Jesteśmy świeżo po premierze Splunk 6 w związku z czym, chciałbym przybliżyć trochę tę aplikację. Splunk Enterprise przy pierwszym spotkaniu może trochę onieśmielać. Owszem wyszukiwanie jest intuicyjne, ale wiele osób jeżeli ma przeszukiwać logi, woli to zrobić na konkretnym serwerze korzystając z basha. Tyle, że Splunk oferuje coś, czego bash nie ma i nie mam tu na myśli logicznego interfesju, tylko fakt, że posiada on wiele predefiniowanych ustawień, które niezwykle ułatwiają pracę administratora. Aby uzyskać do nich dostęp, należy zainstalować specjalną aplikację. Razem przejdziemy przez ten proces:
Po wejściu do Splunka w lewym górnym rogu znajduje się zakładka app.
![[Image: ssplunk1.png]](http://it.emca.pl/images/stories/2013/splunk/ssplunk1.png)
Po kliknięciu na nią należy przejść do zakładki „Find more apps”. W moim przypadku wybrałem aplikację „Splunk App for Unix and Linux „ ze względu na fakt, iż w pracy mam głównie do czynienia ze środowiskiem opartym o linuksy. Istnieje oczywiście wiele innych interesujących darmowych aplikacji jak na przykład: „Splunk for Wireless Networks”, czy „Nessus In Splunk” (wyobrażacie sobie wszystkie raporty bezpieczeństwa zmagazynowane w jednym miejscu i dostępne na żądanie 24/7, jak tu nie kochać Splunka?).
![[Image: ssplunk2.png]](http://it.emca.pl/images/stories/2013/splunk/ssplunk2.png)
Proces instalacji jest bardzo prosty. Ściągamy aplikację (spakowaną w formacie zip). Przechodzimy do zakładki Manage Apps a następnie „Install app from file”. Po wybraniu pobranej aplikacji i jej instalacji przechodzimy ponownie do zakładki Apps>Manage App i w ustawieniach zaznaczamy, aby aplikacja była widoczna. No dobrze, ale co nam to daje?
Przejdźmy do panelu wyszukiwania. Jeżeli teraz rozpoczniemy przeszukiwanie naszych logów po lewej stronie w polu „Interesting fields” mamy dużo większy wybór. Naszą uwagę powinien przykuć link „more fields”. Kliknąwszy na niego możemy wybrać interesujące nas pola po których Splunk będzie przeszukiwał. Po wybraniu, pola te znajdą się w zakładce „Selected fields”, dzięki czemu uzyskamy bezpośredni i natychmiastowy dostęp do interesujących nas danych. Warto zwrócić uwagę na pola users, ip, clients, client_names (pola wyszukiwania zależą do słów kluczowych znalezionych w logach, więc niekoniecznie muszą być takie same jak w naszym przykładzie).
![[Image: ssplunk3.png]](http://it.emca.pl/images/stories/2013/splunk/ssplunk3.png)
Jeżeli wybierzemy filter np. ip otrzymamy oczywiście wgląd w adresy ip łączące się z naszym hostem . Możemy wybrać pojedynczy adres, uzyskać szczegółowe dane, lecz czasami bardziej ogólne spojrzenie pozwala wychwycić anomalię.
![[Image: ssplunk4.png]](http://it.emca.pl/images/stories/2013/splunk/ssplunk4.png)
Oczywistym jest fakt manipulowania czasem, co pozwala wyświetlić raport z ostatniego dnia, godziny czy w czasie rzeczywistym. Jeżeli jakakolwiek wartość nas zaniepokoi, wystarczy kliknąć w wykres przy danym adresie, aby uzyskać bardziej szczegółowe dane, a następnie dalej filtrować zebrane dane korzystając z paska wyszukiwania. Można też po prostu interesującą nas wartość kliknąć i tym sposobem dodać do filtru wyszukiwania. Warto dodać, że w ten sam sposób można filtrować po procesie, czy userze.
![[Image: ssplunk5.png]](http://it.emca.pl/images/stories/2013/splunk/ssplunk5.png)
Do analizy danych na linuksie już dawno przywykliśmy, lecz dla wielu z nas monitorowanie stanu hosta z systemem Windows nie jest już tak oczywiste. Tymczasem, choć wydaje się to nieprawdopodobne możemy podglądać zmiany w rejestrze systemu Windows. Jeżeli coś przestało działać, wystarczy przeszukać rejestr pod kątem ostatnich zmian, aby zlokalizować problem. Jak filtrować po rejestrze? Jest do tego oczywiście dedykowana aplikacja, którą instalujemy według wcześniej podanej tu instrukcji.
Jak widać Splunk Enterprise jest niezastąpionym narzędziem, jeżeli chodzi o analizę przychodzących do niego danych , detekcję anomalii, mając dodatkowo intuicyjny interfejs, dzięki któremu nawet osoba niezwiązana z IT może rozpocząć analizę potrzebnej jej danych.
[quote pid='20' dateline='1564473474']
abickiSplunk Enterprise przy pierwszym spotkaniu może trochę onieśmielać. Owszem wyszukiwanie jest intuicyjne, ale wiele osób jeżeli ma przeszukiwać logi, woli to zrobić na konkretnym serwerze korzystając z basha.
[/quote]
Z dużym zainteresowaniem czytam Twoje posty dotyczące Splunka, sam Splunk podoba mi się na tyle, że jak najszybciej chciałbym zostać "Splunkującym Splunkerem" (zgodnie ze słownictwem zespołu Splunka).
