Splunk技术白皮书

Splunk技术白皮书 Splunk产品介产--技术白皮术 年月20097 ?1 Splunk产品介产 目 产 一、产生的背景 Splunk ...................................................................................................??????????????????????????????????????????????????????????????????????????????????????????????????? 2二、目前 数据整合的需求 IT?? ?????????????????????????????????????????????????????????????????????????????????????????......................................................................................... 3 、产产的据整合需求数??2.1????IT??????..................................................................................????????????????????????????????????????????????????????????????????????????????????????3 、主机系产和据产的据整合需求数数??2.2????????????????????????????????????????????????????????????????..............................................................??????3 、各产产产系产的据整合需求数??2.3??..........................................................................????????????????????????????????????????????????????????????????????????????????4 、产用程序的据整合需求数??2.4??............................................................................??????????????????????????????????????????????????????????????????????????????????5 、数从据的法产遵??2.5????IT??????........................................................................................??????????????????????????????????????????????????????????????????????????????????????????????5三、介产 Splunk ..............................................................................................................?????????????????????????????????????????????????????????????????????????????????????????????????????????????? 6四、的四大产用 Splunk ...................................................................................................??????????????????????????????????????????????????????????????????????????????????????????????????? 7 、产运 数据整合??4.1??????IT?????????????????????????????????????????????????????????????????????????????????????????????????...........................................................................................??????7 、安全信息及据的整合数??4.2????IT??????..........................................................................????????????????????????????????????????????????????????????????????????????????8 、产用程序 数据整合??4.3??????IT??..................................................................................????????????????????????????????????????????????????????????????????????????????????????10 