Splunk consente di indicizzare, eseguire ricerche, creare avvisi e report in relazione a tutti i dati IT, anche in tempo reale. Questo nell'ambito della gestione di applicazioni, di operazioni IT, della sicurezza e conformità; e tanto altro ancora. I dati elaborati possono essere di qualsiasi tipo: file di registro, metriche di sistema, applicazioni, configurazioni... In Splunk è possibile immettere ogni genere di dati.
Per iniziare, selezionare uno degli argomenti riportati di seguito.
L'interfaccia utente di Splunk contiene molte funzionalità. Esaminare gli argomenti seguenti per comprendere meglio come utilizzare l'installazione di Splunk e come navigare al suo interno.
Splunk è costituito da app. Le app creano diversi contesti per i dati a partire da gruppi di viste, dashboard e configurazioni. Ora ci si trova nell'app Guida introduttiva. Sono anche disponibili l'app di ricerca, dove è possibile creare ricerche, e l'app di default Splunk Home, che consente di avviare altre app. È anche possibile aggiungere nuove app da Splunkbase o crearne di personalizzate.
Navigare tra le app
Per passare a un'altra app, utilizzare il menu a tendina App nell'angolo superiore destro:
Per visualizzare un elenco di app attualmente installate nell'istanza Splunk in uso, è possibile ritornare a Home selezionando il menu App nell'angolo superiore destro di questa pagina e selezionando quindi Home. In questo modo si esce dall'app Guida introduttiva, ma è possibile ritornarvi selezionando nuovamente Guida introduttiva dai menu Home o App.
Si è già utilizzato Splunk in precedenza? Si desidera qualcosa di più familiare?
Se si è già utilizzato Splunk, probabilmente si sta cercando l'app Ricerca. Per trovare l'app Ricerca, selezionare "Ricerca" dal menu App nell'angolo superiore destro.
La maggior parte delle opzioni di gestione di Splunk è disponibile tramite Splunk Web (l'interfaccia utente di Splunk). Alcune configurazioni sono disponibili solo per gli utenti Splunk con privilegi di amministratore. Se non è possibile accedere ad alcune configurazioni descritte in questa app, è probabile che non si disponga dell'autorizzazione necessaria.
Utilizzare Splunk Manager
Splunk Manager consente di gestire configurazioni e app. Tramite Splunk Manager è possibile impostare quasi tutte le modifiche alle configurazioni. Accedere a Manager selezionando il link Manager nell'angolo superiore destro:
Utilizzare Gestione processi
Gestione processi consente di gestire le ricerche. Tutte le ricerche vengono eseguite come processi. È possibile elencare e controllare le ricerche eseguite nel sistema selezionando il link Processi nell'angolo superiore destro:
Aggiungere altre app
Per cercare e scaricare altre app per Splunk, tornare a Home e selezionare la scheda Cerca altre app.
È anche possibile creare app personali. Per ulteriori informazioni, consultare il Manuale dello sviluppatore.
Se i dati vengono generati da un computer, Splunk può indicizzarli. Proprio così: Splunk è in grado di indicizzare tutti i tipi di dati, strutturati o non, senza parser, connettori o adattatori personalizzati. È possibile immettere in Splunk ogni genere di dati, da syslog provenienti da server Unix e dispositivi di rete a registri eventi di Windows, a registri di applicazioni personalizzate fino a configurazioni e metriche di sistema: sarà assicurata la visibilità dell'intera Infrastruttura IT.
È possibile utilizzare l'inserimento dei dati nei flussi di lavoro di Splunk per individuare tutti i diversi tipi di dati che possono essere aggiunti a Splunk e le diverse opzioni per l'immissione di questo tipo di dati. Sono disponibili diverse modalità di input dei dati in Splunk, a seconda della loro posizione.
Splunk può indicizzare i dati locali, sia in modo continuo che una volta sola. È possibile configurare Splunk affinché indicizzi un file o una directory tramite Splunk Manager. È anche possibile visualizzare un'anteprima dei dati prima di indicizzarli e creare regole personalizzate per la loro gestione.
Splunk consente di raccogliere dati Windows da altri computer nella rete. Sono disponibili alcune opzioni, in base alla configurazione della rete:
Splunk consente di raccogliere dati da altri computer non Windows nella rete. Sono disponibili alcune opzioni, in base alla configurazione della rete:
Utilizzare questo metodo per acquisire i dati inviati attraverso una porta TCP o UDP. Ad esempio, configurare Splunk affinché ascolti su UDP 514 per acquisire dati syslog.
