Jó hangulat, teltház, remek sörök ... és tartalmas szakmai beszélgetések!
Bolondok napján az Arrow ECS Hungary társszervezője volt az első magyarországi Splunk User Group Meetup-nak a Kandalló Craft Beer & Burger Pub-ban. Célunk az volt, hogy segítsünk összehozni a Splunk rajongókat, IT szakembereket és iparági szakértőket egy tanulással, kapcsolatépítéssel és szórakozással teli estére. A rem…
see moreSokan ezeket a kifejezéseket egymás szinonimájaként használják, pedig vannak köztük funkcionális eltérések. A különbségek ráadásul elég fontosak, hiszen ezek döntik el, hogy egy adott use case-nél melyik gyártó, melyik megoldása az optimális az ügyfélnél.
A "data platform" egy átfogó, teljeskörű megoldás az összes adat számára. Egy valódi adatplatform képes a szervezeten belüli összes rendszer és…
see moreA keresések végrehajtásához a Splunk saját nyelvet, az SPL-t (Search Processing Language) használja. Az SPL parancsok több típusba sorolhatók az általuk végzett feldolgozástól függően. Különösen egy olyan elosztott környezetben, ahol a Splunk rendszer több szerverből áll, az SPL típusától függően más-más modulok végeznek nagyobb munkát, sajnos könnyű nem optimalizált kereséseket létrehozni. A cik…
see moreElőfordulhat, hogy szükség van a Splunk-ba beérkező napi eseményszám (log, trace, metrics) megjelenítésére. Ezt több módszerrel is meg lehet tenni... Lehet akár timechart utasítást is használni, annak azonban az az óriási hátránya, hogy ténylegesen beolvassa az összes eseményt adott időszakra, amire itt semmi szükség, cserébe sok memóriát használ. Sokkal célravezetőbb a tstats utasítás, mely pont…
see moreMár nagyon régóta érdeklődnek az ügyfelek az Enterprise Security multi-tenant képességeiről, de sajnos még mindig nincs hivatalos dátum, hogy mikor lesz ez az opció is elérhető.
see moreHiába van megfelelően konfigurált Splunk Forwared-ünk. Hiába van beállítva, hogy mely logokat gyűjtsön, és mit hogyan továbbítson az Indexer felé, ha a service account nincs megfelelően beállíva, akkor nem tud logokat küldeni az Indexer felé a Forwarder.
Részletek:
https://community.splunk.com/t5/Getting-Data-In/Sysmon-events-not-getting-indexed/m-p/655609#M111072
see moreHa az alábbi hibaüzenetet látod a frissítés során és minimum 8-as Linux verziót használsz:
...
File "/opt/splunk/lib/python3.7/site-packages/splunk/clilib/cli.py", line 39, in <module>
from splunk.rcUtils import makeRestCall, CliArgError, NoEndPointError, InvalidStatusCodeError
MemoryError
Error running pre-start tasks.
...
Akkor érdemes megnézni a "/opt/splunk/lib/python3.7/ctypes/__init__.py" fi…
see moreEgy ideje már szemezgetek a Splunk Attack-Range-el, a leírás alapján egy hasznos projeknek tűnik. Különféle szkriptek segítségével létrehoz egy környezetet, amely kis méretben, de valós hálózathoz hasonlít. Eddig nem nagy kaland, de a projekt részeként támadásszimuláló eszközöket és alkalmazásokat is kapunk, majd a Splunk segítségével biztonségi elemzéseket végezhetünk.
Az egészet a Splunk Threat …
see moreHiába lépsz be a Splunk Cloud tenant-ba.
Csinálsz egy külön index adatbázist.
Töltöd le az Universal Forwarder telepítőt.
Telepíted azt a megfelelő gépekre.
Ettől még nem érkeznek meg a logok a Splunk Cloud-ba.
…
Ugyanis a Splunk Cloud-ba történő log továbbításhoz szükséges a megfelelő credential is (lásd a lenti linken).
Részletek:
Use forwarders to get data into Splunk Cloud Platform - Splunk Documenta…
see moreA Splunk az alábbi értékelést kapta a Gartner-től. Van esetleg valakinek ezektől eltérő véleménye, meglátása?
Erősségek
- OpenTelemetry támogatás: Az OpenTelemetry erős támogatása továbbra is a Splunk Observability Platform-jának erőssége. A Splunk OpenTelemetry collector szinte mindenhol támogatott, Linux, Windows és Kubernetes disztribúciókat is tartalmaz.
- Service Level Objective (SLO) menedzsme…
see more