、数从据的法产遵??4.4????IT??????......................................................................................????????????????????????????????????????????????????????????????????????????????????????????10五、的六大神奇功能 Splunk ........................................................................................???????????????????????????????????????????????????????????????????????????????????????? 12 、索引??5.1????Index(????)?...............................................................................................?????????????????????????????????????????????????????????????????????????????????????????????????????12 、搜索??5.2????Search(????).............................................................................................???????????????????????????????????????????????????????????????????????????????????????????????????12 、警产??5.3????Alert(????)...........................................................................................?????????????????????????????????????????????????????????????????????????????????????????????????12 、产告??5.4????Report(????)...............................................................................................?????????????????????????????????????????????????????????????????????????????????????????????????????13 、产源共享??5.5????Share(????).........................................................................................???????????????????????????????????????????????????????????????????????????????????????????????13 、安全功能??5.6????Secure(????).....................................................................................???????????????????????????????????????????????????????????????????????????????????????????14 技产参数??Splunk??............................................................................................................??????????????????????????????????????????????????????????????????????????????????????????????????????????????????15 、索引??6.1????Index?–???..............................................................................................????????????????????????????????????????????????????????????????????????????????????????????????????15 、搜索??6.2????Search?–???...........................................................................................?????????????????????????????????????????????????????????????????????????????????????????????????15 、事件警告??6.3????Alert??????.......................................................................................?????????????????????????????????????????????????????????????????????????????????????????????15 、产告??6.4????Report?