Mit Splunk können Sie beliebige IT-Daten in Echtzeit indizieren, durchsuchen, in Warnungen und Berichte einbinden und für die Anwendungsverwaltung, IT-Vorgänge, Sicherheits- und Compliance-Berichte und Vieles mehr nutzen. Splunk lässt sich für alle Computerdaten verwenden: Ob Logfiles, Systemmetriken, Anwendungen, Konfigurationsdaten usw. – Splunk erfasst alle Arten von Daten.
Klicken Sie unten auf ein Thema, um Splunk kennen zu lernen.
Die Oberfläche von Splunk bietet zahllose Funktionen. In den nächsten Themen werden die Navigation innerhalb von Splunk sowie die Nutzung der Splunk-Installation beschrieben.
Splunk besteht aus Apps. Apps erzeugen unterschiedliche Kontexte für Ihre Daten aus verschiedenen Ansichten, Dashboards und Konfigurationen. Im Moment befinden Sie sich in der Erste Schritte-App. Außerdem stehen Ihnen die Such-App zum Erstellen von Suchvorgängen und die standardmäßige Start-App zum Aufrufen anderer Apps zur Verfügung. Darüber hinaus können Sie neue Apps aus SplunkBase hinzufügen oder eigene Apps erstellen.
Navigation zwischen Apps
Für den Wechsel zu einer anderen App verwenden Sie das Dropdown-Menü App in der rechten oberen Ecke:
Wenn Sie eine Liste der aktuell in Ihrer Splunk-Instanz installierten Apps anzeigen möchten, kehren Sie zur Startseite zurück, indem Sie auf das Menü "App" in der rechten oberen Ecke dieser Seite klicken und "Startseite" auswählen. Sie verlassen dadurch die Erste Schritte-App, können jedoch zu ihr zurückkehren, indem Sie erneut "Erste Schritte" aus dem Start- oder App-Menü auswählen.
Haben Sie Splunk schon verwendet? Suchen Sie etwas, mit dem Sie vertraut sind?
Wenn Sie Splunk bereits kennen, suchen Sie wahrscheinlich die Such-App. Zum Aufrufen der Such-App wählen Sie den Befehl "Suchen" aus dem Menü "App" in der rechten oberen Ecke aus.
Die meisten Splunk-Verwaltungsoptionen können über Splunk Web (die Benutzeroberfläche von Splunk) aufgerufen werden. Manche Konfigurationen stehen jedoch nur Splunk-Benutzern mit Administratorrechten zur Verfügung. Sollten Sie auf einige der in dieser App beschriebenen Konfigurationen nicht zugreifen können, haben Sie möglicherweise nicht die notwendigen Zugriffsberechtigungen.
Verwenden des Splunk-Managers
Mit dem Splunk-Manager können Sie Ihre Konfigurationen und Apps verwalten. Nahezu alle Konfigurationsänderungen lassen sich über den Splunk-Manager durchführen. Zum Aufrufen des Managers klicken Sie auf den Link Manager in der rechten oberen Ecke:
Verwenden des Auftrags-Managers
Verwalten Sie Ihre Suchvorgänge mit dem Auftrags-Manager. Ihre sämtlichen Suchvorgänge werden als Aufträge ausgeführt. Sie können alle Suchvorgänge, die auf Ihrem System ausgeführt werden, auflisten und steuern, indem Sie auf den Link Aufträge in der rechten oberen Ecke klicken:
Hinzufügen weiterer Apps
Wenn Sie weitere Apps für Splunk suchen und herunterladen möchten, kehren Sie zur Startseite zurück und klicken auf die Schaltfläche "Weitere Apps suchen".
Sie haben auch die Möglichkeit, eigene Apps zu erstellen. Weitere Informationen dazu finden Sie im Developer Manual.
Wenn die Daten von einem Rechner generiert wurden, kann Splunk sie indizieren. Ja, ganz richtig: Splunk indiziert beliebige Daten, ob strukturiert oder unstrukturiert, und benötigt dazu keine speziellen Parser, Konnektoren oder Adapter. Sie können Splunk mit beliebigen Daten "füttern", von den Syslogs auf UNIX-Servern und Netzwerkgeräten über die Ereignisprotokolle unter Windows bis hin zu benutzerdefinierten Anwendungslogs sowie Konfigurationen und sogar Systemmetriken – und erhalten Erkenntnisse über Ihr gesamtes System.
