Splunk Entreprise

Ce este o aplicație Splunk?

O aplicație Splunk este o soluție pachet care rulează într-o implementare Splunk
Enterprise. O aplicație Splunk conține o colecție de obiecte de cunoștințe și extensii pentru o
anumită tehnologie sau caz de utilizare. 
O aplicație Splunk conține de obicei unul sau mai multe tablouri de bord cu vizualizări de
date, împreună cu configurații salvate și obiecte de cunoștințe, cum ar fi rapoarte, căutări salvate,
căutări, intrări de date, un magazin KV, alerte și multe altele. Dacă configurațiile standard ale
platformei Splunk și obiectele de cunoștințe nu se adresează nevoilor dvs. specifice, puteți
dezvolta soluții personalizate prin extinderea platformei Splunk folosind următoarele
instrumente:

 Custom data inputs: definiți intrări de date scriptate sau modulare pentru a lucra cu surse
de date sau formate unice.
 Custom alert actions: creați acțiuni de alertă care sunt integrate cu fluxul de lucru al
aplicației dvs.
 Custom visualizations and UI: creați propriile vizualizări de date folosind biblioteci terțe.
 Custom search commands: definiți-vă propriile comenzi Splunk Search Processing
Language (SPL) pentru a efectua analize suplimentare de date.
 Puncte Custom REST endpoints: creați un handler REST personalizat pentru a crea un
API REST personalizat pentru a vă automatiza propriile activități sau pentru a
interacționa cu servicii terțe.

Când sunt utilizate împreună într-o aplicație Splunk, aceste obiecte de cunoștințe oferă informații
specializate:

 O aplicație poate gestiona introducerea datelor în platforma Splunk în moduri diferite,

cum ar fi prin utilizarea unei intrări scriptate sau a unei intrări modulare și din diferite
surse de date.
 O aplicație poate include o interfață de utilizare personalizată cu tablouri de bord,
rapoarte, comenzi de căutare personalizate, definiții de extragere a câmpurilor, căutări de
date, un meniu de navigare și acțiuni de alertă personalizate.
 O aplicație vizează adesea un anumit tip de rol, limitând accesul de citire/scriere în
funcție de rol. Prin urmare, utilizatori diferiți ai aceleiași platforme Splunk Cloud sau ale
aceleiași instanțe Splunk Enterprise pot vedea numai datele care sunt relevante pentru ei.
Ce este un supliment Splunk?
Din punct de vedere tehnic, un supliment Splunk este o aplicație Splunk. Un supliment
este de obicei o aplicație care nu conține o interfață de utilizare completă, dar oferă unele
configurații personalizate sau intrări de date pentru a accepta alte aplicații Splunk. De exemplu,
un supliment poate oferi funcționalitate back-end pentru o altă aplicație sau configurații de
analiză a datelor care se conformează modelului de informații comun (CIM) Splunk. Un singur
supliment poate fi implementat ca componentă reutilizabilă în mai multe aplicații, suite sau
soluții.

Aplicația Splunk este găzduita în Splunk Enterprise în interfața web Splunk. Utilizatorii

accesează aplicațiile Splunk din pagina de pornire sau din meniul Aplicații, așa cum se arată în
imaginea următoare:

Ce puteți face într-o aplicație Splunk?

Puteți folosi o aplicație Splunk pentru a implementa o serie de funcții diferite. Pentru a
adăuga funcționalitate aplicațiilor dvs., trebuie să utilizați puncte de extensie, care sunt cârlige în
platforma Splunk. Punctele de extensie includ fișiere de configurare, scripturi, cod și așa mai
departe.
Următorul tabel rezumă cele mai frecvente sarcini și acțiuni pentru aplicațiile Splunk,
caracteristicile cărora le corespund cu link-uri către documentația de asistență și punctele de
extensie ale acestora:

Personalizați bara de /default/data/ui/nav/default.xml

Navigare
navigare

Căutări salvate Modele de date de /default/savedsearches.conf

Adăugați obiecte de
tranzacții /default/transactiontypes.conf
căutare
/default/datamodels.conf

