Introducción a Splunk
Roles de usuarios
En Splunk existen tres tipos de usuarios base desde los cuales se pueden luego realizar herencias.
| ROL | DESCRIPCIÓN |
|---|---|
| Administrator | Pueden instalar aplicaciones (plugins), realizar busquedas en realtime, crear objetos, indices, administrar usuarios... |
| Power | Pueden realizar busquedas en real time, crear objetos y compartirlos |
| User | Pueden visualizar sus objetos propios y compartirlos |
Search
En la sección Search existe el botón de DATA SUMMARY en el cual se pueden ver los datos indexados por
| ATRIBUTO | VALORES |
|---|---|
| Host | IP, Hostname, FQDN |
| Source | Fichero o socket de origen de datos |
| Source Type | Tipo de origen (formato tipo: cisco_firewall, xml, json, csv) |
Usa un lenguaje propio de Splunk llamado SPL (Search Processing Language), que viene a ser como una especie de AQL, KQL, ~SQL, donde se puede consultar directamente el valor en raw (log tal cual ha sido recibido) o bien hacer uso de campos indizados (campos extraidos a través del parsing del log).
Como en todas las bases de datos, si se hace uso de campos indizados para realizar las busquedas, el resultado de estás se obtiene a una mayor velocidad y con un menor sobrecarga al servidor (a costa de crear indices que ocupan más espacio de disco).