چه مواردی در Splunk Enterprise نشان داده میشوند؟

چه مواردی در Splunk Enterprise نشان داده میشوند؟

اولین قدم در استفاده از Splunk Enterprise وارد کردن داده به آن است. در ابتدا Splunk Enterprise داده ها را میگیرد ، آنهارا مرتب و برای جست و جو آماده میکند. با قابلیت فهرست بندی عمومی داده ی شما را به مجموعه ای از رویداد ها ( event ) تغییر شکل میدهد که شامل بخش های قابل جست و جویی ست. پس از اولین فهرست بندی داده ها ، شما میتوانید جست و جو در داده را آغاز کنید ، یا از آنها برای ساخت چارت ها ، گزارش گیری ، اعلانات و دیگر خروجی های جالب توجه استفاده کنید.

Splunk Enterprise از چه نوع داده هایی استفاده میکند؟

در جواب میشود گفت هرنوع داده ای. به طور ویژه همه و همه ی روند های IT ، دستگاه ها ، داده های مبثوت. برای مثال:
Windows event log , Web server logs , Live application logs , Network feeds , System metrics , Change monitoring , Message queues , Archive files
Splunk Enterprise به منبع داده ها اشاره دارد و آن منابع به عنوان داده ی ورودی استفاده میشنود. Splunk Enterprise شروع به فهرست بندی جریان داده ها میکند سپس آنها را به مجموعه ای از اتفاقات منحصر به فرد تغییر میدهد. شما میتوانید این رویداد ها ی منحصر به فرد را ببینید یا در آن جست و جو کنید.
اگر نتیجه دقیقا چیزی نیست که میخواهید ، میتوانید فرآیند فهرست سازی را تا زمانی که به نتیجه ی مطلوب برسید ادامه دهید.
داده های Splunk Enterprise میتوانند به صورت محلی(Local) روی یک کامپیوتر فهرست بندی شوند ، یا میتوان آنها را بر روی کامپیوتری غیر محلی ( Remote ) دریافت و بازخوانی کرد. شما میتوانید از راه دور داده های خود را به Splunk Enterprise وارد کنید یا توسط شبکه Splunk Enterprise داده ها را بر روی کامپیوتر دیگری نصب وسازمان دهی کنید. برای کسب اطلاعات بیشتر راجع به داده های محلی یا راه دور به “where is my data?” مراجعه کنید.
Splunk Enterprise ، برنامه های کاربردی و افزونه های مجانی بسیاری را پیشنهاد میدهد ؛ با ورودی های از پیش پیکربندی شده برای Windows ، یا Linux-specific data sources ، Cisco security data ، Blue Coat data و همانند آنها.
در Splunkbase برنامه ها و افزونه هایی برای کمک به پیش برد عملیات شما وجود دارد. همچنین Splunk Enterprise دارای ده ها دستورالعمل برای منابه داده ی شما است؛ مانند:
Web server logs , Java 2 Platform , Enterprise Edition (J2EE) logs , Windows performance metrics
شما میتوانید این نمونه ها را از وبسایت Splunk بخشAdd data به دست آورید.
اگر دستورالعمل ها و برنامه ها نیاز های شما را رفع نکردند ، میتوانید از افزونه های غیر رسمی برای مشخص کردن منابع خاص خود استفاده کنید اما توجه داشته باشید افزونه ها باید با Splunk هم خوانی داشته باشند.
مشخص کردن داده های خاص ورودی
شما با مشخص کردن داده های جدید آنها را به Splunk Enterprise اضافه میکنید. داده ها را میتوان از طریق موارد ذیل مشخص کرد:
۱ . Apps (برنامه های کاربردی) :
برنامه ها و افزونه ها ، ورودی های پیش فرض را برای انواع متنوعی از منابع داده پیشنهاد میکنند. (رجوع شود به “Use apps”)
۲ . Splunk Web (وبسایت) :
بسیاری از انواع ورودی ها با صفحه یSplunk web پیکربندی میشوند. آنها یک نگرش بر پایه ی GUI برای شما فراهم می کنند تا ورودی ها را پیکر بندی کنید. می توانید با جا به جا کردن صفحه ی Splunk Home یا System data به Add data دسترسی پیدا کنید. ( رجوع شود به “Use Splunk Web”)