–???..............................................................................................????????????????????????????????????????????????????????????????????????????????????????????????????16 、分产管理??6.5????Share?–???.......................................................................................?????????????????????????????????????????????????????????????????????????????????????????????16 、产充能力与??6.6????Scale?–???....................................................................................??????????????????????????????????????????????????????????????????????????????????????????16 、安全架构??6.7????Secure?–???....................................................................................??????????????????????????????????????????????????????????????????????????????????????????16 一、产生的背景Splunk 产算机技产、产技产、信息技产已产成产各产产和机建产中必不可少的产成部分～网个构 甚至相一部分产产和机把信息化建产看成产产和机建产的重中之重。因产互产～当构构网 信息化都产产产和机产了海量的～产产的各产信息～但是不是所有信息是有用的构来即～ ?2 Splunk产品介产因此多产产和机产了有效的管理产些海量的信息～使之成产产产和机有用的信很构并构 息～产在都在产行数数据整合的产目～也就通常大家都提到产的据大集中。IT 同产～着信息架产用系产日产产大～产行随构与架中～早已不是产一系产或是产构IT 一产产的产产产境～产产中往往使用产多不同的 产产不同系产、产产产用与Log?Management?的需求～然而除了成本产产外～每年的产产人力产源的投产～都是一可产的产用成与笔 本～使产产可以产产产得产一事件或需求上的产足～产于产合产系产、平台的产产上～却既异 又需要花产大量的人力产产～产于产产解的产产花产产平台产产产～都无法有效管理决与异找 与降低成本。 因此在据大集中背景下～如何使产产和机的数构数据产行整合～管理～产产～IT 分析使之再生效益。那就是使用目前大家都耳熟能产的一产技产并搜索。?????二、目前数据整合的需求IT 、产产的据整合需求数2.1IT 随构来来着产产和机信息化建产的产模越越大～产产的各产产产也越越多～各产产型的产产不一而足～便是同一产产型的产产都可以分产好产品牌。例如基产产建产中～需要即几网 采用～路由器～交产机～接入产路等～而路由器又有思科～产产～等品牌～Juniper而安全和产用产建产中～产产和机需要防火产～产产均衡器～代理产或入侵防构会网IT 御等产产～而光产产均衡器市产就有～～等～个品牌。RadwareF5Array67 因此一中大型产产和机面产如此多但又比不可少的当个构众产产产～产于的ITIT网个数管人产管理的产度是可想而知～他产迫切需要一产合的据平台～能产产一产看产些产产的产～而不需要每天都都到产产上登产一次～需要一能产些产产出产产产～快状个当 速定位出产产所在的机制～需要一能快速生成产表～且能产整合多台产产据生产个并数 产表的系产。 、主机系产和据产的据整合需求数数2.2 同上述产产产～服产器和据产的据管理也是大同小～甚至比产些产产的来数数异IT 数网会数据更产管理。产于管人产同产遇到大量服产器～而产些服产的量甚至产产超产了IT ?3 Splunk产品介产产产的量～因此每日产看产些服产器的产～产是否有服产器出产产产～产出产产的服产数状找并 器产行人工的日志分析～需要定产产产些服产手工生成产表～都产管人产的工作产并网来 大量低技产含量重产率高的容～使管工作产常性陷入一产无意产的忙产并极内网瞎状 中。 产于据产管理产产～产产和机里据产可能有服产器那产多～但是其管理工数来构数没 作的产道也非常高～因产据产里的信息是产产和机最重要的信息～其需要安全程数构 度可想而知～但是由于据产必产要接受各产产型的人物产产～因此据产管理人产产数来数 于产些产产信息非常产注～比如每天都有什产人产产～有多人被拒产了～都什产产产段来来 产产的～产产的产程中都产行了什产命令～产些产产都使用了什产地址～产生了多少次数～IP数数据产的某些产产信息是否有被改产的产产等等。而产些信息都不是据本身能产提供～ 需要耗产据产管理产大量的产产才能产产出～有的甚至无法产产～因此据产的据数来数数 管理也是大型产产和机待解的产产。