امنیت, splunk

نرم افزار Splunk Enterprise و 4 نوع داده و 4 منبع داده و 7 قابلیت

نرم افزار Splunk Enterprise
رای بدهید

چه مواردی در نرم افزار Splunk Enterprise نشان داده میشوند؟

اولین قدم در استفاده از نرم افزار Splunk Enterprise وارد کردن داده به آن است. در ابتدا نرم افزار Splunk Enterprise داده‌ها را میگیرد، آن‌هارا مرتب و برای جست و جو آماده می‌کند. با قابلیت فهرست بندی عمومی داده شما را به مجموعه ای از رویدادها ( event ) تغییر شکل می‌دهد که شامل بخش‌های قابل جست و جویی ست. پس از اولین فهرست بندی داده‌ها ، شما میتوانید جست و جو در داده را آغاز کنید، یا از آنها برای ساخت چارت‌ها، گزارش گیری، اعلانات و دیگر خروجی‌های جالب توجه استفاده کنید.

نرم افزار Splunk Enterprise

نرم افزار Splunk Enterprise

نرم افزار Splunk Enterprise از چه نوع داده هایی استفاده میکند؟

در جواب میشود گفت هرنوع داده ای. به طور ویژه همه و همه ی روند های IT ، دستگاه ها ، داده های مبثوت. برای مثال:
Windows event log ,Web server logs ,Live application logs ,Network feeds ,System metrics ,Change monitoring ,Message queues ,Archive files نرم افزار Splunk Enterprise به منبع داده ها اشاره دارد و آن منابع به عنوان داده ورودی استفاده می‌شود. نرم افزار Splunk Enterprise شروع به فهرست بندی جریان داده‌ها میکند سپس آن‌ها را به مجموعه ای از اتفاقات منحصر به فرد تغییر میدهد. شما می‌توانید این رویدادهای منحصر به فرد را ببینید یا در آن جست و جو کنید. اگر نتیجه دقیقا چیزی نیست که میخواهید ، میتوانید فرآیند فهرست سازی را تا زمانی که به نتیجه مطلوب برسید ادامه دهید.
داده‌های نرم افزار Splunk Enterprise میتوانند به صورت محلی(Local) روی یک کامپیوتر فهرست بندی شوند ، یا می‌توان آن‌ها را بر روی کامپیوتری غیر محلی ( Remote ) دریافت و بازخوانی کرد. شما میتوانید از راه دور داده‌های خود را به نرم افزار Splunk Enterprise وارد کنید یا توسط شبکه نرم افزار Splunk Enterprise داده ها را بر روی کامپیوتر دیگری نصب وسازمان دهی کنید. نرم افزار Splunk Enterprise ، برنامه های کاربردی و افزونه‌های مجانی بسیاری را پیشنهاد می‌دهد؛ با ورودی‌های از پیش پیکربندی شده برای Windows، یا Linux-specific data sources ، Cisco security data ، Blue Coat data و همانند آنها. در Splunkbase برنامه‌ها و افزونه‌هایی برای کمک به پیش برد عملیات شما وجود دارد. همچنین نرم افزار Splunk Enterprise دارای ده‌ها دستورالعمل برای منابه داده ی شما است مانند:
Web server logs ,Java 2 Platform ,Enterprise Edition (J2EE) logs ,Windows performance metrics
شما می‌توانید این نمونه‌‌ها را از وبسایت Splunk بخشAdd data به دست آورید. اگر دستورالعمل‌ها و برنامه‌ها نیازهای شما را رفع نکردند، می‌توانید از افزونه‌های غیر رسمی برای مشخص کردن منابع خاص خود استفاده کنید اما توجه داشته باشید افزونه‌ها باید با Splunk هم خوانی داشته باشند. مشخص کردن داده‌های خاص ورودی شما با مشخص کردن داده‌های جدید آن‌ها را به نرم افزار Splunk Enterprise اضافه می‌کنید. داده‌ها را میتوان از طریق موارد ذیل مشخص کرد:

1. Apps (برنامه‌های کاربردی) :

برنامه‌ها و افزونه‌ها، ورودی های پیش فرض را برای انواع متنوعی از منابع داده پیشنهاد می‌کنند. (رجوع شود به “Use apps”)

2. Splunk Web (وبسایت) :

بسیاری از انواع ورودی‌ها با صفحه یSplunk web پیکربندی می‌شوند. آنها یک نگرش بر پایه ی GUI برای شما فراهم می‌کنند تا ورودی‌ها را پیکر بندی کنید. می‌توانید با جا به جا کردن صفحه ی Splunk Home یا System data به Add data دسترسی پیدا کنید. ( رجوع شود به “Use Splunk Web”)

3 . The Splunk CLI :

برای پیکر بندی اکثر انواع ورودی‌ها از CLI (command line interface) استفاد کنید.

