Splunk App for Stream

最新推荐文章于 2024-06-04 09:50:51 发布
最新推荐文章于 2024-06-04 09:50:51 发布
阅读量1.9k 收藏 5
点赞数 1
分类专栏: splunk 大数据 文章标签: Splunk 流计算 大数据
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ffjl1985/article/details/78421346
版权

Splunk Stream是什么

Splunk Stream是Splunk官方提供的免费App,可以捕获,过滤,索引和分析网络事件数据流,内置了大量的数据分析和可视化功能,并且能够创建新的数据流分析和可视化界面。

是Splunk Enterprise Security和Splunk User Behavior Analisis的基础,提供数据。

Stream"流"是由特定网络协议和一组字段定义的事件分组。 当与日志,指标和其他信息相结合时,可以通过Splunk Stream捕获的流,洞察网络基础架构中的活动和可疑行为。

支持NetFlow v5, v9, jFlow, sFlow, 和 IPFIX。

使用Splunk Stream

  • 被动地捕获网络事件数据的实况流。
  • 捕获多个网络协议的元数据和完整数据包流。
  • 收集NetFlow协议数据。
  • 应用聚合方法对事件数据进行统计分析。
  • 应用过滤器来最小化索引器要求。
  • 从字符串中提取内容并生成散列。
  • 从网络流量中提取文件。
  • 在预建的仪表板中监控网络趋势和应用程序性能。
  • 部署独立的Stream转发器来捕获远程linux机器上的数据。
  • 不需要标签或仪器仪表即可迅速而不引人注意。

Splunk Stream 包含的组件

  • splunk_app_stream

提供streamfwd的配置管理。 还提供流转发器管理工具,捕获数据的过滤,预定义流和仪表板,用于分析网络事件和流数据。

  • Splunk_TA_stream

提供数据抓取和转发功能。 Splunk_TA_stream包括Stream转发器(streamfwd)。 streamfwd是Splunk_TA_stream的核心组件,并提供被动捕获的网络数据。

  • 独立的Stream转发器

Splunk Stream一个独立的Stream转发器安装包(splunkstreamfwd.tgz),它不与splunk_app_stream和Splunk_TA_stream一起部署。 Splunk App for Stream生成一个curl命令,可以使用这个命令在任何兼容的Linux机器上安装独立的Stream转发器。

Splunk Stream内置的分析功能

分析总览

 

 

应用分析

 

 

流量可视化

 

 

HTTP总览

 

 

Http活动

 

数据库活动

 

DNS总览

 

DNS活动

 

 

SSL 活动

 

Splunk Stream支持哪些协议

 

协议

描述

AMQP

AMQP,即Advanced Message Queuing Protocol,一个提供统一消息服务的应用层标准高级消息队列协议,是应用层协议的一个开放标准,为面向消息的中间件设计。基于此协议的客户端与消息中间件可传递消息,并不受客户端/中间件不同产品,不同的开发语言等条件的限制

DHCP

DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)是一个局域网网络协议,使用UDP协议工作, 主要有两个用途:给内部网络或网络服务供应商自动分配IP地址,给用户或者内部网络管理员作为对所有计算机作中央管理的手段,在RFC 2131中有详细的描述。

DIAMETER

Diameter协议被IETF的AAA工作组作为下一代的AAA协议标准。Diameter(为直径,意为着Diameter协议是RADIUS协议的升级版本)协议包括基本协议,NAS(网络接入服务)协议,EAP(可扩展鉴别)协议,MIP(移动IP)协议,CMS(密码消息语法)协议等。

DNS

域名解析协议

FTP

文件传输协议

HTTP

超文本传输协议

ICMP

Internet控制报文协议

IMAP

Internet邮件访问协议

IP

网络之间互连的协议

IRC

互联网中继聊天协议

LDAP

轻量级目录访问协议Lightweight Directory Access Protocol

MAPI

消息应用程序接口

MySQL

MySQL客户端/服务器端协议

NetBIOS

网络基本输入/输出系统协议

NFS

网络文件系统

POP3

邮局协议V3

Postgres

PostgreSQL数据库

RADIUS

远程用户拨号认证服务,是目前应用最广泛的AAA协议。

RTP

实时传输协议,RTP协议详细说明了在互联网上传递音频和视频的标准数据包格式。

SIP

SIP(Session Initiation Protocol,会话初始协议)是由IETF(Internet Engineering Task Force,因特网工程任务组)制定的多媒体通信协议。