۳ . The Splunk CLI :
برای پیکر بندی اکثر انواع ورودی ها از CLI (command line interface) استفاد کنید.
۴ . The inputs.conf configuration file :
بعد از اینکه داده های مورد نظرتان را با CLI یا از طریق وبسایت مشخص کردید ، پیکربندی ها در فایلی به اسم inputs.conf ذخیره میشود. شما میتوانید مستقیما این فایل را ویرایش کنید. برای رسیدگی به بعضی داده های ورودی پیشرفته ، ممکن است به ویرایش نیاز پیدا کنید. ( رجوع شود به “Edit inputs.conf” )
علاوه بر این ، اگر شما برای ارسال داده ها از دستگاه های دور از مرکز (Remote) ، از فرستنده ها استفاده می کنید ، میتوانید در زمان نصب فرستنده ها نیز ورودی ها را مشخص کنید. ) رجوع شود به “Use forwarders” )
برای کسب اطلاعات بیشتر در زمینه ی پیکر بندی ورودی ها “Config your inputs” را مشاهده کنید.

انواع منابع داده :
Splunk ابزاری را برای پیکر بندی انواع مختلف ورودی فراهم میکند ؛ از جمله بسیاری از آنها که نیازمند برنامه های خاص هستند. همچنینSplunk ابزاری برای پیکر بندی هر نوع ورودی داده دلخواه فراهم کرده است. در کل شما میتوانید ورودی های Splunk را به انواع ذیل تقسیم بندی کنید :
• Files and directories
• Network events
• Windows sources
• Other sources
۱ . File and directons (فایل و آدرس دهی) :
بیشتر داده ها مستقیما از فایل ها یا آدرس ها به دست می آیند. شما میتوانید با استفاده از “file and directions” ورودی های پردازنده را برای به دست آوردن داده از فایل ها و آدرس ها مانیتور کنید.
برای مانیتور کردن فایل و آدرس ها به “ Get data from files and directories” رجوع شود.

۲ . Network events (رویداد های شبکه) :
Splunk Enterprise میتواند داده ها از هر پورت شبکه را فهرست بندی کند. برای مثال: میتواند داده های راه دور از syslog-ng یا هر برنامه ی دیگری که از طریق پرتوکول TCP انتقال داده انجام میدهد را فهرست بندی کند ؛ اما باید هر زمان که ممکن است TCP را برای اطمینان بیشتر جایگزین کنید.
همچنین Splunk Enterprise میتواند رویداد هایSNMP را دریافت و فهرست بندی کند و غیر فعال یا از دسترس خارج شدن دستگاه های خارج از مرکز (Remote) را هشدار دهد.
برای به دست آوردن داده از طریق پورت شبکه “Get data from TCP and UDP ports” را مشاهاده کنید.
برای به دست آوردن داده های SNMP “Send SNMP events to Splunk” را مشاهده کنید.
۳ . Windows sources (منابع ویندوزی) :
نسخه ویندوزی Splunk Enterprise شامل دامنه ی وسیعی از ورودی های خاص ویندوز می شود. همچنین صفحه هایی در Splunk System برای مشخص کردن انواع ورودی های خاص ویندوز فراهم میکند. از انواع آن میتوان به موارد ذیل اشاره کرد :

· Windows Event Log data
· Windows Registry data
· WMI data
· Active Directory data
· Performance monitoring data

نکته: برای فهرست بندی و جست و جو ی داده های ویندوز در نسخه ی غیر ویندوزی Splunk Enterprise ، ابتدا باید نسخه ویندوزی را برای گرد آوری داده ها استفاده کنید.
برای جزییات بیشتر در رابطه با استفاده از داده های ویندوز در Splunk Enterprise ، “About Windows data and Splunk Enterprise“را مشاهده کنید.

شرکت پایه ریزان فناوری هوشمند توانایی ارائه مشاوره و راه اندازی راهکارهای SIEM را دارد، جهت مشاوره با کارشناسان ما تماس بگیرید

۴ . Other data sources ( منابع دیگر داده ) :
Splunk Enterprise همچنین دیگر انواع داده را نیز پشتیبانی میکند ؛ برای مثال :
• First-in , first-out (FIFO) queues
• Script inputs
داده ها را از API ها و دیگر رابط های راه دور داده میگیرد و به صف ها اضافه میکند.
• Modular inputs
قابلیت مشخص کردن یک ورودی سفارشی برای گسترش چارچوب Splunk Enterprise است.