Creați acțiuni de /default/alert_actions.conf

Alerte modulare
alertă /bin/ alertname .py

Creați acțiuni de flux /default/workflow_actions.conf

Acțiuni ale fluxului de lucru
de lucru

Creați sau modificați /default/data/ui/views/*.xml

XML simplu
tablouri de bord

Adăugați o intrare de /default/inputs.conf

Intrări de date
date

/default/props.conf
/default/transforms.conf
Recunoaștere și transformări /default/indexes.conf
Indexuri /default/eventtypes.conf
Manipulați datele în Evenimente /default/multikv.conf
timpul indexării Extracții de câmp /default/segmenters.conf
Macro /default/wmi.conf
Etichete /default/regmon-filters.conf
/default/fields.conf
/default/macros.conf
 /default/tags.conf

Efectuați căutări CSV Căutări locale /lookups/*.csv

/bin/ * .py, * .sh, * .bat
Efectuați căutări
Căutări externe sau scriptate /default/transforms.conf
externe
/default/props.conf

Setați permisiunile de /metadata/default.meta

Permisiuni
acces la obiecte

/default/collections.conf
/default/transforms.conf
Salvați datele specifice (căutări) punct final
Magazin KV
aplicației de stocare/colecții
outputlookup , inputlookup, co
menzi lookupde căutare 

/default/inputs.conf
Creați o intrare de Intrări modulare Intrări
/bin/ * .py, * .sh, * .bat, * .cmd, * 
date personalizată scriptate
.exe

Splunk  Web  Framework /default/data/ui/views/ * .xml
Creați sau modificați
SplunkJS Stack /appserver/static/* . js
vizualizări
Extensii XML simple

/default/data/ui/views/ setupfile 
Configurați .xml
Pagini de configurare
configurația aplicației /default/app.conf
/appserver/static/*.js

Verificați /default/data/ui/views/ setupfile 
Pagini de configurare .xml
dependențele aplicației
/default/app.conf
 /appserver/static/*.js

Salvați acreditările punct final de stocare/parole

Splunk REST API
criptate

/default/commands.conf
Adăugați date  externe 
Comenzi de căutare personalizate /default/searchbnf.conf
la rezultatele căutării
/bin/ numere comandă .py

/default/restmap.conf
Apelați API-uri de
Puncte finale  REST personalizate  /default/web.conf
servicii terță parte
/bin/*.py

Căutare și raportare
Aplicația Căutare și raportare vă permite să căutați datele, să creați modele de date și
pivot, să vă salvați căutările și pivoturile ca rapoarte, să configurați alerte și să creați tablouri de
bord. Această aplicație este furnizată în mod implicit.

Căutare
Manualul de căutare descrie cum să căutați și să utilizați limbajul de procesare a
căutării (SPL) . Consultați Referința de căutare pentru sintaxă, descrieri și exemple pentru
fiecare comandă de căutare.

Sarcină: Uite aici:

Aflați cum să căutați și să utilizați limbajul de

Despre Tutorialul de căutare
procesare a căutării

Începeți cu Căutarea
Aflați mai multe despre limbajul de procesare a
căutării Despre limba de căutare
Înțelegerea sintaxei SPL
 Despre transformarea comenzilor și căutărilor
Despre căutări și rapoarte în timp real

Găsiți o anumită comandă sau funcție de căutare Referință rapidă de comandă

Comenzi pe categorii
Funcții de evaluare
Funcții statistice și grafice

Gestionați locurile de muncă de căutare Despre locuri de muncă și managementul locurilor

de muncă
Vedeți proprietățile locurilor de muncă de căutare

Creați Pivoți

Manualul Knowledge Manager descrie cum să proiectați și să construiți modele de date

folosind editorul de modele de date. Manualul Pivot descrie cum să construiți tabele și diagrame
pivot.

Sarcină: Uite aici:

Aflați despre modelele de date și cum să le

Despre modelele de date
construiți

Aflați mai multe despre Pivot și despre cum să

utilizați Editorul Pivot pentru a crea tabele și Manual Pivot
diagrame

Rapoarte
Vedeți mai multe despre rapoarte și gestionarea rapoartelor în Manualul de raportare .

Sarcină: Uite aici:

Utilizați comenzile de căutare pentru a genera Despre transformarea comenzilor și căutărilor

rapoarte

Referință de vizualizare
Aflați despre tipurile de vizualizări
Cerințe privind structura datelor pentru vizualizări

Salvați o căutare sau pivot ca raport Creați și editați rapoarte

Accelerează un raport
Accelerează rapoartele
Înțelegeți cerințele pentru accelerarea rapoartelor

Programați un raport Programează rapoarte

Generați PDF-uri ale rapoartelor și tablourilor de

Generați un PDF al raportului dvs
bord

Alerte
Vedeți cum să creați și să trimiteți alerte în Manualul de alerte .