Te dwa zdania jednak są, moim zdaniem, odrobinę krzywdzące dla Splunka i postaram się to udowodnić w najbliższym czasie. No chyba, że miałeś na myśli jedynie proste wyszukania, takie jak
Ale już na przykład procentowy udział błędów http 404 na naszej firmowej witrynie między godziną 14:00 a 17:00 dwa dni temu, z wykresem ilości w funkcji czasu może wymagać dłuższego zastanowienia i ewentualnej instalacji dodatkowych pakietów (np. gnuplota), a w Splunku... Nadal intuicyjnie![[Image: icon_e_wink.gif]](https://monitoringserwerow.pl/www/images/smilies/icon_e_wink.gif)
Po wejściu do Splunka w lewym górnym rogu znajduje się zakładka app.
Po kliknięciu na nią należy przejść do zakładki „Find more apps”. W moim przypadku wybrałem aplikację „Splunk App for Unix and Linux „ ze względu na fakt, iż w pracy mam głównie do czynienia ze środowiskiem opartym o linuksy. Istnieje oczywiście wiele innych interesujących darmowych aplikacji jak na przykład: „Splunk for Wireless Networks”, czy „Nessus In Splunk” (wyobrażacie sobie wszystkie raporty bezpieczeństwa zmagazynowane w jednym miejscu i dostępne na żądanie 24/7, jak tu nie kochać Splunka?).
Proces instalacji jest bardzo prosty. Ściągamy aplikację (spakowaną w formacie zip). Przechodzimy do zakładki Manage Apps a następnie „Install app from file”. Po wybraniu pobranej aplikacji i jej instalacji przechodzimy ponownie do zakładki Apps>Manage App i w ustawieniach zaznaczamy, aby aplikacja była widoczna. No dobrze, ale co nam to daje?
Przejdźmy do panelu wyszukiwania. Jeżeli teraz rozpoczniemy przeszukiwanie naszych logów po lewej stronie w polu „Interesting fields” mamy dużo większy wybór. Naszą uwagę powinien przykuć link „more fields”. Kliknąwszy na niego możemy wybrać interesujące nas pola po których Splunk będzie przeszukiwał. Po wybraniu, pola te znajdą się w zakładce „Selected fields”, dzięki czemu uzyskamy bezpośredni i natychmiastowy dostęp do interesujących nas danych. Warto zwrócić uwagę na pola users, ip, clients, client_names (pola wyszukiwania zależą do słów kluczowych znalezionych w logach, więc niekoniecznie muszą być takie same jak w naszym przykładzie).
Jeżeli wybierzemy filter np. ip otrzymamy oczywiście wgląd w adresy ip łączące się z naszym hostem . Możemy wybrać pojedynczy adres, uzyskać szczegółowe dane, lecz czasami bardziej ogólne spojrzenie pozwala wychwycić anomalię.
Oczywistym jest fakt manipulowania czasem, co pozwala wyświetlić raport z ostatniego dnia, godziny czy w czasie rzeczywistym. Jeżeli jakakolwiek wartość nas zaniepokoi, wystarczy kliknąć w wykres przy danym adresie, aby uzyskać bardziej szczegółowe dane, a następnie dalej filtrować zebrane dane korzystając z paska wyszukiwania. Można też po prostu interesującą nas wartość kliknąć i tym sposobem dodać do filtru wyszukiwania. Warto dodać, że w ten sam sposób można filtrować po procesie, czy userze.
Do analizy danych na linuksie już dawno przywykliśmy, lecz dla wielu z nas monitorowanie stanu hosta z systemem Windows nie jest już tak oczywiste. Tymczasem, choć wydaje się to nieprawdopodobne możemy podglądać zmiany w rejestrze systemu Windows. Jeżeli coś przestało działać, wystarczy przeszukać rejestr pod kątem ostatnich zmian, aby zlokalizować problem. Jak filtrować po rejestrze? Jest do tego oczywiście dedykowana aplikacja, którą instalujemy według wcześniej podanej tu instrukcji.
Jak widać Splunk Enterprise jest niezastąpionym narzędziem, jeżeli chodzi o analizę przychodzących do niego danych , detekcję anomalii, mając dodatkowo intuicyjny interfejs, dzięki któremu nawet osoba niezwiązana z IT może rozpocząć analizę potrzebnej jej danych.
[quote pid='20' dateline='1564473474']
abickiSplunk Enterprise przy pierwszym spotkaniu może trochę onieśmielać. Owszem wyszukiwanie jest intuicyjne, ale wiele osób jeżeli ma przeszukiwać logi, woli to zrobić na konkretnym serwerze korzystając z basha.
[/quote]
Z dużym zainteresowaniem czytam Twoje posty dotyczące Splunka, sam Splunk podoba mi się na tyle, że jak najszybciej chciałbym zostać "Splunkującym Splunkerem" (zgodnie ze słownictwem zespołu Splunka).
Te dwa zdania jednak są, moim zdaniem, odrobinę krzywdzące dla Splunka i postaram się to udowodnić w najbliższym czasie. No chyba, że miałeś na myśli jedynie proste wyszukania, takie jak
KOD: ZAZNACZ CAŁY
Code:
fail* auth* mmarczak OR psciegiennyAle już na przykład procentowy udział błędów http 404 na naszej firmowej witrynie między godziną 14:00 a 17:00 dwa dni temu, z wykresem ilości w funkcji czasu może wymagać dłuższego zastanowienia i ewentualnej instalacji dodatkowych pakietów (np. gnuplota), a w Splunku... Nadal intuicyjnie
