بررسی کامل ویژگی‌ها و کاربردهای پلتفرم Splunk Enterprise – نحوه استقرار آن در سازمان‌ها

پلتفرم Splunk Enterprise چیست؟ Splunk Enterprise یک محصولِ نرم‌افزاری است که شما را قادر می‌سازد تا داده‌های جمع‌آوری شده از اجزای زیرساختِ فناوری اطلاعات یا کسب و کار خود را جستجو، تجزیه و تحلیل و تجسم کنید. در واقع Splunk Enterprise داده‌ها را از وبسایت‌ها، برنامه‌ها، حسگرها، دستگاه‌ها و غیره دریافت می‌کند و پس از اینکه منبعِ داده را تعریف کردید، Splunk Enterprise جریانِ داده را ایندکس کرده و آن را به مجموعه‌ای از رویدادها تجزیه می‌کند که شما می‌توانید آن را مشاهده و جستجو کنید.

اکثر کاربران با یک مرورگر وب به Splunk Enterprise متصل می‌شوند و از Splunk Web برای مدیریتِ استقرار، مدیریت و ایجاد Knowledge Objects، اجرای جستجوها، ایجاد محورها و گزارش‌ها و غیره استفاده می‌کنند. شما همچنین می‌توانید از رابطِ خطِ فرمان برای مدیریت استقرار Splunk Enterprise خود استفاده کنید.

شما می‌توانید با استفاده از برنامه‌ها، محیط Splunk Enterprise را متناسب با نیازهای خاصِ سازمان خود گسترش دهید. یک برنامه در واقع مجموعه‌ای از پیکربندی‌ها، اشیاء دانش، نماها و داشبوردهایی است که بر روی پلتفرم Splunk اجرا می‌شود. با نصب Splunk Enterprise می‌توان چندین برنامه را به طور همزمان اجرا کرد. شما همچنین می‌توانید برنامه‌های موجود را در Splunkbase مرور کنید یا برنامه‌های خود را در سایت توسعه دهنده‌ی Splunk بسازید.

ویژگی‌های پلتفرم Splunk Enterprise چیست؟

Splunk Enterprise داده‌هایی را که نشان‌دهنده‌ی کسب و کار سازمان و زیرساخت آن است را پردازش و ذخیره می‌کند. شما می‌توانید داده‌ها را از دستگاه‌ها و برنامه‌هایی مانند وبسایت‌ها، سرورها، پایگاه‌های داده، سیستم عامل‌ها و غیره جمع‌آوری کنید. پس از جمع‌آوری داده‌ها، بخش‌های شاخص، داده‌ها را ذخیره، و فشرده‌سازی می‌کنند و ابرداده‌های پشتیبانی‌کننده را برای تسریع در جستجو حفظ می‌کنند.

ارزیابی میزان آسیب‌پذیری امنیت سازمان نسبت به باج‌افزار با راهکار اسپلانک

ویدیوهای بیشتر درباره Splunk

جستجو روشِ اصلی کاربران برای پیمایش داده‌های خود در Splunk Enterprise است. شما می‌توانید یک جستجو را به عنوان گزارش ذخیره کنید و از آن برای روشن کردنِ پنل‌های داشبورد استفاده کنید. جستجوها اطلاعاتی را از داده‌های شما ارائه می‌دهند، مانند:

• بازیابی رویدادها از یک شاخص
• محاسبه معیارها
• جستجوی شرایط خاص در یک Rolling Time Window
• شناسایی الگوها در داده‌های شما
• پیش‌بینی روندهای آینده

هنگامی که نتایج جستجو برای جستجوهای تاریخی و هم‌زمان با شرایط پیکربندی‌شده مطابقت داشته باشند، هشدارها به شما اطلاع می‌دهند. شما می‌توانید هشدارها را برای راه‌اندازی اقداماتی مانند ارسالِ اطلاعاتِ هشدار به آدرس‌های ایمیل تعیین‌شده،   ارسال اطلاعاتِ هشدار RSS feed و اجرای یک اسکریپت سفارشی، مانند اسکریپتی که یک رویداد هشدار را ارسال می‌کند.

داشبوردها شامل پنل‌هایی از ماژول‌ها مانند جعبه‌های جستجو، فیلدها، نمودارها و غیره هستند. پنل‌های داشبورد معمولاً به جستجوها یا محورهای ذخیره‌شده متصل می‌شوند. آن‌ها نتایج جستجوهای تکمیل شده و داده‌های جستجوهای real-time که در پس‌زمینه اجرا می‌شوند را نمایش می‌دهند.

در واقع Pivot به جدول، نمودار یا تجسم داده‌ای که با استفاده از Pivot Editor ایجاد می‌کنید، اشاره دارد. Pivot Editor کاربران را قادر می‌سازد تا ویژگی‌های تعریف‌شده توسط اشیاء مدلِ داده را بدون نیاز به نوشتن جستجوها در زبانِ پردازش جستجو یا SPL برای ایجاد آن‌ها، به جدول، نمودار یا تجسم داده‌ها نقشه‌برداری کنند. Pivotها را می‌توان به عنوان گزارش ذخیره کرد و به داشبورد اضافه کرد.

