Van, amikor a túl bonyolult jelszavak okoznak gondot. A Splunk-ot természetesen lehet használni clusterezett környezetben is. Előfordulhat azonban egy érdekes hibaüzenet ha app-okat, vagy add-onokat szeretnénk kiküldeni a Search Head node-okra cluster környezetben a deployment szerverről:
...
Error in pre-deploy check, uri=https://x.x.x.x8089/services/shcluster/captain/kvstore-upgrade/status, statu…
see moreHa például van egyetlen Universal Forwarder-ünk, de azt szeretnénk, hogy sourcetype alapon továbbítsa a logokat különböző Indexer megoldások felé:
- sourcetype: IIS logs -> destination = Indexer1
- sourcetype: Event Viewer data -> destination = Indexer2
akkor is jól használható a _TCP_ROUTING az inputs.conf file-ban, hogy beállítsuk a különböző sourcetype-okhoz a különböző cél címeket.
Részlete…
see moreJó tudni, hogy a "KV Store initialization has not been completed yet" üzenet mögött sokféle hibalehetőség lehet (mostanában sokan szembesültek ezzel a mongoDB nem frissülő adatbázis verziója miatt), de például a cikkben a tanúsítvány lejárata okozott hibát.
A hibakeresésben első körben a kvstore logjainak elemzése segíthet a Search Head (cluster)-en:
| rest /services/kvstore/status
| fields splunk_s…
see moreJó hangulat, teltház, remek sörök ... és tartalmas szakmai beszélgetések!
Bolondok napján az Arrow ECS Hungary társszervezője volt az első magyarországi Splunk User Group Meetup-nak a Kandalló Craft Beer & Burger Pub-ban. Célunk az volt, hogy segítsünk összehozni a Splunk rajongókat, IT szakembereket és iparági szakértőket egy tanulással, kapcsolatépítéssel és szórakozással teli estére. A rem…
see moreSokan ezeket a kifejezéseket egymás szinonimájaként használják, pedig vannak köztük funkcionális eltérések. A különbségek ráadásul elég fontosak, hiszen ezek döntik el, hogy egy adott use case-nél melyik gyártó, melyik megoldása az optimális az ügyfélnél.
A "data platform" egy átfogó, teljeskörű megoldás az összes adat számára. Egy valódi adatplatform képes a szervezeten belüli összes rendszer és…
see moreA keresések végrehajtásához a Splunk saját nyelvet, az SPL-t (Search Processing Language) használja. Az SPL parancsok több típusba sorolhatók az általuk végzett feldolgozástól függően. Különösen egy olyan elosztott környezetben, ahol a Splunk rendszer több szerverből áll, az SPL típusától függően más-más modulok végeznek nagyobb munkát, sajnos könnyű nem optimalizált kereséseket létrehozni. A cik…
see moreElőfordulhat, hogy szükség van a Splunk-ba beérkező napi eseményszám (log, trace, metrics) megjelenítésére. Ezt több módszerrel is meg lehet tenni... Lehet akár timechart utasítást is használni, annak azonban az az óriási hátránya, hogy ténylegesen beolvassa az összes eseményt adott időszakra, amire itt semmi szükség, cserébe sok memóriát használ. Sokkal célravezetőbb a tstats utasítás, mely pont…
see moreMár nagyon régóta érdeklődnek az ügyfelek az Enterprise Security multi-tenant képességeiről, de sajnos még mindig nincs hivatalos dátum, hogy mikor lesz ez az opció is elérhető.
see moreHiába van megfelelően konfigurált Splunk Forwared-ünk. Hiába van beállítva, hogy mely logokat gyűjtsön, és mit hogyan továbbítson az Indexer felé, ha a service account nincs megfelelően beállíva, akkor nem tud logokat küldeni az Indexer felé a Forwarder.
Részletek:
https://community.splunk.com/t5/Getting-Data-In/Sysmon-events-not-getting-indexed/m-p/655609#M111072
see moreHa az alábbi hibaüzenetet látod a frissítés során és minimum 8-as Linux verziót használsz:
...
File "/opt/splunk/lib/python3.7/site-packages/splunk/clilib/cli.py", line 39, in <module>
from splunk.rcUtils import makeRestCall, CliArgError, NoEndPointError, InvalidStatusCodeError
MemoryError
Error running pre-start tasks.
...
Akkor érdemes megnézni a "/opt/splunk/lib/python3.7/ctypes/__init__.py" fi…
see moreEgy ideje már szemezgetek a Splunk Attack-Range-el, a leírás alapján egy hasznos projeknek tűnik. Különféle szkriptek segítségével létrehoz egy környezetet, amely kis méretben, de valós hálózathoz hasonlít. Eddig nem nagy kaland, de a projekt részeként támadásszimuláló eszközöket és alkalmazásokat is kapunk, majd a Splunk segítségével biztonségi elemzéseket végezhetünk.
Az egészet a Splunk Threat …
see moreHiába lépsz be a Splunk Cloud tenant-ba.
Csinálsz egy külön index adatbázist.
Töltöd le az Universal Forwarder telepítőt.
Telepíted azt a megfelelő gépekre.
Ettől még nem érkeznek meg a logok a Splunk Cloud-ba.
…
Ugyanis a Splunk Cloud-ba történő log továbbításhoz szükséges a megfelelő credential is (lásd a lenti linken).
Részletek:
Use forwarders to get data into Splunk Cloud Platform - Splunk Documenta…
see moreA Splunk az alábbi értékelést kapta a Gartner-től. Van esetleg valakinek ezektől eltérő véleménye, meglátása?
Erősségek
- OpenTelemetry támogatás: Az OpenTelemetry erős támogatása továbbra is a Splunk Observability Platform-jának erőssége. A Splunk OpenTelemetry collector szinte mindenhol támogatott, Linux, Windows és Kubernetes disztribúciókat is tartalmaz.
- Service Level Objective (SLO) menedzsme…
see more