چه مواردی در نرم افزار Splunk Enterprise نشان داده میشوند؟
اولین قدم در استفاده از نرم افزار Splunk Enterprise وارد کردن داده به آن است. در ابتدا نرم افزار Splunk Enterprise دادهها را میگیرد، آنهارا مرتب و برای جست و جو آماده میکند. با قابلیت فهرست بندی عمومی داده شما را به مجموعه ای از رویدادها ( event ) تغییر شکل میدهد که شامل بخشهای قابل جست و جویی ست. پس از اولین فهرست بندی دادهها ، شما میتوانید جست و جو در داده را آغاز کنید، یا از آنها برای ساخت چارتها، گزارش گیری، اعلانات و دیگر خروجیهای جالب توجه استفاده کنید.
نرم افزار Splunk Enterprise
نرم افزار Splunk Enterprise از چه نوع داده هایی استفاده میکند؟
در جواب میشود گفت هرنوع داده ای. به طور ویژه همه و همه ی روند های IT ، دستگاه ها ، داده های مبثوت. برای مثال:
Windows event log ,Web server logs ,Live application logs ,Network feeds ,System metrics ,Change monitoring ,Message queues ,Archive files نرم افزار Splunk Enterprise به منبع داده ها اشاره دارد و آن منابع به عنوان داده ورودی استفاده میشود. نرم افزار Splunk Enterprise شروع به فهرست بندی جریان دادهها میکند سپس آنها را به مجموعه ای از اتفاقات منحصر به فرد تغییر میدهد. شما میتوانید این رویدادهای منحصر به فرد را ببینید یا در آن جست و جو کنید. اگر نتیجه دقیقا چیزی نیست که میخواهید ، میتوانید فرآیند فهرست سازی را تا زمانی که به نتیجه مطلوب برسید ادامه دهید.
در صورت تمایل به مشاهده و خرید لایسنس اسپلانک به صفحه مرتبط به آن مراجعه کنید.
دادههای نرم افزار Splunk Enterprise میتوانند به صورت محلی(Local) روی یک کامپیوتر فهرست بندی شوند ، یا میتوان آنها را بر روی کامپیوتری غیر محلی ( Remote ) دریافت و بازخوانی کرد. شما میتوانید از راه دور دادههای خود را به نرم افزار Splunk Enterprise وارد کنید یا توسط شبکه نرم افزار Splunk Enterprise داده ها را بر روی کامپیوتر دیگری نصب وسازمان دهی کنید. نرم افزار Splunk Enterprise ، برنامه های کاربردی و افزونههای مجانی بسیاری را پیشنهاد میدهد؛ با ورودیهای از پیش پیکربندی شده برای Windows، یا Linux-specific data sources ، Cisco security data ، Blue Coat data و همانند آنها. در Splunkbase برنامهها و افزونههایی برای کمک به پیش برد عملیات شما وجود دارد. همچنین نرم افزار Splunk Enterprise دارای دهها دستورالعمل برای منابه داده ی شما است مانند:
Web server logs ,Java 2 Platform ,Enterprise Edition (J2EE) logs ,Windows performance metrics
شما میتوانید این نمونهها را از وبسایت Splunk بخشAdd data به دست آورید. اگر دستورالعملها و برنامهها نیازهای شما را رفع نکردند، میتوانید از افزونههای غیر رسمی برای مشخص کردن منابع خاص خود استفاده کنید اما توجه داشته باشید افزونهها باید با Splunk هم خوانی داشته باشند. مشخص کردن دادههای خاص ورودی شما با مشخص کردن دادههای جدید آنها را به نرم افزار Splunk Enterprise اضافه میکنید. دادهها را میتوان از طریق موارد ذیل مشخص کرد:
1. Apps (برنامههای کاربردی) :
برنامهها و افزونهها، ورودی های پیش فرض را برای انواع متنوعی از منابع داده پیشنهاد میکنند. (رجوع شود به “Use apps”)
2. Splunk Web (وبسایت) :
بسیاری از انواع ورودیها با صفحه یSplunk web پیکربندی میشوند. آنها یک نگرش بر پایه ی GUI برای شما فراهم میکنند تا ورودیها را پیکر بندی کنید. میتوانید با جا به جا کردن صفحه ی Splunk Home یا System data به Add data دسترسی پیدا کنید. ( رجوع شود به “Use Splunk Web”)
3 . The Splunk CLI :
برای پیکر بندی اکثر انواع ورودیها از CLI (command line interface) استفاد کنید.