منظور از گزارش‌های ارائه شده توسط Splunk Enterprise

Splunk Enterprise چیست؟ سازمان را قادر می‌سازند تا جستجوها و محورها را به عنوان گزارش ذخیره کنید و سپس گزارش‌ها را به عنوان پنل‌های داشبورد به داشبورد اضافه کنید. گزارش‌ها را به‌صورت موردی اجرا کنید، و آن‌ها را برای اجرا در یک بازه‌ی زمانی منظم برنامه‌ریزی کنید، یا یک گزارش برنامه‌ریزی‌شده برای ایجاد هشدار در زمانی که نتیجه با شرایط خاص مطابقت دارد تنظیم کنید.

مدلِ داده در پلتفرم Splunk Enterprise

مدل‌های داده، دانشِ تخصصیِ حوزه‌ای را در مورد یک یا مجموعه‌ای از داده‌های فهرست‌شده را رمزگذاری می‌کنند. آن‌ها کاربران Pivot Editor را قادر می‌سازند تا گزارش‌ها و داشبوردها را بدون طراحی جستجوهایی که آن‌ها را تولید می‌کنند، ایجاد کنند.

بیشتر بخوانید: اسپلانک چیست؟ چه قابلیت ها و موارد استفاده ای دارد – قسمت اول

کاربران Splunk Enterprise

Splunk Enterprise به انواع مختلفی از کاربران خدمات ارائه می‌دهد. در اینجا پنج نوع شخصیت اصلی وجود دارد که از Splunk Enterprise استفاده می‌کنند:

شخصیت	نقش صنعت	فعالیت‌ها
مدیر	مهندس شبکه، مدیر سیستم	پیکربندی، مدیریت، بهینه سازی و ایمن سازی استقرار Splunk Enterprise تنظیم حساب کاربری و مجوزها وارد کردن داده‌ها در Splunk Enterprise
مدیر دانش	تحلیلگرِ داده، مدیرِ سیستم	نظارت بر ایجاد شیء دانش، عادی سازی و استفاده از آن در تیم‌ها، گروه‌ها و استقرارها وارد کردن داده‌ها در Splunk Enterprise و یا کمک گرفتن از مدیر برای انجام این کار ایجاد و به‌اشتراک‌گذاری مدل‌های داده
کاربر جستجو	تحلیلگرِ داده، متخصصِ فناوری اطلاعات، مهندسِ شبکه، تحلیلگرِ امنیت، مدیر سیستم	استفاده از جستجو برای بررسی مشکلات سرور، درک پیکربندی‌ها، نظارت بر فعالیت‌های کاربر و عیب‌یابیِ مشکلاتِ گسترش‌یافته ایجاد گزارش و داشبورد برای نظارت بر سلامت، عملکرد، فعالیت و ظرفیت زیرساخت‌های فناوری اطلاعات شناسایی الگوها و روندهایی که نشانگر مشکلات معمول هستند
کاربر Pivot	متخصص کسب و کار، تحلیلگرِ داده، مدیر اجرایی، متخصص IT، مدیر، مدیرِ سیستم	استفاده از از Pivot برای ایجاد گزارش‌ها بر اساس مدل‌های داده ایجاد شده توسط Knowledge Manager ایجاد گزارش و داشبورد برای نظارت بر کسب و کار خود شناسایی روندها در سلامت و عملکرد کسب و کار خود
توسعه‌دهنده	ادغام‌کننده‌ی سیستم، توسعه‌دهنده‌ی حرفه‌ای	ادغام داده‌ها و قابلیت‌های برنامه با Splunk Enterprise ساخت برنامه‌های Splunk و افزونه‌ها با داشبوردهای سفارشی و تجسم داده‌ها

نحوه ی استقرار Splunk Enterprise چیست

Splunk Enterprise داده‌های سرورها، برنامه‌ها، پایگاه‌های داده، دستگاه‌های شبکه و ماشین‌های مجازی‌ای که زیرساخت فناوری اطلاعات شما را تشکیل می‌دهند را فهرست‌بندی می‌کند. تا زمانی که ماشینی که داده‌ها را تولید می‌کند بخشی از شبکه شما باشد، Splunk Enterprise می‌تواند داده‌ها را از هر جایی جمع‌آوری کند: چه داده‌ها محلی، از راه دور و یا داده‌های فضای مبتنی بر cloud.

سه عملکرد اصلی Splunk Enterprise هنگام پردازش داده‌ها

1. داده‌ها را از فایل‌ها، شبکه‌ها یا منابع دیگر جذب می‌کند.
2. داده‌ها را تجزیه و ایندکس می‌کند.
3. جستجوها را روی داده‌های نمایه‌شده اجرا می‌کند.