Nutzen Sie die Datenerfassung von Splunk in Workflows, um das ganze Spektrum an unterschiedlichen Datentypen, die Sie zu Splunk hinzufügen können, und die verschiedenen Dateneingabemethoden kennen zu lernen. Abhängig vom Speicherort der Daten gibt es viele verschiedene Möglichkeiten, diese in Splunk zu erfassen.
Splunk indiziert beliebige lokale Daten, und zwar ständig oder auch nur ein Mal. Mit dem Splunk-Manager konfigurieren Sie Splunk für die Indizierung einer Datei oder eines Verzeichnisses. Sie können Ihre Daten vor der Indizierung auch anzeigen und benutzerdefinierte Regeln für die Datenverarbeitung mit Splunk festlegen.
Mit Splunk können Sie Windows-Daten von anderen Rechnern in Ihrem Netzwerk erfassen. Abhängig von der Netzwerkkonfiguration haben Sie verschiedene Möglichkeiten:
Mit Splunk können Sie Daten von anderen Rechnern ohne Windows-Betriebssystem in Ihrem Netzwerk erfassen. Abhängig von der Netzwerkkonfiguration haben Sie verschiedene Möglichkeiten:
Mit dieser Methode erfassen Sie Daten, die über einen TCP- oder UDP-Port gesendet wurden. Sie können Splunk beispielsweise für die Überwachung des UDP-Ports 514 konfigurieren, um Syslog-Daten zu erfassen.
Es gibt noch andere Möglichkeiten für die Dateneingabe in Splunk. Im Folgenden werden einige beliebte Methoden beschrieben:
Erfassen von Daten von mehreren Rechnern in einer verteilten Umgebung
Sie möchten Daten aus einer verteilten Umgebung, etwa einer Anwendungs- oder Webserverfarm, mit lokaler Protokollierung in Splunk eingeben? Der Universal Forwarder von Splunk ist ein unkomplizierter Agent, der auf Dutzenden, Hunderten oder gar Tausenden von Servern bereitgestellt werden kann, um Daten in Echtzeit zu erfassen und an einen zentralen Splunk-Indexer zu senden. Mit einem universellen Forwarder können Sie Daten aus anderen Systemen an Splunk übertragen. Die Übermittlung durch den Forwarder wird im Splunk-Manager eingerichtet.
Erstellen eigener Eingaben mithilfe von Skripten
Erstellen Sie eine skriptbasierte Eingabe für Ihre benutzerdefinierte Datenquelle. Die skriptbasierte Eingabe eignet sich für Befehlszeilentools wie vmstat, iostat, netstat, top usw. Rufen Sie Daten von APIs und anderen, Remote-Datenschnittstellen und Meldungswarteschlangen ab und erstellen Sie Metriken und Statusdaten, indem Sie System- und Anwendungsstatusbefehle wie vmstat, iostat, etc. ausführen. Viele Apps in SplunkBase stellen skriptbasierte Eingaben für bestimmte Anwendungen bereit. Skriptbasierte Eingaben werden im Splunk-Manager eingerichtet.
Überwachen von Änderungen im Dateisystem
Möchten Sie wissen, welche Änderungen in Ihrem Dateisystem stattfinden? Richten Sie die Änderungsüberwachung im Dateisystem ein, um jede Änderung sofort angezeigt zu bekommen. Mit dieser Methode können Sie kritische Dateien, Konfigurationsdateien usw. überwachen, wie dies bei vielen Compliance-Anforderungen notwendig ist, sowie im Rahmen von Sicherheits- und Betriebsstandards systemrelevante und nicht genehmigte Änderungen feststellen.
Nachdem Sie Daten in Splunk eingegeben haben, können Sie mit der Such-App sicherheitsrelevante Vorfälle untersuchen, Anwendungs-, Server- und Netzwerkprobleme beheben oder die System- und Benutzeraktivität einfach proaktiv prüfen.
Mit der Freitextsuche suchen Sie nach beliebigem Text, den Sie erwarten, in Ihren Daten zu finden.
Sie können Daten in Echtzeit durchsuchen, während sie in Splunk empfangen werden.
Ihre Suchergebnisse lassen sich ebenso interaktiv nutzen wie die Zeitachse. In diesem Abschnitt erfahren Sie, wie Sie mit nur einem Mausklick Begriffe zu einer Suche hinzufügen, daraus entfernen oder auch davon ausschließen können.