Sarcină: Uite aici:

Aflați despre alerte Începeți cu alertele

Configurați notificări prin e-mail, notificări RSS sau

Configurați acțiuni de alertă
scripturi de alertă

Vedeți exemple de alerte Exemple de alerte

Vedeți alertele declanșate recent Alerte declanșate

Configurați alerte folosind fișierele de configurare Configurați alertele în savesearches.conf

https://docs.splunk.com/Documentation/Splunk/9.0.0/Overview/Searchingandreporting
Utilizați Splunk Enterprise pentru a vă audita
activitatea sistemului
Să știi ce se întâmplă în sistemul tău este vital pentru a-l menține în siguranță. Pentru a
profita la maximum de sistemul dvs. și pentru a-l menține în siguranță, vă recomandăm
următoarele bune practici:

 Efectuați o revizuire periodică a jurnalelor de acces și de audit Splunk.

 Efectuați o revizuire periodică a jurnalelor de audit și securitate a serverului Splunk.
 Efectuați o revizuire periodică a tuturor utilizatorilor și rolurilor Splunk.

Cerințe de sistem pentru utilizarea Splunk

Enterprise on-premises
Splunk acceptă utilizarea Splunk Enterprise în mai multe medii de calcul. Aflați despre
mediile acceptate înainte de a descărca software-ul.
Transporterul universal are propriul set de cerințe hardware. Consultați cerințele
sistemului Universal forwarder în manualul Universal Forwarder.
Dacă aveți idei sau solicitări pentru funcții noi, utilizați portalul Splunk Ideas pentru a căuta, vota
și solicita noi îmbunătățiri (numite idee) pentru oricare dintre soluțiile Splunk. Consultați Splunk
Ideas în manualul Începeți cu Splunk Community .

Sisteme de operare acceptate

Următoarele tabele listează platformele de calcul pentru care Splunk Enterprise are
suport. Primul tabel listează disponibilitatea pentru sistemele de operare *nix, iar al doilea
listează disponibilitatea pentru sistemele de operare Windows.
Fiecare tabel prezintă platformele de calcul disponibile (sistemul de operare și
arhitectura) și tipurile de software Splunk. Un X aldine într-o casetă care intersectează platforma
de calcul și tipul de software Splunk dorit înseamnă că software-ul Splunk este disponibil pentru
platforma și tipul respectiv.
O casetă goală înseamnă că software-ul Splunk nu este disponibil pentru platforma și
tipul respectiv. Dacă nu vedeți sistemul de operare sau arhitectura pe care o căutați în listă,
software-ul nu este disponibil pentru platforma sau arhitectura respectivă. Acest lucru ar putea
însemna că Splunk a încetat suportul pentru platforma respectivă. 
Unele casete conțin alte caractere decât un X aldin.
Confirmați suportul pentru platforma dvs. de calcul
1. Găsiți sistemul de operare pe care doriți să instalați Splunk Enterprise
în coloana Sistem de operare.
2. Găsiți arhitectura de calcul în coloana Arhitectură care se potrivește mediului
dvs.
3. Găsiți tipul de software Splunk pe care doriți să-l utilizați: Splunk Enterprise,
Splunk Free, Splunk Trial sau Splunk Universal Forwarder.
4. Dacă software-ul Splunk este disponibil pentru platforma de calcul și tipul de
software pe care îl doriți, mergeți la pagina de descărcare pentru a-l obține.

sisteme de operare Unix

Sistem de operare Arhitectură Licență de Licență Licență de Pachet Universal
întreprindere gratuită probă Forwarder

Linux, versiunea de kernel x86 (64 de biți)

5.4.x și o versiune X X X X
ulterioară

Linux, toate versiunile de x86 (64 de biți)

X X X X
kernel 3.x și 4.x

AIX 7.1 și 7.2 PowerPC X

ARM Linux ARM64

X
Graviton

ARM64 X

FreeBSD 11 x86 (64 de biți) X

macOS 12 Universal (Intel,

X
M1)

macOS 11 Universal (Intel, X

 M1)

macOS 10.15 Intel D D X

macOS 10.14 Intel D D

PowerLinux, kernel Little PowerPC

Endian versiunea 3.0 și o X
versiune ulterioară

Solaris 11 x86 (64 de biți) X

SPARC X

z/Linux, versiunea de s390x

kernel 3.0 și o versiune X
ulterioară

X: Software-ul Splunk este disponibil pentru platformă.

