اخبار داخلی آرمان داده پویان

مقالات

Splunk Enterprise چیست؟

Splunk Enterprise

در این مطلب در ارتباط با Splunk Enterprise صحبت خواهیم کرد. همانطور که می‌دانید حجم وسیعی از داده‌ در هر دقیقه تولید می‌گردد، تحلیل گران تخمین زده‌اند تا سال ۲۰۲۵، صد و هفتاد و پنج زتاپایت داده تولید خواهد شد. در نظر داشته باشید با اضافه شدن رایاناش ابری و محبویبیت رو به گسترش آن جریان جدیدی از داده در هر لحظه به حجم داده‌های تولید شده، اضافه می‌گردد. اما سوالی که برای سازمان‌ها و تجارت‌ها مطرح می‌گردد این است که آیا آن‌ها استفاده درستی از داده‌های تولیدی خود دارند؟ تا چه میزان تصمیماتی که می‌گیرند بر مبنای این داده‌ها می‌باشد؟ با توجه به حجم زیاد و فرمت‌های مختلفی که داده‌های ماشینی تولید شده دارند آیا پایش موثر و تحلیل درستی از آن‌ها در جهت شناسایی الگوها و رفتارهای غیرمعمول و مخرب و تشخیص حوادث انجام می‌پذیرد؟

تبدیل داده‌های تاریک به یک چشم انداز هوشمند

این داده‌ها از دیدگاه تجاری، فناوری اطلاعات و امنیت اهمیت زیادی دارند. با توجه به آماری که اسپلانک در سال ۲۰۱۹ اعلام کرد ۷۳% از این داده‌ها عموما برای سازمان‌ها بدون استفاده می‌مانند، این داده‌های بدون استفاده را می‌توانیم داده‌های تاریک یا Dark Data بنامیم. ماموریت اصلی Splunk Enterprise هم تبدیل این داده‌های تاریک به یک چشم انداز هوشمند و عملیاتی می‌باشد. داده‌های ماشینی یک سازمان از منابع مختلفی مانند سیستم مدیریت ارتباطات مشتریان (CRM)، پایگاه داده‌ها، mainframe، لاگ‌های ترافیک وب و غیره می‌آید، داده‌هایی ساختار نیافته و یا نیمه ساختار یافته. منابع تولید داده‌های ماشینی می‌تواند در مرکز داده (Data Center) یا محیط ابر باشد، از هر سیستم و یا هر فرمتی که این داده‌های ماشینی بیایند Splunk Enterprise این داده‌های خام را دریافت کرده و آن را تبدیل به یک دید هوشمندانه می‌نماید. Forwarder اسپلانک که قبلا در ارتباط با آن صحبت کردیم می‌تواند به هر دستگاهی متصل شده و به صورت بلادرنگ  داده‌ها را از آن دستگاه دریافت کرده و به Indexer ارسال نماید. در مجموع Splunk Enterprise امکان جست و جو بلادرنگ در حجم عظیمی از داده را به کاربر داده و علاوه بر آن با ارسال هشدار، زمان رسیدن به وضعیت‌های آستانه، همبسته کردن رخدادها و تشخیص الگوهای غیرمعمول و در نهایت با ایجاد یک دید بصری از طریق انواع گزارشات و گراف‌ها در هر زمانی از شبانه روز در هر سه عرصه تجارت، فناوری اطلاعات و امنیت برای یک سازمان کارآمد و مفید خواهد بود. در ادامه توضیحاتی در ارتباط با برخی تغییرات و بهبود‌های نسخه ۷٫۳ Splunk Enterprise خواهیم داد.

Splunk Enterprise

نسخه ۷٫۳ Splunk Enterprise

در این نسخه یک سری ویژگی جدید اضافه شده و یک سری ویژگی که در نسخه قبلی یعنی ۷٫۲ وجود داشت، بهبود یافته است.

Guided Data Onboarding (GDO): در نسخه ۷٫۲ یک اینترفیس کاربری جدید با نام GDO اضافه شد. GDO یک راهنمایی جامع برای اضافه کردن یک سری از منابع داده شامل داده‌های سیستم عامل، شبکه و امنیت را برای اضافه کردن به یک سری از اجراها (Deployments) مشخص پلتفرم اسپلانک فراهم می‌آورد. در نسخه ۷٫۳ امکان اضافه کردن ده منبع داده جدید در GDO اضافه شد. داده‌های سرویس وب آمازون (Amazon Web Services) و Amazon Kinenis از جمله منابعی بودند که اضافه شدند.

در نسخه ۷٫۳ دسترسی موبایل از طریق تبلت، موبایل و حتی ساعت‌های هوشمند اپل فراهم شده است. در نتیجه کاربران اسپلانک در هر مکان و در هر زمانی به داشبورد اسپلانک دسترسی داشته و هشدارها را دریافت می‌نمایند. حتی قادر به انجام کار بر روی Splunk Enterprise می‌باشند.

در نسخه ۷٫۲ اینترفیس کاربری جدیدی با نام Metric Worspace ارائه شد. این اینترفیس امکان بصری سازی شرایط محیطی مانند دمای محیط و سرعت CPU بدون نیاز به جست و جو و زبان SPL به صورت خودکار فراهم می‌آورد. بهبودی که در نسخه ۷٫۳ انجام ضد اضافه شده این اینترفیس به صورت پیش فرض به Splunk Enterprise بود و دیگر کاربر نیازه به دانلود برنامه کاربردی جداگانه برای آن ندارد.

ویژگی دیگر Roll-ups است که با استفاده از آن بازدهی جست و جو بالا رفته و هزینه ذخیره سازی پایین می‌آید.

ویژگی دیگر Workload Management است که به مدیران (admins) اسپلانک اجازه می‌دهد تا برای جست و جو وایندکس کردن منابع سیستمی را به کاربران اختصاص دهد. این تخصیص منابع بایستی بر اساس الویت‌ها و سیاست‌های سازمان صورت پذیرد. کاربران در Poolهای مختلف توزیع شده و بنا بر الویت‌های ذکر شده CPU و حافظه به آن‌ها اختصاص داده خواهد شد. در نسخه ۷٫۳ با تغییراتی که انجام شده است عملیات تخصیص این منابع و همچنین اختصاص poolها به کاربران و نقش‌ها (roles) بهبود یافته است.

آخرین تغییری هم که می‌خواهیم در ارتباط با آن صحبت کنیم دستیار هوشمند MLTK4.3 که عملیات تشخیص ناهنجاری و پیش بینی آن را آسان‌تر می‌نماید. در واقع اضافه کردن این دستیار هوشمند مانند اضافه کردن یک دکمه برای تسهیل یادگیری ماشین بوده و حتی در پیش‌بینی‌های تجاری برای یک سازمان بر اساس داده‌هایش می‌تواند بسیار موثر باشد.

در واقع Splunk Enterprise با بهبودهایی که در نسخه‌های خود می‌دهد به دنبال هر چه آسان‌تر کردن عملیات جست و جو، تحلیل و پایش داده‌های سازمان‌ها می‌باشد. تا در سه حوزه امنیت، فناوری اطلاعات و تجارت بتواند با تبدیل داده‌های تاریک و بدون استفاده یک سازمان به یک دید هوشمند و جامع گام بزرگی را در اتخاذ بهترین تصمیمات و انجام بهترین اقدامات بردارد.

طراحی، مشاوره، پیاده سازی و تامین لایسنس اسپلانک در ایران
آرمان داده پویان پیشگام در ارائه راهکارهای SIEM

تعداد بازدید: 362


تازه ترین ها