1) O documento descreve o Splunk, uma ferramenta para coletar, indexar e analisar dados gerados por máquinas.
2) O Splunk permite monitoramento em tempo real, pesquisa histórica, criação de painéis e visualizações personalizadas.
3) O Splunk oferece inteligência operacional para TI e negócios, incluindo visibilidade, monitoramento e investigação de problemas.
1. guia de soluções
O guia da Splunk para
inteligência operacional
Use o Splunk e os dados da sua máquina para oferecer novos
níveis de visibilidade e percepção para a TI e os negócios
O que é o Splunk® Enterprise ? A abordagem do Splunk
TM
O Splunk é o mecanismo para os dados de máquina. Ele foi
O Splunk é o mecanismo para os dados gerados desenvolvido para resolver todos os desafios dos dados
por máquina. Ele coleta, classifica e aproveita os da máquina e coletar, indexar e aproveitar seus dados de
dados de máquina gerados por seus sistemas máquina não estruturados e em correlações baseadas em
tempo. O Splunk pode ler os dados de praticamente qualquer
de TI e infraestrutura, sejam eles físicos, virtuais fonte imaginável, como tráfego de rede, servidores da
ou em nuvem. Use o Splunk e os dados da sua Web, aplicativos personalizados, servidores de aplicativos,
máquina para oferecer novos níveis de visibilidade e hypervisors, sistemas de GPS, feeds de bolsas de valores,
mídias sociais e bancos de dados estruturados preexistentes.
inteligência operacional para a TI e o negócio. Ele oferece uma compreensão do que está acontecendo em
tempo real e uma análise profunda do que está acontecendo
A oportunidade de dados da máquina em todos os sistemas e infraestrutura de TI. Além disso,
transforma os dados gerados por máquina em informações
Todas as suas aplicações, sistemas e infraestrutura de TI valiosas, não importa seu negócio.
geram dados a cada milissegundo, todos os dias. Esses
dados gerados por máquina contêm um registro definitivo Fazer "splunking" dos dados de máquina oferece muitos usos
das transações do usuário, comportamento do cliente, para a TI e o negócio:
comportamento da máquina, ameaças de segurança,
• Gerenciamento de aplicativos: solucionar problemas
atividades fraudulentas e muito mais. Eles também são
em toda a pilha de aplicativos a partir de um único local
dinâmicos, não estruturados e não padronizados, e constituem
e monitorar a queda de desempenho.
a maioria dos dados da sua empresa.
• Segurança e conformidade: oferece rapidamente
Os dados gerados por máquina são um recurso incrivelmente resposta, correlação e monitoramento aprofundado de
valioso, mas as empresas raramente extraem deles o valor incidentes em todas as fontes de dados
de que precisam. As soluções existentes para análise,
gerenciamento e monitoramento de dados simplesmente não • Gerenciamento de operações e infraestrutura:
foram projetadas para esse tipo de dados. monitora de forma proativa para garantir o tempo de
atividade, além de detectar e resolver problemas
Pense no gerenciamento de informações. Os sistemas de
gerenciamento de data warehouses e bancos de dados • Análise empresarial e da Web: ganhe visibilidade e
relacionais são baseados em esquemas rígidos e projetados inteligência sobre clientes, serviços e transações, além
para dados estruturados e consistentes. Eles fornecem de identificar tendências e padrões em tempo real
análise de histórico, mas não visibilidade em tempo real. O Encontrar e corrigir problemas, seguir a trilha de um invasor,
Enterprise Search foi criado para dados gerados por humanos, emitir relatórios de conformidade e analisar o comportamento
como documentos e páginas da Web. Esses dados são muito dos clientes são atividades que exigem uma visualização
diferentes dos dados da máquina. Os dados de máquina têm completa.
uma ordem de magnitude, maior volume e diversidade do que
os dados tradicionais e estruturados.
As ferramentas de gerenciamento de TI e o gerenciamento
de eventos e informações de segurança são, por outro lado,
isolados e projetados para um nível da empresa. Eles fornecem
uma visão limitada dos dados básicos e estão vinculados a
tipos específicos de dados e fontes. Ou eles monitoram vários
sistemas, com graves lacunas nos dados que coletam. Eles
também não fornecem o contexto histórico.
Na verdade, encontrar a melhor maneira de filtrar, refinar e
compreender as enormes quantidades de dados da máquina
pode transformar a forma como as organizações de TI
gerenciam, protegem e fazem auditorias de TI. Isso também
pode fornecer informações valiosas para a empresa sobre as
tendências e comportamentos dos seus clientes e serviços. Criar painéis de controle personalizados está a apenas alguns cliques para
TI e usuários corporativos.
2. guia de soluções
A solução dos problemas muitas vezes significa correlacionar Indexa dados de qualquer fonte. Produtos para
logs do servidor da Web, mensagens SOA, transações gerenciamento de sistemas, SIEM, CEP/ECA e gerenciamento
de banco de dados, desempenho virtual e alterações de de logs exigem semanas ou meses desenvolvendo ou
configuração. configurando conectores personalizados para cada fonte de
dados. O Splunk coleta diretamente os dados de dezenas
Investigar incidentes de segurança exige a análise dos eventos
de milhares de fontes, levando-os em segurança até um
dos logs dos servidores, firewalls e varreduras de IDS, além de
local central em tempo real. Nas situações em que os dados
eventos de aplicativos, configurações e scripts para entender o
necessários não estão disponíveis na rede, você pode instalar
que está acontecendo.