D: Splunk acceptă această platformă și arhitectură, dar ar putea elimina suportul într-o versiune
viitoare. 

sisteme de operare Windows

Tabelul listează platformele de calcul Windows pe care Splunk Enterprise le acceptă.

Sistem de operare Arhitectură Licență de Licență gratuită Licență de probă Pachet

întreprindere Universal
Forwarder

Windows Server 2022 x86 (64 de biți)

(toate opțiunile de X X X X
instalare)
 Windows Server 2016 și x86 (64 de biți)
Server 2019 (toate X X X X
opțiunile de instalare)

Windows Server 2012 și x86 (64 de biți)

X
Server 2012 R2

Windows 11 x86 (64 de biți) X

Windows 10 x86 (64 de biți) X X X

x86 (32 de biți) X

X: Software-ul Splunk este disponibil pentru platformă.

O casetă goală indică faptul că software-ul nu este acceptat pentru această platformă.

Platforme de calcul containerizate

Depozitul oficial care conține fișierele Docker pentru construirea imaginilor Splunk
Enterprise și Universal Forwarder poate fi găsit pe Splunk-Docker pe GitHub . Lista cerințelor
pentru software-ul Docker și Splunk este disponibilă în Ghidul de asistență de pe Splunk-Docker
GitHub .
Pentru orchestrarea containerelor, operatorul Splunk pentru Kubernetes pe GitHub vă
permite să implementați rapid și ușor Splunk Enterprise la alegerea dvs. de furnizor de cloud
privat sau public. Operatorul simplifică scalarea și gestionarea Splunk Enterprise prin
automatizarea fluxurilor de lucru în timp ce implementează cele mai bune practici Kubernetes.

Suport pentru arhitectura Splunk Enterprise Produs

O singură instanță de implementare Splunk

Splunk-Docker pe GitHub
Enterprise.

O implementare Splunk Enterprise

Operator Splunk pentru Kubernetes pe GitHub
distribuită sau cu o singură instanță.
 Note despre sistemul de operare
Windows
Unele părți ale Splunk Enterprise pe Windows necesită permisiuni ridicate de utilizator
pentru a funcționa corect. Consultați următoarele subiecte pentru informații despre componentele
care necesită permisiuni ridicate și despre cum să configurați Splunk Enterprise pe Windows:

 Arhitectura și procesele Splunk Enterprise

 Alegeți utilizatorul Windows ca Splunk Enterprise să ruleze
 Considerații pentru a decide cum să monitorizezi datele Windows de la
distanță în Introducerea datelor

Sisteme de operare care acceptă Consola de monitorizare

Consola de monitorizare Splunk Enterprise funcționează numai pe unele versiuni de
Linux și Windows. Pentru informații despre arhitecturile de platforme acceptate pentru Consola
de monitorizare, consultați Platforme acceptate în Manualul de depanare . Pentru a afla despre
celelalte cerințe preliminare pentru Consola de monitorizare, consultați Cerințe preliminare de
configurare a Consolei de monitorizare în Monitoring Splunk Enterprise .

Sisteme de operare și caracteristici depreciate

Pe măsură ce actualizăm software-ul Splunk, uneori depreciem și eliminăm suportul
pentru sistemele de operare mai vechi. Consultați Funcții depreciate din Notele de lansare pentru
informații despre platformele și caracteristicile care au fost depreciate sau eliminate complet.

Crearea și editarea fișierelor de configurare pe sistemele de operare

care nu utilizează codificarea setului de caractere UTF-8
Software-ul Splunk se așteaptă ca fișierele de configurare să fie în format ASCII sau
Universal Character Set Transformation Format-8-bit (UTF-8). Dacă editați sau creați un fișier
de configurare pe un sistem de operare care nu utilizează codificarea setului de caractere UTF-8,
asigurați-vă că editorul pe care îl utilizați poate salva în ASCII sau UTF-8.

Suport platformă IPv6

Toate platformele OS acceptate de Splunk pot utiliza configurații de rețea IPv6.
Consultați Configurarea Splunk Enterprise pentru IPv6 în Manualul de administrare pentru
detalii despre suportul IPv6 în Splunk Enterprise.

