Splunk: Giới thiệu về giải pháp Splunk phần 1

FeatureBenefit

Splunk: Giới thiệu về giải pháp Splunk phần 1

SplunkArcSight ESMSymantec SSIMEMC ( RSA – Network Intelligence ) enVisionInstallation

Multiple platforms supportedCác nhu yếu, các chuẩn, doanh nghiệp yên cầuHỗ trợ đa hệ quản lý và điều hành ( window, linux, MacOXS ). Có thể setup một cách thuận tiện trên mỗi nền tảng tương ứng. Splunk tương hỗ hầu hết các định dạng phổ cập lúc bấy giờ như : FAT, FAT32, hoặc các file mạng lưới hệ thống với độ bảo mật thông tin cao như : ext2 / 3, reiser3, FFS, UFS, NFS, ZFS, HFS, VxFS, NTFS .Đa nền tảng ( window, linux, solaris ) tương hỗ cho DB và quản trị các liên kết. Có các tính năng thiết kế xây dựng sẵn cho quy trình setup Oracle. Nhưng tất cả chúng ta phải cần đến các dịch vụ tương hỗ của ArcSight cho quy trình tiến hành Oracle trong thực tiễn. Không các vậy tất cả chúng ta còn phải cần đến các DBA có kinh nghiệm tay nghề để duy trì và quản trị mạng lưới hệ thống DB .chỉ tương hỗ trên Linux w / DB2NL chỉ phân phối 1 số ít thiết bị trên các nền tảng không tương hỗ ( MSFT không tương hỗ cho Windows 2000 ). NL chỉ sử dụng window file system cho các tàng trữ tài liệu, sự kiện .Collection Layer Capabilities

