3. 1958 Hans Peter Luhn (investigador IBM): “La capacitat de
comprendre les interrelacions dels fets presentats de forma que
ens orienti a l'acció d'un fi desitjat"
Evolució intel·ligència empresarial
1998 Howard Dresnerd (futur analista de Garnter): "Intel·ligència
de negocis com a terme general per descriure els conceptes i
mètodes per a millorar la presa de decisions empresarials
mitjançant l'ús en sistemes de suport"
14. Com es gestionaven els logs abans d’Splunk?
Un únic fitxer de mida molt gran
Dificultat de gestió de les dades
Greps+tails...
Descentralització de les dades
Amb un bon filtre és fàcil de gestionar els logs en temps real
• tail -f /var/log/messages | grep -v -E '%BGP-3-
MAXPFXEXCEED|%VOIPAAA-5-VOIP|%SEC-6-IPACCESS|%PIM-6-
INVALID_RP_JOIN|%PORT_SECURITY-2-PSECURE_VIOLATION:|%IP-
TCP-3-BADAUTH|%CDP-4-DUPLEX_MISMATCH:'
15. Què hem aconseguit?
Centralització en una mateixa plataforma
Agilitat en les cerques
Estadístiques
• WIFI-A• WIFI-A
– Connexions mensuals totals
– Connexions totals per servidor radius
• WIFI-B
– Connexions mensuals totals
– Connexions totals per usuari
18. Conceptes bàsics Splunk
Event: Entrada única de dades
Source/sourcetype: Nom del arxiu d’un event en particular
Host: Nom del dispositiu
Index :Classificació dels eventsIndex :Classificació dels events
Fields: Camps dels events
Tags: Àlies dels fields
Eventtypes: Cerques referenciades per classificar els events
19. Conceptes bàsics Splunk
Reports: On s’emmagatzemen les cerques
Dashboards: Panell de control on podem emmagatzemar els reports
Apps: Software per aconseguir més funcionalitats al Splunk
20. Estadístiques Splunk
host=“host-a" process=“wifi-a" eventtype="Radius-OK y sense test" |
dedup _time | rex "(?i)..*? (?P<FIELDNAME>w+@w+.w+)(?= )" |
top 5 FIELDNAME
Radius-OK y sense test : "OK" AND NOT "test" AND NOT
"redis_monitor@domain.loc" AND NOT "prova"