Splunk forwarders. Os Splunk forwarders são leves agentes
Cumprir a conformidade exige revisões sistemáticas e a e oferecem um coletor de dados universal e em tempo real.
retenção de dados em longo prazo de toda a infraestrutura, Monitore os arquivos de log de aplicativos locais, capture a
colocando mais barreiras ao acesso a esses dados para as saída de comandos de status em um cronograma, obtenha
necessidades operacionais diárias. métricas de desempenho a partir de fontes virtuais ou não
virtuais ou observe o sistema de arquivos para alterações de
Quando a empresa busca melhor inteligência, podem ser configuração, permissões e atributos.
necessárias a correlação e a análise em tempo real das
transações e eventos de diversas fontes de TI, possivelmente Permite a análise de dados de histórico e em tempo real.
combinados com dados empresariais. Os sistemas tradicionais de TI forçam uma decisão entre
monitoramento em tempo real e análise de histórico. Com o
O Splunk mune os engenheiros de rede, administradores de Splunk, você pode pesquisar e analisar os dados históricos em
sistemas, analistas de segurança e conformidade, equipe da tempo real a partir de uma única solução. Isso significa que você
central de atendimentos e usuários corporativos com novos pode identificar e responder aos padrões de comportamento ou
níveis de visibilidade, tudo isso a partir de uma única solução. atividade de interesse antes que seja tarde demais.
Isso é o que consideramos oferecer Inteligência Operacional.
O software que os usuários querem usar. Antes fazia
sentido gerenciar sua infraestrutura de TI em silos. Porém ,
Qual é a diferença do Splunk? com a computação atual dimensionada e distribuída, e com
O Splunk é diferente das abordagens anteriores de gerenciar, a proliferação de virtualizações e aplicativos complexos
fazer auditorias, proteger e coletar inteligência de sistemas de baseados na Web, isso simplesmente não funciona mais. O
TI. Nós mostramos como. Splunk rompe os silos de TI. Pesquise, crie relatórios, monitore
e analise todos os seus dados a partir de qualquer aplicativo,
Resultados imediatos, sem riscos. O Splunk é um software
servidor e dispositivo, tudo isso a partir de um único local e
empresarial fácil de usar. Os usuários podem baixar o Splunk
em tempo real. Integre o sistema facilmente com ferramentas
gratuitamente, instalá-lo em poucos minutos, alimentá-lo com
empresariais de gerenciamento, segurança e conformidade
quaisquer dados gerados por máquina e se tornar produtivo
existentes. Encontrar e corrigir problemas, seguir a trilha de
imediatamente. Chega daqueles exércitos de consultores ou
um invasor, rastrear transações e ganhar novas percepções
DBAs para fazer as coisas funcionarem. A prova é imediata.
dos seus dados operacionais, de repente, se transformou em
A maioria dos usuários baixa e instala o Splunk quando estão
um conjunto de tarefas muito mais rápido e fácil.
sendo atacados. Um problema grave de serviço ou incidente de
segurança agora podem ser investigados em poucos minutos, Crie visualizações e painéis de controle personalizados.
ao contrário das horas ou dias que isso costumava levar. O Splunk ajuda a dar sentido a grandes volumes de dados
gerados por máquina para satisfazer às necessidades de
Baseado em tecnologia de indexação e pesquisa de alto
diferentes usuários e grupos na empresa. Crie rapidamente
desempenho. Todos os dias, milhões de pessoas pesquisam
painéis de controle personalizados que integram diversos
e navegam por bilhões de páginas da Web servidas por
gráficos e visualizações dos seus dados em tempo real, e
computadores em todo o mundo. A pesquisa é flexível,
visualize-os pelo seu desktop ou dispositivo móvel. Personalize
intuitiva e oferece resultados imediatos. O Splunk possui em
os painéis de controle para diferentes usuários na sua empresa,
seu núcleo uma tecnologia poderosa de indexação e pesquisa,
como gerentes, analistas de negócios, analistas de segurança,
mudando completamente o significado de velocidade e
auditores, desenvolvedores e administradores de sistemas.
capacidade de resposta. Com ele, você pode pesquisar bilhões
Os usuários podem editar os painéis de controle usando uma
de eventos em segundos e começar a ver os resultados
simples interface do tipo "arrastar e soltar". Os controles
imediatamente.
integrados de gráficos significam que eles podem alterar os
Projetado para dados não estruturados e em série tipos de gráfico, sem interrupções.
temporal. Os dados gerados por máquina são dados não
Faça mais com os Splunk Apps. Crie aplicativos no Splunk
estruturados. Baseiam-se em série temporal, dinâmicos e
que ofereçam uma experiência de usuário direcionada
não padronizados. Eles capturam todas as interações entre
para tecnologias e situações de uso específicas. Você
máquinas e entre homem e máquina, geradas em volumes que
pode compartilhar e reutilizar os aplicativos dentro de sua
superam os dados empresariais estruturados. Eles também
empresa e no restante da comunidade do Splunk. Há um
estão crescendo em ritmo exponencial. O Splunk não usa
número crescente de aplicativos no site da nossa comunidade
esquemas predefinidos, podendo ler dados em qualquer
(www.splunkbase.com), criados pela nossa comunidade,
formato e de praticamente qualquer fonte imaginável.
parceiros e pela Splunk. Aplicativos para segurança empresarial
2
3. guia de soluções
Obtenha uma percepção em tempo real dos
Percepções de dados operacionais para tomar decisões de
negócios
negócios com mais embasamento.
Obtenha visibilidade de ponta a ponta para
Visibilidade acompanhar e oferecer KPIs de TI e tomar
operacional
decisões de TI com mais embasamento.
Todos os dados
da máquina Monitore automaticamente sua infraestrutura
Monitoramento para identificar questões, problemas e ataques
proativo
antes que influenciem seus clientes e serviços.
Pesquisa + Localize e corrija problemas com muito
investigação mais rapidez por toda a sua empresa,
usando os dados de TI.
O Splunk oferece Inteligência Operacional
ou para conformidade, aplicativos para diferentes plataformas, • Monitore os dados e forneça alertas em tempo real,
como Windows, Linux e Unix, e aplicativos para diferentes quando surgirem condições específicas
tecnologias, como redes, virtualizações e muito mais.
• Forneça relatórios e análises eficazes.
Acompanha as mudanças. A única constante nos atuais
• Ofereça a capacidade de criar painéis de controle e
ambientes de TI complexos, virtualizados e híbridos são as
visualizações personalizados para diferentes funções
mudanças. O que pensamos que sabemos está, muitas vezes,
errado. As abordagens tradicionais de TI para gerenciamento • Dimensione de forma eficiente, utilizando um hardware
e segurança presumem que os usuários conheçam todas comum
as possíveis falhas e riscos com antecedência, e que esses
• Ofereça segurança baseada em função e controle de
formatos de dados não mudarão. Simplesmente, esse não
acesso granulares
é mais o caso. Na verdade, a maioria dos departamentos
de TI gasta mais tempo personalizando e mantendo suas • Suporte multi-tenancy e seja implantado de forma flexível
ferramentas do que usando-as.
