Splunk工具学习(下载、安装、简单使用、核心概念)

简介: Splunk工具学习(下载、安装、简单使用、核心概念)

什么是Splunk?

介绍

splunk的一个可扩展且可靠的数据平台,用于调查、监控、分析和处理您的数据,在加速创新的同时确保安全性和系统弹性,释放资源来发现数据中的机会并提供创新,即使面对不可预测性也是如此。随着攻击的复杂性和攻击面不断扩大,确保强大的安全态势越来越具有挑战性。Splunk 使客户能够实现其安全运营的现代化,在混合、多云环境中提供更强大、统一的安全态势。结果是:更高效、更敏捷的安全运营中心(SOC) 支持业务增长。随着以数字方式开展的业务的比例持续飙升,系统弹性已成为业务弹性的关键。借助 Splunk,客户可以实时了解其技术堆栈所有层(从底层基础设施到最终用户应用程序)的运行状况和性能,从而能够通过主动发现问题并推动快速解决来优化性能。客户在以数字业务的速度管理其系统的同时,减少了开销并提高了利润。

Splunk的应用场景

按功能划分

  • 安全:赋予企业创新能力,同时限制风险
  • IT运营:从经营业务到转型
  • DevOps开发运维:加速提供卓越的用户体验

按行业划分

  • 航空航天与国防:加快创新并降低安全风险,以确保持续获得任务成功。
  • 通信:通过智能分析和清晰的分析结果将数据变为行动。
  • 能源和公共事业:将 IT 和 OT 环境联系起来,并保持良好的基础设施运行状况和安全态势。
  • 金融服务:通过数据分析转变 IT、安全和业务运营方式。
  • 医疗:支持远程医疗和远程诊断,保护患者隐私并提高医疗设备的安全性。
  • 制造业:通过在单个平台内分析 IT 和 OT数据,监控您的供应链,预测维护需求并以更少的资源完成更多的任务。

Splunk下载与安装

我们学习的主要是Splunk Enterprise。

docker安装(推荐)

镜像下载

docker pull splunk/splunk:8.2.4

创建并运行容器

docker run -d -p 8000:8000 -e "SPLUNK_START_ARGS=--accept-license" -e "SPLUNK_PASSWORD=<password>" --name splunk splunk/splunk:8.2.4

手动安装

科学上网,使用美国ip访问splunk官网或splunk中文网(否则,无法注册账号)

点击Free Splunk或免费试用splunk

注册账号,登录

根据自己的操作系统选择,旧版本可查看Old releases

点击后,浏览器下载,也有命令行下载,例如

linux命令行

wget -O splunk-8.2.4-87e2dda940d1-Linux-x86_64.tgz 'https://download.splunk.com/products/splunk/releases/8.2.4/linux/splunk-8.2.4-87e2dda940d1-Linux-x86_64.tgz'

mac 命令行

wget -O splunk-8.2.4-87e2dda940d1-macosx-10.11-intel.dmg 'https://download.splunk.com/products/splunk/releases/8.2.4/osx/splunk-8.2.4-87e2dda940d1-macosx-10.11-intel.dmg'

Splunk简单使用

登录

访问:http://ip:8000

搜索

点击搜索,尝试使用搜索功能

index="_internal"  source="/opt/splunk/var/log/splunk/metrics.log"

详细了解Splunk

Splunk的概念

Indexes-索引

添加数据时,Splunk会将数据解析为事件,提取时间戳,保存到磁盘的索引中,默认是保存到“main”索引中,你可以自建索引,搜索时将从一个或多个索引中搜索。

Events-事件

带有时间戳的数据,如文档、配置文件,报错信息,例如,一个Web相关事件:

173.26.34.223 - - [01/ Mar/2021:12:05:27 -0700] “GET /trade/ app?action=logout HTTP/1.1” 200 2953

Index-time 索引时间、Search-time 搜索时间

索引时间指的是数据从主机读取,被分类成数据源,提取时间戳,被解析为事件,写入到磁盘的索引上的处理过程。

搜索时间指的是从磁盘上的索引搜索事件并从事件中提取字段的处理过程。

Metrics-指标

一个指标数据点包含时间戳和一个或多个测量值。例如

Timestamp: 08-05-2020 16:26:42.025

-0700

Measurement: metric_name:os.cpu.

user=42.12, metric_name:max.size.

kb=345

Dimensions: hq=us-west-1,

host-主机和source-资源

host是物理或虚拟设备的名字,source可以是目录、文件、数据流,source-type可以是协议等标识符。前面搜索结果中的splunkd就是指xxx.log是来自splunk服务端。

Fields-字段

fields就是键值对,不是所有的事件都有相同的字段。Splunk会在返回结果时根据你的搜索语句进行字段提取,也可以利用字段提取器通过正则等来提取字段,这是和Elastic Search的一个区别。

Tags-标签

可以把标签指定到某个字段或字段的集合,来搜索包含特定字段的事件。

核心特性

Search-搜索

搜索是用户得到想要的数据的主要方式,可以使用计算指标的搜索语句来检索事件并将搜索保存为报告,通过仪表盘进行可视化。所以,学好SPL吧!!!

