سریعترین راه برای افزودن داده به نرم‌افزار Splunk Enterprise، استفاده از رابط کاربری تحت وب آن است. پس از ورود به نرم‌افزار اسپلانک، صفحه Home ظاهر می‌شود. در اینجا با کلیک بر روی گزینه Add Data وارد صفحه مربوط به افزودن داده خواهیم شد. در صورتی که از سرویس ابری اسپلانک استفاده می‌کنید، از نوار سیستم، بر روی گزینه Setting وسپس Add Date کلیک کنید.

ممکن است در شرایط زیر، صفحه افزودن داده ظاهر نشود:

• در صورتی که نرم‌افزار شما زیرمجموعه‌ای از Search Head Cluster باشد.
• در صورتی که نرم‌افزار شما، یک نسخه ابری مدیریت شده باشد.

سه راهکار برای وارد کردن داده به نرم‌افزار اسپلانک وجود دارد: Upload، Monitor و Forward.

این ویژگی که به اختصار (GDO) نامیده می‌شود، یک راهنمای مرحله به مرحله برای وارد کردن منابع داده مورد نظر به نرم‌افزار اسپلانک می‌باشد. از طریق صفحه Home در رابط تحت وب اسپلانک، با انتخاب گزینه Add Data، این راهنما را می‌توانید بیابید. سپس یک منبع داده و نوع پیکربندی را انتخاب کنید. در ادامه، نمودارها، مراحل انجام کار و لینک مستندات مربوط به نحوه تنظیم و پیکربندی منبع داده مورد نظر خود را مشاهده می‌کنید. تمام مستندات مربوط به ورود اطلاعات از طریق راهنما (GDO) را با کلیک بر روی تب Add Data در این منبع می‌توانید بیابید.

Upload

گزینه Upload این امکان را به شما می‌دهد که یک فایل، آرشیو و یا مجموعه‌ای از فایل‌ها را برای فهرست‌بندی (indexing)، بارگذاری کنید. با کلیک بر روی این گزینه، نرم‌افزار اسپلانک به صفحه‌ای هدایت می‌شود که در آن‌جا فرآیند بارگذاری شروع می‌شود.

Monitor

گزینه Monitor این امکان را به شما می‌دهد که یک یا چند فایل، دایرکتوری‌ها، محتوای تحت شبکه، اسکریپت‌ها، گزارش رویدادها (فقط سیستم‌عامل ویندوز)، معیارهای عملکرد و هر نوع داده دیگری که نرم‌افزار اسپلانک به آن دسترسی دارد را رصد کنید. با کلیک بر روی گزینه Monitor صفحه مربوط به فرآیند Monitoring ظاهر می‌شود.

Forward

گزینه Forward این امکان را به شما می‌دهد که داده‌ها را از سایر ابزارهای Forwarder دریافت کرده و وارد نرم‌افزار اسپلانک نمایید. با انتخاب این گزینه، به صفحه مربوط به فرآیند Forward هدایت می‌شوید. یادآوری می‌کنیم که گزینه Forward نیاز به تنظیمات اضافی دارد و از آن تنها در حالت تک سرور می‌توانید استفاده کنید.

صفحه Upload این امکان را به شما می‌دهد که فایلی را از رایانه خود مستقیماً در نرم‌افزار اسپلانک بارگذاری نمایید.

توجه: فایل‌های گزارش رویدادهای سیستم‌عامل ویندوز با پسوندهای .evt و .evtx که از میزبان دیگری استخراج شده‌اند، از طریق گزینه Upload قابل بارگذاری نمی‌باشند. چراکه این فایل‌ها حاوی اطلاعاتی متعلق به میزبان اولیه خود هستند و در سایر میزبان‌ها، بدون اعمال تغییرات لازم، قابل پردازش نمی‌باشند.

به دو روش زیر امکان بارگذاری داده‌ها وجود دارد:

• فایلی که می‌خواهید فهرست‌بندی کنید را از دسکتاپ رایانه خود انتخاب کرده و در محدوده ” Drop your data file here” رها کنید.
• در سمت چپ بالای صفحه، روی گزینه Select File کلیک کرده و فایلی که می‌خواهید فهرست‌بندی شود را انتخاب کنید.

سپس نرم‌افزار اسپلانک بسته به نوع فایل، آن را بارگیری و پردازش می‌کند. پس از اتمام بارگیری، می‌توانید بر روی دکمه سبز بعدی در قسمت بالا سمت راست کلیک کنید تا به مرحله بعدی در فرآیند “افزودن داده” هدایت شوید.

طراحی، مشاوره، پیاده‌سازی و تامین لایسنس اسپلانک در ایران

آرمان داده پویان پیشگام در ارائه راهکارهای SIEM