Bạn đang đọc: Splunk: Giới thiệu về giải pháp Splunk phần 1

Real Time Indexing of the datanăng lực lập chỉ mục can đảm và mạnh mẽ để tối ưu hóa tìm kiếm, tùy chỉnh hoặc sinh các báo cáo giải trình mạng lưới hệ thốngSplunk phân phối năng lực can đảm và mạnh mẽ trọng việc index dữ liệu mà không có bất kể trở ngại nào. Dữ liệu đó hoàn toàn có thể nhiều hay ít, hoặc hoàn toàn có thể là các cấu trúc XML phức tạp. Không cần phải viết một nghiên cứu và phân tích cú pháp trước khi lập chỉ mục, thậm chí còn các định dạng log file mới .Phải cần rất nhiều nghiên cứu và phân tích cú pháp và các quy tắc cho toàn bộ các định dạng log. Các sự kiện phát sinh theo thời hạn thực được lưu trong các trường tài liệu, Nên cần phải tốn nhiều khoảng trống hơn để tàng trữ các tài liệu đó. Cần phải xác nhận với các nhà sản xuất để xác nhân rằng các trường tài liệu đó trọn vẹn đúng chuẩn. Điều này hoàn toàn có thể dẫn đến thực trạng mất tài liệu nếu nhà cung ứng nghĩ rằng các tài liệu đó không quan trọng. Tất cả các trường được lập chỉ mục không thiếu cho nghiên cứu và phân tích báo cáo giải trình hoặc tìm kiếm. Sau khi lập các chỉ mục và phân loại. các tài liệu sự kiện này sẽ được tối thiểu 2,5 lần so với các tài liệu thô khởi đầuKhông có chỉ mục hoặc thông thường. Cần kiến thiết xây dựng trình nghiên cứu và phân tích cú pháp mới và các quy tắc cho toàn bộ các định dạng log trước khi tìm kiếm và báo cáo giải trình hoàn toàn có thể triển khai .RSA sử dụng địa chỉ IP bên trong các tài liệu sự kiện như chỉ số duy nhất, nó được gọi là IPDB. Không theo thời hạn thực và không phải tổng thể các trường tài liệu được lập chỉ mục. Bên cạnh trưởng địa chỉ IP, cần phải viết nghiên cứu và phân tích cú pháp và các quy tắc cho tổng thể các định dạng log trước khi tìm kiếm và báo cáo giải trình hoàn toàn có thể được thực thi .Event Classifcation TechnologyTự động phân loại tài liệu, sự kiênSplunk được cho phép người dùng thêm, sửa đổi, xóa các phân loại của các tài liệu sự kiện một cách tự động hóa trên giao diện web. Người dùng hoàn toàn có thể phong cách thiết kế chỉnh sửa bất kể các trường tài liệu và phân loạiCác phân loại sự kiện được cố đinh bởi nhà phân phối cho 6 loại ( Object, Behavior, Outcome, Technique, Device Group, Significance ). Người dùng cuối không hề phong cách thiết kế chỉnh sửa bất kể các trường, phân loại tài liệu riêng của họ. Tất cả các đổi khác phải được thực thi bởi các nhà sản xuấtkhông tương hỗ .không tương hỗlitigation quality requirementsYêu cầu phải hoàn toàn có thể cung ứng các báo cáo giải trình chủ trương tuân thủ một cách đúng chuẩnSplunk phân phối ở mức độ rất cao cho việc duy trì tài liệu. Các tài liệu được lập chỉ mục và tài liệu thô được tàng trữ nén và không đổi khác gì .Cần được được cho phép ở mỗi thời gian thu gom để lưu một bản sao của các tài liệu thô bắt đầu. Tốn Ngân sách chi tiêu rất cao cho việc tàng trữ tài liệu như : người cần phải sẵn sàng chuẩn bị gấp đôi dung tích tàng trữ. Nếu kích cỡ của tài liệu thô là lớn hơn so với số lượng giới hạn tài liệu thô bên trong cơ sở tài liệu. Một số tài liệu thô hoàn toàn có thể sẽ bị rút ngắn, gây nên thực trạng mất tài liệu .Chỉ có tương hỗ ” As-is ” tài liệu bằng cách giữ các bản ghi thô. Không có sự bảo vệ tính toàn vẹn tài liệu. Không nén các tài liệu thô .Chỉ có tương hỗ ” As-is ” tài liệu bằng cách giữ các bản ghi thô .Supported Devices and data typesBao phủ rộng khắp. Thiết bị không được tương hỗ hoàn toàn có thể dẫn đến rủi ro tiềm ẩn gặp khó khăn vất vả trong quy trình tiến hànhSplunk hoàn toàn có thể thu thập dữ liệu từ thư mục, tập tin b, các cổng UDP / TCP, các truy vấn cơ sở tài liệu. Splunk tương hỗ không chỉ các tập tin logs, nó cũng hoàn toàn có thể tương hỗ các tài liệu nguồn vào từ các sự kiện như : configurations, scripts and code, messages, traps and alerts, system activity reports, stack traces and system metrics .Giới hạn các tập tin log của chỉ từ hơn 200 loại sản phẩm. Nếu có bất kể bản tăng cấp của phiên bản ứng dụng hoặc firmwire của thiết bị. Người dùng phải chờ các nhà sản xuất tăng cấp các nghiên cứu và phân tích cú pháp và quy tắc, hoặc người dùng cần phải tăng trưởng các nghiên cứu và phân tích cú pháp bằng việc sử dụng các công cụ lập trình .Chỉ tương hỗ các tập tin log của khoảng chừng 30 thiết bị. CheckPoint, Cisco và Juniper chỉ có 1 số ít ít. Không tương hỗ cho các ứng dụng, DBS, và người mua không được tương hỗ các bộ công cụ SDK tương hỗ tăng trưởngChủ yếu là tương hỗ log từ các thiết bị mạng hoặc các loại sản phẩm bảo mật thông tin. Không tương hỗ quá nhiều trên các ứng dụng và thiết bị DB .Search and Alerting

