Splunk – was ist das?

Splunk ist die Engine für Computerdaten. Mit Splunk erfassen, indizieren und nutzen Sie die sich schnell ändernden Computerdaten, die von allen Ihren Anwendungen, Servern und Geräten generiert werden, ob physisch, virtuell oder in der Cloud. Durchsuchen und analysieren Sie sämtliche Echtzeitdaten und historische Daten von einer zentralen Stelle.
Sie können mit Splunk innerhalb von Minuten statt Monaten oder Tagen Anwendungsprobleme beheben und sicherheitsrelevante Vorfälle untersuchen, die Beeinträchtigung oder den Ausfall von Diensten verhindern, zu geringeren Kosten Compliance erzielen und neue geschäftliche Erkenntnisse gewinnen.

Kostenloser Download

Software, die Sie innerhalb von
5 Minuten herunterladen und installieren

Testen Sie Splunk auf Ihrem Laptop und skalieren Sie es dann auf ein oder mehrere Datencenter. Splunk ist ein eigenständiges Softwarepaket, das auf allen gängigen Betriebssystemen ausgeführt wird - einfach die Plattform auswählen, die Software herunterladen und installieren. Anschließend stehen sofort eine Weboberfläche für Benutzer und eine Engine zum Indizieren Ihrer Computerdaten zur Verfügung.

Splunk-Produktdemo
download splunk
index any data

Indizieren aller Daten von jeder Quelle

Splunk indiziert alle Arten von IT-Daten von jeder Quelle in Echtzeit. Verweisen Sie im Syslog Ihrer Server oder Netzwerkgeräte auf Splunk, richten Sie Abrufe über WMI ein, überwachen Sie Logfiles in Echtzeit, aktivieren Sie die Änderungsüberwachung für Ihr Dateisystem oder die Windows-Registrierung, oder erstellen Sie ein Skript zum Abrufen von Systemmetriken. Splunk indiziert sämtliche Computerdaten, ohne dass Sie spezielle Parser oder Adapter erwerben, erstellen oder verwalten müssen. Die Daten und der Volltextindex werden in einem leistungsstarken, auf dem Dateisystem basierenden komprimierten Datenspeicher abgelegt, mit der Option zum Signieren und Überwachen der Daten, um ihre Integrität sicherzustellen.

Was sind Computerdaten?

Leitet Daten von Remotesystemen weiter

Splunk Forwarder können bereitgestellt werden, wenn die benötigten Daten nicht über das Netzwerk verfügbar oder nicht für den Hostserver von Splunk sichtbar sind. Splunk Forwarder bieten eine sichere, verteilte Sammlung universeller Daten in Echtzeit für Zehntausende von Endpunkten. Sie überwachen lokale Anwendungs-Logfiles, erfassen planmäßig die Ausgabe von Statusbefehlen, rufen Leistungsmetriken von virtuellen oder nicht virtuellen Quellen ab oder überwachen das Dateisystem auf Konfigurations-, Berechtigungs- und Attributänderungen. Forwarder sind unkompliziert, lassen sich schnell bereitstellen und verursachen keine Kosten.

Video zur Bereitstellung von Splunk Technische Beschreibung der Splunk Forwarder
forward data from remote systems via splunk forwarders

Korreliert komplexe Ereignisse

Mit Splunk korrelieren Sie komplexe Ereignisse, die viele Datenquellen in der gesamten Umgebung betreffen. Splunk unterstützt fünf Korrelationstypen. Zeitbasierte Korrelation zum Identifizieren von Beziehungen auf Grundlage von Zeit, Nähe oder Entfernung. Transaktionsbasierte Korrelation zum Nachverfolgen einer Reihe verwandter Ereignisse als einzelne Transaktion, um Dauer, Status oder andere Parameter zu messen. Untergeordnete Suche, bei der die Ergebnisse einer vorherigen Suche verwendet werden. Nachschlagevorgänge, bei denen externe Datenquellen außerhalb von Splunk korreliert werden. Verknüpfungen, um ähnlich wie bei SQL innere und äußere Verknüpfungen zu unterstützen. Das Korrelieren von Ereignissen in Splunk bietet Ihnen umfassendere Analysen und Informationen anhand der Computerdaten und optimiert somit die Transparenz und den Erkenntnisstand für IT und das Geschäft.

splunk vertical scaling

Für umfangreiche Daten ausgelegt

Verwenden Sie Splunk, um täglich Dutzende Terabytes von Daten zu erfassen und zu analysieren. Die Skalierbarkeitsarchitektur von Splunk basiert auf MapReduce. Wenn die täglichen Volumen und die Anzahl der Datenquellen zunehmen, können Sie daher die Leistung skalieren, indem Sie einfach weitere Commodity-Server hinzufügen. Durch automatischen Lastenausgleich werden Arbeitsauslastung und Antwortzeit optimiert sowie integrierte Failover-Unterstützung bereitgestellt. Sofort verwendbare Berichts- und Analysefunktionen machen das Bereitstellen von Drittanbieter-Berichtstools überflüssig. Splunk lässt sich zur langfristigen Speicherung für ein SAN oder ein anderes Speichergerät konfigurieren.

Sucharchitektur von Splunk Technisches Dokument zu Splunk und MapReduce

Lässt sich auf Datencenter skalieren

Dank der verteilten Architektur von Splunk können Sie mehrere Bereitstellungen in einem einzelnen Datencenter oder sämtliche Datencenter durchsuchen. Mit rollenbasiertem Zugriff steuern Sie den für spezifische Benutzer zulässigen Suchbereich. Für regionale Benutzer sind Daten aus regionalen Systemen sichtbar, für Benutzer mit Zugriff auf das gesamte Unternehmen Daten aus allen Datencentern. Mit Splunk erhält jeder berechtigte Mitarbeiter die jeweils benötigte Sicht der Computerdaten, ob für Untersuchungen, Berichte und Dashboards oder Analysen, um die IT-Prozesse kontinuierlich zu optimieren und wertvolle geschäftliche Erkenntnisse zu erlangen. Es dauert nur einige Minuten, eine sichere Verbindung mit einer Splunk-Installation herzustellen, um eine überschaubare Unternehmensdatenstruktur zu entwerfen.

Skalieren von Splunk Blog: "Scaling Splunk 101" von Erik Swan, CTO bei Splunk
splunk distributed search across datacenters
role base access controls

Bietet rollenbasierte Sicherheit

Allen Funktionen von Splunk liegt ein stabiles Sicherheitsmodell zugrunde. Jede Transaktion von Splunk, einschließlich Benutzeraktivitäten über die Weboberfläche und Befehlszeilenoberfläche sowie Systemaktivitäten über die Splunk-API, wird authentifiziert. Mit einem umfassenden Sortiment an dokumentierten Kontrollpunkten, die Funktionen nach Benutzertyp einschränken, können Sie eigene Rollen für Splunk-Benutzer definieren. Diese differenzierten Zugriffssteuerungen beschränken die Suchvorgänge, Warnungen, Berichte, Dashboards und Sichten, die für unterschiedliche Splunk-Rollen sichtbar sind. Splunk lässt sich in externe LDAP-Verzeichnisserver und Active Directory-Server integrieren, um unternehmensweite Sicherheitsrichtlinien zu erzwingen. Die Integration von Single Sign-On ermöglicht die Pass-Through-Authentifizierung von Zugangsdaten. Da in Splunk alle für die Problembehandlung, die Untersuchung sicherheitsrelevanter Vorfälle und den Nachweis von Compliance benötigten Daten persistent sind, können Sie den Zugriff auf Produktionsserver einschränken.