Reports-报告

报告是保存的搜索,可以执行、定期执行来生成警报。报告可以添加到仪表盘。

Dashboards-仪表盘

仪表盘由面板组成,其中包含搜索框、字段和数据可视化等模块。仪表板通常是连接到报告。他们可以展示已完成搜索的结果,以及来自实时搜索的数据。

Alerts-警报

符合条件时会触发警报,可以通过历史搜索或事实搜索触发警报,警报可以通过电子邮件等方法发到您的手中。

以下为其他特性

Datasets-数据集

可以创建和管理不同类型的数据集,如数据模型、表数据集(Table Datasets),

Data Model-数据模型

Table Datasets-表数据集

表数据集时集中的、精心策划的事件数据集合,可以通过Table Views来定义和管理强大的表数据集,Table Views是SPL和可视化用户界面的翻译工具,不需要很了解SPL就能使用。

Apps-应用

应用是配置、仪表盘等的一个集合,应用扩展了Splunk,可以创建为网络安全人员、企业管理员提供服务的应用。

Distributed Search-分布式搜索

将搜索和表示层分离,就是使用集群来进行分布式搜索,提高性能和可扩展性。

系统组件

Forwarders-转发器

将数据转发到另一个Splunk实例的Splunk实例称为转发器。

Indexer-索引器

索引器将原始数据转换为事件,并将事件存储到索引中。索引器还根据搜索请求搜索索引数据。搜索对等点是索引器,用于满足来自搜索头的请求。

Search Head-搜索头部

在分布式搜索环境中,搜索头部是将搜索请求定向到一组搜索对等点的Splunk实例,将结果合并返回给用户。如果实例只进行搜索而不进行索引,则通常称为专用搜索头。

参考

官网 - Splunk | Turn Data Into Doing

中文官网 - SIEM、AIOps、应用程序管理、日志管理、机器学习和法规遵从性 | Splunk

Docker Hub - Splunk

Splunk社区 : Community - Splunk Community

splunk快速入门指南

相关文章
|
XML 数据格式 Windows
WIX 安装部署教程(六) 为你收集的七个知识点
原文:WIX 安装部署教程(六) 为你收集的七个知识点  前段时间整理5篇WIX(Windows Installer XML)的安装教程,但还不够完善,这里继续整理了七个知识点分享给大家。WIX最新版本3.
1819 0
|
3月前
|
开发框架 Java 数据管理
我使用Python开发网站的3个主要框架库,强烈推荐
我使用Python开发网站的3个主要框架库,强烈推荐
|
数据库连接 PHP 数据库
Laravel框架简介与环境搭建
Laravel框架简介与环境搭建
176 0
|
数据可视化 编译器 开发工具
python高级开发中可视化界面开发环境搭建
python高级开发中可视化界面开发环境搭建
173 0
|
Linux
【实用工具合集】建议部署小工具设计
【实用工具合集】建议部署小工具设计
95 0
|
开发工具 数据安全/隐私保护 git
三行代码搭建一个全能书籍系统(wiki)
三行代码搭建一个全能书籍系统(wiki)
三行代码搭建一个全能书籍系统(wiki)
|
Python
python做的快手自动评论工具 源码开源
可以自动打开快手 评论
233 0
|
运维 安全 NoSQL
如何使用官方最新源代码部署yapi?
我们之前使用的yapi 1.9.2,存在高危漏洞,攻击者可利用该漏洞在目标服务器上执行任意代码,导致服务器被攻击者控制,植入木马或挖矿病毒。通过目前网络上给出的安全解决方案,总感觉解决的不彻底,yapi 官方仓库已经修复了沙箱提权的问题,我尝试使用官方最新源代码部署yapi,遇到好多问题,顺手记录下来,无论部署新环境或者升级新版本,日后方便自己回顾或者他人参考。
1215 0
如何使用官方最新源代码部署yapi?
|
开发工具 数据安全/隐私保护 git
源代码管理工具的简介
源代码管理工具的简介
240 0
|
数据安全/隐私保护
借助URLOS快速安装MixPHP-2.0.1框架
环境需求 最低硬件配置:1核CPU,1G内存(1+1)提示:如果你的应用较多,而主机节点的硬件配置较低,建议在部署节点时开通虚拟虚拟内存; 生产环境建议使用2G或以上内存; 推荐安装系统:Ubuntu-16.
991 0