Browsere acceptate
Splunk Enterprise acceptă următoarele browsere:
  Firefox (cel mai recent)
 Safari (cel mai recent)
 Chrome (cel mai recent)
 Microsoft Edge: Chromium (cel mai recent)

Hardware recomandat
Pentru a evalua Splunk Enterprise pentru o implementare de producție, utilizați hardware
care este tipic pentru mediul dumneavoastră de producție. 
Acest hardware trebuie să îndeplinească sau să depășească specificațiile de capacitate
hardware recomandate. Consultați Hardware de referință în Manualul de planificare a
capacității .
Pentru o discuție despre planificarea hardware-ului pentru implementarea producției,
consultați Introducere în planificarea capacității pentru Splunk Enterprise în Manualul de
planificare a capacității .

Splunk Enterprise și mașini virtuale

Dacă rulați Splunk Enterprise într-o mașină virtuală (VM) pe orice platformă,
performanța scade. Acest lucru se datorează faptului că virtualizarea funcționează oferind
abstracție hardware pe o mașină în grupuri de resurse. 
Mașinile virtuale pe care le definiți în sistem sunt extrase din aceste pool-uri de
resurse. Splunk Enterprise are nevoie de acces susținut la o serie de resurse, în special I/O pe
disc, pentru operațiunile de indexare. 
Dacă rulați Splunk Enterprise într-o VM sau alături de alte VM, performanța de indexare
și căutare se poate degrada.

Splunk Enterprise și infrastructuri containerizate

O implementare în containere trebuie să ofere resurse hardware care să îndeplinească sau
să depășească capacitatea hardware recomandată pentru implementările Splunk
Enterprise. Consultați Platforme de calcul containerizate .

Capacitate hardware recomandată

Pentru informații despre cerințele hardware pentru implementările de producție,
consultați Hardware de referință în Manualul de planificare a capacității .

Cerințe hardware pentru expeditorii universali

Transporterul universal are propriul set de cerințe hardware. Consultați cerințele
prealabile pentru expeditorul universal în manualul pentru expeditorul universal .
Sisteme de fișiere acceptate
Dacă rulați Splunk Enterprise pe un sistem de fișiere care nu apare în acest tabel,
software-ul poate rula un utilitar de pornire numit  locktest pentru a testa viabilitatea sistemului
de fișiere. Dacă  locktest eșuează, atunci sistemul de fișiere nu este potrivit pentru utilizare cu
Splunk Enterprise.

Platformă Sisteme de fișiere

Linux ext3, ext4, btrfs, XFS, NFS 3/4

Solaris (numai expeditorul

UFS, ZFS, VXFS, NFS 3/4
universal)

FreeBSD (numai
FFS, UFS, NFS 3/4, ZFS
expeditorul universal)

Mac OS X HFS, APFS, NFS 3/4

AIX (numai expeditorul

JFS, JFS2, NFS 3/4
universal)

Windows NTFS, FAT32

Considerații privind sistemul de fișiere în rețea (NFS)

Când utilizați Network File System (NFS) ca mediu de stocare pentru indexarea Splunk,
luați în considerare toate ramificațiile stocării la nivel de fișier. Utilizați stocarea la nivel de bloc,
mai degrabă decât stocarea la nivel de fișier pentru indexarea datelor.
În medii cu legături fiabile, cu lățime de bandă mare și cu latență redusă, sau cu furnizori
care oferă stocare de rețea în cluster de înaltă disponibilitate, NFS poate fi o alegere potrivită. Cu
toate acestea, clienții care aleg această strategie ar trebui să lucreze cu furnizorul lor de hardware
pentru a confirma că platforma lor de stocare funcționează conform specificațiilor furnizorului
atât în ceea ce privește performanța, cât și integritatea datelor.
Dacă utilizați NFS, rețineți următoarele:

 Nu utilizați NFS pentru a găzdui compartimente de index calde sau calde . Splunk

Enterprise pe NFS este acceptat numai cu găleți reci sau înghețați.
  Nu utilizați NFS pentru a partaja compartimente de index rece sau înghețate între un
cluster de indexare, deoarece acest lucru poate crea un singur punct de defecțiune.
 Splunk Enterprise nu acceptă monturi NFS „soft”. Acestea sunt monturi care fac ca
un program care încearcă o operațiune cu fișierul pe montare să raporteze o eroare și
să continue în cazul unei eșecuri.
 Doar monturile „hard” NFS, în care clientul continuă să încerce să contacteze
serverul în caz de defecțiune, sunt de încredere cu Splunk Enterprise.
 Nu dezactivați memorarea în cache a atributelor. Dacă aveți alte aplicații care
necesită dezactivarea sau reducerea stocării în cache a atributelor, atunci trebuie să
furnizați Splunk Enterprise o montare separată cu memorarea în cache a atributelor
activată.
 Nu utilizați monturi NFS într-o rețea cu zonă largă (WAN). Acest lucru cauzează
probleme de performanță și poate duce la pierderea datelor.

Considerații privind limitele de resurse la nivel de sistem pe

sistemele *nix
Splunk Enterprise alocă resurse la nivelul întregului sistem, cum ar fi descriptori de
fișiere și procese de utilizator, pe sistemele *nix pentru monitorizare, redirecționare,
implementare și căutare. Comanda  ulimit controlează accesul la aceste resurse care trebuie
reglate la niveluri acceptabile pentru ca Splunk Enterprise să funcționeze adecvat pe sistemele
*nix.
Cu cât mai multe sarcini realizează instanța dvs. Splunk Enterprise, cu atât are nevoie de
mai multe resurse. Ar trebui să creșteți  ulimit valorile dacă începeți să vedeți că instanța dvs. are
probleme cu limite scăzute de resurse. Vedeți că primesc erori despre ulimit în
splunkd.log în manualul de depanare.
Următorul tabel arată resursele la nivel de sistem pe care le utilizează Splunk Enterprise:

Resursă la nivelul întregului

ulimit invocare Valoarea minimă recomandată
sistem

Deschideți fișierele ulimit -n 64000

Procesele utilizatorului ulimit -u 16000

Dimensiunea segmentului de RAM maximă pe care doriți să o aloce Splunk Enterprise în

ulimit -d
date kiloocteți. De exemplu, 8 GB este  8000000 .

Mărime fișier ulimit -f -1 O setare de -1 setează dimensiunea fișierului la nelimitat.

 Pe mașinile care rulează Linux, unde serviciile Splunk Enterprise sunt gestionate de
systemd, puteți actualiza  /etc/systemd/system/Splunkd.service fișierul unității pentru a seta
valorile prezentate în tabelul de mai jos. Examinați valorile și ajustați-le în funcție de resursele
mașinii disponibile.

Resursă la nivelul parametrul fișierului unitar

Valoarea minimă recomandată
întregului sistem systemd

Deschideți fișierele LimitNOFILE= 64000

Procesele utilizatorului LimitNPROC= 16000

Dimensiunea segmentului RAM maximă pe care doriți să o aloce Splunk Enterprise în octeți. De
LimitDATA=
de date exemplu, 8 GB este  8000000000 .

Mărime fișier LimitFSIZE= infinity O setare de „infinit” setează dimensiunea fișierului la nelimitat.

Numărul maxim de sarcini pe care le poate crea un serviciu. Această

Total fire TasksMax= setare se aliniază cu limita de proces de utilizator  LimitNPROC și
valoarea poate fi setată să se potrivească. De exemplu,  16000 .

Pe mașinile care rulează FreeBSD, poate fi necesar să măriți parametrii kernelului pentru
dimensiunea implicită și maximă a stivei de proces. Următorul tabel arată parametrii care trebuie
să fie prezenți  /boot/loader.conf pe gazdă.

Resursă la nivelul întregului sistem Parametru kernel Valoare recomandată

Dimensiunea implicită a datelor de proces (limită soft) dfldsiz 2147483648

Dimensiunea maximă a datelor de proces (limită strictă) maxdsiz 2147483648

Pe mașinile care rulează AIX, este posibil să fie necesar să măriți limitele de resurse la
nivel de sistem pentru dimensiunea maximă a fișierului (fsize) și dimensiunea memoriei
rezidente (rss). Următorul tabel arată parametrii care trebuie să fie
prezenți  /etc/security/limits pentru utilizatorul care rulează software-ul Splunk.
 Resursă la nivelul întregului sistem ulimit invocare Valoare recomandată

Dimensiunea segmentului de date ulimit -d 1073741824

Dimensiunea memoriei rezidente ulimit -m 536870912

Numărul de fișiere deschise ulimit -n 8192

Limită de dimensiune a fișierului ulimit -f -1 (nelimitat)

Această considerație nu se aplică sistemelor bazate pe Windows.