4 . The inputs.conf configuration file :

بعد از اینکه داده‌های مورد نظرتان را با CLI یا از طریق وبسایت مشخص کردید، پیکربندی‌ها در فایلی به اسم inputs.conf ذخیره می‌شود. شما میتوانید مستقیما این فایل را ویرایش کنید. برای رسیدگی به بعضی داده‌های ورودی پیشرفته، ممکن است به ویرایش نیاز پیدا کنید. (رجوع شود به “Edit inputs.conf” ) علاوه بر این، اگر شما برای ارسال داده‌ها از دستگاه‌های دور از مرکز (Remote) ، از فرستنده‌ها استفاده می‌کنید، میتوانید در زمان نصب فرستنده‌ها نیز ورودی‌ها را مشخص کنید) رجوع شود به “Use forwarders” )
برای کسب اطلاعات بیشتر در زمینه ی پیکر بندی ورودی‌ها “Config your inputs” را مشاهده کنید.

این صفحه رو کلیک کن به کارت میاد!  21 قابلیت اسپلانک به عنوان SIEM

انواع منابع داده :

Splunk ابزاری را برای پیکر بندی انواع مختلف ورودی فراهم می‌کند، از جمله بسیاری از آن‌ها که نیازمند برنامه‌های خاص هستند. همچنین Splunk ابزاری برای پیکر بندی هر نوع ورودی داده دلخواه فراهم کرده است. در کل شما میتوانید ورودی های Splunk را به انواع ذیل تقسیم بندی کنید :
• Files and directories
• Network events
• Windows sources
• Other sources

1 . File and directons (فایل و آدرس دهی) :

بیشتر داده‌ها مستقیما از فایل‌ها یا آدرس‌ها به دست می‌آیند. شما می‌توانید با استفاده از “file and directions” ورودی‌های پردازنده را برای به دست آوردن داده از فایل‌ها و آدرس‌ها مانیتور کنید.
برای مانیتور کردن فایل و آدرس‌ها به “ Get data from files and directories” رجوع شود.

2. Network events (رویدادهای شبکه) :

نرم افزار Splunk Enterprise می‌تواند داده‌ها از هر پورت شبکه را فهرست بندی کند. برای مثال: میتواند داده‌های راه دور از syslog-ng یا هر برنامه ی دیگری که از طریق پرتوکول TCP انتقال داده انجام می‌دهد را فهرست بندی کند؛ اما باید هر زمان که ممکن است TCP را برای اطمینان بیشتر جایگزین کنید.
همچنین نرم افزار Splunk Enterprise میتواند رویدادهایSNMP را دریافت و فهرست بندی کند و غیر فعال یا از دسترس خارج شدن دستگاه‌های خارج از مرکز (Remote) را هشدار دهد.
برای به دست آوردن داده از طریق پورت شبکه “Get data from TCP and UDP ports” را مشاهاده کنید. برای به دست آوردن داده‌های SNMP “Send SNMP events to Splunk” را مشاهده کنید.

3. Windows sources (منابع ویندوزی) :

نسخه ویندوزی نرم افزار Splunk Enterprise شامل دامنه‌ی وسیعی از ورودی‌های خاص ویندوز می‌شود. همچنین صفحه‌هایی در Splunk System برای مشخص کردن انواع ورودی‌های خاص ویندوز فراهم می‌کند. از انواع آن میتوان به موارد ذیل اشاره کرد :

  • Windows Event Log data
    · Windows Registry data
    · WMI data
    · Active Directory data
    · Performance monitoring data

نکته: برای فهرست بندی و جست و جو ی داده‌های ویندوز در نسخه ی غیر ویندوزی نرم افزار Splunk Enterprise ، ابتدا باید نسخه ویندوزی را برای گرد آوری داده ها استفاده کنید. برای جزییات بیشتر در رابطه با استفاده از داده‌های ویندوز در نرم افزار Splunk Enterprise ، “About Windows data and نرم افزار Splunk Enterprise“را مشاهده کنید.

4. Other data sources ( منابع دیگر داده ) :

نرم افزار Splunk Enterprise همچنین دیگر انواع داده را نیز پشتیبانی می‌کند برای مثال :
• First-in , first-out (FIFO) queues
• Script inputs
داده ها را از API ها و دیگر رابط‌های راه دور داده می‌گیرد و به صف‌ها اضافه می‌کند.
• Modular inputs
قابلیت مشخص کردن یک ورودی سفارشی برای گسترش چارچوب نرم افزار Splunk Enterprise است.

نرم افزار Splunk Enterprise چیست؟

نرم افزار Splunk Enterprise قابلیت جست و جو ، آنالیز و تجسم در داده‌های جمع آوری شده توسط دستگاه از وبسایت‌ها، برنامه‌ها، سنسورها و دستگاه‌های همانند آن را برای شما مقدور میسازد که شامل کسب و کار و یا زیر ساخت IT شما می‌باشد. بعد از تعریف منابع داده، نرم افزار Splunk Enterprise جریان داده‌ها را فهرست بندی کرده و آن‌ها را به سسلسه‌ای از رویداد‌های منحصر به فرد که می‌توانید آن‌ها را ببینید یا در آن جست و جو کنید، تجزیه می‌کند. برای ایجاد گزارشات تصویری شما می‌توانید از زبان پردازش جست و جو یا ویژگی‌های محاوره‌ای استفاده کنید.

