splunk獨特優(yōu)勢

1、無風險快速回報

作為一種免費下載或低成本的企業(yè)許可證，Splunk 部署簡單并可以從單一服務器部署擴展至全局大規(guī)模運營，以及提供快速的投資回報。在您的筆記本電腦或任何商品服務器上免費下載和安裝 Splunk 只需五分鐘，然后可以輸入任何機器數(shù)據(jù)并啟動 Splunking。Splunk 通常在緊急時刻首次部署。正在發(fā)生的重大服務中斷或安全事件會使人傷透腦筋，但您可以使用 Splunk 便能在幾分鐘內(nèi)完成調查，而不是幾個小時或幾天。

2、受到用戶喜愛

大多數(shù)用戶很快就會成為 Splunk 的忠實用戶，因為我們的開發(fā)人員專注于開發(fā)他們自己想要使用的軟件。所有相關人員 - 系統(tǒng)管理員、安全分析師、網(wǎng)絡工程師、開發(fā)人員、服務臺和支持人員 - 均可以即刻部署 Splunk 并能夠更好、更快和更輕松地完成他們很難完成的部分工作。Splunk Web 界面非常直觀且快速，并支持快速、臨時深入分析搜索結果。

3、處理您所有的機器數(shù)據(jù)

與其它需要您花費幾天或幾周時間來開發(fā)或配置特定分析器和自定義連接器的系統(tǒng)管理、SIEM 和日志管理產(chǎn)品不同，Splunk 可以連接至任何數(shù)據(jù)來源。即時未提供連接器，您也無需依賴某個廠商來生產(chǎn)特定連接器。Splunk 能夠實時持續(xù)索引您的所有機器數(shù)據(jù) - 日志、配置數(shù)據(jù)、變化事件、診斷命令輸出、API 和消息隊列中的數(shù)據(jù)，甚至自定義應用程序中的日志。您可以輕松處理對解決問題、調查安全事件、報告合法性和其它有價值的任務至關重要的企業(yè)數(shù)據(jù)。如果機器可以生成數(shù)據(jù)，則 Splunk 就可以對其進行索引、搜索，并用其生成警報和報告。

4、適應動態(tài)環(huán)境

在當今動態(tài)和可視化的數(shù)據(jù)中心，唯一不變的常量就是變化。傳統(tǒng)的 IT 管理和安全技術假設您知道前方的所有可能失敗和風險，且您的數(shù)據(jù)格式將不會發(fā)生變化，但這種做法已經(jīng)不再有效。Splunk 能夠實時持續(xù)索引您的所有計算機數(shù)據(jù)，不會依賴脆性架構來限制靈活性，當數(shù)據(jù)格式發(fā)生變化時也不會中斷。您需要對數(shù)據(jù)進行的任何解釋，例如提取共同的字段或標記主機的子集，都可以在搜索時輕松完成，無需格式轉換。這就是您從全球 Splunk 用戶了解到的重要事情之一，即 Splunk 擁有卓越的靈活性的原因。

5、適用于所有類型的用戶

Splunk 可以輕松創(chuàng)建自定義儀表板和報告，使您能夠清楚地處理大量數(shù)據(jù)。將預定義的搜索、圖表和報告合并成一個強大的儀表板，或使用其它基于網(wǎng)絡的應用程序創(chuàng)建聚合應用程序，例如 Tivoli、SAP、Oracle 和安全控制臺等。Splunk 有助于網(wǎng)絡工程師、系統(tǒng)管理員、安全和合法性分析師、開發(fā)人員、支持人員、服務臺工作人員，甚至業(yè)務用戶及時了解在 IT 基礎結構中發(fā)生的任何事件。

6、滿足整個 IT 行業(yè)的策略需求

Splunk 發(fā)明了一種用來管理機器數(shù)據(jù)和釋放其巨大價值的新方法。將 Splunk 用作引擎來搜索和分析計算機數(shù)據(jù)，不但能改變用戶完成其工作的方式，而且還能提升 IT 在組織中的作用。這樣能使用戶大大提高生產(chǎn)率，使企業(yè)增加更多正常運行時間并減少收入中斷，從而使客戶更加滿意。許多客戶開始使用 Splunk 來解決具體問題領域，使他們的初始使用案例快速成為內(nèi)部成功案例，然后將 Splunk 部署到其它 IT 關鍵領域（如應用程序管理、安全與合規(guī)性、基礎結構與運營管理），并獲取新的商業(yè)智能。

7、從筆記本電腦擴展至數(shù)據(jù)中心

您必須以更低的成本、更快的速度，完成更多工作。Splunk 能讓您在一臺商業(yè)服務器上，在幾秒內(nèi)便可搜索數(shù)十億個事件。它的并行架構意味著，其搜索和索引效能將跨整個 CPU 核心和商品服務器線性攀升。Splunk 使用它自己的高效數(shù)據(jù)存儲，這樣不會受到傳統(tǒng)數(shù)據(jù)庫的吞吐量限制或僵化架構的限制，從而使它成為搜索企業(yè)數(shù)據(jù)，進行警報和報告的最快和最靈活的方法。