Die Freitextsuche ist einfach und leistungsfähig, bringt jedoch nicht immer die gesuchte Antwort. Nehmen wir beispielsweise an, Sie möchten Ereignisse mit dem HTTP-Statuscode 200 ausschließen. Wenn Sie in diesem Fall nur nach "NOT 200" suchen, entfernen Sie auch Ereignisse, die Sie eigentlich behalten möchten, wie etwa Ereignisse mit dem Status "503", deren IP-Adressen die Zahl 200 enthalten.
Da Splunk jeden Begriff in Ihren Originaldaten indiziert, erkennt und fügt es Felder auf der Basis von Name/Wert-Paaren, Kopfzeilen oder anderen, ansonsten selbsterklärenden Informationen hinzu. Splunk fügt beispielsweise automatisch Informationen über den Ursprung der Daten zu Host-, Quell- und Sourcetypfeldern hinzu. Splunk erkennt eventuell auch andere Teile der Daten, wie etwa IP-Adressen, HTTP-Statuscodes usw. Außerdem können Sie eigene Felder hinzufügen. Dies wird im Abschnitt "Hinzufügen von Informationen" in dieser App erläutert.
Felder, die in Ihren Suchergebnissen sichtbar sind, werden unter der Überschrift "ausgewählte Felder" aufgelistet. Sie können weitere Felder für die Anzeige auswählen. Andere Felder, die von Splunk automatisch erkannt wurden, werden unter "interessante Felder" aufgeführt.
Bei der Zeitachse handelt es sich um die visuelle Darstellung der Anzahl von Ereignissen, die jeweils zu einem Zeitpunkt stattfinden. Mithilfe der Zeitachse können Sie daher Ereignismuster aufzeigen oder Hoch- und Tiefpunkte der Ereignisaktivität untersuchen.
Der Suchassistent ist eine in das Produkte integrierte Kurzreferenz für Benutzer, die Suchvorgänge erstellen. Im Suchassistenten finden Sie Details über den Suchbefehl mit Verwendungsbeispielen und erhalten Vorschläge zu anderen, möglichen Befehlen.
Splunk eröffnet völlig neue Suchmöglichkeiten, indem es automatisch Informationen aus Ihren IT-Daten extrahiert und Ihnen ermöglicht, spontan eigene Informationen hinzuzufügen. Sie können Informationen über die Ereignisse, Felder, Transaktionen, Muster und Statistiken in Ihren Daten hinzufügen. Zudem haben Sie die Möglichkeit, diese Daten zu identifizieren, zu benennen und mit Tags zu versehen.
Splunk ordnet alle diese Informationen zum Suchzeitpunkt zu, sodass Sie ganz nach Bedarf neue Felder und Eventtypen hinzufügen können, ohne die Daten erneut indizieren zu müssen. Sie können also nicht nur sämtliche Ereignisse für einen bestimmten Benutzernamen suchen, sondern auch sofort Statistiken zu spezifischen Benutzeraktivitäten abfragen.
Beim Durchsuchen Ihrer Daten sortieren Sie im Grund genommen alle unerwünschten Ereignisse aus. Das Ergebnis Ihrer Suche sind Ereignisse mit gemeinsamen Merkmalen, denen Sie eine Sammelbezeichnung oder einen "Eventtyp" zuordnen können. Die Bezeichnungen Ihrer Eventtypen werden als Werte in ein Feld "Eventtyp" eingefügt. Sie können also genau wie nach anderen Feldern auch nach diesen Ereignisgruppen suchen. Im folgenden Beispiel führen Sie die Schritte durch, mit denen Sie eine Suche als Eventtyp speichern und dann nach diesem Feld suchen.
Wenn Sie häufig Suchvorgänge ausführen, um SSH- und Firewall-Aktivitäten wie SSHD-Anmeldungen oder Deny-Ereignisse zu untersuchen, können Sie diese Suchvorgänge als Eventtyp speichern. Zudem haben Sie so die Möglichkeit, unverständliche Fehlermeldungen als Eventtyp mit einem aussagekräftigeren Namen zu speichern.
Splunk extrahiert beim Indizieren neuer Daten automatisch Informationen. Außerdem können Sie ganz nach Bedarf neue Informationen hinzufügen, ohne Ihre Daten erneut indizieren zu müssen. In diesem Abschnitt wird erklärt, wie Sie den Feldextraktor verwenden, um interaktiv neue Felder zu extrahieren und zu speichern.