构亟决 、各产产产系产的据整合需求数2.3 产产和机产了信息化建产～产产各产构将会产产系产～旨在提升工作效率～少繁产减IT 的工作流程～整合产产和机各产产源～最产提升整产产和机的生产力～产产产和机构个构构 产效益。但是着信息化建产的不产大～产些产产系产也逐产产多～产大～例如～产产和来随断 机有构会系产～系产～系产～产件系产～产产系产～公文产批系产～产产和机OAERPCRM 构网产产站等等。同产产些产产系产产生大量的会数据～而产些数据又是非常重要ITITIT的～因产其产系产产和机各产产流程的具产产～如果一系产出产产产产有可能产构个体运状个将 致整产产和机停产。个构 而管人产产于产些产产和机产产系产产生的各产据～管理起更是产大～因产产些产网构数来 产系产由于产产方式～产产的产产和机和产产工具不同产生的据是各式各产的～因此产于构数 产些据的产～整合和产合分析都有着巨大的产度。但是产些又是产在必行的～因产产数档 些系产的各产产产于产产和机正常行起着巨大的作用～比如～产产可能想产的看状构运即 到系产中某产品近半年的产产～想了解售状系产中某客产近一年和本产产内ERPCRM 和机的生意往～想知道构来没今天有有人利用系产产产件～有知道某产垃圾个Mail售个构网来来一季度的产产～想了解产产和机的产产站都有多少人产产～都自那些地方。 而产些需求如果产产管人产和其产有的工具产产～产靠网来直比登天产产。 ?4 Splunk产品介产 、产用程序的据整合需求数2.4 最后一部分～就是产产和机产产的产些产产系产的构支撑产件产生的各产数据～例如IT下述如 ～～BEASAPVmwar～～～～～～～～产些eExchangeWebsphereWeblogicVeritasApacheIISTomcat产件等等。产于一中大型产产和机产有产产多产型产件不是一件什产个构并新产事情。但是产于系产产产人产～或者网来灾个构管人产产可以算是一产产～因产产些产件都是产产和机各产产产息息相产的～任何一产件出产产产～都产致产产和机的某一产产系产停产～产产产和个会构个 机正常行产生产面构运响构来影～产产产和机产各产产失。 因此～产于产些产件产生的数构个数据～产产和机需要一产合的据管理平台～能IT 产利用产些产件的据产行相产性的分析～能产在产些产件出产产产产最快速到产产～能产定数找 产的产产些产件产生行产产表～能产通产分析产些据产产产和机的产产产行信息化建产产运状数构 提供据数支持。 、数从据的法产遵2.5IT 产如、、、和之产的法产遵从断强制产定～皆不产产产FFIECFISMAHIPAAPCISOX 控、产告及产核产产产产工作加入新的要求。但要完全符合产些要求～通常是相当困产且需付出高成本。而所需的您数个据往往散布于系产各角落～产以有效存取、分析IT 及管理。 此外～若必产同产兼产其它从控管产域的法产遵～产必产产由防火产、存取控制系产及产用程序所产生的系产管理日志文件～产生产产控制操作产告。而产些系产所产生的日志文件～往往具有不同的和产存位置。每位产核产的产求～亦涉及截然不同的手产程序。 也产正产受产产部产生的您内脚本所造成的数并会响据产产～产产持产产产影产源。ITIT即会极僵使采用商产日志文件管理系产方式～亦产产其产硬且功能受限。其无法产理自定产用程序～需要并跟持产的产产～才能上产化的脚步。 除了明确估响的产产产定外～产于生产系产的限制存取产定具有更大～但却常被低的影力。若拒产产产人产及产用程序系产管理产存取生产系产以分析日志文件及配置～将会阻 ?5 Splunk产品介产碍其产产及修正产益服产相产产产的与从数努力。若产着重于产控及产产法产遵性据的日志文件管理方式～产于产产产产弥运帮缺口产毫无助。 三、介产Splunk 是产产产产产产产和机使用的构搜索引擎～它将雅虎、SplunkIT(Search?Engine) 的搜产技产与概构念产产光大～如今产产和机可以用来管理产产的 系GoogleSplunkIT?产。的产件能自产收集由各产服产器、产产产和产件产生的据日志。网数与的产产SplunkSplunk与概使用念就像是谷歌搜索引擎一产～产产和机一构装旦安的GoogleSplunkIT? 之后～人产就可以透产使用并构产产产和机的各产Search?EngineITBrowserSplunk 产行产产产搜产～快速地得到所需要的据～除此之外数本IT?Data(Keyword)Splunk身产具有产算能力～管理者可以透产将即运搜产所得的产果立做(Computing)Splunk 算产理～产生各产产告、产表警与示～而且产可以产定产行排程定产搜产～产果并将Splunk 以方式通知相产人产。Email?Alert 的产产打破产去产产管理的方式～也突破产去各产SplunkIT?Search?EngineITIT管理工具如的使用方式～用产产易懂的IBM?Tivoli,?HP?OpenView,?CA?UniCenter产产产搜产方式～产来助人产产解产找与决产产。使用者不产可以透产(Keyword)ITITSplunk产行～产可以透产的它与来当产产相多产的产用工具。市产上IT?SearchSplunkBaseAPI 多产产将会来构是未产产和机管理的主要工具。SplunkIT 管理的产是产化流程。真是一全个概新的念～藉由功能强大Splunk?IT?Search 的搜索引擎～能产产助管理人产快速搜产各产产用系产、产产产所产生的大量网～IT?data?*?透产各产相产产的产产性出各产来找事件的源产～产而产助管理人产解决产遇到的运会ITIT各产产产。 ?6 Splunk产品介产 泛指一般的日志如* IT Data syslog, SNMP ,csv,code,message…etc. 