این صفحه رو کلیک کن به کارت میاد!  مقابله با باج افزارها با 14 تکنیک

قابلیت‌های نرم افزار Splunk Enterprise

در این بخش به قابلیت های نرم افزار Splunk Enterprise اشاره می‌شود. همچنین شما میتوانید برای دریافت اطلاعات بیشتر در مورد دیگر قابلیت‌های این نرم افزار بهSplunk.com مراجعه کنید.

1. Indexing (فهرست‌بندی) :

نرم افزار Splunk Enterprise، داده‌های دستگاه را فهرست بندی می‌کند، که شامل جریان اطلاعات از بسته بندی و برنامه‌های سفارشی، سرورهای کاربردی، وب سرورها، بانک‌های اطلاعاتی، شبکه‌ها، ماشین های مجازی، تجهیزات مخابراتی، سیستم عامل‌ها، سنسور ها و امثال آن، که زیرساخت IT شما را تشکیل می‌دهد است. حداکثر میزان فهرست بندی به لایسنسی که خریداری کرده اید بستگی دارد.

2. Search (جست و جو) :

جست و جو راه اولیه کاربران برای هدایت داده در نرم افزار Splunk Enterprise است. شما میتوانید برای اصلاح رویداد از یک فهرست ، آن را جست و جو کنید، از دستورات آماری برای محاسبه ی معیارها و تهیه ی گزارشات استفاده کنید جست و جو برای شرایط خاص در یک rolling time window ، شناسایی Parrent در یک داده ، پیش بینی روند در آینده و امثال آن. جست و جو ها را میتوان در غالب گزارش ذخیره کرد و آن را برای قدرت بخشیدن به dashboard panel استفاده کرد.

3 . Alerts (هشدار ها) :

هشدارها زمانی راه اندازی می‌شوند که شرایط توسط نتایج جست و جو برای هر دو جست و جوی مبثوت و حال حاضر، تلاقی داشته باشند. هشدارها میتوانند برای راه اندازی اعمالی مانند فرستادن اطلاعات هشدار به email از پیش تعیین شده، اعلان اطلاعات هشدار به RSS، و اجرای یک اسکریپت سفارشی مانند ثبت کردن هشدار یک رویداد در syslog، پیکر بندی شوند.

4. Reports (گزارشات) :

گزارشاتseaved search ها و pivot ها هستند. شما می‌توانید گزارشات در شبکه‌های ad hoc را اجرا کنید، آن‌ها را به صورت جدول منظم برای اجرا زمان بندی کنید، و گزارشات زمان بندی شده را برای تولید هشدارها، زمانی که نتیجه ی اجرا با شرایط خاصی رو به رو می‌شود، را تعیین کنید. شما میتوانید گزارشات را به صورتdashboard panel در قسمت dashboards اضافه کنید.

5. Dashboards (داشبوردها) :

داشبوردها از پانل‌هایی ساخته شده‌اند که شامل ماژول‌هایی از قبیل search boxes ،fields،charts ،tables ،forms و همانند آن‌ها است. داشبورد پانل‌ها معمولا به جست و جو های ذخیره شده شما و یا محور ها متصل هستند. نتایج جست و جوهای تمام شده از جست و جو‌های real-time که در پیش زمینه نرم افزار اجرا میشوند، نمایش داده می‌شوند.

6. Pivots (محور ها) :

محورها به جدول ، نمودار، یا داده‌هایی که به شما دید استفاده از Pivot Editor را می‌دهد، اشاره دارد. یا با استفاده از ویرایشگر محوری تجسم داده‌ها را برای شما فراهم میکند.
Pivot Editor به کاربران اجازه می‌دهد ویژگی های نقشه را از data model به یک جدول یا نمودار داده ی مجسم شده، بدون نیاز به نوشتن جست و جوها، برای تولید آن ها مشخص کنند.

7. Data model:

Data model دانش‌های تخصصی دومین در ارتباط با یک یا چند مجموعه از فهرست‌های داده را رمزگزاری می‌کند. آنها Pivot Editor را قادر به ساختن گزارشات قانع کننده و داشبوردهایی بدون جست و جو های طراحی شده میسازد. Data model ها می‌توانند استفاده‌های دیگری مخصوصا برای توسعه دهنده های Splunk app داشته باشند.

شرکت پایه ریزان فناوری هوشمند توانایی ارائه مشاوره و راه اندازی راهکارهای SIEM را دارد، جهت مشاوره با کارشناسان ما تماس بگیرید.

نوشته های مشابه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

هشت − 4 =