Tags erleichtern das Gruppen von Suchergebnissen, die gemeinsame Feldwerte aufweisen. Ein Tag ist ein Name, den Sie an einen bestimmten Wert eines Felds wie Eventtyp, Host, Quelle oder Sourcetyp anhängen. Sie können die Werte eines Hosts z. B. mit einem Dienstnamen oder einer Notiz zur Einhaltung von Vorschriften wie PCI taggen.
Ganz allgemein verwenden Sie Tags für folgende Aufgaben:
Es gibt zwei Möglichkeiten, ein Tag zu suchen, und zwar in allen Feldern oder in einem bestimmten Feld.
Sie haben noch mehr Möglichkeiten, die Verwendung von Splunk so zu optimieren und auszubauen, dass die Software Ihre Computerdaten exakt so nutzt, wie es Ihr Unternehmen erfordert. Weitere Informationen zum kontinuierlichen Optimieren, Pflegen und Erweitern Ihrer Splunk-Bereitstellung finden Sie im Knowledge Manager Manual.
Das "Knowledge Manager Manual" behandelt folgende Themen:
Nachdem Sie mithilfe von Splunk Probleme in Ihrem System identifiziert und lokalisiert haben, können Sie die Überwachungs- und Benachrichtigungsfunktionen des Programms nutzen, um beim erneuten Auftreten derselben Umstände informiert zu werden. Speichern Sie Ihre Suchvorgänge, um diese ganz nach Wunsch auszuführen, oder richten Sie eine Benachrichtigungsfunktion zur Überwachung ein. Sie können Benachrichtigungen so konfigurieren, dass sie ausgelöst werden, wenn die Suchergebnisse von Ihnen definierte Bedingungen erfüllen. Es ist sogar möglich, in Echtzeit Benachrichtigungen zu Ereignissen zu erhalten.
Sie können jede beliebige Suche als eine Benachrichtigungsfunktion festlegen. Bei Benachrichtigungen werden Sie per E-Mail oder RSS informiert. Sie können auch Benachrichtigungen einrichten, die ein Skript aufrufen.
Mit den integrierten Visualisierungs-Tools von Splunk können Sie Berichte erstellen. In Splunk steht Ihnen eine Vielzahl von Optionen für die Berichterstellung zur Auswahl. Sie können einfache Berichte vom Typ "Spitzenwerte im Zeitverlauf" aus Ihren Suchergebnissen erstellen. Komplexe Diagramme definieren und formatieren Sie mit dem Berichtsgenerator. Sie können auch Splunks leistungsfähige Statistikbefehle verwenden, um Berichte manuell zu definieren. Außerdem können Sie im Handumdrehen Dashboards erstellen, in denen Sie Ihre besten Berichte für andere Benutzer freigeben.
Nach dem Ausführen einer Suche können Sie schnell und einfach Berichte starten, die grundlegende Informationen über die Felder in Ihren Suchergebnissen enthalten.
Starten Sie den Berichtsgenerator, wenn Sie Berichte erstellen und formatieren möchten.
Wenn Sie die Dropdown-Listen im Berichtsgenerator dazu verwenden, einen Bericht zu definieren, aktualisiert Splunk das Suchfeld des Berichtsgenerators mit den Befehlen für die Statistikerstellung, die Splunk für die Ausführung des Berichts verwendet. In diesem Abschnitt wird beschrieben, wie Sie diese Berichterstellungsbefehle direkt von der Suchleiste aus verwenden.
Bei der Berichtsausführung kann Splunk eine Vorschau der Berichtsergebnisse anzeigen, während die Suche läuft. Mit dieser Funktion sparen Sie Zeit – besonders bei Suchvorgängen über lange Zeiträume. Die Berichtsvorschau ist für Suchvorgänge mit Berichterstellungsbefehlen standardmäßig aktiviert – probieren Sie sie bei einem Bericht aus, der einen langen Zeitraum umfasst.
Sie können Ihre Suchvorgänge und Berichte speichern und freigeben, indem Sie ein Dashboard erstellen. In Dashboards sammeln Sie Ihre nützlichsten und informativsten Berichte an einem Ort und stellen Sie sie anderen Benutzern zur Verfügung. Sie können ein ganz neues Dashboard erstellen oder es während der Berichtserstellung anlegen.
Sie können auch ohne Suche oder Bericht ein ganz neues Dashboard einrichten.
Suchen Sie weitere Informationen zu den Möglichkeiten, die Splunk Ihnen bietet? Hier folgen einige weitere Links zur Online-Dokumentation von Splunk.