2019年8月，Splunk（SPLK.US）：叫板IBM（IBM.US）的大數(shù)據(jù)后起之秀

功能比較表

Splunk Free 專供個人使用。Splunk Enterprise 添加了支持多用戶和分布式部署的功能，并包括警報、基于角色的安全、單一登錄、預設的 PDF 交付以及對無限數(shù)據(jù)量的支持。

Splunk 實時收集并索引所有機器數(shù)據(jù)（物理、虛擬和云中）。它允許您訪問、使用數(shù)據(jù)，并發(fā)掘數(shù)據(jù)價值。它能夠對各項事宜進行索引，以便深入了解、商討和解決問題。它可以在您與您的小組共享有用的搜索時，進行智能輔助，并添加您的 IT 環(huán)境所特有的知識。它能創(chuàng)建臨時報告，以確認趨勢或證明合規(guī)控制；構建實時儀表板，以便監(jiān)視安全事件和攻擊、應用程序 SLA 和其他關鍵性能指標；實時分析用戶交易、客戶行為、機器行為、安全威脅、欺詐活動等。

1、索引任何數(shù)據(jù)

2、搜索和調查

3、與搜索結果互動

4、新增知識

5、關聯(lián)復雜事件

6、監(jiān)視和警報

7、報告和分析

8、自定義儀表板和視圖

9、構建和部署 Splunk 應用程序

1、多平臺支持

Splunk是一個可以在所有主流操作系統(tǒng)上運行的獨立軟件包 - 只需選擇您的平臺，然后下載并安裝即可。您需要處理和運行的是用戶使用的 Web 界面，以及用于索引計算機數(shù)據(jù)的引擎。

Splunk支持的平臺有Windows XP, Vista, 7, and 8 (32-bit/64-bit)/Windows Server 2003, 2003 R2, 2008, and 2008 R2 (32-bit/64-bit)、2.6 kernel Linux distributions(32-bit/64-bit)、Solaris（8,9,10,11）、OSX（10.5，10.6，10.7）、FreeBSD 7,8（32-bit/64-bit）、AIX （5.3，6.1，7.1） 、HP-UX（11i v2，11i v3）.

2、從任意源索引任意數(shù)據(jù)

Splunk 可以從任何源實時索引任何類型的計算機數(shù)據(jù)?？梢栽?Splunk 中指向您的服務器或網(wǎng)絡設備的系統(tǒng)日志、設置 WMI 輪詢、監(jiān)視實時日志文件，并能夠監(jiān)視您的文件系統(tǒng)或 Windows 注冊表中的更改，或安排腳本獲取系統(tǒng)指標。Splunk 可以索引您的所有機器數(shù)據(jù)，而無需購買、編寫或維護任何特定的分析器或適配器。原始數(shù)據(jù)和豐富索引均存儲在高效、已壓縮的、基于文件系統(tǒng)的數(shù)據(jù)存儲中，并提供可選數(shù)據(jù)簽名和數(shù)據(jù)的完整性審核。

3、從遠程系統(tǒng)轉發(fā)數(shù)據(jù)

在無法通過網(wǎng)絡提供所需數(shù)據(jù)，或安裝了 Splunk 的服務器上看不見所需數(shù)據(jù)的情況下，可以部署 Splunk Forwarder。Splunk forwarder 為成千上萬的端點提供安全、分布式實時全局數(shù)據(jù)收集。它們可以監(jiān)視本地應用程序日志文件、捕獲有關時間表的狀態(tài)命令輸出、獲取來自虛擬或非虛擬來源的性能指標，或監(jiān)控配置、權限和屬性變化的文件系統(tǒng)。它們都是屬于可以快速部署的輕量級服務器，而且不會產(chǎn)生任何額外費用。

4、關聯(lián)復雜事件

借助 Splunk，您可以跨許多數(shù)據(jù)來源關聯(lián)整個工作環(huán)境中的復雜事件。Splunk 支持五種關聯(lián)類型。基于時間的關聯(lián)，用于根據(jù)時間、接近性或距離來確定關系。基于交易的關聯(lián)，用于跟蹤構成單次交易的一系列相關事件，進而評估時間長度、狀態(tài)或進行其它分析。子搜索，用于獲取其中一個搜索的結果并在其它搜索中使用這些結果。查找，用于關聯(lián) Splunk 以外的外部數(shù)據(jù)來源。連接，用于支持類似 SQL 的內(nèi)部和外部連接。關聯(lián) Splunk 中的事件有助于從機器數(shù)據(jù)中獲得更豐富的分析和洞察力，為 IT 和業(yè)務提供更好的可見性和智能。

5、專為大型數(shù)據(jù)構建

使用 Splunk ，每天可收集和索引成千上萬太字節(jié)的數(shù)據(jù)。其可擴展性體系結構基于 MapReduce，因此，隨著日常數(shù)據(jù)量和數(shù)據(jù)來源不斷增長，您只需添加更多商品服務器即可擴展效能。自動負載平衡可以優(yōu)化工作負載和響應時間，并提供內(nèi)置故障轉移機制。開箱即用的報告和分析功能可避免部署第三方報告工具的需要。還可以配置 Splunk 使用 SAN 或其它存儲設備，以滿足長期存儲需求。

