Introducción a Splunk
Roles de usuarios
En Splunk existen tres tipos de usuarios base desde los cuales se pueden luego realizar herencias.
| ROL | DESCRIPCIÓN |
|---|---|
| Administrator | Pueden instalar aplicaciones (plugins), realizar busquedas en realtime, crear objetos, indices, administrar usuarios... |
| Power | Pueden realizar busquedas en real time, crear objetos y compartirlos |
| User | Pueden visualizar sus objetos propios y compartirlos |
Search
En la sección Search existe el botón de DATA SUMMARY en el cual se pueden ver los datos indexados por
| ATRIBUTO | VALORES |
|---|---|
| Host | IP, Hostname, FQDN |
| Source | Fichero o socket de origen de datos |
| Source Type | Tipo de origen (formato tipo: cisco_firewall, xml, json, csv) |
Usa un lenguaje propio de Splunk llamado SPL (Search Processing Language), que viene a ser como una especie de AQL, KQL, ~SQL, donde se puede consultar directamente el valor en raw (log tal cual ha sido recibido) o bien hacer uso de campos indizados (campos extraidos a través del parsing del log).
Si se hace uso de campos indizados para realizar las busquedas, el resultado de estás se obtiene a una mayor velocidad y con un menor sobrecarga al servidor (a costa de crear indices que ocupan más espacio de disco).
Los fabricantes también pueden proporcionar plugins o aplicaciones que realizarán la integración de una forma sencilla y además proporcionarán de forma preconfigurada.
- Dashboards / Visualizaciones
- Reportes
- Alertas
Si el plugin no dispone de dichos objetos o bien estamos integrando manualmente un dispositivo, podemos crear nuestros propios objetos mediante código usando los transforming commands.
Las busquedas pueden ser compartidas con otros usuarios o se pueden lanzar como tarea programada y estarán disponibles durante 10 minutos para visualizar el resultado (como si fuera una vista materializada de SQL, crea una tabla temporal con los resultados y así no ha de volver a ejecutar todo el proceso de busqueda). Una vez pasados estos 10 minutos, se debe volver a ejecutar la tarea para obtener nuevos datos.
Una tarea también puede ser compartida con otros usuarios y en dicho caso, los resultados quedan disponibles durante 7 días. ¡Cuidado! La puede visualizar cualquier usuario que disponga del enlace que se genera al compartir (no tiene porque ser usuario del sistema Splunk, si no que es pública).
El resultado de una busqueda se puede exportar en diferentes formatos (csv, json, xls).
Modos de busqueda
En Splunk vienen definidos 3 modos de búsqueda
| ATRIBUTO | VALORES |
|---|---|
| Fast | El sistema Field Discovery está desactivado, por lo que muestra la información de los campos default |
| Verbose | Muestra todos los datos del evento |
| Smart | Cambia a Verbose o Fast de forma automática dependiendo del tipo de busqueda que se lance |