Esistono altri metodi per immettere dati in Splunk. Di seguito sono riportate alcune opzioni comuni:
Raccolta di dati da diversi computer in un ambiente distribuito
Per inviare dati a Splunk da un ambiente distribuito, come una farm di server app o Web, tramite accesso locale, è possibile utilizzare l'universal forwarder di Splunk, un agente leggero che può essere distribuito a decine o anche centinaia o migliaia di server per acquisire dati in tempo reale e inviarli a un indexer Splunk centrale. Utilizzare gli Universal forwarder per inviare dati a Splunk da altri sistemi. Configurare l'opzione di inoltro da Splunk Manager.
Creazione di input basati su script personalizzati
È possibile creare un input basato su script per la propria source di dati personalizzata. Gli input basati su script sono utili per strumenti della riga di comando come vmstat, iostat, netstat, top, ecc. È possibile ricevere dati da API e da altre interfacce dati e code di messaggi remote, nonché generare metriche e dati di stato a partire dall'utilizzo di comandi di stato del sistema e delle app come vmstat, iostat, ecc. Molte app su SplunkBase contengono input basati su script per applicazioni specifiche. Configurare gli input basati su script da Splunk Manager.
Monitoraggio delle modifiche al file system
Per scoprire le modifiche che si verificano al file system, è possibile configurare un monitoraggio modifiche al file system per visualizzare tutte le modifiche non appena si verificano. Utilizzare questo metodo per eseguire il monitoraggio di file critici, file di configurazione e altro secondo quanto richiesto da molti mandati sulla conformità nonché per individuare eventuali modifiche che incidono sul sistema e modifiche non autorizzate ai fini della sicurezza e delle operazioni.
Quando in Splunk sono disponibili dei dati, è possibile utilizzare l'app Ricerca per analizzare eventuali violazioni della sicurezza, risolvere problemi delle applicazioni, dei server e della rete o semplicemente esaminare proattivamente il sistema e le attività degli utenti.
È possibile eseguire la ricerca di qualsiasi testo che si prevede di trovare nei dati.
È possibile cercare dati in tempo reale man mano che vengono immessi in Splunk.
I risultati della ricerca sono interattivi come la sequenza temporale. In questa sezione viene illustrato in che modo, con un solo clic, è possibile aggiungere, rimuovere ed escludere termini dalla ricerca.
La ricerca a formato libero è semplice e potente, ma non sempre fornisce la risposta desiderata. Ad esempio, supponiamo di voler escludere eventi con codice di stato HTTP 200. Tuttavia, se si cerca semplicemente "NOT 200", verranno esclusi anche eventi che si desidera conservare, come eventi di stato "503" che provengono da indirizzi IP che contengono 200.
Mentre Splunk indicizza ogni termine presente nei dati originali, individua e aggiunge campi basati su coppie nome/valore, intestazioni o altre informazioni che sono comunque di facile comprensione. Ad esempio, Splunk aggiunge automaticamente informazioni sulla provenienza dei dati nei campi host, source e sourcetype. Splunk è anche in grado di riconoscere altre componenti dei dati, come indirizzi IP, codici di stato HTTP, ecc. È anche possibile aggiungere campi personalizzati, come descritto nella sezione Aggiungere knowledge di questa app.
I campi visibili nei risultati della ricerca sono elencati nell'intestazione 'campi selezionati'. È possibile selezionare la visualizzazione di più campi. Altri campi individuati automaticamente da Splunk sono elencati in 'campi interessanti'.
La sequenza temporale è una rappresentazione visiva del numero di eventi che si verificano in ciascun momento. È così possibile utilizzare la sequenza temporale per evidenziare pattern di eventi o analizzare i livelli massimi e minimi di attività di un evento.
L'assistente di ricerca è una guida rapida del prodotto per gli utenti che stanno creando delle ricerche. Fornisce dettagli sul comando di ricerca oltre a esempi di utilizzo e suggerimenti su altri comandi da utilizzare.
Con Splunk la funzione di ricerca è stata perfezionata come non mai: è infatti possibile estrarre automaticamente nuova conoscenza (definita knowledge) dalle informazioni contenute nei dati IT e aggiungerla immediatamente. È possibile aggiungere knowledge circa eventi, campi, transazioni, pattern e statistiche presenti nei dati, nonché identificare, assegnare nomi e tag ai dati.
Splunk consente di mappare questi elementi di knowledge durante la ricerca, in modo da poter aggiungere nuovi campi ed event type quando necessario, senza dover reindicizzare i dati. È possibile spaziare dalla ricerca di tutti gli eventi con un determinato nome utente alla visualizzazione istantanea delle statistiche sulle attività di un utente specifico.
Quando si eseguono ricerche nei dati, fondamentalmente si escludono tutti gli eventi indesiderati; i risultati della ricerca sono eventi che condividono caratteristiche comuni ai quali è possibile assegnare un nome collettivo o "event type". I nomi degli event type sono aggiunti come valori in un campo eventtype. È quindi possibile cercare questi gruppi di eventi nello stesso modo in cui si effettua la ricerca di un campo. L'esempio successivo illustra i passaggi da seguire per salvare una ricerca come eventtype e cercare quindi quel campo.
Se si eseguono frequenti ricerche per analizzare le attività a livello di SSH e firewall, come accessi sshd o accessi negati tramite firewall, è possibile salvare queste ricerche come event type. Inoltre, se vengono visualizzati messaggi di errore criptici, è possibile salvarli come event type con un nome più descrittivo.
Con Splunk è possibile estrarre automaticamente knowledge man mano che si indicizzano nuovi dati; è anche possibile aggiungere nuova knowledge ogni volta che è necessario, senza dover reindicizzare i dati. Queste sezioni illustrano come utilizzare l'estrattore di campi per estrarre interattivamente e salvare nuovi campi.
I tag facilitano il raggruppamento dei risultati di ricerca che condividono i valori di campo. Un tag è un nome che viene assegnato a un determinato valore di campo come eventtype, host, source o sourcetype. Ad esempio, è possibile assegnare tag a valori di host con il nome di un servizio o una nota che indica la conformità a normative come PCI.
In generale, si possono utilizzare i tag per:
Esistono due modi per cercare un tag: nell'ambito di tutti gli eventi o in un campo particolare.
Per sfruttare al meglio Splunk e ampliare le sue possibilità di utilizzo dei dati in modo da soddisfare le esigenze della propria azienda, consultare il Manuale di Knowledge Manager man mano che si ottimizza, si gestisce e si estende il deployment di Splunk nel tempo.
Il manuale di Knowledge Manager descrive:
Dopo aver utilizzato Splunk per identificare e localizzare i problemi nel proprio sistema, è possibile sfruttare le sue funzionalità di monitoraggio e creazioni di avvisi per essere informati dell'eventuale ripetersi di tali situazioni. È possibile salvare le ricerche in modo che vengano eseguite nel momento desiderato oppure configurare un avviso che esegua il monitoraggio automaticamente. Splunk consente di configurare gli avvisi in modo che vengano attivati quando i risultati della ricerca soddisfano determinate condizioni definite. È anche possibile creare avvisi in relazione a eventi che si verificano in tempo reale.
È possibile trasformare una ricerca in un avviso. Gli avvisi vengono inviati tramite email o RSS. È anche possibile configurare avvisi che eseguono uno script.
È possibile creare report utilizzando gli strumenti di visualizzazione integrati di Splunk. Splunk offre un'ampia gamma di opzioni a livello di creazione di report. È possibile creare semplici report dei "valori massimi nel tempo" direttamente dai risultati delle ricerche. Tramite il Generatore di report è possibile impostare e formattare grafici sofisticati o definire manualmente report attraverso gli efficienti comandi statistici di Splunk. Infine, è possibile creare rapidamente dashboard per condividere con altri i propri report migliori.
Dopo aver eseguito una ricerca, è possibile creare rapidamente report utilizzando le informazioni di base sui campi presenti nei risultati della ricerca.
Per creare e formattare i report, avviare il generatore di report.
Quando si utilizzano gli elenchi a discesa del Generatore di report per definire un report, la casella di ricerca del Generatore di report viene aggiornata con i comandi di creazione report statistici utilizzati da Splunk per eseguire il report stesso. Questa sezione illustra come utilizzare questi comandi di creazione report direttamente dalla barra di ricerca.
Nota: le ricerche di esempio sotto riportate utilizzano informazioni presenti nell'index interno di Splunk, che sono disponibili solo agli utenti con privilegi di amministratore.
Quando si esegue un report, è possibile visualizzarne in anteprima i risultati mentre è in corso la ricerca. Questa funzionalità consente di risparmiare tempo, soprattutto quando vengono eseguite ricerche su periodi temporali molto estesi. Di default l'anteprima del report è abilitata per le ricerche che utilizzano comandi di creazione report, pertanto se ne consiglia l'utilizzo per un periodo temporale esteso.
È possibile salvare e condividere le ricerche e i report creando un dashboard. I dashboard rappresentano un'area in cui riunire i report più utili e ricchi di contenuti per renderli disponibili ad altri utenti. È possibile creare un dashboard partendo da zero o in base ai report che vengono creati.
È anche possibile creare un dashboard partendo da zero.
Per ulteriori informazioni sulle funzionalità di Splunk, si riportano di seguito ulteriori link alla documentazione presente online.