SMB

服务器信息块(SMB)是一个网络文件共享协议,它允许应用程序和终端用户从远端的文件服务器访问文件资源。

SMPP

SMPP技术广泛应用于短信的接收与提交。

SNMP

简单网络管理协议(SNMP)

TCP

TCP(Transmission Control Protocol 传输控制协议)是一种面向连接的、可靠的、基于字节流的传输层通信协议,

TDS Tabular Data Stream - Sybase/MSSQL

Tabular Data Stream (TDS) 是一种应用程序层的协议, 用来在数据库服务器和客户端之间转移数据.

TNS

Transparence Network Substrate,透明网络底层协议(Oracle)

UDP

用户数据报协议,是OSI(Open System Interconnection,开放式系统互联) 参考模型中一种无连接的传输层协议,提供面向事务的简单不可靠信息传送服务,IETF RFC 768是UDP的正式规范。

XMPP

XMPP是一种基于标准通用标记语言的子集XML的协议,它继承了在XML环境中灵活的发展性。

 

网络数据收集架构

本地收集

本地收集架构需要在要监视的网络或网段上的每个主机上安装通用转发器和Splunk_TA_stream。 本地收集在例如用于从各个网络节点捕获数据的子网环境(例如多层网站)中是有用的。

SPAN 或 TAP 方式

从网络设备镜像流量出来到专用设备上,在专用设备上分析数据流量。

SPAN 架构的考虑点

  • 捕获的数据流量是否超过了NIC(网卡)的接收能力?例如1G的NIC肯定无法处理10GB端口镜像出来的流量。
  • SPAN镜像端口是否包含了所有端口的出、入流量?如果是的话,NIC需要更大的带宽。
    • 镜像设备是否生成了NAT数据(即包含了内部网络也包含了互联网的数据流量)?
    • 网络数据流量有多大?根据流量的不同,可能需要进行一些性能调整,以确保系统按预期方式运行。

网络收集部署架构的比较

 

类型

优点

缺点

本地
  • 快速部署(使用deployment server)
  • 更多的数据收集选择(子网)
  • 可以部署在公有云的虚拟机中,而SPAN/TAP的方式无法使用。
  • 单机的资源限制。

SPAN
  • 捕获网络上所有的数据流(高效)
  • 易于收集(单点捕获)
  • 对服务器没有性能影响
  • 需要在网络设备硬件上配置
  • 捕获网络上的所有数据流(安全考虑)
  • 易于收集(单点失败)
  • 难以在公有云环境中使用
  • 受限于网络交换机的性能
  • 比使用TAP方式丢包更多

TAP
  • 捕获网络上的所有数据流(高效)
  • 易于收集(单点捕获)
  • 对服务器没有性能影响对网络设备没有性能影响相比SPAN方式,还原度更高
  • 需要硬件设备
  • 捕获网络上的所有数据流(安全考虑)
  • 易于收集(单点失败)
  • 难以在公有云环境中使用

 

部署架构

 

Search Head搜索服务器

Search Head上必须要部署splunk_app_stream 和 Splunk_TA_stream 。

Indexers索引服务器

索引服务器上必须要部署Splunk_TA_stream 。

Universal forwarders通用转发器

在捕获网络数据的通用转发器上需要部署Splunk_TA_stream 。

性能情况

 

FAQ

  1. 是否可以添加自定义的协议?

不可以

  1. 是否可以添加自定义的协议?

不可以。

  1. 能否将数据按照协议发送到指定的索引中?

不行。现在Splunk Stream不支持。但是可以使用props.conf 和 transforms.conf来配置。详细的方法参见 Route specific events to a different index.