四、的四大产用Splunk 、产运数据整合4.1IT 将来所有源的各产型数您据产列索引～使可由产一位置产产搜产、产警及SplunkIT 回产整系产的作个运情形。 能快速产告各产产果产并松采产产更产目～且无产遵循、产产任何产产的模型或产产。Splunk 使能更快速产产产您将减原、少停机产产～以及改善服产效能等产。 疑产排解 能作产 您或产产和机中构任何产工产行疑产排解的产一窗您口～使快速Splunk()? 解各产服产产产。无产是客产产、决来灯状属硬件产产产产产等各产产～皆可依产产、位置、产产产产息或所了解的其信息搜产产产。您它 此外～可在搜产产果上点产一下～便可依产产、主机、产行或其件其事它条与它ID 件相产产。能产产产产的症产是在配置产更、系产管理事件或工作产产产重,其能产配置Splunk 文件及效能产准产制作索引～并您窗配合产产及活产日志文件～使在产一口中产得全产的掌握。 您即决众的第一产人产不必像之前般提升产产～能产易取用信息～以解多意外事件。而必产产产提升至产产人产产～他产当将数亦能产产存取所需要的据～无产登入生产机产或是干产系产管理产～以产求采用产格生产存取控制的据。外～可数另将与您产Splunk ?7 Splunk产品介产有的管理工具及流程产密整合～可使用并工具列任从网何产式的主控台～Splunk 启产相产的搜产。Splunk 产控 是产极并强大的产控工具。可产省搜产产产、排定产程～依产果定期产出产警信Splunk 息。因产可以搜产日志文件到从配置等各产不同的数将据产型～因此可产SplunkIT 一工具产用于整基产产之上～产体构并任何产产配置产更提出产警、产日志文件中所产示的信息提出产警～甚至产任何超产产界产的产行目提出产警。数 最令人产意的是～能产助随况当产改善产控情。在排产客产的产产产～可以立Splunk 即并它产存产定产事件重产产生的产警～以便在收到其客产的申产之前～先收到Splunk的通知。 不成产一必产产会另个您随照料的主控台～其产警功能可通产产子产件、Splunk 、短信或产触与您脚本寄送通知～可产易产有的产控主控台及服产台整合。产警亦RSS 可产触即响状况自产化产作～以立产特定。 服产效能管理 可用所有产用程序和产件所登产的据～产运内数您助充分掌握产产的服产效Splunk? 能,而且无产加入新的产产技产。其能产产产产、产行效能及其产它并准提出产告～可产商产产有者、管理产及客产更新产表板信息。IT 、安全信息及据的整合数4.2IT 可产一位从网置产产搜产、产警及产告任何使用者、产、系产或产用程序活产、配Splunk 置产更及其它数据。IT 消除产置多重主控台的需要～产一位从即您置可追产攻产者的行踪。产在可以产行更产深入的分析～更快速而产并底地予以回产～降低产产及危产暴露的程度。 能产产有一您从真达直渴望～但是未想产可正成的全面可产性。Splunk 意外事件回产 在接产任何可疑活产的产警或产告产～将会您个窗是第一产理的口。只需在Splunk 搜产中产入所框您数掌握的产产据～包括产警的源及目产来～或是产产其SplunkIDSIP私人据已外数泄的客产产产即可。会即您个网立产回整产中所有产用程序、主IDSplunk 机及装与条数置中～产搜产件有产的每一事件。产然产始产回的据非常多～但Splunk ?8 Splunk产品介产可产助您并会您它理出产产～依照所希望的方式加以整理。其自产产取及产产产产产及其字段、依据产产产及模式事件分产～因此可快速产理将您数您完所有的活产据。若产产产得注意的事件～并即希望加以追踪～产要点产任何名产～可产产所点产的产产产行新搜产。正因产可产任何数您据制作索引,而不产是安全性事件或日志文件～因此只SplunkIT 需使用～可即状况您当掌握全产。可在此产一位置中～搜产及产产攻产者下可Splunk 能产行的程序、产去产行的程序～产看其可能已并修改的配置产更。 安全性产控 可产非常容您易跨越束产产控安全性事件～搜产路由器及防火产日志您SplunkIT 文件中的据流产数况找况找反情～产服产器及产用程序上的产反情～或是产未产授产或不安全的配置产更。用运的产产分析、分产及产行产产功能～可快速产产产产产的即极Splunk 使用情况网～例如可疑的产行及模式～或是产活产的产化。产警功能可透产产子产件、 、短信或产触与您触脚本寄送通知～可产易产有的产控主控台整合。产警产能产自产RSS 化产作～以便立即响状况数产特定～譬如命令防火产封产入侵者日后的据流。 产更产产 通产～可持产产产所有路上的径档另它案～无产行部署其代理程序。每次Splunk 在所产您径档控的路上加入、产更或产除案产～皆会个您产产一事件。也可以产Splunk 在每次整体档案有所产更产～皆产其制作快照索引。若已部署产用的产更产控Splunk 工具～亦无影响～只要使用产其所产产的事件制作索引～代替直接产控产更Splunk 即可。 无产源产何～来数您会只要索引中的据产更～就接产重大配置产定产更的警示～并能产易追踪配置产更的产产症产原因。 安全性产告 产提供产一位您置～可跨越所有的基产产及技产产生产告～构包括跨越所SplunkIT 有服产器、产产及产用程序～产安全性事件、效能产产据及数并配置产更提供产告～使用产产产表及摘要辨产常及可异您疑产化。其产告采用交互式能产深入产掘～以了解产产的原因及影响。使用可产基产产的安全性基本达您构原产、产产存取控制～或是密切产产Splunk 使用者的行产～产产的客产、管理产产或同事制作并您自产化的产度产表～或产生特定操作的产告。然后将您产告产果列在产表板上～产产产中的产产管理人提供产用程序及系产的产产产产～以增加产的状况掌握能力。 ?9 Splunk产品介产 、产用程序数据整合4.3IT 可以作产一产产和机的整个构个数数据的平台和据中心～利用SplunkIT 的索引能力可以消化产产和机中构任意的数据～利用的搜索功SplunkITSplunk能可以迅速产产和机出产产的帮构找原因所在～利用的产表功能～能产产产产和Splunk机的各产构产产～主机系产～产产系产产生灵即活或产的产表。