Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



21.09.2018

Kolor razy 6

Kyocera ECOSYS i TASKalfa
18.09.2018

Na ataki piątej generacji

Check Point 23900
14.09.2018

UHD dla pro

Samsung UJ59
11.09.2018

Ochrona dla firm

ESET Security Management Center
07.09.2018

Skanowanie podatności

Beyond Security AVDS
04.09.2018

Open source do automatyzacji...

Red Hat Ansible Engine 2.6
28.08.2018

CPU dla stacji roboczych

Intel Xeon E-2100
24.08.2018

Macierze do DC

Infortrend EonStor GS 5000
21.08.2018

Elastyczne PoE

Netgear GS11xxx

Splunk – zarządzanie zdarzeniami

Data publikacji: 29-08-2017 Autor: Jarosław Sobel
RYS. 1. ETAPY ANALIZY DANYCH...

Umiejętność szybkiego gromadzenia i analizy danych to obecnie podstawa funkcjonowania większości przedsiębiorstw. Zobaczmy, jak rozwiązania firmy Splunk, pozwalające m.in. na monitorowanie zdarzeń w sieci oraz prezentację zebranych danych, mogą nam w tym pomóc.

Splunk to obecnie jedno z najpopularniejszych narzędzi do analizy danych maszynowych. Można je wykorzystać do wielu celów i to zarówno w obszarze IT, jak i biznesu. Przykładowe zastosowania to między innymi:

 

  • analiza logów aplikacyjnych i systemowych;
  • prezentacja statystyk wydajnościowych systemów;
  • monitoring zdarzeń związanych z bezpieczeństwem (logi SIEM);
  • analiza trendów finansowych;
  • wykrywanie anomalii i oszustw.

 

Najważniejszy jest jednak fakt, że używając Splunka, można na dane spojrzeć całościowo (niezależnie od ich rozmiaru) oraz korelować ze sobą pojedyncze, czasami wydawałoby się nic nieznaczące zdarzenia w celu uzyskania pełnego widoku sytuacji.

Idea narzędzia Splunk powstała w 2002 r. W tamtych czasach analiza problemów w infrastrukturze IT, w szczególności w dużych przedsiębiorstwach, była czasochłonna i skomplikowana. Większość danych trzeba było przeglądać i weryfikować ręcznie, brakowało narzędzi, które umożliwiały automatyczne zbieranie i korelowanie ze sobą pojedynczych zdarzeń. Co więcej, samo przetwarzanie ogromnych ilości danych było nie lada wyzwaniem. Pomysł na rozwiązanie tych problemów pojawił się w głowach dwóch mężczyzn, Erica Swana oraz Roba Dasa, których główną ideą było umożliwienie przeszukiwania informacji w danych maszynowych, w taki sam prosty i intuicyjny sposób, jak za pomocą wyszukiwarki Google. Pierwsza wersja narzędzia Splunk została zaprezentowana na targach LinuxWorld w roku 2005, produkt okazał się strzałem w dziesiątkę i z roku na rok był instalowany w coraz większej liczbie firm. Obecnie aplikacji używa ponad 13 tys. firm, w tym ponad 85 z listy Fortune 100.

Sama nazwa Splunk wzięła się od angielskiego słowa spelunking, oznaczającego eksplorację jaskiń – tak właśnie ówcześni informatycy określali poszukiwanie przyczyn awarii w systemach IT, i nazwa ta trafnie oddawała charakter ówczesnych działań prowadzonych niemal po omacku. W bardzo dużym uproszczeniu można założyć, że analiza danych maszynowych sprowadza się do szukania odpowiedzi na konkretne pytania, a cały proces można podzielić na trzy etapy (rysunek 1):

1. Zbieranie wszystkich danych, które potencjalnie mogą pomóc w znalezieniu odpowiedzi na nasze pytania. Na tym etapie często nie wiadomo, czy zbierane dane będą potrzebne, czy też nie.

2. Przekształcenie danych maszynowych w odpowiedzi. Początkowo będą to tylko syntetyczne informacje.

3. Prezentacja znalezionych danych w postaci zrozumiałej szerszemu audytorium, np. w postaci tabeli lub wykresów.

Część możliwości Splunka, głównie dotyczących analizy danych związanych z bezpieczeństwem (SIEM), została opisana w „IT Professional” (4/2015, s. 47). W niniejszym artykule prezentujemy cały wachlarz możliwości aplikacji.

> ROZWIĄZANIA KOMERCYJNE I DARMOWE

Aktualnie w portfolio firmy Splunk dostępne są trzy produkty: Splunk Enterprise, Splunk Cloud oraz Splunk Light. Wersja Enterprise oraz Light to rozwiązania instalowane lokalnie w infrastrukturze firmy. Wersja Cloud, jak sama nazwa wskazuje, jest platformą dostarczaną w modelu Software-as-a-Service, utrzymywaną w chmurze AWS (Amazon Web Services).

W artykule przedstawiamy możliwości najbardziej rozbudowanej wersji Enterprise. Wersja Light przygotowana została z myślą o małych organizacjach i przedsiębiorstwach, a główne różnice w stosunku do rozwiązania korporacyjnego to:

 

  • limit indeksowanych danych do 20 GB dziennie;
  • limit do 5 użytkowników;
  • brak rozwiązań wysokiej dostępności (HA);
  • brak rozwiązań dotyczących skalowalności (Clustering);
  • brak mechanizmów odtwarzania po awarii (DR);
  • brak jest wsparcia dla platformy deweloperskiej.

 

Wersję Enterprise można pobrać z oficjalnej strony produktu, a producent daje możliwość instalacji pełnej wersji i testowania produktu przez 60 dni. Po tym okresie można zakupić odpowiedni pakiet licencji, bezpośrednio powiązanych z ilością indeksowanych danych dziennie. Jeśli tego nie zrobimy, to Splunk automatycznie przejdzie w tryb darmowy i zostanie ograniczona funkcjonalność produktu (głównie związana z mechanizmami wysokiej dostępności) oraz limit indeksowanych danych do 500 MB dziennie. W dalszym jednak ciągu będzie można korzystać z pełnego zestawu narzędzi analitycznych.

[...]

Autor jest specjalistą zajmującym się projektowaniem, implementacją i administracją rozwiązań wirtualizacyjnych. Posiada certyfikacje firm: Citrix, VMware, Microsoft, NetApp i RedHat. Prelegent oraz autor bloga poświęconego technologii Citrix i wirtualizacji.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2013 Presscom / Miesięcznik "IT Professional"