Datadog отказывается от SaaS-монополии: BYOC и федеративные логи

Datadog более десяти лет определял observability как исключительно SaaS-категорию. На этой неделе на конференции DASH эта позиция изменилась. Вендор начал поддерживать анализ метрик, логов и трейсов, хранящихся в облачной инфраструктуре под управлением клиента, запустил федеративный поиск логов по внешним хранилищам и представил новую AI Agent Console для отслеживания расходов на токены — как для собственного Bits AI, так и для сторонних агентов от Anthropic и OpenAI.

Что произошло

Главная цифра здесь не денежная — это сдвиг категории: с нуля до трёх. Datadog перешёл от нулевого числа вариантов хранения под управлением клиента к трём отдельным (BYOC, федеративные логи и размещённый MCP-сервер, позволяющий внешним агентам запрашивать обнаружения угроз) в рамках одного цикла keynote. Как сообщил TechTarget, ранее Datadog был строго SaaS-платформой, где вся телеметрия поступала в его собственное облако. Зара Боддула, продакт-менеджер Datadog, объяснила изменения петабайтными объёмами телеметрии, порождёнными AI-нагрузками, и давлением трансграничных требований соответствия.

Федеративный поиск логов расширяет Log Explorer для запросов к Databricks, ClickHouse и Snowflake без предварительного приёма данных в Datadog. Карлос Казанова из Forrester отметил, что Cisco/Splunk движется по тому же федеративному пути, и при правильной реализации этот подход снижает затраты на приём, хранение и вычисления без потери точности данных. Именно в этом и состоит ключевое обещание.

На стороне AI Datadog представил Agent Console, отслеживающую использование и затраты для агентов Bits AI, а также сторонних агентов от Anthropic и OpenAI. Инструмент агентской безопасности AI Guard вышел в ограниченном превью. Новый размещённый MCP-сервер охватывает как observability, так и безопасность. Datadog также представил Runtime Prioritization Engine, который автоматически обнаруживает «ключевые» системы из телеметрии вместо пользовательских тегов, и отвязал Bits Security Analyst от собственного SIEM так, что теперь он работает со Splunk и Microsoft Sentinel. Источник не раскрывает цены на BYOC и федеративные логи, что принципиально важно, поскольку весь бизнес-кейс перехода с SaaS-хранилища строится на стоимости.

Техническая архитектура

BYOC и федеративный поиск — это две разные архитектуры, представленные как одно объявление, и инженерным командам нужно рассматривать их по отдельности.

BYOC оставляет плоскость данных в облачном аккаунте клиента. Плоскость управления (запросы, дашборды, оповещения) остаётся в SaaS Datadog. Это стандартная схема, которую Snowflake-native и ClickHouse-native стартапы в сфере observability используют уже два года. Компромисс хорошо известен: вы платите гипермасштабируемому провайдеру за хранение и вычисления при хранении телеметрии вместо того, чтобы платить Datadog по тарифу за GB при приёме, но взамен принимаете задержки запросов, зависящие от вашего собственного объектного хранилища и вычислительных ресурсов. Источник не указывает, какие облака поддерживаются на GA, и не уточняет, охватывает ли BYOC все три типа телеметрии (метрики, логи, трейсы) на равных условиях. Реалистичная оценка: если BYOC выйдет сначала на AWS только с логами, это защитный продукт. Если он выйдет в первый день с метриками и трейсами на AWS, GCP и Azure, это подлинный архитектурный разворот.

Федеративные логи — иная история. Вместо перемещения данных Log Explorer отправляет запросы непосредственно к Databricks, ClickHouse и Snowflake. Именно эту схему Карлос Казанова назвал той же, что применяет Cisco/Splunk. Ключевой инженерный вопрос — pushdown запросов: какая часть фильтрации, агрегации и объединения выполняется во внешнем хранилище, а не на уровне запросов Datadog. Если pushdown поверхностный, слово «федеративный» становится вежливым синонимом «мы выгружаем ваше хранилище и выставляем вам счёт за трафик дважды».

Кроме того, остаётся проблема привязки. Торстен Фольк из Omdia высказался прямо: Datadog по-прежнему требует своего проприетарного агента (или собственного дистрибутива OpenTelemetry) для мониторинга баз данных, data observability и мониторинга облачных сетей. Upstream-коллектор OpenTelemetry даёт только базовую функциональность. Фольк противопоставил это Elastic, который поддерживает стандартные OTel-коллекторы во всех своих observability-сервисах. Таким образом, BYOC смещает границу хранения, но не границу сбора данных. Вопрос, поддающийся проверке: какой процент объёма телеметрии типичного клиента Datadog требует проприетарного агента? Если ответ превышает 50 процентов, BYOC носит косметический характер.