4 . The inputs.conf configuration file :
بعد از اینکه دادههای مورد نظرتان را با CLI یا از طریق وبسایت مشخص کردید، پیکربندیها در فایلی به اسم inputs.conf ذخیره میشود. شما میتوانید مستقیما این فایل را ویرایش کنید. برای رسیدگی به بعضی دادههای ورودی پیشرفته، ممکن است به ویرایش نیاز پیدا کنید. (رجوع شود به “Edit inputs.conf” ) علاوه بر این، اگر شما برای ارسال دادهها از دستگاههای دور از مرکز (Remote) ، از فرستندهها استفاده میکنید، میتوانید در زمان نصب فرستندهها نیز ورودیها را مشخص کنید) رجوع شود به “Use forwarders” )
برای کسب اطلاعات بیشتر در زمینه ی پیکر بندی ورودیها “Config your inputs” را مشاهده کنید.
انواع منابع داده :
Splunk ابزاری را برای پیکر بندی انواع مختلف ورودی فراهم میکند، از جمله بسیاری از آنها که نیازمند برنامههای خاص هستند. همچنین Splunk ابزاری برای پیکر بندی هر نوع ورودی داده دلخواه فراهم کرده است. در کل شما میتوانید ورودی های Splunk را به انواع ذیل تقسیم بندی کنید :
• Files and directories
• Network events
• Windows sources
• Other sources
1 . File and directons (فایل و آدرس دهی) :
بیشتر دادهها مستقیما از فایلها یا آدرسها به دست میآیند. شما میتوانید با استفاده از “file and directions” ورودیهای پردازنده را برای به دست آوردن داده از فایلها و آدرسها مانیتور کنید.
برای مانیتور کردن فایل و آدرسها به “ Get data from files and directories” رجوع شود.
2. Network events (رویدادهای شبکه) :
نرم افزار Splunk Enterprise میتواند دادهها از هر پورت شبکه را فهرست بندی کند. برای مثال: میتواند دادههای راه دور از syslog-ng یا هر برنامه ی دیگری که از طریق پرتوکول TCP انتقال داده انجام میدهد را فهرست بندی کند؛ اما باید هر زمان که ممکن است TCP را برای اطمینان بیشتر جایگزین کنید.
همچنین نرم افزار Splunk Enterprise میتواند رویدادهایSNMP را دریافت و فهرست بندی کند و غیر فعال یا از دسترس خارج شدن دستگاههای خارج از مرکز (Remote) را هشدار دهد.
برای به دست آوردن داده از طریق پورت شبکه “Get data from TCP and UDP ports” را مشاهاده کنید. برای به دست آوردن دادههای SNMP “Send SNMP events to Splunk” را مشاهده کنید.
3. Windows sources (منابع ویندوزی) :
نسخه ویندوزی نرم افزار Splunk Enterprise شامل دامنهی وسیعی از ورودیهای خاص ویندوز میشود. همچنین صفحههایی در Splunk System برای مشخص کردن انواع ورودیهای خاص ویندوز فراهم میکند. از انواع آن میتوان به موارد ذیل اشاره کرد :
- Windows Event Log data
· Windows Registry data
· WMI data
· Active Directory data
· Performance monitoring data
نکته: برای فهرست بندی و جست و جو ی دادههای ویندوز در نسخه ی غیر ویندوزی نرم افزار Splunk Enterprise ، ابتدا باید نسخه ویندوزی را برای گرد آوری داده ها استفاده کنید. برای جزییات بیشتر در رابطه با استفاده از دادههای ویندوز در نرم افزار Splunk Enterprise ، “About Windows data and نرم افزار Splunk Enterprise“را مشاهده کنید.
4. Other data sources ( منابع دیگر داده ) :
نرم افزار Splunk Enterprise همچنین دیگر انواع داده را نیز پشتیبانی میکند برای مثال :
• First-in , first-out (FIFO) queues
• Script inputs
داده ها را از API ها و دیگر رابطهای راه دور داده میگیرد و به صفها اضافه میکند.
• Modular inputs
قابلیت مشخص کردن یک ورودی سفارشی برای گسترش چارچوب نرم افزار Splunk Enterprise است.
نرم افزار Splunk Enterprise چیست؟
نرم افزار Splunk Enterprise قابلیت جست و جو ، آنالیز و تجسم در دادههای جمع آوری شده توسط دستگاه از وبسایتها، برنامهها، سنسورها و دستگاههای همانند آن را برای شما مقدور میسازد که شامل کسب و کار و یا زیر ساخت IT شما میباشد. بعد از تعریف منابع داده، نرم افزار Splunk Enterprise جریان دادهها را فهرست بندی کرده و آنها را به سسلسهای از رویدادهای منحصر به فرد که میتوانید آنها را ببینید یا در آن جست و جو کنید، تجزیه میکند. برای ایجاد گزارشات تصویری شما میتوانید از زبان پردازش جست و جو یا ویژگیهای محاورهای استفاده کنید.