انواع استقرار در Splunk Enterprise

شما می‌توانید بسته به نیازتان، Splunk Enterprise  را به عنوان یک نمونه‌ی واحد مستقر کنید، و یا می‌توانید استقرارهایی را ایجاد کنید که چندین نمونه را شامل می‌شود، از چند تا صدها یا حتی هزاران نمونه.

بیشتر بخوانید: قابلیت های اسپلانک چیست و آیا اسپلانک قابلیت تشخیص حملات DDoS را دارد؟

استقرارهای واحد

در استقرارهای واحد، یک نمونه از Splunk Enterprise تمام جنبه‌های پردازش داده‌ها، از ورودی گرفته تا نمایه‌سازی و جستجو را کنترل می‌کند. استقرار واحد می‌تواند برای اهدافِ آزمایش و ارزیابی مفید باشد و ممکن است نیازهای محیط‌های گروه را برآورده کند.

استقرارهای توزیع شده

برای پشتیبانی از محیط‌های بزرگتر که در آن داده‌ها از ماشین‌های زیادی سرچشمه می‌گیرند، یعنی جایی که شما نیاز به پردازش حجمِ زیادی از داده‌ها دارید، یا جایی که بسیاری از کاربران نیاز به جستجو در داده‌ها دارند، می‌توانید با توزیع نمونه‌های Splunk Enterprise در چندین ماشین، استقرار را مقیاس‌بندی کنید. این مورد با عنوان «استقرارِ توزیع‌شده» شناخته می‌شود.

در یک استقرارِ توزیع‌شده‌ی معمولی، هر نمونه Splunk Enterprise یک کار تخصصی را انجام می‌دهد و در یکی از سه سطح پردازشی مربوط به عملکردهای پردازش اصلی قرار دارد:

• سطح ورودی داده
• سطح ایندکس‌کننده
• سطح مدیریت جستجو

برای مثال، شما می‌توانید یک استقرار با بسیاری از نمونه‌هایی که در سطح ورودی داده‌ها قرار دارند و فقط داده‌ها را دریافت می‌کنند، و همچنین چندین نمونه‌ی دیگر که در سطح ایندکس‌کننده قرار دارند و داده‌ها را ایندکس می‌کنند، و نیز یک نمونه که در سطح مدیریت جستجو قرار دارد و جستجوها را مدیریت می‌کند، ایجاد کنید. . این نمونه‌های تخصصی با عنوان «مؤلفه» شناخته می‌شوند.

منظور از مؤلفه‌ها و سطوح پردازشی Splunk Enterprise چیست

این جدول اجزای پردازش و سطوحی را که اشغال می‌کنند  را فهرست کرده و همچنین عملکردهایی را که هر جزء انجام می‌دهد، توصیف می‌کند.

ارسال‌کننده	ورودی داده	یک ارسال‌کننده داده‌ها را مصرف کرده و سپس آن‌ها را به جلو (معمولاً به یک ایندکس‌کننده) می‌فرستد. ارسال‌کننده‌ها معمولاً به منابعِ حداقلی نیاز دارند و به آن‌ها اجازه می‌دهند تا به راحتی بر روی دستگاهِ تولیدکننده‌ی داده‌ها اقامت داشته باشند.
ایندکس‌کننده	فهرست‌بندی	یک ایندکس‌کننده داده‌های دریافتی را که معمولاً از گروهی از ارسال‌کننده‌ها دریافت می‌کند، فهرست‌بندی می‌کند. ایندکس‌کننده داده‌ها را به رویداد تبدیل می‌کند و رویدادها را در یک نمایه ذخیره می‌کند. ایندکس‌کننده همچنین داده‌های فهرست‌بندی شده را در پاسخ به درخواست‌های جستجوی مدیرِ جستجو جستجو می‌کند. برای اطمینان از در دسترس بودن داده‌ها و محافظت در برابر از دست رفتن داده‌ها، یا صرفاً برای ساده سازی مدیریت ایندکس‌کننده‌های متعدد، می‌توانید چندین ایندکس‌کننده را در کلاستر های ایندکس‌کننده مستقر کنید.
مدیرِ جستجو	مدیریت جستجو	یک مدیرِ جستجو با کاربران تعامل کرده، و درخواست‌های جستجو را به مجموعه‌ای از ایندکس‌کننده‌ها هدایت می‌کند و نتایج را به کاربران می‌رساند. برای اطمینان از دسترسی بالا و ساده‌سازی مقیاس افقی، می‌توانید چندین مدیرِ جستجو را در کلاستر‌های مدیر جستجوی قرار دهید.

شما می‌توانید در صورت لزوم به هر سطح اجزایی اضافه کنید تا از تقاضاهای بیشتر در آن سطح پشتیبانی کنید. به عنوان مثال، اگر تعداد کاربران زیادی دارید، می‌توانید مدیرهای جستجوی اضافی را برای خدماتِ بهتر به کاربران اضافه کنید.

 نمونه‌ای از استقرار توزیع‌شده