6、在整個數(shù)據(jù)中心擴展

Splunk 分布式體系結構可讓您在一個數(shù)據(jù)中心跨多個部署進行搜索，或在您的所有數(shù)據(jù)中心進行全局搜索。借助基于角色的訪問，您可以控制指定用戶的搜索將要跨越的范圍。區(qū)域用戶可以查看區(qū)域系統(tǒng)的數(shù)據(jù)，而企業(yè)范圍內(nèi)用戶則可以查看所有數(shù)據(jù)中心的數(shù)據(jù)。Splunk 愿景是讓每一位已授權員工都能夠看到他們需要的計算機數(shù)據(jù)；并將數(shù)據(jù)用于調查、報告和儀表板或分析，以便不斷提高 IT 運營并獲得有價值的業(yè)務洞察力?；◣追昼姇r間安全連接您的 Splunk 安裝，能讓您設計一個可管理的企業(yè)數(shù)據(jù)結構。

7、提供角色型的安全性

從各個方面來說，Splunk 均可謂是一種強大的安全模型。各項 Splunk 交易均會得到驗證，其中包括通過 Web 用戶界面和命令行接口執(zhí)行的用戶活動，以及通過 Splunk API 執(zhí)行的系統(tǒng)活動。使用一整套按用戶類型來限制功能的記錄控制點，您可以自己為 Splunk 用戶定義角色。這些精細的訪問控制可以限制搜索、警報、報告、儀表板以及不同 Splunk 角色可以查看的視圖。Splunk 還可以集成兼容 LDAP 的外部目錄服務器和 Active Directory 服務器，以執(zhí)行企業(yè)范圍內(nèi)的安全策略。此外，還提供單一登錄集成，以啟動對用戶憑據(jù)的傳遞身份驗證。由于進行故障排除、調查安全事件和證明合規(guī)所需的全部數(shù)據(jù)都保存在 Splunk 中，您可以嚴格限制訪問生產(chǎn)服務器。

Splunk是一個托管的日志文件管理工具，它的主要功能包括：

· 日志聚合功能

· 搜索功能

· 提取意義

· 對結果進行分組，聯(lián)合，拆分和格式化

· 可視化功能

· 電子郵件提醒功能

splunk主機與源

首先注意的是，日志文件分散在在主機和隨機的源中。這表示你可以從一臺機器或一組機器中快速搜索出所有的日志。

splunk搜索

搜索功能設定的非常簡單，只需輸入你想要搜索的字符串，或者可以使用以下語句來進行高級搜索：

· sourcetype="hsl-prod-fe" "Chase Seibert"

· sourcetype="hsl-prod-fe" e186f85c914261eec9e54d3767fdd3cc BEGIN

· sourcetype="hsl-prod-crawl" |regex _raw="fanmgmt\.(analytics|metrics)"

· sourcetype="hsl-prod-crawl" facebook OR twitter NOT linkedin

· sourcetype="hsl-prod-crawl" facebook OR linkedin OR twitter earliest=-24h

splunk抽取

你可以使用內(nèi)置的GUI來定義一個正則表達式，從每一行中抽取變量，可以對其進行過濾，分組和聚合操作。

如果變更日志格式，你可以通過將鍵值對變成key=value格式，不用定義正則表達式。以下為示例：

def key_value(prefix, log_level='info', **kwargs):

log_message = '%s: %s' % (

prefix, ' '.join(['%s="%s"' % (k, v) for k, v in kwargs.items()]))

getattr(logging, log_level)(log_message.strip())

splunkPiping

同Unix類似，你可以將多個命令組合起來生成更復雜的查詢。比如sourcetype="hsl-prod-crawl" succeeded |stats count perc95(task_seconds) by python_module |sort count desc |head 10.

其他命令包括：

· | uniq

· | script python myscript myarg1 myarg2

· | bucket _time span=5m

· | eval name=coalesce(firstName, lastName)

· | rare, | anomalous

· | spath output=commit_author path=commits.author.name # extract xml/json values

其他可以調用的函數(shù)包括：

· avg()

· | eval description=case(error == 404, "Not found", error == 200, "OK")

· floor(), ceiling()

· len()

· isbool(), isint(), etc

· upper(), lower()

· trim(), ltrim(), rtrim()

· md5()

· now()

· random()

· replace()

· split()

· substr()

splunk可視化功能

通過GUI builder點擊就可以創(chuàng)建可視化圖表，還可以通過命令行和函數(shù)來創(chuàng)建。包括餅圖，柱狀圖，行列圖以及計量圖等其他復雜的圖表。

splunk郵件提醒

可以對Splunk進行設定，根據(jù)不同的事件來觸發(fā)郵件提醒。更多關于Splunk的使用方法，可以參考官方文檔以及論壇。