Splunk是一个用Python+C/C++开发的日志监控与分析平台,其主要有三大特点:实时监控、高效搜寻和及时告警。其易部署、易开发、海量存储、灵活搜寻、易扩展的能力亦让IT数据管理人员如虎添翼。虽然splunk在中国大陆的市场还处于刚起步阶段,但是,今后大陆的公司和机构定会体会到splunk的强大,届时splunk定会成为IT数据处理的闪亮明星。
实时监控保证了日志内容不会被删除或篡改。骇客在侵入我们的系统后势必会做篡改或删除踪迹的动作,那么这会给我们做追踪带来极大的难度。但是,splunk却可以通过在重要系统中部署forwarder(即收集和传发日志的客户端软体)将日志等稽核信息(接近)实时地传送至日志服务器,如果架构层级更多,那么稽核信息的备份数就越多,这保证了稽核信息的真实性,可以作为未来的呈堂正供,对犯罪分子进行指控。
高效搜寻保证了在海量稽核信息中取出我们感兴趣的内容。一个小企业环境中,产生的稽核信息不会太多,对安全的要求可能不大,但是如果你面对的是一个超大型企业,像阿里巴巴、百度、腾讯、IBM、苹果这样的大企业,其产生的数据可以用海量来形容,其对安全的要求也是很高的,那么高效地获取我们感兴趣的内容是至关重要的,时间就是金钱,对企业尤其如此。通过splunk,我们可以自定义灵活的搜寻语句或定制App,可以高效地获取我们想要的资讯。而且由于其优秀的扩展性,可以灵活的满足我们的个性需求。
及时告警保证了及时应对发生的资讯安全事件。如果你的系统正在被攻击,而这些攻击产生的日志信息满足了定制的告警输入条件,那么就会触发告警系统。当然,这些告警也可以定制。那么你就可以及时的应对你所面对的风险,而不是等到骇客得到他想要的东西后才做出滞后的响应。那时就为时已晚了。
当然,splunk的特点还有很多,有待我们去发掘。我相信,splunk一定会是处理IT Data的明星。能把专注地把产品做的这么优秀,splunk公司值得尊敬。