Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



20.07.2020

Baramundi

Pomoc w czasie pandemii.
20.07.2020

Stop infekcjom

CloudGuard
17.07.2020

Analiza zagrożeń

Kaspersky Threat Attribution Engine
17.07.2020

Strażnik danych

QGD-1602P
16.07.2020

Dysk przemysłowy

Transcend MTE352T
16.07.2020

Połączenie sił

Fugaku
16.07.2020

Brama bezpieczeństwa

Check Point 1570R
23.06.2020

PLNOG Online

PLNOG Online
23.06.2020

Nowe zagrożenie

Ramsay

Splunk – zarządzanie zdarzeniami. Machine learning toolkit

Data publikacji: 10-01-2018 Autor: Jarosław Sobel
Rys. 1. Przykładowa tabela...

W ostatniej części cyklu artykułów nt. Splunka pokażemy, jak budować raporty i tabele przestawne oraz w jaki sposób informować o incydentach. Zapoznamy się również z bazą modułów i poznamy jeden z najpopularniejszych – Machine Learning Toolkit.

W poprzednich częściach cyklu poznaliśmy architekturę i sposób działania jednego z najpopularniejszych narzędzi do analizy danych maszynowych oraz dowiedzieliśmy się, jak importować dane do Splunka i jak za pomocą języka SPL (Search Processing Language) wyszukiwać i prezentować znalezione dane. W tym artykule opisujemy sposoby tworzenia raportów oraz konfigurację Universal Forwardera przekazującego dane z systemów zewnętrznych. W trzeciej części cyklu utworzyliśmy też indeks perfmon, a następnie skonfigurowaliśmy Splunk Forwardera w taki sposób, aby wysyłał do niego liczniki wydajnościowe z naszych serwerów. Utworzyliśmy również dashboard, na którym widoczne są wszystkie zebrane metryki. Nie ma konieczności jednak ciągle wpatrywać się w wykresy, aby wykryć nieprawidłowe działanie – o wiele lepiej jest wykorzystać do tego mechanizm alertów.

> MECHANIZM ALERTÓW

Splunk pozwala korzystać z mechanizmu alertowania, czyli możliwości wywoływania pewnych wcześniej zdefiniowanych akcji w momencie wystąpienia określonego zdarzenia. Może on być wykorzystany do monitorowania stanu systemu i reagowania na sytuacje, w których przekroczone zostaną określone limity.

W Splunku zdefiniowane są dwa typy alertów: scheduled (zaplanowane) oraz real-time (czasu rzeczywistego).

 

  • Alerty zaplanowane – wykonywane są zgodnie z wcześniej zdefiniowanym harmonogramem (predefiniowane opcje w menu lub jako wyrażenie w formacie cron). Jeśli uruchomione zapytanie zwróci wyniki, można dla całości lub dla pojedynczych elementów wyszukiwania uruchomić wcześ­niej ustaloną akcję. Przykład:


– administrator chce monitorować, ile razy użytkownicy trafiają na błędną stronę 404. Jeśli liczba wywołań będzie większa od 100, wówczas wysłane zostanie powiadomienie. Ustawiona zostanie weryfikacja dzienna i na tej podstawie generowane będą ewentualne alerty;
–  administrator chce weryfikować, czy serwery przesyłają dane do Splunka. W związku z tym tworzy alert, który wywoływany jest co 3 godziny w celu weryfikacji, czy z danego hosta zostały wysłane dane.

 

  • Alerty czasu rzeczywistego – w tym przypadku wszystkie zdarzenia są analizowane w trybie ciągłym. Alert może być wyzwolony, jeśli wystąpiło pojedyncze zdarzenie (per-result triggering) lub w określonym oknie czasowym liczba zdarzeń przekroczyła zadany próg (rolling time windows triggering). Przykład:


– Administrator chce monitorować zdarzenia przychodzące z serwerów, w związku z tym określa konkretne zdarzenie, którego wystąpienie od razu wywoła zdefiniowaną wcześ­niej akcję (per-result triggering). Dodatkowo, aby nie dostawać wielu identycznych alertów, może on określić, że akcja będzie wyzwalana maksymalnie raz na pół godziny;
– Administrator bezpieczeństwa chce otrzymywać powiadomienie w momencie, gdy dowolny użytkownik wykona trzy razy błędne logowanie w przeciągu dziesięciu minut (rolling time windows triggering).
W związku z tym w definicji alertu określa on okno zdarzenia równe dziesięciu minutom. Dodatkowo dla konkretnego użytkownika akcja może zostać wykonana tylko raz na godzinę.

Po zdefiniowaniu alertu oraz zdarzenia, które spowoduje jego wywołanie, pozostaje określić akcję, która ma być wykonana. Splunk pozwala na wywołanie pięciu możliwych czynności:

 

  • wysłanie e-maila;
  • wywołanie żądania HTTP (HTTP POST request);
  • zapisanie wyników wyszukania, dla których wywołano alert, do tablicy CSV lookup;
  • zalogowanie zdarzenia do wcześniej zdefiniowanego indeksu;
  • dodanie alertu do listy wszystkich wywołanych alertów dla danego zapytania.


> TABELE PRZESTAWNE

Tabela przestawna (pivot table) to mechanizm służący do analizy danych niewymagający znajomości języka SPL (Search Processing Language). W pierwszej kolejności należy zdefiniować zakres danych, na których będziemy pracowali, a następnie za pomocą mechanizmu drag-and-drop wybrać sposób analizy i prezentacji. Najprostszym sposobem rozpoczęcia pracy z tabelami przestawnymi jest wykonanie prostego zapytania prezentującego dane z konkretnego indeksu. Można wykorzystać przykładowe dane, które po pobraniu ze strony Splunk importujemy do indeksu test (czynności opisane w numerze „IT Professional” 10/2017, s. 36). Będzie to zestaw danych, na których będziemy pracowali.

Przechodzimy do opcji Pivot na zakładce Statistics – wygląd interfejsu oraz sposób działania jest bardzo podobny do mechanizmu tabel przestawnych dostępnego w aplikacji Microsoft Excel. Po uruchomieniu kreatora w domyślnym widoku zobaczymy wiersz prezentujący liczbę wszystkich wyników w zadanym okresie. W kreatorze dostępne są cztery opcje: Filter, Split Rows, Split Columns oraz Column Value, których zastosowanie przedstawiono w tabeli.

[...]

Autor jest specjalistą zajmującym się projektowaniem, implementacją i administracją rozwiązań wirtualizacyjnych. Posiada certyfikacje firm: Citrix, VMware, Microsoft, NetApp i RedHat. Prelegent oraz autor bloga poświęconego technologii Citrix i wirtualizacji.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"