با توجه به تولید انبوه دادههای خام با انواع مختلف در فضای مجازی، دستهبندی و استخراج مضامین خاص از آنها، در دنیای امروز اهمیت ویژهای پیدا کرده است. نرمافزار Splunk محصول اصلی شرکت Splunk میباشد که برای این هدف گسترش داده شده است. این شرکت در سال 2003 میلادی شروع به کار کرده و تمرکز اصلی آن در تولید محصولات Big Data و SIEM است که این موضوع تمایز اصلی محصول این شرکت با سایر رقبا میباشد. این نرمافزار جستوجو و تحلیل داده و انواع دادهای مختلف را از برنامه کاربردی، سرویسدهنده یا دستگاههای شبکه، بهصورت بیدرنگ امکانپذیر مینماید. این دادهها میتوانند دادههای پیغام، هشدار، اسکریپت، تنظیمات، لاگها و هر نوع معیاری در هر مکانی باشند.
Splunk در دو نسخه آزمایشی و شرکتی موجود است. در نسخه آزمایشی که رایگان است، مجموع دادهای که میتوان بهصورت روزانه import کرد، محدود به ۵۰۰ مگابایت میشود و بعضی امکانات مانند Alerting/monitoring را ندارد. این نسخه در یک محیط غیرتجاری و با ویژگیهای محدود مورد استفاده قرار میگیرد. علاوه بر این، میتوان با نصب و استفاده از افزونههای مختلف روی Splunk Enterprise که اکثراً به صورت رایگان ارائه میشوند، از این نرمافزار، بهعنوان یک نرمافزار مانیتورینگ استفاده کرد. بهعنوان مثال Splunk DBConnect، یک افزونه بانک اطلاعاتی SQL است که اجازه میدهد اطلاعات بانک اطلاعاتی با پرسوجوهای Splunk یکپارچه شوند.
اصلیترین مفهوم در Splunk رخداد میباشد. رخداد، هر رکوردی است که در یک فایل لاگ ثبت میشود. هر رخداد شامل موارد برچسب زمانی ایجاد رخداد و همچنین اطلاعاتی درباره اتفاقات روی سیستم است. هر رخداد، مرتبط با چند فیلد ازجمله برچسب زمانی، نوع منبع و میزبان میباشد. نوع رخداد نیز روشی است که به کاربر اجازه میدهد تا رخدادهای یکسان را طبقهبندی نماید و جستوجوهای بامعنا را بسته به نیاز خود تعریف کند. شکل 1 نمونهای از رخداد را نشان میدهد.
شکل 1 نمونه ای از رخداد
برای دریافت کامل متن کلیک نمایید.
- 81