قابلیتهای نرم افزار Splunk Enterprise
در این بخش به قابلیت های نرم افزار Splunk Enterprise اشاره میشود. همچنین شما میتوانید برای دریافت اطلاعات بیشتر در مورد دیگر قابلیتهای این نرم افزار بهSplunk.com مراجعه کنید.
1. Indexing (فهرستبندی) :
نرم افزار Splunk Enterprise، دادههای دستگاه را فهرست بندی میکند، که شامل جریان اطلاعات از بسته بندی و برنامههای سفارشی، سرورهای کاربردی، وب سرورها، بانکهای اطلاعاتی، شبکهها، ماشین های مجازی، تجهیزات مخابراتی، سیستم عاملها، سنسور ها و امثال آن، که زیرساخت IT شما را تشکیل میدهد است. حداکثر میزان فهرست بندی به لایسنسی که خریداری کرده اید بستگی دارد.
2. Search (جست و جو) :
جست و جو راه اولیه کاربران برای هدایت داده در نرم افزار Splunk Enterprise است. شما میتوانید برای اصلاح رویداد از یک فهرست ، آن را جست و جو کنید، از دستورات آماری برای محاسبه ی معیارها و تهیه ی گزارشات استفاده کنید جست و جو برای شرایط خاص در یک rolling time window ، شناسایی Parrent در یک داده ، پیش بینی روند در آینده و امثال آن. جست و جو ها را میتوان در غالب گزارش ذخیره کرد و آن را برای قدرت بخشیدن به dashboard panel استفاده کرد.
3 . Alerts (هشدار ها) :
هشدارها زمانی راه اندازی میشوند که شرایط توسط نتایج جست و جو برای هر دو جست و جوی مبثوت و حال حاضر، تلاقی داشته باشند. هشدارها میتوانند برای راه اندازی اعمالی مانند فرستادن اطلاعات هشدار به email از پیش تعیین شده، اعلان اطلاعات هشدار به RSS، و اجرای یک اسکریپت سفارشی مانند ثبت کردن هشدار یک رویداد در syslog، پیکر بندی شوند.
4. Reports (گزارشات) :
گزارشاتseaved search ها و pivot ها هستند. شما میتوانید گزارشات در شبکههای ad hoc را اجرا کنید، آنها را به صورت جدول منظم برای اجرا زمان بندی کنید، و گزارشات زمان بندی شده را برای تولید هشدارها، زمانی که نتیجه ی اجرا با شرایط خاصی رو به رو میشود، را تعیین کنید. شما میتوانید گزارشات را به صورتdashboard panel در قسمت dashboards اضافه کنید.
5. Dashboards (داشبوردها) :
داشبوردها از پانلهایی ساخته شدهاند که شامل ماژولهایی از قبیل search boxes ،fields،charts ،tables ،forms و همانند آنها است. داشبورد پانلها معمولا به جست و جو های ذخیره شده شما و یا محور ها متصل هستند. نتایج جست و جوهای تمام شده از جست و جوهای real-time که در پیش زمینه نرم افزار اجرا میشوند، نمایش داده میشوند.
6. Pivots (محور ها) :
محورها به جدول ، نمودار، یا دادههایی که به شما دید استفاده از Pivot Editor را میدهد، اشاره دارد. یا با استفاده از ویرایشگر محوری تجسم دادهها را برای شما فراهم میکند.
Pivot Editor به کاربران اجازه میدهد ویژگی های نقشه را از data model به یک جدول یا نمودار داده ی مجسم شده، بدون نیاز به نوشتن جست و جوها، برای تولید آن ها مشخص کنند.
7. Data model:
Data model دانشهای تخصصی دومین در ارتباط با یک یا چند مجموعه از فهرستهای داده را رمزگزاری میکند. آنها Pivot Editor را قادر به ساختن گزارشات قانع کننده و داشبوردهایی بدون جست و جو های طراحی شده میسازد. Data model ها میتوانند استفادههای دیگری مخصوصا برای توسعه دهنده های Splunk app داشته باشند.
شرکت پایه ریزان فناوری هوشمند توانایی ارائه مشاوره و راه اندازی راهکارهای SIEM را دارد، جهت مشاوره با کارشناسان ما تماس بگیرید.
در صورت تمایل به مشاوره رایگان و استفاده از خدمات پایه ریزان فناوری هوشمند می توانید با کارشناسان مجرب ما تماس بگیرید و محصول مورد نیاز خود را با قیمت رقابتی و ضمانت شرکتی دریافت کنید ضمن این که تیم متخصص پایه ریزان با پشتیبانی قوی در کنار شما خواهد بود.
جهت مشاوره رایگان با شماره های زیر تماس بگیرید.