Considerații privind Common Internet File System (CIFS)/Server

Message Block (SMB)
Splunk Enterprise acceptă utilizarea protocolului CIFS/SMB în următoarele scopuri,
numai pe partajări găzduite de gazde Windows:

 Depozitarea găleților Index reci sau congelate .

Când utilizați o resursă CIFS pentru stocare, confirmați că resursa are permisiuni de
scriere pentru utilizatorul care se conectează la resursă atât la nivel de fișier, cât și de
partajare. Dacă utilizați un dispozitiv de stocare terță parte, confirmați că implementarea CIFS
este compatibilă cu implementarea pe care o rulează instanța dvs. Splunk Enterprise ca client. Nu
indexați datele pe o unitate de rețea mapată pe Windows (de exemplu, „  Y:\ ” mapată la o
partajare externă.) Splunk Enterprise dezactivează orice index pe care îl întâlnește cu o literă de
unitate non-fizică.

Considerații privind mediile care utilizează schema de gestionare a

memoriei transparente a paginilor uriașe
Dacă rulați Splunk Enterprise pe o mașină Unix care utilizează pagini de memorie uriașe
transparente, consultați Pagini de memorie uriașe transparente și performanța Splunk în Notele
de lansare înainte de a încerca să instalați Splunk Enterprise.
Această considerație nu se aplică sistemelor de operare Windows.
Ce evenimente Windows sunt folosite de Splunk
UBA?
Analizatorul brut din Splunk UBA nu caută evenimente Windows specifice, ci, mai
degrabă, toate evenimentele Windows sunt analizate pentru a găsi nume de câmpuri comune,
cum ar fi numele contului sau stația de lucru. Aceste nume de câmpuri sunt extrase din
evenimente Windows și stocate în cuburi de date pentru a fi consumate de regulile și modelele de
anomalii. A avea evenimente Windows potrivite în Splunk UBA poate duce la detectări
semnificative, astfel încât cazurile de utilizare a securității dorite să fie deblocate.
Vedeți următoarele categorii de evenimente Windows utilizate de Splunk UBA:

 Evenimente Windows foarte recomandate utilizate de Splunk UBA

 Evenimente Windows recomandate utilizate de Splunk UBA
 Bine că evenimentele Windows sunt folosite de Splunk UBA

Evenimente Windows foarte recomandate

utilizate de Splunk UBA
Ingerați evenimentele enumerate în acest tabel, astfel încât Splunk UBA să poată genera
anomaliile și amenințările adecvate. Vedeți De ce surse de date am nevoie? pentru a identifica
anomaliile și amenințările generate de evenimentele Windows. Absența oricăruia dintre
evenimentele enumerate va preveni generarea de anomalii și amenințări.

ID eveniment Windows Descriere

4624 Un cont a fost conectat cu succes.

4776 Computerul a încercat să valideze acreditările pentru un cont.

4768 A fost solicitat un bilet de autentificare Kerberos (TGT).

4769 A fost solicitat un bilet de serviciu Kerberos.

4625 Un cont nu s-a conectat.

4634 Un cont a fost deconectat.

 Evenimente Windows recomandate utilizate de
Splunk
Se recomandă să înregistrați următoarele tipuri de evenimente Windows, astfel încât
Splunk UBA să poată genera anomalii și amenințări.

ID eveniment Windows Descriere

1102 Jurnalul de audit a fost șters.

Următoarele tipuri de evenimente Windows sporesc fidelitatea detectărilor dvs. oferind

dovezi și claritate suplimentare.

ID eveniment Windows Descriere

Evenimente Windows PowerShell

Înregistrare modul PowerShell. Consultați Configurarea înregistrării PowerShell pentru a vedea

4103
anomaliile PowerShell în Splunk UBA .

Înregistrarea blocurilor de script PowerShell. Consultați Configurarea înregistrării PowerShell

4104
pentru a vedea anomaliile PowerShell în Splunk UBA .