O Splunk não depende de esquemas frágeis que limitam Indexação universal
a flexibilidade e que corrompem quando os formatos dos Os componentes individuais em sua infraestrutura
dados mudam. O Splunk indexa todos os dados selecionados geram centenas de eventos por segundo. Um datacenter
em tempo real, o tempo todo. Todas as interpretações de pode registrar vários terabytes de dados por dia. Você
dados que você precisar, como extrair um campo ou marcar provavelmente começará a se perguntar como será possível
um subconjunto de hosts, podem ser feitas facilmente sem acessar todos esses dados em todos os diferentes formatos
interrupções, enquanto você pesquisa. e locais. O Splunk oferece uma série de métodos de entrada
Dimensionamento do laptop ao datacenter. Em um flexíveis e não precisa de conectores especiais para formatos
momento em que cada despesa é minuciosamente controlada, de dados específicos. Assim, você pode imediatamente
as empresas nem sempre contam os recursos de que indexar os logs, os dados clickstream, as configurações,
precisam. É por isso que o Splunk tem um preço e foi criado armadilhas e alertas, mensagens, scripts, dados e estatísticas
para se adequar a todos os ambientes. Ele pode ser baixado de desempenho a partir dos seus aplicativos, servidores e
e executado em um laptop em menos de cinco minutos e o dispositivos em rede, sejam eles físicos, virtuais ou em nuvem.
mesmo software pode ser dimensionado através das maiores Entrada de dados flexível. O Splunk coleta e indexa os dados
infraestruturas globais, indexando dezenas de terabytes de de praticamente qualquer fonte imaginável, como tráfego
dados por dia. de rede, servidores da Web, aplicativos personalizados,
servidores de aplicativos, hypervisors, sistemas de GPS,
Oferecendo os principais recursos para a feeds de bolsas de valores, mídias sociais e bancos de dados
estruturados preexistentes. Não importa como você obtém
inteligência operacional
os dados ou o formato em que estão, eles serão indexados
• Colete e indexe universalmente os dados de máquina, de da mesma forma, sem quaisquer analisadores ou conectores
praticamente qualquer fonte específicos para escrever ou manter.
• Habilite a busca em formato livre e investigações de Encaminha dados de sistemas remotos. Os Splunk
incidentes a partir de um único local forwarders podem ser implantados em situações em que os
• Extraia conhecimento dos dados automaticamente e dados necessários não estão disponíveis na rede ou visíveis
permita que os usuários adicionem os seus próprios dados para o servidor onde o Splunk está instalado. Os Splunk
3
4. guia de soluções
forwarders oferecem coleta universal de dados segura, Resultados interativos. Quando comparada a ferramentas e
distribuída e em tempo real. Eles conseguem monitorar os scripts de linha de comando, uma interface interativa melhora
arquivos de log de aplicativos locais, capturar a saída de significativamente a experiência do usuário e a velocidade com
comandos de status em um cronograma, obter métricas a qual as tarefas podem ser realizadas. Amplie e reduza em
de desempenho a partir de fontes virtuais ou não virtuais uma linha cronológica de resultados para revelar rapidamente
ou observar o sistema de arquivos para alterações de as tendências, picos e anomalias. Clique para detalhar seus
configuração, permissões e atributos. Eles são leves, podem resultados e eliminar ruídos, encontrando aquela agulha no
ser instalados rapidamente e sem nenhum custo adicional. palheiro. Se estiver resolvendo um problema de um cliente
ou investigando um alerta de segurança, você encontrará as
Indexação em tempo real. O pessoal de TI depende de
respostas em segundos ou minutos, em vez de horas ou dias.
informações atualizadas para solucionar problemas, realizar
investigações de incidentes de segurança, relatórios de Pesquisa de transações. Enviar e-mails, fazer um pedido
conformidade e outras tarefas importantes. O Splunk indexa em um site ou conectar uma chamada VoIP criarão inúmeros
constantemente os dados de máquina em tempo real, como eventos em diferentes componentes de TI. Muitas vezes você
seus logs, dados de configuração, eventos de mudanças, vai querer procurar por essas coleções de eventos, que fazem
saída dos comandos de diagnóstico, dados de APIs e parte da mesma transação. Por exemplo, encontrar todos os
filas de mensagens, inclusive os logs dos seus aplicativos eventos do sendmail com o mesmo ID de usuário, entre um
personalizados. login e um logout, que ocorrem dentro de 10 minutos.
Captura tudo. O Splunk armazena os dados brutos e os O Splunk possibilita correlacionar os eventos, encontrando
índices aprimorados em um repositório de dados eficiente, características comuns e, em seguida, salvando aquela
comprimido e baseado em sistema de arquivos, com pesquisa como uma transação, para que você possa encontrar
assinatura e auditoria de dados opcionais para comprovar a os mesmos tipos de transações novamente, para parâmetros
integridade dos dados. de pesquisa diferentes.
Sem esquemas rígidos. O Splunk não tem um esquema
predefinido. As soluções que dependem de esquemas frágeis Aumente o conhecimento
possuem flexibilidade limitada e caem por terra quando os O Splunk automaticamente extrai conhecimento dos dados e
formatos dos dados mudam. Todas as interpretações de dados permite que os usuários adicionem os seus próprios, liberando
de que você precisar, como extrair um campo ou marcar um todo o potencial dos seus dados. É possível agregar aos dados
subconjunto de hosts, são feitas no momento da pesquisa. informações sobre os eventos, campos, transações, padrões e
Automatiza a cronologia. Todos esses dados de streaming estatísticas. Você também pode identificar, nomear e marcar
significam extração, e normalizar marcas temporais é muito esses dados, e pode realizar várias tarefas, como encontrar
importante. O Splunk determina automaticamente o horário todos os eventos com um nome de usuário específico até
de cada evento, mesmo com os formatos mais atípicos ou não obter instantaneamente os dados estatísticos sobre atividades
tradicionais. As marcas temporais ausentes de dados podem específicas do usuário. Você também pode correlacionar
ser tratadas inferindo-se as marcas temporais com base em e nomear as transações que englobem múltiplas fontes de
contexto. dados. O Splunk une a flexibilidade da busca em formato livre
com a capacidade de trabalhar com seus dados, de um jeito
que você nunca experimentou antes.
