Splunk là gì?
Splunk là một phần mềm chủ yếu được sử dụng để tìm kiếm, giám sát và kiểm tra dữ liệu do máy tạo ra thông qua giao diện web từ đó phân tích để đưa ra báo cáo cũng như cảnh báo với thời gian thực.
Loại data mà Splunk hỗ trợ
Splunk hỗ trợ mọi kiểu data từ computer, server, databases, sensors, …
Splunk hoạt động như thế nào?
–
Splunk sẽ thu thập data trực tiếp từ các thiết bị cấu hình đẩy log về splunk hoặc bằng cách cài các agent lên trên thiết bị. Các log được xử lí và lưu lại dưới các indexer để phục vụ cho việc tìm kiếm của người dùng.
Triển khai Splunk như thế nào?
Có 3 cách để triển khai hệ thống Splunk
- Dạng Enterprise
- Dạng Cloud: Splunk Cloud cung cấp Splunk Enterprise dưới dạng dịch vụ đám mây mà không cần mua, quản lý và triển khai cơ sở hạ tầng bổ sung.
- Dạng Light: Splunk Light là một giải pháp toàn diện cho các môi trường CNTT nhỏ.
Giải pháp Splunk Enhanced là gì?
Splunk cung cấp cho doanh nghiệm 3 giải pháp chính:
- Splunk IT service Intelligence (ITSI)
- Splunk Enterprise Security (ES)
- Splunk User Behavior Analytics (UBA)
Chức năng
- Index Data
- Search & Investigate
- Add Knowledge
- Monitor & Alert
- Report & Analyze
Index Data
Là thành phần quan trọng của hệ thống Splunk. Nó thu thập và xử lý các data đầu vào từ bất kì nguồn nào. Có thể xem Indexer là một nhà máy và data là những nhiên liệu thô cần phải xử lí. Khi data được chuyển vào nhà máy, Indexer đóng vai thanh tra nhìn vào các data đó mà đưa ra quyết định xử lí chúng. Lúc này data sẽ được gắn nhãn sourcetype để phân loại. Dựa vào nhãn sourcetype này data sẽ được cắt thành cách single envent và gắn nhãn timestamp. Sau đó chúng được lưu ở Splunk index nơi mà người dùng có thể tìm kiếm.
Splunk có thể index cho rất nhiều kiểu dữ liệu. Các nguồn dữ liệu thông thường:
- Các dữ liệu có cấu trúc: Các tập tin CSV, JSON hay XML
- Các dịch vụ Web: Apache, IIS
- Các phần mềm vận hành IT: Nagios, NetApp, Cisco USC
- Dịch vụ cơ sở dữ liệu: Oracle, MySQL, Microsoft SQL Server
- Các nền tảng ảo hóa: VMWare, Xen Desktop, XenApp, Hyper-V
- Các dịch vụ ứng dụng: JMX & JMS, WebLogic, WebSphere,
- Nền tảng của Microsoft: Exchange, Active Directory, Sharepoint
Search & Investigate
Khi nhập một câu truy vấn vào thanh search, bạn có thể tìm ra các events chứa giá trị bạn cần trên nhiều nguồn dữ liệu. Bạn cũng có thể phân tích cũng như thống kê các events này bằng cách sử dụng ngôn ngữ tìm kiếm của Splunk.
Add Knowledge
Bạn có thể coi Add Knowledge như một công cụ đa năng mà bạn sử dụng để khám phá và phân tích các khía cạnh khác nhau của dữ liệu CNTT của mình.
Ví dụ: các loại sự kiện cho phép bạn nhanh chóng và dễ dàng phân loại và nhóm các sự kiện tương tự lại với nhau; sau đó, bạn có thể sử dụng chúng để thực hiện các tìm kiếm phân tích trên các nhóm sự kiện được xác định và lưu thành các báo cáo để sử dụng khi cần.
Monitor & Alert
Splunk có thể chủ động monitor hệ thống trong thời gian thực để xác định lỗi, các vấn đề của hệ thống cũng như các cuộc tấn công trước khi ảnh hưởng đến khách hàng và dịch vụ. Bạn có thể tạo các alert để monitor hệ thống và tự động respond qua các actions được định sẵn.
