اخبار داخلی آرمان داده پویان

مقالات

معماری اسپلانک

معماری اسپلانک

در این مطلب قصد داریم تا به زبانی ساده معماری اسپلانک را بررسی نماییم. در واقع مانند سایر ابزارهای Big Data، اسپلانک نیز داده‌های خام را دریافت کرده و با پارس کردن آن‌ها یک چشم انداز و یا به اصطلاح insight در اختیار کاربر می‌گذارد. اسپلانک این داده‎‌ها را از منابع مختلف و در فرمت‌های مختلفی دریافت نموده و قادر است این داده‌های خام را به رخداد تبدیل نماید و به صورت ایندکس ذخیره نماید. رخدادها را می‌توان به ردیف‌ها (rows) در جداول پایگاه داده تشبیه کرد و ایندکس‌ها را آن جداول دانست که می‌توان در آن‌ها با زبان SPL (Search Processing Language) به جست و جو پرداخت. حاصل این جست و جو ها را می‌توان به صورت‌های مختلفی مشاهده کرد. علاوه بر این اسپلانک قابلیت احراز هویت کاربران را دارد که در مطالب بعدی به آن بیشتر خواهیم پرداخت.

معماری ابتدایی اسپلانک

اگر قابلیت احراز هویت کاربران را فعلا کنار بگذاریم، می‌توانیم معماری ابتدایی اسپلانک را به سه بخش تقسیم نماییم:

  • Forwarder
  • Indexer
  • Search Head

Forwarder مسئول جمع آوری داده از منابع مختلف و ارسال آن‌ها به Indexer می‌باشد.

Indexer این داده‌های خام را دریافت کرده آن‌ها را پارس نموده و به رخدادها تبدیلشان می‌کند. اما قبل از آنکه آن‌ها را Index کند داده‌ها به یک سنجش لایسنس ارسال می‌نماید. همانطور که می‌دانید حجم داده‌ای که در هر روز می‌تواند توسط اسپلانک Index شود بر اساس لایسنس تهیه شده مشخص می‌گردد. بعد از این مرحله حجم داده مشخص شده توسط Indexer، شاخص گذاری خواهد شد. علت Index کردن داده‌ها نیز سرعت بخشیدن به عملیات جست و جو و تحلیل داده‌ها می‌باشد.

سپس نوبت به بخش بعدی یعنی Search Head است. در این بخش بر روی Indexها عملیات جست و جو انجام می‌شود. نتایج این جست و جو‌ها منجر به بصری سازی (visualization) می‌گردد. در واقع همانطور که دیدید اسپلانک داده‌های خام را از منابع مختلف دریافت نمود، آن‌ها را به رخداد تبدیل و سپس ایندکس نمود. سپس کاربران قادر هستند با جست و جو در قالب گزارشات و گراف‌ها یک دید بصری داشته باشند. تا به اینجا معماری پایه‌ای اسپلانک را با بررسی اجزای تشکیل دهنده آن توضیح دادیم. در خاطر داشته باشید که اسپلانک بسیار توسعه پذیر است و شما بنا بر نیاز خود این معماری را می‌توانید توسعه دهید. معماری ابتدایی اسپلانک از این سه جز تشکیل شده است و این قابلیت وجود دارد که اجزای پیشرفته‌تری را به آن بیفزاییم در ارتباط با این اجزا در قسمت‌های بعدی توضیحات بیشتری خواهیم داد.

معماری توزیع شده اسپلانک

حال به بررسی اجزای پیشرفته تر اسپلانک می‌پردازیم. این سه بخش عبارت است از:

  • Cluster Master
  • Deployment Server
  • License Master

اول راجع به Cluster Master توضیح خواهیم داد. وظیفه Cluster Master هماهنگ سازی تمامی فعالیت‌ها و بروزرسانی‌های مربوط به ایندکس‌ها در یک Cluster می‌باشد. در واقع Indexer که در بخش قبل توضیح دادم توسط یک Cluster Master کنترل می‌شود.

قسمت بعدی Deployment Server می‌باشد. وظیفه آن ارسال پیکربندی‌ها و تمامی بروزرسانی برنامه‌های کاربردی به Forwarder، Searcher و Indexer می‌باشد.  Deployer هم وظیفه‌اش مانند Deployment Server است با این تفاوت که بروزرسانی‌ها و پیکربندی‌ها را تنها به Searcher ارسال می‌نماید.

حال به License Master می‌رسیم که در قسمت قبلی توضیح کوتاهی راجع به آن دادیم. حجم داده‌ای که روزانه توسط اسپلانک می‌تواند Index شود در لایسنس خریداری شده مشخص می‌گردد پس زمانی که در حال فرا رفتن از حجم داده مجاز خود هستید License Master هشدار ارسال خواهد کرد. امیدواریم با خواندن این مطلب دید خوبی نسبت به اجزای مختلف اسپلانک و چگونگی عملکرد آن‌ها در کنار یکدیگر به دست آورده باشید. در قسمت مقالات محصولات امنیتی می‌توانید مطالب مربوط به اسپلانک را بیابید.

آرمان داده پویان طراح و ارائه دهنده راهکارهای مبتنی بر اسپلانک

برای مشاوره با کارشناسان ما تماس بگیرید

تعداد بازدید: 227


تازه ترین ها