Pesquisa e investigação
Mapeie o conhecimento no momento da pesquisa. O Splunk
O Splunk permite que os usuários pesquisem e naveguem
evita os problemas causados pelas abordagens tradicionais,
pelos seus dados a partir de um único local.
mapeando o conhecimento para os dados no momento
Pesquise e investigue qualquer coisa. A busca em formato da pesquisa, em vez de tentar normalizar os dados em um
livre é compatível com pesquisas intuitivas booleanas, esquema de banco de dados frágil antecipadamente. Além
aninhadas, com texto entre aspas e curingas, comuns a todos disso, não há mais a necessidade do gerenciamento complexo
acostumados a usar a Internet. Isso permite que os usuários de analisadores e conectores personalizados. Valorize
iterem e refinem suas pesquisas rapidamente, sem saberem facilmente seus dados da máquina com informações de bancos
nada sobre formatos específicos de dados. de dados externos de gerenciamento de ativos, sistemas de
gerenciamento de configuração e diretórios de usuário. Agora
Busca em tempo real. Pesquisar dados de streaming e dados você tem uma forma flexível de gerenciar seus dados. Assim,
de histórico indexados em tempo real, a partir da mesma conforme eles mudam, você não precisa mudar também.
interface, é o que há de melhor. Com o Splunk, você consegue
analisar o comportamento e a atividade em tempo real, além Trabalhe de forma mais inteligente. O Splunk permite que
de visualizar o contexto histórico. todos os usuários adicionem seus próprios conhecimentos
enquanto trabalham. Ao salvar pesquisas e identificar
Pesquisa por tempo. Em função do grande volume e da diferentes tipos de campos, eventos e transações, você torna
natureza repetitiva dos dados da máquina, os usuários muitas o sistema mais inteligente para todo mundo. Além disso, esse
vezes começam restringindo a pesquisa a um intervalo de conhecimento não sai pela porta quando alguém vai embora.
tempo específico. Com enfoque no momento em os eventos
acontecem, o Splunk permite que os usuários combinem
pesquisas por tempo e palavras. Essa capacidade de pesquisar Monitore e emita alertas
em todos os níveis da sua infraestrutura por erros e alterações Em vez de usar a pesquisa com a única finalidade de reagir
de configuração, segundos antes da ocorrência de uma falha a incidentes e problemas, você deseja ser proativo. O Splunk
do sistema, é incrivelmente rápida e poderosa. oferece recursos flexíveis de alertas que melhoram sua
4
5. guia de soluções
cobertura de monitoramento. Além disso, por funcionar em de dados, para que você possa gerar relatórios e analisar
toda a sua estrutura de TI, ele é a solução de monitoramento atividades importantes, como o tempo para finalizar uma
mais flexível do seu arsenal. transação de novo serviço ou determinar se uma transação
complexa já foi ou não finalizada. Sub-buscas, tomando os
Transforme as pesquisas em alertas em tempo real.
resultados de uma pesquisa para usá-los em outra. Pesquisas,
As pesquisas podem ser salvas e programadas para
correlacionando com fontes de dados externas, fora do
monitoramento contínuo, além de serem capazes de disparar
Splunk. Junções, para suportar junções internas e externas
alertas por e-mail ou RSS. Você pode até mesmo lançar um
tipo SQL.
script para tomar ações corretivas, enviar um a interceptação
SNMP para o seu console de gerenciamento de sistemas ou Funciona bem com os outros. Agora, toda a sua empresa
gerar um protocolo para a central de atendimento. Programar pode aproveitar o valor dos dados da máquina. Os relatórios
alertas é uma ótima maneira de concluir a investigação de um podem ser salvos e compartilhados com a administração ou
problema ou incidente de segurança, procurando de forma outros colegas em formatos seguros tipo somente leitura,
proativa ocorrências semelhantes no futuro. como o PDF e, até mesmo, integrados em painéis de controle.
Correlacione eventos complexos. O Splunk permite
correlacionar eventos complexos a partir de múltiplas fontes Visualizações e painéis de controle
de dados em toda a sua infraestrutura de TI, para que você personalizados
monitore eventos mais significativos. Por exemplo, você pode
acompanhar uma série de eventos relacionados como uma Dê mais sentido aos enormes volumes de dados à sua
única transação, para medir a duração ou status. disposição. O Splunk possibilita a criação de painéis de
controle e visualizações para diferentes tipos de usuários,
Monitore para condições específicas. Os alertas podem se técnicos e não técnicos. Integre os relatórios, e pesquise
basear em uma série de condições de limite e baseadas em os resultados e, até mesmo, dados de aplicativos externos.
tendências, em qualquer nível de granularidade. A linguagem Edite painéis de controle, usando uma simples interface do
de busca vai além das simples pesquisas booleanas em tipo “arrastar e soltar”. Os controles integrados de gráficos
pesquisas de campo, buscas e sub-buscas estatísticas, você significam que você pode alterar os tipos de gráfico, sem
pode correlacionar o que quiser e emitir alertas sobre padrões interrupções. Fazer tudo isso pela IU do Splunk significa que
complexos, como carrinhos de compras abandonados, ataques você pode capacitar os usuários corporativos a fazer o mesmo.
brutais e cenários de fraude.