IT 产产产产 因此当面产产产和机各产产产系产构支撑产件的产产产～更产得游刃有余～无产产Splunk 些产件产生何产产产～重要程度任何～具产产是多少～产生了多少次～是否体造成了整个产产系产的崩产～都可以通产在搜索中产入产产框几个决字符就能解～而更产重Splunk 要的是～可以根据产些据的重要产产和产生的次以及产生的产产数数来断判是否Splunk 要产出告警～产产心产些事件的管理人产～第一产产知道产产的出产～并内根据告警的容做好解产产的决准产。 内部威产 能使的产产具产必产的您灵内活分析能力～以产产出所有产型的部威产。目前Splunk 并内您个网数无任何一产事件可以辨产产意的部人产。必产产控整产用程序堆产、产产据流、操作系产、据产产数核产产及产用程序～产有产行日志文件。然后使用搜产所有产型Splunk的存取行产～产生产一使用者跨越所有产用程序及服产器活产的可产化产告～以便出找可疑的人产。 产更产产 能产产产产各产产更及是否符合产期效果的方式～产产周而产始的产更管理工作。Splunk 或产已使用或采用服产台及您工具控制及产施基产产的产更工作。但人产及构内CMDB 系产产产可能产致无法正产确施产更。使用～可产产产产产生的产更即况情～例如若已Splunk 下达个消除特定产行产产的产更～可在命令事件中包括一搜产产产的产产。命令事件产案工作流程可使用产产以产产在产行产更后～产产是否已产利消失。 、数从据的法产遵4.4IT 能以产一存取点产任何源的来任何数据产型产行搜产、产警及产告。SplunkIT 产要使用产一解方决即档案～可产产核产产收集及产告～到案完整性产控等工作皆 ?10 Splunk产品介产符合法产需求。其能在数内从秒快速产生任何法产遵产告。 将从即数可克服法产遵障碍～使操作人产及产产人产得以立存取他产所需要的据～以便快速解产产～同产产决持可用性 保障产料保存的安全性 能提供最有效率及可的解方靠决数案～依照大多法产强制产定的要求～Splunk 产取及产产产保存您所有的数据。首先～能在安全产产机上产产产网您取所有的ITSplunk 数即据～使产用程序日志文件已产送至以外的档案产亦然。产产的集中化产理～Syslog 产于防止攻产者产更受入侵主机的日志文件～以企产掩产其行踪是非常重要。Splunk支持多产的部署～能提供全面化的产并确核及安全性～以保本身的完整性。Splunk 会您数您随会在产取产产的据产行产名～可产产产产名的完整性。此外～其以高效Splunk 率的产产格式产存数您数据～产提供原产式的控制产～依据日期及产存限制封存或产取数内将数据。在指定产产～能以交互式、可搜产的索引据完整保留在在产～或者亦可将旧数装并据封存至低廉的近产产存置～在需要产加以产原。 受控制的据数存取 能消除各产阻碍产的法产遵运从束产。其能产产产人产及产用程序系产管理产提Splunk 供产于所有必产日志文件、产产及产命令的状决存取～以方便分析及解生产产产。可依据使用者的角色～控制其所能搜产的据～其无产数苦候服产器系产管理产产送生产存取产才能产得据～因此能以更少的人力更快速解产产～却又同产产数决格遵守生产服产器存取限制的产定。事产上～正因产的快速搜产及产产能力～使产工能产比登入生产系Splunk 产及手产分析据的方式更具产能。使用数～不但可使产不受运响影～产能产足产Splunk 核产的所有要求。 法产遵性产告从 不产能使遵您它守产控、产核及保存日志文件、配置及其数确据的明要SplunkIT求～产能产您它您构掌握所有其产型控件的能力～快速而产易地展产产产和机的法产遵从当性。产于防火产日志文件的产告～能产示是否具有适的防火产原产～以及其是否能正常作。产于运您存取控制系产管理日志文件的产告～产可产示所产理的产产停用程序。可排程任何搜产～并透产产子产件及产送～以到达自产化产告的目的。在产表板上RSS 加入索引产～方便法产遵及安全性管理产产看法产遵从从并数内活产～可在秒产生特定的操作产告～以回答任何产核产的产产。 ?11 Splunk产品介产 法产遵性产产从 能法产遵产产及将从运响探产产求产产的影降至最低。是否曾要求产产产产您SplunkFBI和机的构存取日志文件、产子产件通产～或是产工或客产的产产,您是否曾疲于奔Web 命产理的信息产求,是否必产产的每系产～例如您个代理服产器、产子产件HIPAAWeb 服产器或其系产～使用各产重又产它既笨慢的产告接口,能跨越所有据快速数Splunk而产便地产行搜产～在数内您您秒取得所需的信息～使可迅速返回正常的工作。五、的六大神奇功能Splunk 、索引5.1Index()? 人产往往在管理 会厂面产因商 产更产～与旧老产产、产ITIT?Data?IT?Data?format?用程序因稽核需求而必产产出分析产告～产有的 无法立支持即或Log?Management?无法辨产。具产多产且产性的据搜集方法～可以产索各产型产的数～不限Splunk?IT?data定 ～并来网收集自各产不同的产用系产和产产产。能产产一步产控IT?Data?formatSplunk文件系产中产定配置的产更～做产更管理～更可产接各产产通产网端口去接收(Ports) 、和来网装自其他各式各产产数置的产据。 SyslogSNMP 、搜索5.2Search() 具产快速自定的各产型产搜产～而不是只有Splunk 固定产的几数字段～不需要指定据的格式 ～更可产合产产产产产产行搜产～与清呈产出楚的搜(format) 产产果～使用上就像一产的直产易用。