Hiện tại Splunk ta có thể đặt cảnh báo Splunk qua:
- Một Log Event
- Chạy một script
- Gửi Email
- Gửi một HTTP POST
- Thậm chí có thể gọi điện hoặc gửi tin nhắn qua số điện thoại của người dùng nếu ta cấu hình
Report & Analyze
Splunk tổng hợp các report và sơ đồ hóa thành các biểu đồ. Các report có thể được chia sẻ lẫn nhau để mọi người có cái nhìn tổng quan về hệ thống
Ta sẽ đi tìm hiểu 3 thành phần cốt lõi để tạo nên hệ thống Splunk:
- Indexer
- Search Head
- Forwarder
Indexer
–
Như Vina Aspire đề cập bên trên, thì Indexer là nơi xử lí dữ liệu máy đầu vào và lưu lại các kết quả đó trong các indexes dưới dạng các events.
Khi Indexer thực hiện việc index các event, nó sẽ tạo ra gắn thời gian vào các thư mục để thuận lợi cho việc thực hiện truy vấn của người dung. Khi người dùng truy vấn trong khoảng thời gian nào thì Splunk chỉ việc mở các thư mục chứa trong khoảng thời gian đó – hiệu quả và nhanh chóng.
Search Head
–
Đây là nơi cho phép người dung sử dụng ngôn ngư Splunk để tìm kiếm dữ liệu trong indexed. Search Head xử lí các yêu cầu tìm kiếm của người dùng và phân tán nó đến các indexers, sau khi nhận được kết quả từ các indexers Search Head thực hiện hợp nhất kết quả trước khi phản hồi cho người dùng. Search Head cũng cung cấp cho người dùng các tool hỗ trợ chẳng hạn như dashboard, report, visualizations, …
Forwarder
–
Forwarder có nhiệm vụ tiêu thụ data và chuyển tiếp đến các indexers để xử lí
Forwarder không yêu cầu resource cao, cũng như ít ảnh hưởng đến performance của hệ thống
Forwarder thường nằm chung trên các máy chạy các ứng dụng tạo ra dữ liệu, chẳng hạn như máy chủ web
Ta có thể triển khai Splunk dưới dạng all in one – Standalone đến dạng Enterprise – full distributed infrastructure
- Standalone: dùng cho làm LAB
–
Tất cả tính năng trong một instance trong một server
- Basic: dùng cho doanh nghiệp nhỏ (up to 20GB/day & 20 users)
–
Tương tự như Standalone nhưng có thêm thành phân Forwarder thu thập và đẩy data về Splunk server
- Multi-Instance: dùng cho doanh nghiệp vừa (up to 100GB/day & 100 users )
–
Mô hình này làm tăng số lượng indexing dẫn đến tăng khả năng searching. Các index lúc này được chia trên nhiều VM
- Full distributed infrastructure (cluster): dùng cho doanh nghiệp lớn – Enterprise
–
Mô hình này là kết hợp việc cluster Search Head và cluster Index
Cluster Search Head:
- Tăng cường khả năng search cho users
- Cho phép chia sẻ resource
- Điều phối các hoạt động xử lí yêu cầu tìm kiếm và phân tán yêu cầu đến các indexers
Cluster Index:
- Tạo được các bản sao dữ liệu
- Ngăn ngừa việc mất dữ liệu
–
Vina Aspire là công ty tư vấn, cung cấp các giải pháp, dịch vụ CNTT, An ninh mạng, bảo mật & an toàn thông tin tại Việt Nam. Đội ngũ của Vina Aspire gồm những chuyên gia, cộng tác viên giỏi, có trình độ, kinh nghiệm và uy tín cùng các nhà đầu tư, đối tác lớn trong và ngoài nước chung tay xây dựng.
Các Doanh nghiệp, tổ chức có nhu cầu liên hệ Công ty Vina Aspire theo thông tin sau:
Email: info@vina-aspire.com | Website: www.vina-aspire.com
Tel: +84 944 004 666 | Fax: +84 28 3535 0668
Vina Aspire – Vững bảo mật, trọn niềm tin