Painéis de controle dinâmicos. Os painéis de controle
integram múltiplos gráficos, visualizações e relatórios de
Gere relatórios e análises dados de histórico e ao vivo, para satisfazer as necessidades
Se você sempre quis gerar relatórios sem interrupções a partir de diferentes usuários. Os melhores mecanismos da categoria
de dados gerados por máquina difíceis de entender, você vai oferecem a capacidade de personalizar os painéis de controle
adorar o Splunk. Crie relatórios eficazes, ricos em informações, para analistas de gestão, comerciais ou de segurança,
para fazer análises sem precisar de conhecimentos avançados auditores, desenvolvedores e administradores de sistemas.
sobre comandos de busca. Você pode programar a entrega Mashups com outros aplicativos. O Splunk oferece a
de qualquer relatório em PDF e compartilhá-lo com usuários capacidade de criar mashups com outros aplicativos baseados
corporativos, gerentes ou outros interessados em TI. na Web, como o Tivoli, SAP, consoles de segurança e muito
Relatórios sobre os resultados da pesquisa. Crie facilmente mais, para oferecer uma visão perfeita através dos silos.
gráficos, tabelas e minigráficos a partir dos resultados da Painéis de controle a qualquer hora, em qualquer lugar. Os
pesquisa, e visualize tendências importantes, observe os altos gráficos e os cronogramas no Splunk não usam o Flash, o que
e baixos, faça um resumo dos principais valores e gere um significa que os painéis de controle podem ser visualizados
relatório sobre os tipos de condições mais e menos frequentes. e editados de qualquer lugar em dispositivos móveis ou em
A simplicidade de analisar enormes quantidades de dados navegadores que não tenham o Flash instalado.
vai surpreendê-lo (e ao seu chefe). Por exemplo, um relatório
pode mostrar o total de bytes enviados pelo endereço IP
a partir de eventos de atividade de firewall, uma tabela Crie e baixe Splunk Apps
mostrando bytes por protocolo por endereço IP ou um gráfico Agora você está indexando e usufruindo de todos os dados
ilustrando o tráfego de firewall por hora para o laptop de da sua máquina, poderá usufruir de aplicativos que permitem
um determinado funcionário. Praticamente todos os campos fazer ainda mais.
podem ser usados como critério de relatório. E lembre-se,
como os campos são identificados como sua pesquisa, você Inove você mesmo. O Splunk facilita a criação de aplicativos
pode especificar novos campos sem reindexar seus dados. que ofereçam uma experiência de usuário direcionada para
diferentes funções e situações de uso. A estrutura do Splunk
Analise eventos correlacionados. O Splunk é compatível com App oferece a capacidade de desenvolver e empacotar
cinco tipos de correlação. Correlações baseadas no tempo, aplicativos através de uma única interface de usuário.
para identificar relações baseadas em tempo, proximidade ou Proporcione uma experiência de usuário adaptada a uma
distância. Correlações baseadas em transações, para rastrear situação de uso específica ou aprimore as tecnologias dos
transações que abrangem vários silos, sistemas e fontes fornecedores existentes.
5
6. guia de soluções
Compartilhe e baixe aplicativos. Você pode compartilhar e o tamanho ideal para o equipamento ou solução de um
reutilizar os aplicativos dentro de sua empresa e no restante determinado fornecedor. Busque fornecedores que indexem
da comunidade do Splunk. Há um número crescente de cada byte dos seus dados, sem a necessidade de analisadores
aplicativos no site da nossa comunidade www.splunkbase.com, ou conectores personalizados. Se o fornecedor for incapaz ou
criados pela nossa comunidade, parceiros e pela Splunk. Você não se dispuser a cotar seus valores de EPS com base nesses
pode encontrar aplicativos que ajudam a visualizar os dados critérios, siga em frente e encontre um que o faça.
geograficamente ou que suportam situações específicas de
Velocidade de pesquisa. Pesquisas de qualquer tipo devem
uso, como segurança empresarial ou conformidade com a
gerar resultados em questão de segundos, não minutos
PCI. Também existem aplicativos para diferentes sistemas
ou horas. Com base em uma estrutura de computação
operacionais e tecnologias de terceiros, como Windows, Linux,
distribuída, o Splunk converte automaticamente as pesquisas
Blue Coat, Cisco, WebSphere e F5 Networks.
em um programa paralelo, permitindo recuperar e analisar
Gerenciamento fácil. Após instalado, você aplica controles rapidamente grandes conjuntos de dados. Um único servidor
de acesso baseados em função e distribui aplicativos com uma comum será compatível com pesquisas de bilhões de eventos
experiência de usuário personalizada por toda a empresa, em segundos.
ampliando o valor dos seus dados para diferentes usuários.
Eficiência de armazenamento. Medida como a percentagem
do tamanho original do fluxo de dados, a eficiência de
Escalabilidade massiva armazenamento determina a quantidade de capacidade de
Com o Splunk, você pode dimensionar sua instalação a partir armazenamento que você precisará para manter seus dados
de um único servidor Windows, Linux ou Unix comum para e seus respectivos índices. Uma boa solução exigirá de 25% a
as maiores e mais complexas infraestruturas de geografia 50% do tamanho original dos dados para manter seus dados
e centro de processamento de dados múltiplos, indexando e um conjunto útil de índices. Cuidado com as soluções que
dezenas de terabytes de dados por dia. A arquitetura do afirmam usar 10% ou menos do tamanho original dos dados.
Splunk se baseia na estrutura do MapReduce e é dimensionada Isso indica apenas o armazenamento de dados comprimidos,
linearmente através de servidores comuns para volumes não a indexação.
ilimitados de dados. Você encontrará uma grande variedade Arquivamento. No fim, você pode decidir armazenar seus
de opções para acessar os dados, armazená-los, procurá-los e dados em camadas. O armazenamento em camadas pode
encaminhá-los para outros sistemas. oferecer menor custo e melhor redundância. O arquivamento
Fácil instalação. Um pacote de software autônomo de dados com base na utilização do disco ou na idade será
independente de programas de terceiros faz com que o Splunk útil para a criação de um repositório de dados em múltiplas
seja fácil de instalar e executar. Ele funciona em todos os camadas. Certifique-se de que sua solução permita configurar
principais sistemas operacionais e plataformas de hardware. uma política de arquivamento com base no tamanho ou no
Além disso, como o Splunk é um software, ele pode operar em tempo do repositório de dados e restaurar seus arquivos sob
infraestruturas físicas ou virtuais, em vez de exigir hardware, demanda.
energia e espaço no rack dedicados. Redimensionamento linear. Você pode dimensionar o Splunk
Analisa dados grandes. Seu centro de processamento de horizontal e verticalmente, simplesmente acrescentando
dados gera mais dados gerados por máquina do que você mais capacidade de computação. Você pode executar uma
provavelmente jamais imaginou. Um único servidor de configuração distribuída em diferentes servidores físicos, uma
produção pode gerar centenas de megabytes de dados por combinação de servidores virtuais e não virtuais ou em uma
dia. Firewalls e servidores da web podem gerar, cada um máquina grande com múltiplos processadores e núcleos. O
deles, muitas vezes essa quantidade. Na realidade, os dados Splunk permite equilibrar as cargas de trabalho, configurando
da máquina constituem um dos mais rápidos e complexos vários indexadores e ferramentas de busca em toda a sua
segmentos dos dados grandes. configuração.
Esse volume de dados também está sujeito a exigências Pesquisa distribuída. Muitas vezes, não será viável centralizar
de retenção, que vão desde alguns dias para resposta a fisicamente todos os seus dados em um único local. Você
incidentes, até meses e anos para conformidade. provavelmente precisará pesquisar em várias instalações e
repositórios de dados, em diferentes silos de tecnologia e
Baseado na estrutura do MapReduce, o Splunk permite o geográficos.
dimensionamento linear através de hardware comum. Ao
considerarmos desempenho e compararmos abordagens para Roteamento e clonagem de dados. Com todo aquele fluxo
coletar, indexar e aproveitar seus dados da máquina, aqui de dados para gerenciar, você desejará ter a capacidade de
estão alguns pontos a observar e considerar: encaminhar os dados baseados nas características e conteúdo.
Isso será importante para dimensionar e proteger a instalação
Taxa de transferência de indexação. Os eventos por do seu Splunk. E, ao depender do Splunk como peça essencial
segundo (EPS) é uma medida comum de taxa de transferência, da sua infraestrutura de TI, você provavelmente desejará
mas considere que os tamanhos dos eventos podem variar clonar os dados importantes para vários servidores para
de algumas centenas de bytes a um megabyte ou mais. garantir uma alta disponibilidade.
Os valores de EPS são geralmente calculados seja qual for
6
7. guia de soluções
Integração. Se você for como a maioria dos departamentos de eventos individuais podem ser assinados e fluxos de
TI, você fez investimentos significativos em outras ferramentas eventos bloqueados. O Splunk também oferece medidas de
de gerenciamento, ferramentas de monitoramento e integridade de mensagens que provam que ninguém inseriu
ferramentas de análise. Não seria ótimo se você pudesse nem excluiu eventos do fluxo original.
integrar o Splunk a todas elas? Imagine lançar pesquisas de
Implantação protegida. Manter uma trilha de auditoria e a
contexto do seu console de gerenciamento de rede, enviar
assinatura dos eventos é inútil se o servidor que executa o
alertas do Splunk para o seu console de gerenciamento
Splunk puder ser comprometido. Certifique-se de que seu
de sistemas ou automatizar a criação de protocolos de
fornecedor ofereça orientações de proteção.
problema quando atividades incomuns acontecem. O Splunk
oferece múltiplos pontos de integração e uma API robusta e
documentada. ROI e Splunk
Os clientes da Splunk geralmente conseguem medir o ROI
Segurança em semanas ou meses, às vezes, até mesmo antes de ser
implantado na produção. Os usuários do Splunk podem
Você precisará manter os dados da sua máquina seguros.
solucionar problemas em aplicativos e investigar incidentes de
Especialmente quando você perceber que essas informações
segurança em minutos, em vez de horas ou dias, melhorando
são seus bens valiosos. O Splunk oferece manipulação segura
significativamente os níveis de serviço, reduzindo as
dos dados, controles de acesso, auditorias, garantia de
interrupções e entregando relatórios de conformidade a um
integridade dos dados e integração com as soluções single
custo menor. Essa visibilidade, normalmente indisponível
sign-on da empresa.
antes do Splunk, oferece às empresas um ROI rápido, nova
Acesso e transporte seguros dos dados. Os dados gerados produtividade e importantes percepções. Aqui estão alguns
por máquina podem ser sigilosos. O Splunk é compatível com exemplos:
o fornecimento avançado de dados anônimos para mascarar
• Um fornecedor líder em soluções de gestão de saúde
as informações confidenciais dos resultados. As informações
evitou uma multa de US$ 100.000, encontrada durante a
corporativas ou de clientes particulares também exigem
fase de avaliação do Splunk. Esse mesmo cliente obteve
acesso, transporte e armazenamento seguros. Você deve
um ROI anual de mais de US$ 700.000.
avaliar possíveis soluções para acesso criptografado a fluxos
de dados, usando algo como TCP/SSL. Certifique-se de que • Uma das editoras mais importantes do mundo
o acesso do usuário esteja protegido, usando, por exemplo, dos negócios substituiu seu antigo software de
HTTPS ou SSH, para ter acesso de linha de comando. monitoramento de servidores pelo Splunk e outro
software de código aberto. Isso eliminou as taxas de
Controle de acesso granular. Claro que você também precisa
manutenção e reduziu os custos operacionais em US$
ser capaz de controlar as ações que os usuários podem
1,6 milhões/ano.
realizar e quais dados, ferramentas e painéis de controle eles
podem acessar. Você não deseja necessariamente permitir • Um dos principais fabricantes do ramo de comunicações
que a equipe de desenvolvimento de aplicativos acesse suas evitou uma atualização de licença de software no valor de
análises de IDS, alertas e logs de firewall. O Splunk é um US$ 1,5 mil para seu SIEM existente, reatribuiu as funções
sistema flexível baseado em função que permite que você de cinco analistas de turno integral para outras tarefas
crie suas próprias funções para mapear as políticas da sua (US$ 600.000/ano) e agora monitora novas fontes
empresa para diferentes classes de usuários. de dados para identificar os ataques desconhecidos
anteriores.