Google ,产入产产产后任意搜产 ,既即产的在产产产～立产生产产产产果 ,用交互比产产产～收产事件范产 ,用产产、产产产产产流程产产事件与拼凑 、警产通知5.3Alert() 能产定期排程产行～并依据搜产产果产出各产警示通知～可以透产Splunk ?12 Splunk产品介产、或等方式产接其他管理接口～可产产行触自行定产的因产方式～emailRSSSNMP 例如重新启网产产用程序、系产或产产产。 ,、、EmailRSSSNMP 产送警告 ,可制产不产产产产产启自产 搜产产并送警告 ,可以呼叫 延script? 伸产用 、产告5.4Report() 提供强大的产表能力～能产搜产产果以各产的产表将清晰呈产～更可产性化Splunk 地产制出产产和机管理产产所想要的产告容。构内 ,无产透产其他工具可直接产出 产表 ,产产表格式～如直方产、产11 性产、分产、产产产、产区点产…等 ,可产产多产度分析产表双与 ,皆产产产产表可产随并点产再次 搜产 ,产产表算方式～运强化产14 表可看性 ,产表可产产产产产表随版模式、产源共享5.5Share() 由各产产产所产生的是相当枯燥乏味的～透产可产化产切产可用将它IT?dataSplunk 的重要信息～且能产并即找任何人所用～不需要太多产深的知产可出想要的信IT 息。 ?13 Splunk产品介产 ,搜产产表产产产控产表版～可产由产限 控管分享信息接口 ,搜产分析可产存后～分享产特定人 产 ,信息搜产可以收产至产产产分享搜产～ 或只授予部分产更产限 、安全功能5.6Secure() 产产和机的构信息其重要性不言可产～可整合产产和机有的产产系产产构既ITSplunk 行安全管控～确数会坏数保据在存取、分析和稽核产不破据的完整性。,用产产机据产产产与数限控制 ,产机加密与产产IT?Data? ,数与据产加密产产 ,不产更原始数据的完整性 以上六大需求功能～产管理上多了产性。改产是产了更好～也产了增加价产。ITIT ?14 Splunk产品介产 技产参数Splunk 、索引6.1Index?–? ,可以索引所有的 产安日志、系产日志、产用程序日志 不限制源产产～来与包含 日志、系产配 置文件、与警告信息等SNMP ,可产性化的产产与档网数依照需求接受案、产端点、据产或客产的 等接口收集 产安日志、APIs? 系产日志、产用程序日志 ,可接受 与 网产 的 TCP?UDP?ports?syslog,?syslog?ng,产控案档达产更成 Change?Mangement?for?File,可产产于接收 产安日志、系产日志、产用程序日志 产～事件将捕捉呈产,藉由 或 产程产产产控 WMI?API?windows?event?log,产控 登产的改产档windows? ,可透产各原厂属产事件格式如, 或其他特殊产产产控 产安日志事件与OPSEC?LEA? ,产于 与 系产可以产由其有既指令 等收集系产的日志Unix?Linux?ps,?Top?,?vmstat?,可藉由 产控案档产更scp,?rsync,?ftp?and?sftp?,自产定产产与戳准化产产 于接受的任何格式 产安日志、系产日志、产用程序日志 timestamps? ,可追踪索引的 产安日志、系产日志、产用程序日志 源如 系产主机或产用程序日志 产产来并 分产 日志 性属 ,完整保留原始 日志、事件 不做任何改产～确保日志、事件 完整性,可自产建立日志、事件索引而不需提供原始格式性属 ,不需要产外产产式据产数数做据产产 、搜索6.2Search?–? ,同产可搜产 产安日志、系产日志、产用程序日志 从与任何地点、产产格式,产化搜产方式在任何产产产可快速产生产果区 ,可直接使用直产式产法如,布产代数、万用字 与做产产指令(AND,ORmNOT)*SQL,可提供搜产参既考建产～只需打入产产产产产字母～可列表搜产建产,依照产产搜产任何格式 日志或事件 ,可以用 方式快速收产搜产范产～可产产并与点产产看 日志事件Navigate? ,自产定产产 据与找数与字段格式 于搜产产理产程中 ,与 用产接口～有事没先嵌入其他产用程序的必要web?based?AJAX? ,提供 管理模式有产产与呈产最新事件的功能CLI? 、事件警告6.3Alert???? ,可产性定产 产产至秒产～可以依照事件产生产率产定产触并内依据～提供完整的原始事件Alert? 容 ,触产产行的产作如,Email,?RSS,?SNMP?or?Scripts ?15 Splunk产品介产、产告6.4Report?–? ,产产呈产产产产出～可并异做产产产日志事件 源等与来做多产度产表分析,? ,产出之产告可以自产产由 产送Email?or?RSS? ,可重产使用排程产告 ,可以制定人化产表个内与版～包含产告产果、搜产容事件警告 、分产管理6.5Share?–? ,与 产合～可以制定多重使用者不同产取、产限～产与并示产果～可制产产限群产～快速产LDAP? 定、定产每一使用者的产限 、产充能力与6.6Scale?–? ,至少可支持以下系产安装套件 与数产产式据产产 (rpm,?deb,?pkg,?dmg,?msi,?etc.)?(.tgz.,? ～可并支持多操作系产如 .zip,?.tar.Z)?Linux,?Windows,?Solaris,?Free?BSD,?Mac?OSX? and?AIX. ,不限分产管理人数与数授产产产使用产 ,系产需可支持 与 架构Active?Active?High?Availability?,可依照产产或使用容量定据产产决数 、安全架构6.7Secure?–? ,产性管理用产产与限 Roles?based ,产产用产产可产管理可 与与与其他 整合AD,?eDirectory?LDAP? ,可使用 接收送 产安日志、系产日志、产用程序日志 与加密管理SSL/TCP?HTTPS?,产产据数与加密不可产产管理 ?16