Data Searching and navigationTìm kiếm hạ tầng IT của bạn trong thời hạn thực là rất quan trọng để có năng lực hiển thị dữ thế chủ động thực trạng hạ tầng CNTT và tích hợp trên các nhóm IT khác nhau .Splunk phân phối Ad-hoc tìm kiếm và điều hướng bằng cách sử dụng từ khóa tìm kiếm. Kết quả tìm kiếm hoàn toàn có thể điều hướng phân loại theo thời hạn hoặc bằng cách nhấn vào các từ khoá khác để hoàn toàn có thể hiển thị cụ thể hơn các hiệu quả. Các mẫu bả
ng tinh chỉnh và điều khiển được hỗ trỡ rất nhiều từ SplunkBaseHoạt động rất phức tạp để hoàn toàn có thể phong cách thiết kế một bảng tinh chỉnh và điều khiển mới để hoàn toàn có thể hoạt động giải trí trong thời hạn thực dưới dạng lưới, đồ thị, màn hình hiển thị tài liệu, và biểu đồ. Dữ liệu bảng tinh chỉnh và điều khiển hoàn toàn có thể được update tự động hóa. Chỉ tối đa cho 10 lần tìm kiếm tài liệu. Tìm kiếm trong một thời hạn dài sẽ rất chậm .Không có drill down trên biểu đồ, 30 giây vận tốc làm tươi – thiếu năng lực tìm hiểu và không trực quanKhông có drill down trên biểu đồ – thiếu năng lực tìm hiểu và không trực quanAutomatic Alerting TechnologyCác máy tính ngày càng tạo ra tài liệu IT nhanh hơn để con người hoàn toàn có thể theo kịp. Các công dụng cảnh báo nhắc nhở tự động hóa hoàn toàn có thể cải tổ thời hạn giải quyết và xử lý sự cố cho các nhà quản trị IT .