Em alguns ambientes, como serviços multi-tenant, pode
ser necessário controlar fisicamente o acesso aos dados. • O maior fornecedor de pôquer B2B do mundo,
A capacidade de encaminhar os dados selecionados para hospedando 25 das maiores marcas do setor e até
diferentes instalações do Splunk permitirá que você separe os 45.000 jogadores simultâneos nas horas de pico, reduziu
dados fisicamente em diferentes repositórios de dados. Você o tempo de inatividade em 30% e contabilizou uma
também vai querer integrar com LDAP e Active Directory e economia anual de US$ 1,9 milhão (16x ROI no 1º ano).
grupos de mapas para diferentes funções.
• Um dos maiores sites de viagens on-line do mundo
Single sign-on. Se estiver usando controles de acesso demonstrou um ROI anual de mais de US$ 14 milhões.
internamente e tiver políticas de controle de acesso Esse ROI foi uma combinação de ferramentas de
organizacionais, você vai querer ter certeza de poder integrar consolidação, licenças de aposentados, prevenção de
sua solução Splunk com o sistema de autenticação, seja ele interrupções e eficiência na resolução de problemas,
LDAP, Active Directory, e-Directory ou outro sistema de obtida pelo uso do Splunk.
autenticação.
Função de auditoria. Depois de configurar seus controles
Download gratuito
de acesso, é preciso monitorar quem está fazendo o quê. O Baixe o Splunk gratuitamente. Você receberá uma licença
Splunk registra as atividades administrativas e dos usuários, do Splunk Enterprise para 60 dias e poderá indexar até
para que você possa auditorar quem está acessando quais 500 megabytes de dados por dia. Após 60 dias, ou a qualquer
dados e quando. momento antes disso, você poderá converter a uma licença
perpétua grátis ou comprar uma licença Enterprise, entrando em
Integridade dos dados. Você também precisará garantir contato pelo sales@splunk.com.
a integridade dos dados. Como você sabe se os resultados
da pesquisa ou o relatório que você está vendo não são
baseados em dados que foram adulterados? Com o Splunk,
7
8. guia de soluções
Buscando uma solução de alto nível para gerenciar os dados da sua máquina? Então
considere o seguinte:
1 Indexação de dados dinâmicos
Indexa todos os dados da máquina gerados por aplicativos, servidores ou dispositivos em rede,
inclusive logs, dados clickstream, configurações, mensagens, armadilhas e alertas, métrica e dados
a
de desempenho, sem analisadores ou conectores personalizados para formatos específicos (inclui
ambientes virtuais e não virtuais).
Acesso flexível aos dados, em tempo real e sob demanda, a partir de arquivos, portas e bancos de
b
dados em rede e APIs e interfaces personalizados.
Ouve as portas TCP e UDP da rede para receber syslog, syslog-ng e entradas de outras redes.
Consome arquivos compactados.
Captura novos eventos em arquivos de log dinâmicos em tempo real.
Monitora arquivos por mudanças.
Pesquisa tabelas de banco de dados por DBI.
Monitora eventos do Windows remotamente através de WMI.
Acessa nativamente a API de eventos do Windows.
Monitora o registro do Windows para mudanças.
Conecta-se ao OPSEC LEA e outros protocolos importantes de eventos de segurança.
Inscreve-se em filas de mensagens, tais como JMS.
Captura a saída dos comandos de status do sistema Unix / Linux, como o ps, top e vmstat.
Copia arquivos remotamente através de scp, rsync, ftp e sftp.
Expansível pelas entradas de script para capturar a saída de comandos de novo status, conectar-se a
APIs de novos eventos e inscrever-se em diferentes tipos de filas de mensagens.
Indexação universal dos dados em praticamente todos os formatos, sem analisadores ou conectores
c
personalizados para formatos específicos de dados.
Identifica eventos em linha única, multilinha e complexas estruturas XML.
Reconhece e normaliza marcas temporais. Lida com marcas temporais erradas ou ausentes através
da inferência contextual.
Captura e indexa a estrutura de cada evento.
Rastreia e indexa o host e a origem de cada evento.
Classifica os formatos de código dinamicamente.
d Indexa densamente cada termo nos dados originais.
e Mantém os dados da máquina originais e inalterados.
f Cria um índice não estruturado no disco sem esquema.
Suporta transmissão e recepção de dados de uma máquina remota para balanceamento de carga,
g
failover e implantações distribuídas.
8
9. guia de soluções
2 Pesquisa e investigação
a Pesquisa eventos entre componentes em vários formatos ao mesmo tempo.
Pesquisa dados dinâmicos e de histórico a partir da mesma interface e automaticamente preenche os
b
dados de histórico para pesquisas em tempo real, com janelas.
Resultados rápidos nas pesquisas por termos em vez de consultas otimizadas para campos/colunas
c
específicos em um esquema persistente.
Pesquisa ad hoc de formato livre para qualquer termo nos eventos originais com suporte para
d
booleanas, aninhadas, com texto entre aspas e curingas.
Pesquisas precisas usando campos identificados dentro dos dados no momento da pesquisa. Suporta
e
várias exibições de esquema para os mesmos dados, sem armazenamento redundante ou reindexação.
f Sugestões de preenchimento automático para tornar mais fácil descobrir o que procurar.
Navegue por eventos relacionados e refine as pesquisas clicando em campos ou termos nos resultados
g
da pesquisa.
h Pesquise por tempo em vários formatos de dados.
Visualize as tendências e navegue por resultados usando gráficos, histogramas, minigráficos e resumos
i
interativos baseados no tempo.
j Pesquise por transações em diferentes fontes e componentes de dados.
Pesquisa persistente como evento e tipos de transação e pesquise, filtre e resuma por evento e tipo de
k
transação.
l Descubra campos, tipos de eventos e transações de forma interativa no momento da pesquisa.
Salve as pesquisas em relatórios, painéis de controle ou modos de exibição para simplificar os cenários
m
de pesquisa de rotina.
n Interface do usuário AJAX interativa, baseada em navegador. Não são necessário plug-ins.
o Interface CLI opcional programável para pesquisa em tempo real e de histórico.