  1. 是否可以配置终端监听某一个协议?Can I configure endpoints to listen for specific protocols?

可以。可以配置Stream过滤器监听某一个协议的流量。例如,可以使用source_ip(网络流中的常见字段)在DNS服务器上过滤DNS流量。不支持按照主机名过滤。

警告:此配置是高度自定义的配置,需要非常小心和熟悉如何配置。 

  1. Stream可以读取PCAP文件吗?

可以。使用Stream的streamfwd命令可以读取PCAP文件,并将结构化的数据发送到索引中。

./streamfwd -r foo.pcap -s <host><server>.

参见 Stream command line options.

  1. Stream可以解密数据包和应用数据吗?

可以。可以使用SSL私钥解密 streamfwd 捕获的数据,前提是使用RSA加密算法。

  1. Stream可以解密Diffie-Hellman(SSL key) 流量吗?

不可以。没有办法捕获Diffie-Hellman流量, 无论streamfwd 使用 TAP还是本地模式.

 

商业转载请联系作者获得授权,非商业转载请注明出处。

http://blog.csdn.net/ffjl1985/article/details/78421346

列国周游
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
splunk各级别认证和考试指南.rar
08-06
splunk各级别认证和考试指南,包含各个级别的说明,以及考试流程和方法,详情请查看官网中,需要先通过各个级别的学习
Splunk系列:Splunk安装部署篇(一)
11-01 8609
一、Splunk概述   splunk 是机器数据的引擎。   splunk 提供一整套解决方案。日志收集、存储、分析、可视化展示为一体。   官网:https://www.splunk.com     https://www.splunk.com/zh-hans_cn   部署,配置,SPL语言,分析,可视化展示。   教程:https://docs.splunk.com/Documentat...
开源神器:Splunk Shells App,红队与渗透测试者的利器
最新发布
gitblog_00001的博客
06-04 349
开源神器:Splunk Shells App,红队与渗透测试者的利器 项目地址:https://gitcode.com/TBGSecurity/splunk_shells 在当今复杂的企业安全环境中,每一个漏洞都可能成为敌手的入口点。为了提升网络安全专业人士在高度警惕的战场——特别是那些部署了Splunk的环境中的作战能力,TBG Security的Ryan Hays带来了Splunk Shell...
Splunk自定义命令开发
白M的博客
02-05 1281
目录 简介 自定义命令如何运作的? 使用什么语言开发自定义命令? 内置Python所在位置 如何在后台使用内置Python 内置Python版本 内置Python使用的包和库所在位置 是否有现成的SDK等? SDK下载 SDK存放位置 开发的过程中有什么主意事项? 有什么格式要求? 如何获取到系统中的数据? 如何将脚本处理好的数据返回给系统? 开发好的自定义命令脚本放在什么地方? 给多个APP使用 给自己的APP使用 是否需要做什么配置让Splunk知道开发了自定义.
Splunk Power User认证
weixin_30432007的博客
12-28 678
课程介绍 | 通过 Splunk Fundamentals Part 1 课程考试 | 获取splunk certificate user 证书 | 课程为14节课+课后实验环境+课后习题 | 课程有英文中文日语字幕可选 | 考试为45道题,60分钟 | 免费。 | 通过 Splunk Fundamentals Part 2 (IOD) 课程和考试 | 获取splunk power user 证书...
Splunk安装和使用
热门推荐
spark的自由牧场的博客
03-30 2万+
Splunk Splunk概念 Splunk 是机器数据的引擎。使用 Splunk 可收集、索引和利用所有应用程序、服务器和设备(物理、虚拟和云中)生成的快速移动型计算机数据 。从一个位置 搜索并分析所有实时和历史数据。 使用 Splunking 处理计算机数据,可让您在几分钟内(而不是几个小时或几天)解决问题和调查安全事件。监视您的端对端基础结构,避免服务性能降低或中断。
Splunk App for AWS配置手册.pdf
07-14
利用大数据分析splunk 工具,对aws 成本使用,资源使用,合规性审查,进行可视化的展示。splunk 和 aws 的完美结合。
gotsecuritytxt-splunk-app
04-05