Splunk® Enterprise Splunk Enterprise Overview 6.6.3

Splunk Enterprise چیست؟

Splunk Enterprise یک نرم افزار است که جست و جو ، آنالیز و تجسم در داده های جمع آوری شده توسط دستگاه از وبسایت ها ، برنامه ها ، سنسور ها و دستگاه های همانند آن را برای شما مقدور میسازد که شامل کسب و کار و یا زیر ساخت IT شما میباشد.
بعد از تعریف منابع داده ، Splunk Enterprise جریان داده ها را فهرست بندی کرده و آن ها را به سسلسه ای از رویداد های منحصر به فرد که میتوانید آن ها را ببینید یا در آن جست و جو کنید، تجزیه میکند.
برای ایجاد گزارشات تصویری شما میتوانید از زبان پردازش جست و جو یا ویژگی های محاوره ای استفاده کنید.

قابلیت های Splunk Enterprise
در این بخش به قابلیت های Splunk Enterprise اشاره میشود. همچنین شما میتوانید برای دریافت اطلاعات بیشتر در مورد دیگر قابلیت های این نرم افزار بهSplunk.com مراجعه کنید.
۱ . Indexing (فهرست بندی) :
Splunk Enterprise ، داده های دستگاه را فهرست بندی می کند ، که شامل جریان اطلاعات از بسته بندی و برنامه های سفارشی ، سرور های کاربردی ، وب سرور ها ، بانک های اطلاعاتی، شبکه ها ، ماشین های مجازی ، تجهیزات مخابراتی ، سیستم عامل ها ، سنسور ها و امثال آن ، که زیرساخت IT شما را تشکیل میدهد ؛ است. حداکثر میزان فهرست بندی به لایسنسی که خریداری کرده اید بستگی دارد.

۲ . Search (جست و جو) :
جست و جو راه اولیه کاربران برای هدایت داده در Splunk Enterprise است. شما میتوانید برای اصلاح رویداد از یک فهرست ، آن را جست و جو کنید ، از دستورات آماری برای محاسبه ی معیارها و تهیه ی گزارشات استفاده کنید ، جست و جو برای شرایط خاص در یک rolling time window ، شناسایی Parrent در یک داده ، پیش بینی روند در آینده و امثال آن. جست و جو ها را میتوان در غالب گزارش ذخیره کرد و آن را برای قدرت بخشیدن به dashboard panel استفاده کرد.
۳ . Alerts (هشدار ها) :
هشدار ها زمانی راه اندازی میشوند که شرایط توسط نتایج جست و جو برای هر دو جست و جوی مبثوت و حال حاضر ، تلاقی داشته باشند. هشدار ها میتوانند برای راه اندازی اعمالی مانند فرستادن اطلاعات هشدار به email از پیش تعیین شده ، اعلان اطلاعات هشدار به RSS ، و اجرای یک اسکریپت سفارشی مانند ثبت کردن هشدار یک رویداد در syslog ، پیکر بندی شوند.
۴ . Reports (گزارشات) :
گزارشاتseaved search ها و pivot ها هستند. شما میتوانید گزارشات در شبکه های ad hoc را اجرا کنید ، آن ها را به صورت جدول منظم برای اجرا زمان بندی کنید ، و گزارشات زمان بندی شده را برای تولید هشدار ها ، زمانی که نتیجه ی اجرا با شرایط خاصی رو به رو میشود، را تعیین کنید. شما میتوانید گزارشات را به صورتdashboard panel در قسمت dashboards اضافه کنید.
۵ . Dashboards (داشبوردها) :
داشبورد ها از پانل هایی ساخته شده اند که شامل ماژول هایی از قبیل search boxes ، fields، charts ، tables ، forms و همانند آن ها است. داشبورد پانل ها معمولا به جست و جو های ذخیره شده شما و یا محور ها متصل هستند. نتایج جست و جو های تمام شده از جست و جو های real-time که در پیش زمینه نرم افزار اجرا میشوند ، نمایش داده میشوند.
۶ . Pivots (محور ها) :
محورها به جدول ، نمودار ، یا داده هایی که به شما دید استفاده از Pivot Editor را می دهد، اشاره دارد. یا با استفاده از ویرایشگر محوری تجسم داده ها را برای شما فراهم میکند.
Pivot Editor به کاربران اجازه میدهد ویژگی های نقشه را از data model به یک جدول یا نمودار داده ی مجسم شده ، بدون نیاز به نوشتن جست و جو ها ، برای تولید آن ها مشخص کنند.
۷ . Data model:
Data model دانش های تخصصی دومین در ارتباط با یک یا چند مجموعه از فهرست های داده را رمزگزاری میکند. آنها Pivot Editor را قادر به ساختن گزارشات قانع کننده و داشبورد هایی بدون جست و جو های طراحی شده میسازد. Data model ها میتوانند استفاده های دیگری مخصوصا برای توسعه دهنده های Splunk app داشته باشند.

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *