Splunk_Executive_Brief_11.17.09_Final-ch

Splunk Enterprise 6.3.0保護 Splunk Enterprise 的安全產生時間：2015/9/15 上午 10:225555566677777810111213131414141415151515161617172020212222232323242526Table of Contents關於保護 Splunk Enterprise 的安全關於保護 Splunk Enterprise 的安全保護 Splunk 安全的方法以安全方式安裝 Splunk以安全方式安裝 Splunk Enterprise 保護您網路上的 Splunk Enterprise 伺服器與作業系統的一些最佳作法強化您的設定停用不需要的 Splunk Enterprise 元件使用者與以角色設定的存取控制使用存取控制保護 Splunk 資料的安全關於使用者驗證關於設定以角色設定的使用者存取關於使用能力定義角色使用 Splunk Web 新增與編輯角色使用 authorize.conf 新增與編輯角色設定對於管理員主控台與應用套件的存取尋找現有使用者與角色刪除所有使用者帳戶保護 Splunk 知識物件存取的安全使用 Splunk Enterprise 的內建驗證設定使用者使用 Splunk Enterprise 原生驗證設定使用者驗證使用 Splunk Web 設定使用者使用命令列介面設定使用者使用 Splunk Web 將使用者新增至角色設定使用者對輕量型目錄存取通訊協定的驗證設定使用者對 LDAP 的驗證使用 LDAP 管理 Splunk 使用者角色LDAP 先決條件與考量Splunk 如何與多個 LDAP 伺服器搭配使用使用 Splunk Web 設定 LDAP將 LDAP 群組對映至 Splunk Web 中的 Splunk 角色使用設定檔設定 LDAP將 LDAP 群組與使用者對映至設定檔中的 Splunk 角色測試您的 LDAP 設定從 Splunk 的內建驗證轉換為 LDAP 移除 LDAP 使用者的最佳作法設定使用者對外部系統的驗證設定使用者對外部系統的驗證建立驗證指令碼編輯 authentication.conf 使用 PAM 驗證26272727282930313133343434363637373940414245474747474848494949505152535354545455555656使用 getSearchFilter 函數在搜尋時間進行篩選使用 SAML 設定單一登入關於使用 SAML 設定單一登入在 Splunk Web 中設定 SAML 單一登入將群組對映至角色在設定檔中設定 SAML 單一登入疑難排解 SAML 單一登入使用反向 Proxy 設定單一登入關於使用反向 Proxy 的單一登入使用反向 Proxy 設定單一登入疑難排解反向 Proxy 單一登入關於使用 SSL 保護 Splunk Enterprise 的安全關於使用 SSL 保護 Splunk 的安全關於在 Windows 與 Linux 上使用 SSL 工具設定允許及限制的 SSL 版本取得您的 SSL 憑證如何自我簽署憑證接下來的步驟如何取得協力廠商簽署的憑證如何針對 Splunk 準備您的簽署憑證自我簽署 Splunk Web 的憑證取得 Splunk Web 的協力廠商簽署憑證決定您的加密套件使用 SSL 保護瀏覽器到 Splunk Web 通訊的安全關於保護 Splunk Web 的安全使用 Splunk Web 開啟加密 (https)使用 web.conf 開啟加密 (https)使用自己的憑證保護 Splunk Web 的安全疑難排解您的 Splunk Web 驗證使用 SSL 保護 Splunk 轉送器到索引器通訊的安全關於保護來自轉送器之資料的安全將 Splunk 轉送設定為使用預設憑證將 Splunk 轉送設定為使用自己的憑證其他設定選項驗證您的設定疑難排解轉送器到索引器驗證使用 SSL 保護 Splunk 間通訊的安全關於保護 Splunk 間通訊的安全保護 Splunk Web 與 Splunkd 之間通訊的安全保護分散式搜尋頭端點與對等節點的安全保護部署伺服器與用戶端的安全關於保護叢集的安全關於使用預設值的 Splunk 間通訊565656575758585959稽核 Splunk Enterprise 活動使用 Splunk 稽核您的系統活動稽核 Splunk 活動搜尋稽核事件管理資料完整性Splunk Enterprise 提供的密碼和存取安全性跨多個伺服器部署安全密碼保護您服務帳戶的安全使用 Splunk Enterprise 的存取控制清單admin_all_objects定。

Copyright © 2014 Splunk Inc. Wrangling Data at theIOT RodeoDamien Dallimore*********************@damiendallimoreDeveloper Evangelist @ Splunk3rd QCONI’m a metaphorical data “cowboy” , not a real oneThe cowboy metaphorData wrangling / lassoing (capturing)Data needs harnessing (bring under control for analysis) Data might need a little grooming (clean, filter)Data might need branding (categorizing / labeling / enrichment)Data corralling (correlation)Data stabling (securing)Data needs to go to the rodeo (a platform)Make data useful = be a data cowboyMACHINE DATAIS EVERYWHEREBIG DATA COMES FROM MACHINES Volume | Velocity | Variety | VariabilityGPS,RFID,Hypervisor,Web Servers,Email, MessagingClickstreams, Mobile,Telephony, IVR, Databases,Sensors, Telematics, Storage,Servers, Security Devices, DesktopsThe IOT Revolution (or rather Evolution)Internet of Documents Internet of Commerce Internet of PeopleInternet of APIs Internet of Mobile Internet of ThingsWhat is this IOT data, is it these things ?Operational TechnologyEnergy Oil & Gas Process Buildings Mfg Transport-ation MedicalDevices TelecomConsumerTechnologySmartHome Wearables MediaThe landscape is much, much vaster Industrial Data Producing AssetsSucceeding with IOT dataIOT data is already being generatedAnd we are already capturing this dataThe key challenge will be in turning this into something genuinelyuseful. This is the opportunity.Enable the developers & data domain expertsGive them the platforms and tools to be productiveThis leads to ECOSYSTEMHow can Splunk help ?Splunk can help you become an IOT data cowboyWrangle –Collect the dataHarness –Search over the data / CorrelateShow at the Rodeo –Visualize the data/AlertingProvide a platform for Developers to build IOT AppsSplunk storage Other Big Data storesDeveloper PlatformData collectionand indexingReport and analyze Custom dashboards Monitor and alert Ad hoc searchDeveloper Platform Report and analyze Custom dashboards Monitor and alert Ad hoc search Splunk storage Other Big Data storesData collection and indexing Any amount, any location, any source.Schema at read time, not write timeData in any format No RDBMSVery Extensible / Build Apps Secure data / Lifecycle dataAmazon Kinesis Splunk Stream MQTT KafkaJMS AMQP REST APIs SNMPCOAP anybody ? Any other sources ?Kepware Industrial Data Forwarder for Splunk Proprietary and legacy data translationReal-time streaming data collection from 150+ industrial protocolsABBAllen-Bradley Analog Devices Aromat AutomationDirect BeckhoffBristolContrexCutler-Hammer FisherFujiGEHoneywell Mettler-Toledo Mitsubishi Omron Opto22PhilipsSattBusScanivalveSiemensSimaticSixnetSquareDTelemecaniqueThermo WestronicsToshibaToyopucTriconexWagoWeatherBugWeatherfordYokogawaBACnet IPEnron ModbusModbus ASCII SerialModbus PlusModbus RTU SerialModbus TCP/IPODBCOPC DAOPC UAOPC XML-DAExamples of Kepware Supported Commercial and Proprietary Protocols Examples of Open ProtocolsHarnessing05/27/2014T10:24:17GMT applicationId="safetyObs" eventType="safety" assetID="CV1002384-1045"employeeId="114635" jobSite="PLEC-2014-GC" observationId="184568-451124-256" observation="Control Valve handle extracted to manual position. No lockout/tagout or other tag visible. Process is running." observationCriticality="5" imageId="PLEC-2014-GC-184568-451124-256" imageUri="https:///PLEC-2014-GC-184568-451124-256.png"1543541, workorder, bsic, 78544, pipefitting, CV1002384, "install manual bleed bypass", 04/13/2014, 05/21/2014, 25663, complete05/22/2014 03:17:31 asset_id="CV1002384-1045" process_id="batch transfer starting" alarm="control valve failed to open" 05/22/2014 04:21:45 asset_id="CV1002384-1045" process_id="batch transfer starting" alarm="control valve failed to open" 05/22/2014 06:35:39 asset_id="CV1002384-1045" process_id="batch transfer starting" alarm="control valve failed to open" 05/22/2014 07:40:29 asset_id="CV1002384-1045" process_id="batch transfer starting" alarm="control valve failed to open"Some data from a technician05/27/2014T10:24:17GMT applicationId="safetyObs" eventType="safety" assetID="CV1002384-1045"employeeId="114635" jobSite="PLEC-2014-GC" observationId="184568-451124-256" observation="Control Valve handle extracted to manual position. No lockout/tagout or other tag visible. Process is running." observationCriticality="5" imageId="PLEC-2014-GC-184568-451124-256" imageUri="https:///PLEC-2014-GC-184568-451124-256.png"1543541, workorder, bsic, 78544, pipefitting, CV1002384, "install manual bleed bypass", 04/13/2014, 05/21/2014, 25663, complete05/22/2014 03:17:31 asset_id="CV1002384-1045" process_id="batch transfer starting" alarm="control valve failed to open"05/22/2014 04:21:45 asset_id="CV1002384-1045" process_id="batch transfer starting" alarm="control valve failed to open"05/22/2014 06:35:39 asset_id="CV1002384-1045" process_id="batch transfer starting" alarm="control valve failed to open"05/22/2014 07:40:29 asset_id="CV1002384-1045" process_id="batch transfer starting" alarm="control valve failed to open"Safety ObservationApplicationSome data from a work order05/27/2014T10:24:17GMT applicationId="safetyObs" eventType="safety" assetID="CV1002384-1045"employeeId="114635" jobSite="PLEC-2014-GC" observationId="184568-451124-256" observation="Control Valve handle extracted to manual position. No lockout/tagout or other tag visible. Process is running." observationCriticality="5" imageId="PLEC-2014-GC-184568-451124-256" imageUri="https:///PLEC-2014-GC-184568-451124-256.png"1543541, workorder, bsic, 78544, pipefitting, CV1002384, "install manual bleed bypass", 04/13/2014, 05/21/2014, 25663, complete05/22/2014 03:17:31 asset_id="CV1002384-1045" process_id="batch transfer starting" alarm="control valve failed to open"05/22/2014 04:21:45 asset_id="CV1002384-1045" process_id="batch transfer starting" alarm="control valve failed to open"05/22/2014 06:35:39 asset_id="CV1002384-1045" process_id="batch transfer starting" alarm="control valve failed to open"05/22/2014 07:40:29 asset_id="CV1002384-1045" process_id="batch transfer starting" alarm="control valve failed to open"CMMS (Work Order)ApplicationSome data from a “thing”05/27/2014T10:24:17GMT applicationId="safetyObs" eventType="safety" assetID="CV1002384-1045"employeeId="114635" jobSite="PLEC-2014-GC" observationId="184568-451124-256" observation="Control Valve handle extracted to manual position. No lockout/tagout or other tag visible. Process is running." observationCriticality="5" imageId="PLEC-2014-GC-184568-451124-256" imageUri="https:///PLEC-2014-GC-184568-451124-256.png"1543541, workorder, bsic, 78544, pipefitting, CV1002384, "install manual bleed bypass", 04/13/2014, 05/21/2014, 25663, complete05/22/2014 03:17:31 asset_id="CV1002384-1045" process_id="batch transfer starting" alarm="control valve failed to open"05/22/2014 04:21:45 asset_id="CV1002384-1045" process_id="batch transfer starting" alarm="control valve failed to open"05/22/2014 06:35:39 asset_id="CV1002384-1045" process_id="batch transfer starting" alarm="control valve failed to open"05/22/2014 07:40:29 asset_id="CV1002384-1045" process_id="batch transfer starting" alarm="control valve failed to open"SCADA Event and Alarm LogsCorrelate the data –Make New Discoveries05/27/2014T10:24:17GMT applicationId="safetyObs" eventType="safety" assetID="CV1002384-1045"employeeId="114635" jobSite="PLEC-2014-GC" observationId="184568-451124-256" observation="Control Valve handle extracted to manual position. No lockout/tagout or other tag visible. Process is running." observationCriticality="5" imageId="PLEC-2014-GC-184568-451124-256" imageUri="https:///PLEC-2014-GC-184568-451124-256.png"1543541, workorder, bsic, 78544, pipefitting, CV1002384, "install manual bleed bypass", 04/13/2014, 05/21/2014, 25663, complete05/21/2014 03:17:31 asset_id="CV1002384-1045" process_id="batch transfer starting" alarm="control valve failed to open"05/21/2014 04:21:45 asset_id="CV1002384-1045" process_id="batch transfer starting" alarm="control valve failed to open"05/21/2014 06:35:39 asset_id="CV1002384-1045" process_id="batch transfer starting" alarm="control valve failed to open"05/21/2014 07:40:29 asset_id="CV1002384-1045" process_id="batch transfer starting" alarm="control valve failed to open"Asset IDAsset IDAsset IDMTBFCompletedTechnicianExtensive Platform (Rodeo) for DevelopersREST APIBuild Splunk AppsExtend and Integrate SplunkSimple XMLJavaScript HTML / CSSWeb FrameworkJavaJavaScript PythonRuby C#PHP Data Models Search Extensibility Modular InputsSDKsSplunk IOT DemosSplunk optionsSplunk> Enterprise : Free to download and use. Index 500 MB/day. Splunk> Cloud : Premium, cloud hosted. Full Enterprise stack.100% uptime. Splunk> Sandbox : Spin up a cloud instance in minutes. Load in data. Hunk> : Splunk for data in Hadoop HDFS, MongoDB, other datastores(Neo4J)/iot Be an IOT Data Cowboy。

支持负载均衡式的多级集群的部署方式，以满足高可用的要求和海量日志的处理。

要求系统自带集群主节点选举功能，可以不依赖于操作系统或第三方的集群功能或工具，由日志管理系统本身实现集群中的热插拔功能，任一节点在出现问题后，可以随时下架，退出集群，当节点修复后或维护完成后，上架后即可自动完成加入集群和同步数据的操作。

支持用户时间、服务器时间和浏览器时间的对比分析。

支持人工设置集群各节点的状态。

要求系统内置监控组件，能够以图形化的方式监控：系统集群状态、缓冲区的使用状态、索引当前的运行状态、本地磁盘的使用状态、系统处理日志Cache的状态等信息。

支持日志索引的生命周期管理，管理维度包括：索引大小、索引时间和索引中日志数量，当达到设定的阈值后，可以进行删除、归档等操作，归档后的索引，通过点击按钮，可以将这部分数据重新进行数据的搜索和分析。

支持索引信息的实时统计分析功能，要求能够显示：当前激活的索引名称、索引内管理日志的数量。

能够显示索引主分片和所有分片的当前操作情况，包含：当前索引的操作数量、合并操作的数量、刷新操作的数量、查询操作的数量、抽取操作的数量等。

支持显示每个索引分片当前的状态以及所属节点的信息。

系统日志记录的内容包括索引和搜索的日志、系统运行的日志、接口通信的日志和用户验证的日志，并且可以通过图形化的方式，实时调节日志记录的细粒度，选择好希望记录的等级后，系统能够立即按照新调节的记录等级，进行日志的写入而无需重启软件。

支持用户自定义的字段和内容，当自定义完成后，所有从该接收组件上接收到的日志，都会自动附加指定的字段和内容。

系统的所有配置支持导入导出。

支持趋势图、动态数据表、饼图、表板图、统计图、世界时钟、富文本等多种可视化的展现形式，并能由用户自主进行数据展现的定义、拖拉和摆放，并能够在门户中进行数据的二次计算和分析。

支持图形化的阈值设定，通过简单的鼠标拖拉，可以在图形上定义出阈值的空间颜色，直观的提醒用户监控的指标是否越界。

Splunk Enterprise 6.0分布式部署⼿册⽣成时间：2013 年 10 ⽉ 15 ⽇，下午 3:27336789111111111111111115161617171819202021212324Table of Contents概述分布式 Splunk 概述数据如何通过 Splunk ：数据管道调整您的部署规模：Splunk 组件组件与⾓⾊实现分布式部署本⼿册其余部分的内容转发数据分布式搜索Splunk 部署监视器应⽤升级 Splunk 组件通⽤部署架构通⽤部署架构概述部署拓扑结构如何调整部署规模预估硬件需求针对分布式 Splunk 部署的硬件容量规划分布索引和搜索Splunk 如何搜索数据参考硬件容纳并发⽤户和搜索Splunk 应⽤对资源需求的影响性能建议摘要升级您的部署升级您的分布式环境升级 Windows 通⽤转发器升级 *nix 系统的通⽤转发器概述分布式 Splunk 概述本⼿册介绍如何跨多个计算机分布 Splunk 功能的各种组件。

通过分布 Splunk，您可以调整其功能以解决任何规模和复杂程度的企业的数据需求。

在单机部署中，由⼀个 Splunk 实例处理从数据输⼊、创建索引到搜索的整个端到端过程。

单机部署⾮常适⽤于测试和评估⽬的，可以满⾜部门规模环境的需求。

不过，在⼤型环境中，许多计算机都会⽣成数据，⽽且许多⽤户都需要搜索数据，此时您会希望跨多个 Splunk 实例分布功能。

本⼿册介绍如何在这种分布式环境中部署和使⽤ Splunk。

Splunk 如何调整Splunk 会在数据通过数据管道时执⾏三项关键功能。

⾸先，Splunk 从⽂件、网络或其他位置获取数据。

然后建⽴数据索引。

（实际上，它是先对数据进⾏分析，然后再建⽴数据索引，但鉴于本讨论内容的⽬的，我们将分析视为索引过程的⼀部分。

）最后，它会对索引数据运⾏交互式搜索或计划的搜索。

您可以跨多个专门的 Splunk 实例拆分此功能，实例数量从几个到数千个不等，具体取决于您所处理的数据数量以及您环境中的其他变量。

全⾯的Splunk应⽤⽇志分析介绍全⾯的Splunk应⽤⽇志分析介绍Splunk 是⼀款顶级的⽇志分析软件，如果你经常⽤ grep、awk、sed、sort、uniq、tail、head 来分析⽇志，那么你需要Splunk。

能处理常规的⽇志格式，⽐如 apache、squid、系统⽇志、mail.log 这些。

对所有⽇志先进⾏ index，然后可以交叉查询，⽀持复杂的查询语句。

然后通过直观的⽅式表现出来。

⽇志可以通过⽂件⽅式传倒 Splunk 服务器，也可以通过⽹络实时传输过去。

或者是分布式的⽇志收集。

总之⽀持多种⽇志收集⽅法。

应⽤程序⽇志是系统运维⼈员以及开发⼈员特别关注的，应⽤⽇志可以全⾯记录应⽤程序的执⾏过程、状态以及结果，这些信息是帮助运维⼈员解决故障，开发⼈员改进程序的最有效信息。

但是传统的⽇志管理⼯具往往对⽇志的格式有要求，很难快速适应⾮统⼀、规范的⽇志形式。

⽽splunk超乎想象，除了可以处理交换机、防⽕墙、路由器以及操作系统的⽇志之外，应⽤程序⽇志处理起来也得⼼应⼿！通常情况下，应⽤程序的⽇志信息存储在指定的⽬录下，采⽤任何⽂件共享的⽅式，⽐如挂载的或者⽹络共享的⽬录，只要Splunk服务器能够读取，它就能够远程采集这些⽇志信息。

任何活动的应⽤程序，不管是J2EE、.Net应⽤程序、Web访问⽇志等等，只要有新的⽇志产⽣，Splunk会对其进⾏持续的索引。

也有朋友会担⼼，说如果我的应⽤程序产⽣的⼀个⽇志⽂件⾮常⼤，时间跨度很长，⽐如说⼀天才能产⽣⼀个⽇志⽂件，那么Splunk岂不是失去了实时性？其实不然，Splunk在监控⼤多数⽂件系统时，是即时读取⽇志信息的，只要检测到被监控⽬录有变更，Splunk就会读取新增加的数据信息，即使是⽇志⽂件正在被写⼊的时候，所以仍然能够保证实时性。

应⽤程序⽇志不同于⼀些专⽤设备的⽇志信息，⽐如⽹络设备的⽇志信息都有相对简短、固定和统⼀的格式，⽽应⽤程序则复杂的多。

活用技巧」」系列文章「Splunk活用技巧單元名稱：：Splunk for MAC address 網路存取監控單元名稱隨著網路的普及與地球村的來臨，企業將所有的營運資訊和流程電子化，以強化本身於產業的競爭力。

當服務全面網路化後，如何落實網路安全管理，成為企業是否能永續經營的一個重要因子。

Simple Network Management Protocol)的方式，可以即時紀錄網路上我們透過Splunk結合SNMP(Simple Network Management ProtocolSimple Network Management Protocol所有設備的MAC address(Media Access Control address)的運作狀況，達到紀錄與分析企業內所有網路存取的網路管理目的，確保企業的永續經營。

Splunk f f or MAC address特色與效益Splunk傳統網路設備進行MAC address管理,均採取「人工普查紀錄」與「異常時逐台設備查詢」的方式，不但在問題發生時，需要大量時間進行問題排除，而且完全無法提供歷史資料進行內部分析與稽核，如何解決企業MAC address管理的問題，一直是資訊人員間的熱門話題。

Splunk for MAC address進行網路存取監控，透過標準的網路管理協定SNMP收集網路設備上MAC address資料，將收集到的大量資訊進行儲存與分析，企業可以完全掌控網路的所有存取資訊。

當發生網路問題時，透過Splunk的SaveSearch可以立刻完成異常設備定位，迅速排除問題，以確保企業營運與永續經營。

Splunk強大的Index與SaveSearch功能，可以提供：1. 顯示目前所有網路設備上MAC address狀態2. 顯示現在(今天)網路上出現的非法MAC address3. 顯示網路上曾經出現過的非法MAC address4. 查詢某個網路節點連接的所有資訊5. 查詢某個MAC address連接之所有資訊6. 歷史資料稽核能力Splunk for MAC address安裝設定開始進行Splunk for MAC address安裝設定STEP 1：Splunk結合SNMP方式，即時紀錄網路上所有設備的MAC address運作狀況，本案例作業系統環境採取Linux，因此請下載Splunk for Linux distributions版本安裝。

什么是 Splunk？Splunk 是领先的运营智能软件供应商，这类软件用于监视、报告和分析位于现场或云中的实时计算机数据和太字节历史数据。

全球 80 个国家（或地区）的4,000 多家企业、服务提供商和政府机构都采用了 Splunk 来改善服务水平、降低 IT 运营成本、减少安全风险它能够在几分钟内（而不是几个小时或几天）解决问题和调查安全事件。

监视您的端对端基础结构，避免服务性能降低或中断。

以较低成本满足合规性要求。

关联并分析跨越多个系统的复杂事件。

在您的整个 IT 基础结构部署 Splunk 可以实现：∙应用程序管理∙基础结构与运营管理∙安全性与合法性应用程序管理深入了解您的应用程序环境开发、维护并支持一个大型的、复杂的、高分布式任务的关键型应用程序是一个巨大的挑战。

传统的应用程序管理方案配备不足，无法应对当今应用程序体系结构和部署环境的复杂性。

Splunk 提供一种更好的解决方案，可让您更快发现并解决应用程序问题、减少停机时间、获取对关键性能指标的端对端运营可见性，从机器数据中提供新的观察能力，进而帮助制定最佳决策。

减少升级和停机时间Splunk 能让您在几分钟，甚至几秒内从中央控制台快速搜索所有不同储仓，并关联不同层次应用程序基础结构中的事件，从而将 MTTR/MTTI 减少 60% 至 80% 以上。

从交易开始便实时跟踪至交易结束，以诊断问题，甚至在它们影响业务之前进行诊断。

并且，还在端到端业务服务层级提供实时准确的报告。

更快地解决问题能使技术服务人员跨多层应用程序，精确找到问题，从而降低问题升级的可能，并让正确的人员参与进来，寻求解决办法。

凭借 Splunk 安全的基于角色的访问控制，帮助开发人员更快地发现并解决问题。

开发人员自己可以更快地访问生产日志，而不会违反合规性要求，并通过即时搜索日志来寻求解决办法。

开发更好的应用程序随着永不停止的开发周期不断循环，大多数开发人员，尤其是开发面向客户的Web 应用程序的人员，承受着日益增加的压力，被迫不断而迅速地提供刚好有效的应用程序。

搜索教程！欢迎使用Splunk教程欢迎使用Splunk教程什么是Splunk？Splunk可以从应用程序、服务器或网络设备及其他IT基础设备中搜索IT数据，是一款功能强大且灵活的搜索分析引擎。

它可以帮助您在单点实现实时搜寻、故障排查、监测、警示及报告IT基础设备上的所有IT数据。

想要了解更多Splunk可以搜索的数据？请在我们网站上阅读“什么是IT数据”。

Splunk的用户Splunk是一款多功能的搜索引擎，用途广泛，适合不同类型的用户。

系统管理员、网络工程师、安全分析师、软件开发人员、服务台及应用支持人员——甚至经理、副总裁和首席信息官都使用Splunk帮助他们更出色更快速地完成工作。

•应用程序支持人员利用Splunk对应用环境进行端对端搜索及补救，并对整个服务创建警报和仪表板来主动监测服务性能、可用性及业务度量。

应用支持人员根据各自职责分配给当前用户的角色隔离数据访问，并在不影响安全性的情况下支持应用程序开发人员和第一等级人员从生产日志上获取其所需的信息。

•系统管理员和IT人员可使用Splunk检查服务器问题，了解其配置及监测用户活动。

之后他们可将搜索结果转变成预警，警报服务器性能阈值、关键性系统错误及负载。

•高级网络工程师可使用Splunk排查升级问题，识别导致常规问题的事件及模式，如配置错误的路由器、邻居变化等，并将事件的搜索结果变成预警。

•安全分析人员和事故应急小组可以使用Splunk审查标记用户的活动，并获取敏感数据、自动监测已知的不良事件，同时通过复杂关系搜索找出已知的风险模型，如强力攻击、数据泄漏甚至应用程序级别的欺诈。

•所有决策管理层可使用Splunk构建报告和仪表板来检测并汇总其IT基础构建和业务的健康状况、性能、活动及容量。

本教程的内容如果您是第一次接触Splunk，本教程将会教您使用Splunk前应知晓的事项，内容涵盖第一次下载到创建内容丰富、互动性强的仪表板。

使用本教程前使用本教程前在开始使用Splunk前，您需要先下载、安装再启动Splunk示例。

SPLUNK产品使用研讨会内容--10data目录1.研讨会背景 (3)1.1.研讨会大纲 (3)1.2.操作环境 (4)2.Splunk架构介绍 (5)3.Splunk基础入门 (5)3.1.Splunk用户界面 (5)3.2.创建搜索和保存结果 (7)3.3.字段 (9)3.4.标签 (11)3.5.事件类型 (12)3.6.对照表查询 (13)3.7.告警 (14)3.8.搜索宏 (15)3.9.数据导入和断行处理 (16)4.SPL语言 (18)4.1.基本搜索 (18)4.2.搜索语法概念 (18)4.3.常用命令解析 (19)4.4.Splunk高级搜索命令 (26)4.4.1.Splunk子搜索语句 (26)4.4.2.Splunk关联搜索 (27)4.4.3.transaction命令 (28)4.4.4.Summary index (28)4.5.情景实例练习 (29)5.APP及界面UI设计 (30)5.1.App介绍 (30)5.2.Dashboard (31)5.2.1.Simple XML panels (31)5.2.2.Simple xml语法 (31)5.3.Form searches (34)5.3.1.分类 (34)5.3.2.文本输入框 (35)5.3.3.下拉菜单 (35)5.3.4.按钮选择框 (36)5.3.5.多选框 (36)5.3.6.钻取 (37)5.3.7.实例讲解 (38)5.3.8.情景实例练习 (39)1.研讨会背景1.1.研讨会大纲1.2.操作环境以下为研讨会中需要用的相关数据：2.Splunk架构介绍Splunk产品模块简介分布式架构：搜索节点：充当搜索节点，提供数据搜索功能。

索引节点：主要提供数据索引功能及响应来自搜索节点请求。

转发节点：按指定需求将相关数据已负载均衡形式分发到索引节点。

3.Splunk基础入门3.1.Splunk用户界面◆Splunk Apps概念一组在特定工作区下的用户案例，角色及搜索报表集合。

Splunk® Enterprise 7.0.0安裝⼿冊產⽣時間：2017/9/15 下午 04:444455591112131313131415151621242829293032343436363737373939404951Table of Contents歡迎使⽤ Splunk Enterprise 安裝⼿冊⼿冊的內容為何規劃 Splunk Enterprise 安裝安裝概觀在內部部署使⽤ Splunk Enterprise 的系統需求Splunk Enterprise 架構與程序Splunk Enterprise 隨附的 Windows 協⼒廠商⼆進位檔相關資訊安裝指⽰保護您的 Splunk Enterprise 安裝關於保護 Splunk Enterprise 的安全在您安裝 Splunk Enterprise 之前保護系統的安全以安全⽅式安裝 Splunk Enterprise保護 Splunk Enterprise 安全的更多⽅式在 Windows 上安裝 Splunk Enterprise選擇 Splunk Enterprise 應執⾏的 Windows 使⽤者⾝分準備安裝的 Windows 網路作為網路或網域使⽤者在 Windows 上安裝使⽤命令列在 Windows 上安裝變更在 Windows 安裝期間所選擇的使⽤者在 Linux 或 Mac OS X 上安裝 Splunk Enterprise在 Linux 上安裝在 Mac OS X 上安裝以不同使⽤者或⾮根使⽤者⾝分執⾏ Splunk Enterprise 開始使⽤ Splunk Enterprise第⼀次啟動 Splunk Enterprise 接下來會發⽣什麼？瞭解 Splunk Enterprise 的存取性安裝 Splunk Enterprise 授權關於 Splunk Enterprise 授權安裝授權升級或移轉 Splunk Enterprise如何升級 Splunk Enterprise升級⾄ 7.0 的相關資訊：請先閱讀如何升級分散式 Splunk Enterprise 環境針對 Splunk 應⽤套件開發⼈員的變更51525356565858在 UNIX 上升級⾄ 7.0在 Windows 上升級⾄ 7.0移轉 Splunk Enterprise 執⾏個體解除安裝 Splunk Enterprise解除安裝 Splunk Enterprise 參考資料PGP 公共⾦鑰splunk-winprintmonsplunk-winprintmon會在您於 Splunk 設定 Windows 列印監控輸⼊時執⾏。

Splun‎k产品分析‎产品定位Splun‎k产品营销‎副总裁Sa‎n jay Mehta‎说道。

Splun‎k是集成的‎端到端解决‎方案。

它在一个地‎方收集和整‎理机器数据‎。

Splun‎k可以实现‎实时搜索、浏览、导航、关联、分析和可视‎化数据。

在商用硬件‎上的规模得‎到证明。

不到5分钟‎，Splun‎k就可以下‎载到一台服‎务器上并运‎行。

同一软件可‎以在最大型‎的全局基础‎设施中扩展‎，每天为数十‎T B的数据‎编制索引。

对于一些用‎户而言，Splun‎k可能显得‎有些陌生，谈到Spl‎u nk的业‎务以及产品‎定位，Sanja‎y将Spl‎u nk的软‎件比作分析‎大数据的引‎擎，他表示：“Splun‎k公司主要‎处理大数据‎，对这些大数‎据进行分析‎，给我们的客‎户、组织带来价‎值，而且，我们能保证‎以低成本的‎进行实时地‎分析，允许用户使‎用我们的技‎术对数据进‎行收集、监控、分析，而且进行可‎视化。

目前，Splun‎k公司的产‎品和技术已‎经应用到各‎行各业，其中包括保‎险、政府、媒体领域。

”Splun‎k高级销售‎工程师崔玥‎表示，Splun‎k是机器数‎据的引擎，它能够解决‎全部机器数‎据挑战，能够收集非‎结构化的时‎间序列机器‎数据并编制‎索引加以利‎用。

Splun‎k几乎能够‎读取来自可‎以想到的任‎何来源的数‎据，如网络流量‎、Web服务‎器、自定义应用‎程序、应用程序服‎务器、虚拟机管理‎程序、GPS系统‎、股市源、社交媒体和‎预先存在的‎结构化数据‎库。

它允许实时‎了解正在发‎生什么情况‎，深入分析在‎IT系统和‎基础设施中‎发生了什么‎情况。

安装环境操作系统要‎求硬件要求实际硬件需‎求跟安装的‎组件、索引数量、查询频率有‎关，详细请参考‎《Splun‎k-5.0.4-Insta‎l lati‎o n.pdf》Estim‎a te hardw‎a re requi‎r emen‎t s一章产品形态产品架构Splun‎k进程Splun‎k d进程Splun‎k d在wi‎n dows‎下已经注册‎为服务，是一个分布‎式C/C++服务器，用于索引I‎T流数据，并处理搜索‎请求。

Splunk常⽤功能汇总Splunk 常⽤功能搜索搜索类型搜索类型包含原始搜索和转换搜索。

原始搜索：原始事件搜索是只从个或多个索引中检索事件。

转换搜索：转换搜索是对组结果执某种类型的统计计算的搜索。

搜索处理语⾔Splunk 搜索处理语 (SPL) 包括所有搜索命令及其函数、参数和句。

常⽤搜索1、根据条件，统计数据量host="web1" scode=200 | chart count2、全⽂搜索格式：搜索词搜索框直接输⼊”搜索词“，查找匹配词3、字段搜索格式：字段名=”搜索词“source="Sampledata.zip:.//access_combined.log"4、通配符搜索source="Sameledata.zip:.apache*"查找数据来源为apache开头的所有来源index=api rrjcflb imei | rex (?P\"imei\":\"\w+\") | fields IMEIVALUE5、数据源定位搜索框中输⼊“搜索词”点击搜索，点击搜索结果前的图标，选择“事件操作”—显⽰来源，可查看该⽇志结果的前后⽇志数据。

添加数据设置——添加数据——监视——⽂件和⽬录数据透析表1、Search&Reporting中输⼊搜索过滤条件，进⼊搜索结果界⾯，选定所需要的字段。

如：3、将搜索结果切换到统计信息页⾯，点击数据透视表，添加字段，点击确定。

4、新数据透视表界⾯中，设置过滤器，⾏，列，列值。

5、设置好后，点击另存为，存储为报表、仪表盘。

6、在报表、仪表板界⾯，点击刷新，可查看最新的统计数据。

7、统计数据可在数据透视表、报表、仪表板中打开。

8、统计数据可导出、打印、发送邮件。

9、统计数据可添加运⾏计划，通过事件触发，⾃动统计设定事件内的数据。

配置邮件1、服务器设置——电⼦邮件设置注：⽤户名和电⼦邮件发送⽅式及主机域名需要保持⼀致2、其他保持默认报警配置1、配置报警信息搜索框中输⼊报警条件，如：index=tomcat_access status=404，另存为告警。

THIS DOCUMENT IS INTENDED FOR USE BY THE RELATED BUSINESS PARTIES ONLY. THE INFORMATION CONTAINED HEREIN IS PRIVILEGED AND CONFIDENTIAL. THE RECIPIENT OF THIS DOCUMENT IS REQUIRED TO PROTECT THE CONFIDENTIALITY WITH BEST EFFORT AND HE OR SHE SHOULD NOT USE THE PRIVILEGED INFORMATION TODISPLACE THE COMPANY’S PROPRIETARY RIGHTS AND COMPETITIVE ADVANTAGESCOPYRIGHT © SYSTEX TAIWAN PTE LTD目錄索引1 使用前注意事項 ................................................ 2 2 操作說明 – DATA INPUT 資料數據導入 ......... 2 3 操作說明 - SEARCH 搜尋 ................................. 7 4 操作說明 – REPORT 報表快速產出 (11)註記 (14)概要說明此文件為精誠資訊所提供，目的為使客戶第一次使用Splunk 時可快速完成基本配置用戶請於 登錄帳號，以便下載 Splunk 安裝軟體與相關資源。

請注意此份用戶操作文件依照 Splunk 3.4.6 版本為製作依據，非此最後版本，請參考以下網址查詢最新安裝方式與相關信息。

/base最後更新時間: 2009/41使用前注意事項安裝前請先確認 Splunk 最低硬體與作業系統配置需求，請參考安裝手冊資訊後，進行 splunk 操作。

請使用 Mozilla FireFox 1.5 以上版本為 Splunk 使用的瀏覽器，並確認有安裝 Adobe Flash 9功能。

Splunk测试工具学习任务目录目录 (2)一．Splunk基础知识 (4)二．Splunk的功能特性 (5)1. 多平台支持 (5)2. 从任意源索引任意数据 (5)3. 从远程系统转发数据 (5)4. 关联复杂事件 (6)5. 专为大型数据构建 (6)6. 在整个数据中心扩展 (6)7. 提供角色行的安全性 (6)三．Splunk导览 (7)1. 索引任何数据 (7)2. 搜索与调查 (8)3. 与搜索结果互动 (8)4. 新增知识 (9)5. 关联复杂事件 (9)6. 监视和警报 (10)7. 报告与分析 (10)8. 自定义仪表板与视图 (11)9. 构建于部署Splunk应用程序 (11)四．Splunk各版本之间的功能比较 (12)五．Splunk的独特优势 (14)1、无风险快速回报 (14)2、受到用户喜爱 (14)3、处理您所有的机器数据 (14)4、适应动态环境 (14)5、适用于所有类型的用户 (15)6、满足整个IT 行业的策略需求 (15)7、从笔记本电脑扩展至数据中心 (15)六．Splunk安装过程 (16)1. 客户端下载地址： (16)2. 双击，开始安装： (16)3. 打开客户端，端口号配置： (20)4. Splunk配置过程 (20)5. 重启Splunk服务 (20)6. 客户端计算机名称 (22)七．Splunk的使用 (23)1. 登录Splunk (23)2. 欢迎使用界面 (23)2.1 欢迎标签： (24)3. 在Splunk中添加数据 (24)3.1 向Splunk中添加示例数据 (24)4. 开始在Splunk中搜索数据 (31)4.1 摘要仪表板 (32)4.2 仪表板涵盖的内容 (32)4.3 开始搜索 (33)4.4 搜索结果显示 (34)4.5 Splunk停止搜索 (35)4.6 搜索助手 (35)4.7 搜索结果中的关键字高亮 (36)5. 使用时间轴 (36)5.1 搜索 (36)5.2 滑动鼠标，选中一个柱状体 (36)5.3 双击一个柱状体 (37)5.4 通配符* (37)5.5 字段菜单 (38)6. 字段选取 (38)6.1 在字段菜单中点击“字段选取”链接 (38)6.2 滚动浏览可见字段列表 (39)八．字段值报表 (40)8.1 使用字段菜单 (40)8.2 访问报表创建器 (41)8.3 实例：失败交易计数 (42)九．仪表板 (47)9.1 创建仪表板 (47)9.2 定义仪表板面板搜索 (48)十．性能指标的添加和搜索 (49)10.1 添加数据，选择Windows性能指标 (49)10.2 开始在本机上进行Windows性能指标收集 (49)10.3 开始搜索 (51)10.4 查看搜索结果 (52)十一．IIS日志的添加和搜索 (53)11.1 添加数据，选择添加IIS日志 (53)11.2 开始在本地Splunk搜索服务器上的IIS日志 (53)11.3 开始搜索iis日志文件 (56)11.4 查看搜索结果 (57)总结 (58)一．Splunk基础知识Splunk 是机器数据的引擎。

Splunk Windows插件部署及数据获取配置说明下载Windows插件(Splunk_TA_windows)并部署到所有想要收集Windows数据的主机以及所有的Indexer和Search Head上，以收集Windows数据。

将所下载的插件存储在Deployment Server的一个可访问路径下（注意：不要执行下载的文件）使用winZip等工具解压文件到可访问路径。

注意：请登录splunk官网，输入上述插件名以确保下载到正确的插件。

1.配置文件1）在解压的文件路径下，找到Splunk_TA_Windows2）在该目录下创建一个子目录 local3）将default目录下的inputs.cof文件复制到local目录下4）使用记事本、Notepad等方式打开local目录下的iputs.conf文件5）按照下表将disabled的项进行启用（1->0）以获取数据6）保存inpus.conf2.部署Windows插件首先，Deployment Server必须能识别到新的App，将下载的插件放到deployment apps 目录下1）打开Deployment Server上的命令行2）复制Windows插件的文件夹的完整路径到deployment apps目录下> Copy-Item -Path C:\Downloads\Splunk_TA_Windows -Destination"C:\ProgramFiles\Splunk\etc\deployment-Apps\Splunk_TA_Windows"-Recurse3）令Deployment Server重新加载部署配置>cd \Program Files\Splunk\bin> .\Splunk reload deploy-poll4）通过web浏览器登陆Deployment Server5）选择设置->转发器管理6）点击“应用”。

splunk常⽤命令Splunk常⽤命令简易说明⽬录1数据⽰例 (2)2STATS,CHART,TIMECHART统计类 (3)3搜索结果处理及过滤 (5)3.1TABLE:表格化呈现 (5)3.2REVERSE翻转，逆序 (5)3.3SORT 按某字段升降序 (6)3.4HEAD取前N个结果 (7)3.5TAIL取后N个结果 (7)3.6DEDUP 去重 (7)3.7SEARCH搜索某字段⾥包括特定字符的结果 (8)3.8TOP，RARE按某字段值出现频率排序 (8)4EVAL⾮常重要的命令 (9)4.1逻辑判断 (9)4.1.1ISINT(X)，ISNUM(X)，ISSTR(X), ISBOOL(X) (9) 4.1.2CIDRMATCH("X",Y)CIDR匹配 (10)4.1.3SEARCHMATCH(X)在事件寻找特定字符串 (10)4.2字符串处理 (10)4.2.1LOWER(X),UPPER(X)⼤⼩写转换 (10)4.2.2LTRIM,TRIM,RTRIM 字符削减 (10)4.2.3SPLIT(X,"Y")字段分离 (11)4.2.4LEN(X)返回字段长度 (11)4.3结构化 (11)4.3.1C ASE (11)4.3.2IF(X,Y,Z) (11)4.4时间运算 (11)4.4.1STRFTIME(X,Y)将UNIX时间还原成标准可读时间 (11) 4.4.2TIME()返回事件被EVAL处理时的时间 (12)1数据⽰例假如index⾥有两个字段包括以下结果, 端⼝号及响应时间以下的命令解释都是以以上数据为例⼦2Stats,chart,timechart统计类stats、chart 和timechart 命令（及其相关的命令eventstats 和streamstats）设计为与统计函数结合使?。

可?统计函数包括：●计数、?重复计数、总和 count dc sum●平均值、中值、模式avg median mode●最?值、最?值、范围、百分? min max range perc●标准偏差、?差 stdev stdevp var varp●最早出现、最晚出现first lastIndex=aaa|stats values(responseTime) 返回列表，去重3 搜索结果处理及过滤3.1 table:表格化呈现表格化index=kl | rex field=_raw "(?P\w*)\s+(?P\d+)" | table interfce responstime3.2 reverse翻转，逆序3.3 sort 按某字段升降序按某字段升降序index=kl | rex field=_raw "(?P\w*)\s+(?P\d+)" | table interfce responstime | sort - responstime3.4 head取前N个结果index=kl | rex field=_raw "(?P\w*)\s+(?P\d+)" | table interfce responstime | sort -responstime | head 53.5 tail取后N个结果取后N个结果index=kl | rex field=_raw "(?P\w*)\s+(?P\d+)" | table interfce responstime | sort -responstime| tail 53.6 dedup 去重3.7 search搜索某字段⾥包括特定字符的结果搜索某字段⾥包括特定字符的结果index=kl | rex field=_raw "(?P\w*)\s+(?P\d+)" | searchinterface=*inter1*搜索端⼝⾥包括*inter1*的结果3.8 top，rare按某字段值出现频率排序index=kl | rex field=_raw "(?P\w*)\s+(?P\d+)" | rare limit=8responstime4Eval⾮常重要的命格式：…. | eval Y=fun(x)4.1 逻辑判断4.1.1isint(X)，isnum(X)，isstr(X), isbool(X)判断类型是否为int、数字、字符串或布尔4.1.2cidrmatch("X",Y) CIDR匹配index="cmb_si_trans" | eval addy=if(cidrmatch("183.60.0.0/16",source_ip), "yes","no") | table source_ip addy | sort -addy4.1.3searchmatch(X) 在事件寻找特定字符串4.2 字符串处理4.2.1lower(X),upper(x) ⼤⼩写转换4.2.2ltrim,trim,rtrim 字符削减4.2.3split(X,"Y") 字段分离4.2.4len(X) 返回字段长度4.3 结构化4.3.1Case4.3.2if(X,Y,Z)4.4 时间运算4.4.1strftime(X,Y) 将UNIX时间还原成标准可读时间4.4.2time() 返回事件被eval处理时的时间。

Splunk系列：Splunk数据导⼊篇（⼆）⼀、简单概述splunk⽀持多种多样的数据源，⽀持上传⽂件，监控本地的⽂件，配置通⽤转发器等⽅式。

所有的设置基本上都可以通过Web页⾯、splunk CLI命令和直接修改配置⽂件（需重启splunk⽣效）三种⽅式。

最常见的两种场景，⽐如收集syslog ⽇志以及使⽤通⽤转发器（Agent）收集数据，我们来做⼀个简单的应⽤⽰例吧。

⼆、应⽤实例：收集syslog⽇志2.1、Linux rsyslog客户端配置（1）rsyslog安装yum install rsyslog（2）启⽤TCP进⾏传输vim /etc/rsyslog.conf# Provides TCP syslog reception #若启⽤TCP进⾏传输，则取消下⾯两⾏的注释$ModLoad imtcp$InputTCPServerRun 514*.* @@192.168.44.130:514（3）重启rsyslog服务systemctl restart rsyslog2.2、Splunk TCP监听配置（1）依次访问访问⾸页--> 添加数据 -->监视 -->TCP/UDP，选择TCP，确认端⼝，点击下⼀步。

（2）选择来源类型，确认主机和索引，点击检查。

（3）检查确认后，点击提交。

（4）这⾥已经完成TCP监听端⼝的创建，点击开始搜索，可以发现linux客户端传输过来的syslog数据。

三、应⽤实例：使⽤通⽤转发器收集Windows⽇志3.1 配置Splunk接收端⼝（1）设置-->转发和接收-->配置接收,新增接收端⼝3.2 配置Windows通⽤转发器（1）双击msi⽂件进⾏安装（2）将通⽤转发器配置为部署客户端。

（3）配置接收的服务器端⼝（4）点击install，直到完成安装。

3.3 添加Windows事件⽇志（1）在设置-->转发器管理⾥⾯，可以看到已上线的客户端。