPP）」，列出10家相關廠商，其中又以Cribl最受矚目，因為他們在產品創新與執行力獲得最佳評價，今年初由剛成立的拓維雲智資訊（SaaSPodium）引進臺灣。

Cribl是2018年成立的新創公司，他們自詡專為IT與資安提供資料引擎（Data Engine）的廠商，主力產品包括：2019年登場的Cribl Stream，提供遙測資料處理流程（telemetry pipeline）；2022年陸續推出的Cribl Edge、Cribl Search，分別提供廠商中立的智慧型資料代理，以及就地搜尋（search-in-place）；2024年發布的Cribl Lake，提供快速建置的資料湖。

Cribl成立時間雖然不久，但目前已有多家知名企業採用，根據該公司網站公布的代表客戶資訊，服務美國聯邦政府的服務商Accenture Federal Services、線上社群平臺Reddit、資安廠商Sophos、工程與設計軟體廠商Autodesk、商業應用軟體廠商SAP，均在名列其中。

Cribl本身的快速發展也相當受矚目，例如入選財星雜誌的網路安全60強廠商，與1Password、Abnormal、Arcticwolf、Armis、Cato Networks、Huntress並列為2025年度成長三倍的資安公司。2024年度經常收入（ARR）突破兩億美元，2025年度更是突破3億美元。

關於公司的營運，特別的是，三位創辦人Clint Sharp、Dritan Bitincka、Ledion Bitincka都曾任職於Splunk。不過，Cribl雖然強調與Splunk之間並非競爭關係，但2022年還是挨告，2024年判決出爐，兩家公司分別提出說明，Splunk表示，Cribl故意侵犯Splunk Enterprise版權，而且違反該款軟體的使用授權協議；Cribl則表示，這是創新的勝利，因為法院裁定Cribl為了逆向工程Splunk to Splunk（S2S）協定，以及Cribl的S2S整合Splunk Enterprise的測試與障礙排除，而使用Splunk Enterprise，屬於合法且合理的使用，但他們也不諱言陪審團的另一項裁定：由於Cribl將Splunk Enterprise用於其他用途，違反Splunk一般條款及相關著作權，因此判定Cribl向Splunk支付1美元。後續Splunk與Cribl提出審後動議但被駁回，今年1月Splunk提出上訴。拓維雲智資訊向我們表示，目前雙方已庭外和解。顯然，經過這起風波之後，Cribl未來發展並未受到太大影響，甚至吸引更多人關注這個品牌。

內建多種功能，能提升資料處理、安全與儲存效率

就產品定位而言，Cribl發展的解決方案是用於IT與資安領域的資料引擎，能夠針對公有雲、企業內部或混合雲等IT基礎架構產生的各種狀態遙測資料（telemetry），提供收集、處理、路由（route）、存放、搜尋的能力，同時主打開放、高成本效益等特色，並且支援Cribl Packs的套件擴充方式。

關於Cribl的市場競爭優勢，看好這家廠商技術的SaaSPodium創辦人葉精良認為，可歸納為三大重點。

首先是資料處理最佳化，Cribl可運用過濾（Filtering）、刪除重複資料（Deduplication）、欄位精簡（Field Reduction）、智慧路由（Smart Routing）等方式，分別排除無關與用不到的日誌、合併重複的事件、削除與壓縮（Trim& Compress）日誌架構，以及將大部分資料轉送至低成本的雲端資料湖、僅將核心資料轉送至SIEM系統。

第二是內建資安與合規機制，提供隱私保護與資料充實的功能。以前者而言，指企業能在Cribl運用資料遮罩（Data Masking），以及轉換成唯一識別碼（Tokenization）等方式，確保敏感個資在寫入儲存環境之前，就能符合法規要求。後者是指在傳輸過程中，Cribl能夠自動將威脅情報標籤加入資料當中，提升後端分析效率。

第三是提供三層式儲存架構，用戶能在Cribl根據資料存取頻率與速度高低，設置不同的儲存分層。舉例來說，需要密集、即時存取的短期資料與警示通知，Cribl可將這些資料放置在熱儲存層（Hot Tier）；需要兼顧查詢速度與大量分析的中期保存資料，可放在溫儲存層（Warm Tier）；不常使用、為了遵循法規與稽核要求而須長期保存的資料，可放在冷儲存層（Cold Tier），而且可支援「資料回送處理流程（Data Replay）」，隨時可將歷史資料重新送回SIEM調查。

若將這些技術特色對應不同產業的需求，葉精良表示，以高科技製造業與半導體產業為例，面對IT、OT與雲端環境的大量資料處理，以及衍生的軟體授權費用，Cribl提供資料的瘦身與分層儲存能力，能降低30%至40％的資料擷取、處理與儲存成本，同時，具備巨量資料的搜尋與圖解能力，提升企業的分析品質；而在金融業方面，由於面臨嚴格的法規遵循要求，需長期保存資料，且對個人隱私保護相當敏感，Cribl能搭配冷儲存層的設置保存7年以上資料，並運用資料遮罩功能確保研發與維運人員處理資料時不觸法。

此外，Cribl也標榜廠商中立（vendor-neutral）以及與特定廠商無關（vendor-agnostic），葉精良強調，Cribl打破廠商綁定（vendor lock-in），使企業得以建立中立的資料基礎設施，企業能根據預算與需求，自由決定資料該去哪裡、留多久、怎麼用，不再受到單一分析工具的儲存格式限制。