gotsecuritytxt-splunk-app 用法 这个应用程式会安装几个工作流程,以使用服务来寻找security.txt档案: gotsecuritytxt_dest 向dest字段添加字段操作 gotsecuritytxt_url 向url字段添加一个字段操作 ...
Splunk for BA white paper
11-16
Mobility and always-on ...a huge opportunity for IT to add more value to the business by simplifying increasingly complex IT systems—and leading to improvements in critical business processes.
DGDiag-Splunk-App
03-28
DGDiag Splunk应用程序该应用程序用于加载和查看Digital Guardian DGDiag日志。 该应用程序将从/ opt / logiq /中的子文件夹中提取日志。 示例将日志解压缩到/ opt / logiq / machine-xyz /中。 此应用程序也可在预...
splunk-connect-for-ethereum:Splunk Connect以太坊
03-31
Splunk Connect for Ethereum(又名ethlogger )使将以太坊分类帐,节点信息和节点指标的数据轻松提取到另一个系统中进行分析。 当前,它可以登录到Splunk HTTP事件收集器和stdout。 它也可以。 一些好处包括: ...
Splunk_活用技巧锦囊集
03-01
Splunk_活用技巧锦囊集 内容很好,图片扫描格式
splunkforwarder - 8.0.5 - linux.zip
09-16
Splunk通用转发器安装文件,版本:8.0.5,适用于Linux。 转发器可以从远程来源快速、安全地收集数据,从各种来源(包括其他转发器)收集数据,并将其发送到Splunk部署。使用通用转发器将数据无缝发送到Splunk Enterprise、Splunk Cloud或Splunk Light。
Splunk查询官方教程_中文
09-02
包含Splunk的官方教程,适用于一般以及高级使用者。全方位解析查询使用。
Splunk以客户为中心的定价机制备受欢迎
weixin_34218890的博客
03-02 450
客户无论处于Splunk旅程的哪一阶段,定制方案都能够满足他们的需求 率先从机器数据带来惊喜时刻的Splunk公司(NASDAQ: SPLK)今天宣布推出灵活的定制价格方案,以保证企业在其数据旅程的每个阶段都能够实现Splunk®软件投资的最大价值。 Splunk总裁兼首席执行官Doug Merritt表示:“Splunk致力于根据客户的具体需求提供以...
Splunk 安全App和Add-on整理总结
ffjl1985的专栏
11-24 1827
Splunk功能性 App和插件 赛门铁克 终端防护插件 App:https://splunkbase.splunk.com/app/2772/ Symantec Endpoint ProtectionAdd-on 允许Splunk平台管理员从Symantec Endpoint Protection Manager转储文件收集SEP服务器和客户端活动日志。 在Splunk平台对事件进行索
Splunk 网络App和Add-on整理总结
ffjl1985的专栏
11-24 2404
Splunk功能性 App和插件 思科 Cisco Networks App for Splunk Enterprise 包含了仪表盘、数据模型和分析来自于Cisco IOS, IOS XE, IOS XR and NX-OS数据的处理逻辑。 插件:https://splunkbase.splunk.com/app/1467/ App:https://splunkbase.splun
Splunk 数据库App和Add-on整理总结
ffjl1985的专栏
11-24 3528
Splunk数据库 App和Add-on Oracle Add-on: https://splunkbase.splunk.com/app/1910 Splunk用于Oracle数据库的插件允许Splunk软件管理员从Oracle数据库服务器收集和提取数据。 该附加组件可以通过监视安装了Oracle数据库服务器的操作系统上的标准和精细审计跟踪,跟踪文件,事件,警报,侦听器和其他日志来直接导
splunk之获取数据(Ingesting Data)
liangkaiping0525的博客
08-16 2281
Ingesting Data 下载数据地址:http://splk.it/f1data     use uname in the Username field and 5p1unkbcup for the Password field.  

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值