Splunk cung ứng công dụng cảnh báo nhắc nhở tương tác. Người dùng hoàn toàn có thể thông số kỹ thuật các điều kiện kèm theo tìm kiếm ngay cả khi nó đến từ nhiều loại sự kiện. Cảnh báo sẽ được kích hoạt trong thời hạn thực nếu các tài liệu nguồn vào là tương thích với điều kiện kèm theo được chỉ định. Cảnh báo hoàn toàn có thể gồm có gửi email, tạo ra nguồn cấp tài liệu RSS và kích hoạt các API cho bên thứ 3 hoặc các công cụ .Người dùng hoàn toàn có thể thông số kỹ thuật các điều kiện kèm theo tìm kiếm thành các quy tắc đối sánh tương quan khác nhau để kích các cảnh báo nhắc nhở trong thời hạn thực. Tương quan quy tắc tương hỗ nhiều loại tài liệu. Chức năng cảnh báo nhắc nhở gồm có email, kích hoạt API hoặc các công cụ. Không có công dụng RSSkhôngChỉ tập trung chuyên sâu trên tài liệu chèn. Quy định mối đối sánh tương quan tập trung chuyên sâu vào lọc và đếm tài liệu .Data Analysis for IT Operationgiám sát các hạ tầng có yếu tố, sự cố xảy raSplunk tương hỗ giám sát các hạ tầng từ việc giám sát mạng lưới hệ thống sẵn có để phát hiện lỗi ví dụ điển hình như quản trị đổi khác và các lỗi ứng dụng thông thường .Không tương hỗKhông tương hỗKhông tương hỗData Analysis for SecurityTheo dõi các cuộc tiến công và phản ứng sự cố nhanh gọnSplunk tương hỗ giám sát bảo mật thông tin tài liệu, phát hiện gian lận, các mối rình rập đe dọa nội bộ, sử dụng sai của các nguồn tài nguyên vv …Hỗ trợ giám sát các mối rình rập đe dọa bên ngoài và mối rình rập đe dọa nội bộ .Hỗ trợ giám sát các mối rình rập đe dọa bên ngoài và mối rình rập đe dọa nội bộ .Hỗ trợ giám sát các mối rình rập đe dọa bên ngoài và mối rình rập đe dọa nội bộ .Data Analysis for ComplianceTuân thủ thuận tiện mà không có hoạt động giải trí gây ảnh hưởng tác độngSplunkbase cung ứng out-of-the-box cho các nhu yếu như PCI, SOX .Người dùng cuối hoàn toàn có thể mua thêm gói tương thích cho PCI, SOX …Chưa có giải phápChưa có giải phápData Analysis for Business Intelligencegiám sát các ứng dụng quan trọng, chống rò rỉ tài liệu hoặc sử dụng ứng dụng trái phépSplunk hoàn toàn có thể giám sátbất kỳ ứng dụng có log như Enterprise Web server log, J2EE application log. Splunk còn hoàn toàn có thể nhìn thấy các transaction khi chúng xảy ra .Không tương hỗKhông tương hỗKhông tương hỗReportingReporting CapabilityBáo cáo từ nhóm IT cho đến người dùng khác nhau .Splunk phân phối báo cáo giải trình hoặc hoàn toàn có thể thiết lập tự động hóa báo cáo giải trình ​ ​. Các bảng báo cáo giải trình, thống kê thời hạn thực, biểu đồ tương tác, Pivot và đi sâu công dụng được tương hỗ. Báo cáo hoàn toàn có thể được lưu và tái sử dụng cho sau này. SplunkBased phân phối rất nhiều các mẫu báo cáo giải trình tuân theo các chuẩn như ” PCI ” hoặc ” SOX “Báo cáo cho thời hạn dài là thật sự rất chậm. Và điều này nhu yếu báo cáo giải trình tài liệu thô phải trực tuyến và có sẵn. Cố gắng phân phối một tính năng mới của ” trend reporting “. Tuy nhiên, đây là công nghệ tiên tiến mà bạn cần phải thiết lập tìm kiếm của bạn trước thời hạn. Bạn không hề làm một quảng cáo tìm kiếm đặc biệt quan trọng trong một thời hạn dài. Cung cấp các mẫu báo cáo giải trình theo các chuẩn như ” ISO17799, SOX, PCI ” .Các báo cáo giải trình linh động bị hạn chế. Không có báo cáo giải trình đơn cử tương thíchLưu trữ tài liệu độc quyền thiếu lan rộng ra để hoàn toàn có thể tùy chỉnh báo cáo giải trình .Storage

Disk consumption and housekeepingQuản lý tàng trữ tốt hoàn toàn có thể phân phối hiệu suất cao và tối ưu hóa tàng trữ .Splunk lập các chỉ mục và tài liệu được tàng trữ nén và không biến hóa gì. Nếu tài liệu nguồn vào trong định dạng nén, Splunk hoàn toàn có thể đọc các tập tin nén trực tiếp mà không cần giải nén các tài liệu thô. Splunk hoàn toàn có thể tự động hóa lấy các tài liệu cũ dựa trên chủ trương của người dùng .Dựa trên Oracle RDBMS dẫn đến nhu yếu tàng trữ rất cao. Các tài liệu sự kiện trong RDBMS sẽ lớn gấp 2,5 lần các tài liệu thô bắt đầu .Dựa trên DB / 2 dẫn đến nhu yếu tàng trữ cao. Không có phân vùng tài liệu. Cần thanh lọc tài liệu bằng DBA một cách định kỳCần thanh lọc tài liệu bởi các thủ tục đặc biệt quan trọng ( special procedures ) .Adminstration

Admin Interfacegiao diện Web thuận tiện tiến hành. Giao diện CLI thuận tiện hơn cho người dùng để tích hợp các mẫu sản phẩm với các giải pháp khác .Splunk cung ứng cả hai CLI và giao diện web .ArcSight Administrator phải thiết lập ứng dụng người mua để quản trị thông số kỹ thuật ArcSight .

chỉ cung cấp giao diện web

chỉ cung ứng giao diện web

0 Shares
Share
Tweet
Pin