提供四大產品，囊括大規模機器資料的處理、收集、搜尋，以及儲存需求

細部探究Cribl目前提供的資料引擎解決方案組成，首先是Cribl Stream負責資料處理與分流，可即時接收與傳送事件記錄、儀表資料、應用程式資料、量測數值等眾多類型機器資料，系統內建超過90種既有系統的資料來源與目的地整合機制，不會受制於特定廠商的綑綁，而且，能快速將各種機器資料傳遞到企業指定的分析平臺，每秒可處理數十億個事件，存取延遲低於1毫秒，具備PB等級的資料吞吐能力。

企業也能在Cribl Stream處理資料的過程中，執行多種加值手段，像是：補充上下文脈，使得取自外部的資料內容能夠更豐富；針對敏感欄位的資料，可進行額外的編輯、混淆或加密處理，確保資料的機密性。

因應所需處理資料的龐雜，Cribl Stream也能進行多種減量與過濾作業，以便節省資料分析平臺的軟體授權費用、提升資料處理效能，當中可剔除無關的事件與欄位、套用普遍的轉換機制，以及自動對應至多個資料綱要，提升資料的處理與分析效率，並且能採用動態取樣來過濾事件，或將各種記錄匯聚至量測資料，以便大幅縮減所要處理的資料。若要完整保存資料，企業也能在此將副本複製到低成本的儲存環境或資料湖。

Cribl平臺之所以能不被特定廠商捆綁的另一個關鍵，在於負責收集資料的Cribl Edge，它提供代理程式與集中管理大量節點的系統（可部署與管理多達25萬臺節點），協助企業即時收集與處理各種機器資料，涵蓋Linux、Windows、macOS的電腦與伺服器、應用系統、微服務、Kubernetes系統，能藉此將事件記錄、量測資料、應用程式資料，傳送到Cribl Stream或其他資料處理的目的地。就效能而言，Cribl Stream每日可處理20 PB的資料。

在這套資料收集系統中，內建超過60種資料來源與目的地的整合機制，可自動探查與收集主機、容器、應用程式的多種狀態資料，並且運用功能函數與管線流程來處理資料，將資料轉送至各種支援的資料處理目的地。

以功能而言，Cribl Edge內建超過30種機制，可用於資料的轉換、安全強化、內容充實，也提供超過40種C語言寫成的功能函數，用於更精細的資料處理。而在管線流程方面，企業可透過圖形使用介面進行製作、驗證、障礙排除。

此外，企業也能以簡化的方式管理大量節點的組態與版本控制，可針對數萬臺列管與獨立節點，集中執行組態管理、監控、軟體升級作業。而在運作架構上，企業可部署支援三大作業系統Edge節點，以及作為控制層的Edge leader系統。

對於終端使用者而言，透過Cribl.Cloud雲端服務提供的Cribl Search，負責供應資料分析功能，可協助企業就地探索資料的價值，藉此即時查詢事件記錄、量測資料（metrics）等各種機器資料，也能針對資料執行匯聚與轉換，以便回答想要提問的問題、觸發警示與呈現儀表板列出的項目，而不需事先將所有資料搬移至特定儲存系統或環境。

同時，企業能在此設置自動化搜尋處理，搜尋結果也能以圖解方式呈現，並與他人共享，關於趨勢的異動，也能獲得警示通知。

此外，企業可將查詢的資料直接納入Cribl Search內建的資料湖倉引擎（Lakehouse Engines），以便獲得最佳分析效能，或是針對存放在其他位置的資料執行就地的聯合搜尋，而無需進行登錄資料或建立索引的程序。

關於可存取的資料來源，Cribl Search原生支援多種類型，涵蓋資料湖、物件儲存、雲端資料倉儲、資料分析服務與平臺、API端點。企業能夠橫跨大量資料集執行高速搜尋，調查分析各種問題的速度能因此提升10倍。值得注意的是，這套系統導入設計即安全（Secure-by-Design）架構，在資料處於傳輸與靜態存放時，均內建加密機制，能夠保護敏感資料。當企業針對經由串流傳輸的已加密資料進行搜尋時，只要是通過身分認證的使用者，即可搜尋並對加密欄位進行解密，而不會暴露靜態存放的資料內容。

在Cribl Search執行搜尋作業時，主要是透過Azure Data Explorer採用的Kusto查詢語言（Kusto Query Language，KQL），使用者可在建立搜尋查詢敘述時，透過系統輔助撰寫，Cribl也在此配備AI助理，能將自然語言查詢的語句轉換為KQL語法。當Cribl Search進行查詢時，使用者輸入的KQL查詢語句，會自動轉換成目標位置資料儲存位置的查詢語言，後續將動態啟動多個平行搜尋執行器（parallel search executors），確保搜尋能在最短時間內完成，接著協調與結合來自多個系統的結果串流資料（results streaming）、解析結果，以單一、統一的方式呈現整個結果資料集。就算查詢非結構化的來源資料，Cribl Search也能擷取當中的結構化欄位與數值。

被列為Cribl平臺第四大產品的Cribl Lake負責儲存大量資料，於2024年推出，同樣是以Cribl.Cloud雲端服務提供的全代管解決方案，能以資料湖的形式長期儲存IT與資安的資料，可接收與存放來自Cribl Stream或Cribl Lake Direct Access的多種資料，以及Cribl.Cloud的內部事件記錄與量測資料，後續可在Cribl Search搜尋或經由Cribl Stream進行重新處理的流程。

關於資料儲存的格式，Cribl Lake預設採用JSON文件形式，也支援開放原始碼欄式資料格式Apache Parquet，此外，能將Splunk的Dynamic Data Self Storage（DDSS）匯入Cribl Lake。