Кто пострадает

Первая группа под ударом — стартапы, построенные на концепции BYOC. Вендоры, выстроившие весь свой питч вокруг «ваши данные, ваше облако» против SaaS-привязки Datadog, только что лишились своего главного дифференциатора. Аргументы у них ещё остались (никакого проприетарного агента, настоящий OTel-native-приём, более простое ценообразование), но маркетинговый слайд «в отличие от Datadog, ваши данные никогда не покидают ваш аккаунт» больше не работает.

Вторая группа — корпоративные платформенные команды, уже подписавшие многолетние контракты с Datadog в расчёте на SaaS-only модель. Теперь им предстоит решить, пересматривать ли условия. Если BYOC значительно дешевле SaaS-приёма, финансовый отдел задаст вопрос: почему нет. Если нет — объявление театральное. Эрик Свонсон, старший SRE в MagicSchool AI (Денвер), точно выразил скептицизм на keynote: он сбился со счёта, сколько раз звучало «рады объявить», заметил, что многие функции основаны на AI и тарифицируются за использование токенов, — и это ещё до того, как углубиться в существующую сложность раздельной тарификации APM, логов, трейсов, RUM и профилей в зависимости от нагрузки.

Третья группа — вендоры SIEM. Отвязка Bits Security Analyst от собственного SIEM Datadog и нацеливание его на Splunk и Microsoft Sentinel — прямая игра за аккаунты, где Datadog присутствует в observability, но проиграл в части data lake для безопасности. Ожидайте, что команды Splunk и Sentinel начнут слышать «мы просто используем аналитика Datadog поверх вас» на переговорах о продлении контрактов в течение 90 дней.

Открытый вопрос для всех трёх групп: масштабируется ли ценообразование Datadog на AI-функции линейно с потреблением токенов или есть пакетные тарифы? Источник подтверждает, что Agent Console отражает затраты, но не раскрывает модель тарификации. Пока это не прояснится, принятие AI-функций в бюджетно-чувствительных инженерных организациях будет осторожным.

Руководство для инженерных команд

Если вы используете Datadog в масштабе, три конкретных шага на этот квартал.

Первое: проведите аудит агентского стека. Составьте инвентарь: какие функции в вашем текущем контракте требуют проприетарного агента Datadog, а какие работают на upstream OpenTelemetry-коллекторе. Это соотношение и есть ваш реальный коэффициент привязки. Формулировка Фолька о «степенях привязки» — правильная ментальная модель: BYOC снижает привязку по хранилищу, но не затрагивает привязку по сбору данных. Если мониторинг баз данных и сетевой мониторинг облака несут нагрузку в вашем стеке, вы по-прежнему глубоко внутри огороженного сада.

Второе: смоделируйте федеративные логи относительно текущего счёта за приём данных, прежде чем мигрировать. Возьмите один высокообъёмный источник логов (логи приложений обычно самые дешёвые для тестирования), направьте их в Snowflake или ClickHouse и сравните задержку запросов из Log Explorer с текущей базой на SaaS-хранении. Паттерн Янбин Ли «сначала малая модель, потом frontier LLM» для AI Guard здесь уместно позаимствовать: направляйте дешёвые, высокообъёмные запросы во федеративное хранилище, а критичные по задержке пути реагирования на инциденты оставляйте в горячем SaaS-хранилище. Руководство по архитектуре Google Cloud по многоуровневому хранению данных чётко применимо к такому разделению.

Третье: установите жёсткий бюджет на расходы AI-агентов до того, как что-либо включать. Agent Console даёт видимость, но не контроль. Определите бюджеты токенов на команду, подключите их к отчётности консоли и рассматривайте превышения как события для эскалации. Кэти Нортон из IDC была права: Runtime Prioritization Engine — наиболее значимое обновление в части безопасности приложений, поскольку теги устаревают, а ответственность остаётся без владельца. Та же логика применима к владению затратами на AI. Без назначенного владельца на каждый агент Agent Console превращается в отчёт, который никто не читает.

Ключевые выводы

• Datadog завершил эпоху строгой SaaS-модели с помощью BYOC и федеративного поиска логов по Databricks, ClickHouse и Snowflake, повторяя направление Cisco/Splunk в части федерации.
• Требование проприетарного агента для мониторинга баз данных, data observability и мониторинга облачных сетей сохраняет значимую поверхность привязки. Elastic остаётся более чистой OTel-native альтернативой.
• Agent Console отражает расходы на AI для агентов Bits AI, Anthropic и OpenAI, однако источник не раскрывает собственную модель тарификации Datadog для AI-функций — именно это и является ключевой переменной, определяющей принятие.
• Bits Security Analyst теперь работает автономно со Splunk и Microsoft Sentinel — прямой конкурентный шаг против вендоров SIEM. Ожидайте давления на переговорах о продлении в течение 90 дней.
• Проверяемый прогноз: если BYOC на GA окажется более чем на 30 процентов дешевле эквивалентного SaaS-приёма, следует ожидать хотя бы одной публично анонсированной корпоративной миграции с чистого SaaS Datadog к Q4 2026. Если разница меньше — принятие BYOC останется однозначным и объявление носило защитный характер.