3 Adicione conhecimento
Permite que o sistema e o usuário adicionem automaticamente significado semântico aos dados
a
gerados por máquina.
Extrai conhecimento dos dados da máquina automaticamente, como marcas temporais, pares de
b
nome/valor, cabeçalhos etc.
Permita que os usuários agreguem conhecimentos sobre os eventos, campos, transações e padrões
c
nos dados de sua máquina.
Atribua etiquetas aos valores de campo para ajudar a pesquisar grupos de eventos com seus
d
respectivos valores de campo de forma mais eficiente.
e Identificar e classificar as transações por correlação de eventos de múltiplas fontes de dados.
Salve as pesquisas que retornam resultados interessantes, salvando a sequência de pesquisa (para
f
executar a pesquisa depois) ou os resultados da pesquisa (para rever os resultados depois).
Compartilhe e promova pesquisas salvas, relatórios salvos e tipos de eventos com outros usuários
g
autorizados.
9
10. guia de soluções
4 Monitore e emita alertas
Execute pesquisas baseadas em tempo em uma programação e defina as condições de alerta com base
a
em limites e deltas no número e distribuição dos resultados.
b Dispare alertas via e-mail, RSS, SNMP ou scripts.
c Tome atitudes corretivas ou de acompanhamento automatizadas através de alertas de script.
d Incorpore regras de correlação sofisticadas em alertas através de subpesquisas.
5 Gere relatórios e análises
Crie relatórios resumidos com base nos resultados de qualquer pesquisa de forma interativa, clicando
a
em campos e estatísticas disponíveis.
Crie relatórios usando campos e esquemas identificados no momento pesquisa. É compatível com
b
várias exibições de esquema para os mesmos dados, sem armazenamento redundante ou reindexação.
Suporta análise estatística e resumida sofisticada, canalizando os comandos de pesquisa avançada
c
juntos em uma única pesquisa.
d Visualize os resultados do relatório em um formato tabular.
Visualize os resultados do relatório em gráficos interativos de linha, barra, pizza, dispersão e mapas de
e
calor.
f Aprofunde-se em qualquer campo ou termo.
g Agende pesquisas ou relatórios para entrega automática por e-mail ou RSS.
h Armazene em cache os resultados dos relatórios programados para reutilização.
i Crie relatórios em tempo real baseados em fontes de dados de streaming dinâmicos.
j Agende os relatórios de entrega via PDF.
6 Crie visualizações e painéis de controle personalizados
Crie e edite painéis de controle que combinam pesquisas, relatórios, gráficos e tabelas usando um
a
editor de painel de controle visual.
Crie painéis de controle sofisticados, com interfaces de usuário e visualizações ricas totalmente
b
personalizadas, incluindo mashups com outros aplicativos e dados de fontes externas.
Forneça painéis de controle pré-embalados, que retratam as principais informações e a atividade do
c usuário, como atividade do administrador, atividade de pesquisa, atividade de indexação e atividade
de entradas.
Ofereça indexação de resumo para gerar relatórios de forma eficiente sobre grandes volumes de
d
dados, como tendências de longo prazo.
Amplie ou restrinja as permissões de leitura e gravação baseadas em funções para um painel de
e
controle.
Crie painéis compostos com base em fontes de dados de histórico ou dinâmicos. Implante painéis de
f
controle em dispositivos e navegadores que não suportam Flash.
g Agende a entrega de qualquer painel de controle via PDF.
10
11. guia de soluções
7 Crie e implemente aplicativos
Proporcione a capacidade de criar e distribuir aplicativos sobre mecanismo de dados da máquina para
a
situações específicas de uso.
Empacote painéis de controle e configurações personalizados, que vão de scripts, objetos de
b
conhecimento e configurações de back-end como aplicativos.
Navegue facilmente e alterne entre aplicativos dinamicamente sendo executados na instância do
mecanismo dos dados da máquina, utilizando uma interface de inicialização de aplicativos. Visualize
c
instantaneamente todos os aplicativos instalados na instância do mecanismo dos dados da máquina
que o usuário tem permissão de ver.
d Forneça uma estrutura poderosa para suportar a criação de aplicativos robustos em todos os níveis.
e Amplie ou restrinja as permissões de leitura e gravação baseadas em funções para o aplicativo.
8 Integração
Forneça APIs para permitir a rápida integração com outros aplicativos, ferramentas de gerenciamento
a
de TI e sistemas.
Exigências de interface mínimas devem incluir interface de linha de comando, DBI, roteamento de
b
dados, SDKs documentados, REST, alertas de script, entradas de script.
9 Dimensione e implemente
O servidor do mecanismo dos dados da máquina é um pacote de software autônomo independente de
a
programas de terceiros. O setor de TI roda em ambientes de armazenamento e servidor virtualizados.
Há disponíveis pacotes nativos (rpm, deb, pkg, dmg, msi, etc.) e distribuições de formatos de arquivos
b (.tgz., .zip, .tar.Z) para os sistemas operacionais mais amplamente implementados, como Linux,
Windows, Solaris, HP-UX, AIX, Free BSD e Mac OSX.
Os servidores funcionam em conjunto para suportar modelos centralizados e descentralizados para o
c
gerenciamento dos dados da máquina em toda a empresa.
Fornece em tempo real a centralização dos dados da máquina a partir dos servidores de produção com
d
transporte de dados confiável via TCP.
Arquitetura distribuída para suportar configurações de alta disponibilidade, com failover integrado e
e
balanceamento de carga.
f Roteamento de dados baseado em políticas entre servidores e para sistemas de terceiros.
Dimensionamento linear de terabytes por dia através de pesquisa distribuída e balanceamento de
g
dados com base na técnica do MapReduce.
h Visualização única em todos os silos através de pesquisa distribuída.
i Mantém uma completa trilha de auditoria assinada das ações administrativas e histórico de pesquisas.
j Monitora suas próprias configurações para alteração não autorizada.
Gerenciamento de configuração centralizado, baseado em políticas, entre os servidores em uma
k
implantação distribuída.
11