4688 A fost creat un nou proces.

7045 Un serviciu a fost instalat în sistem.

Evenimente de manipulare a obiectelor și a registrului Windows

4657 O valoare de registry a fost modificată.

4691 A fost solicitat acces indirect la un obiect.

4692 Sa încercat o copie de rezervă a cheii principale de protecție a datelor.

4693 S-a încercat recuperarea cheii principale de protecție a datelor.

4695 S-a încercat deprotejarea datelor protejate auditabile.

4907 Setările de auditare a obiectului au fost modificate.

4911 Atributele de resurse ale obiectului au fost modificate.

Un obiect de partajare a rețelei a fost verificat pentru a vedea dacă clientului i se poate acorda
5145
accesul dorit.

Domeniu Windows, încredere și evenimente de autentificare

4706 A fost creată o nouă încredere pentru un domeniu.

4713 Politica Kerberos a fost modificată.

4715 Politica de audit (SACL) pentru un obiect a fost modificată.

4772 O solicitare de bilet de autentificare Kerberos a eșuat.

Un bilet de acordare a biletelor Kerberos (TGT) a fost refuzat deoarece dispozitivul nu

4820
îndeplinește restricțiile de control al accesului.

Evenimentele politicii Windows

6273 Network Policy Server a refuzat accesul unui utilizator.

6276 Network Policy Server a pus în carantină un utilizator.

Network Policy Server a acordat acces unui utilizator, dar l-a pus în probă deoarece gazda nu a
6277
îndeplinit politica de sănătate definită.
 Evenimente de gestionare a contului Windows

4627 Informații despre apartenența la grup.

4704 A fost atribuit un drept de utilizator.

4718 Accesul la securitatea sistemului a fost eliminat dintr-un cont.

4719 Politica de audit de sistem a fost modificată.

4727 A fost creat un grup global cu securitate activată.

4728 Un membru a fost adăugat la un grup global cu securitate activată.

4729 Un membru a fost eliminat dintr-un grup global cu securitate activată.

4730 Un grup global cu securitate activată a fost șters.

4731 A fost creat un grup local cu securitate activată.

4732 Un membru a fost adăugat la un grup local cu securitate activată.

4733 Un membru a fost eliminat dintr-un grup local cu securitate activată.

4734 Un grup local cu securitate activată a fost șters.

4735 Un grup local cu securitate activată a fost modificat.

4737 Un grup global cu securitate activată a fost modificat.

4744 A fost creat un grup local cu securitate dezactivată.

4745 Un grup local cu securitate dezactivată a fost schimbat.

4746 Un membru a fost adăugat la un grup local cu securitate dezactivată.

4747 Un membru a fost eliminat dintr-un grup local cu securitate dezactivată.

4750 Un grup global cu securitate dezactivată a fost schimbat.

4754 A fost creat un grup universal cu securitate activată.

4755 Un grup universal cu securitate activată a fost modificat.

4756 Un membru a fost adăugat la un grup universal cu securitate activată.

4757 Un membru a fost eliminat dintr-un grup universal cu securitate activată.

4758 Un grup universal cu securitate activată a fost șters.

4759 A fost creat un grup universal cu securitate dezactivată.

4760 Un grup universal cu securitate dezactivată a fost schimbat.

4761 Un membru a fost adăugat la un grup universal cu securitate dezactivată.

4763 Un grup universal cu securitate dezactivată a fost șters.

4767 Un cont de utilizator a fost deblocat.

4781 Numele unui cont a fost schimbat.

4782 S-a accesat parola hash unui cont.

4797 S-a încercat să se interogheze existența unei parole goale pentru un cont.

4798 A fost enumerată apartenența la grupul local al unui utilizator.

4799 A fost enumerată o apartenență la un grup local cu securitate activată.

Evenimente de manipulare a dispozitivelor Windows

4800 Stația de lucru era încuiată.

4801 Stația de lucru a fost deblocată.

6416 Un nou dispozitiv extern a fost recunoscut de sistem.

Evenimente de incidente de securitate Windows

4618 A avut loc un model de evenimente de securitate monitorizat.

4649 A fost detectat un atac de reluare.

Politica Windows firewall modifică evenimente

4946 A fost făcută o modificare a listei de excepții Windows Firewall. S-a adăugat o regulă.

4947 A fost făcută o modificare a listei de excepții Windows Firewall. O regulă a fost modificată.

4948 A fost făcută o modificare a listei de excepții Windows Firewall. O regulă a fost ștearsă.

4950 S-a schimbat o setare Windows Firewall.