Mediante el uso de un solo componente de software fácil de
entender en sus configuraciones, Splunk Enterprise puede coexistir con la
infraestructura existente o puede ser desplegado como una plataforma universal
para acceder a los datos de TI.
El despliegue más simple es el que se obtiene de forma
predeterminada al instalar Splunk Enterprise: Indexando, buscando y mostrando
datos en el mismo servidor.
A continuación, los componentes principales que constituyen
una implantación de Splunk
Un Indexador de Splunk proporciona procesamiento y
almacenamiento de datos locales y remotos, es decir, es quien alberga los datos
que llegan a la plataforma Splunk por distintos métodos
Este componente es el responsable de tomar los eventos o
datos generados por los dispositivos y/o controles de seguridad para indexarlos
y hacerlos disponibles dentro de Splunk.
- Se encarga de almacenar datos por diversos protocolos y puertos de entrada.
- Se encarga de conectarse remotamente vía scripts a aplicaciones, bases de datos y API's para consultar e indexar información.
- Se encarga de filtrar información seleccionada para su almacenamiento.
- Se encarga de gestionar las bases de datos donde se ingesta la información.
- Comprime la información ingestada para reducir recursos de almacenamiento.
- Habilita búsquedas distribuidas en paralelo.
- Permite establecer búsquedas remotas desde otros search heads:
Un Search Head es una instancia de Splunk Enterprise que
distribuye búsquedas en los indexadores (referido como "búsqueda
pares"). El Search Head puede ser dedicado o no a la función de gestionar
búsquedas, dependiendo de la arquitectura y topología requerida. Un Search Head
dedicado no tiene índices propios o índices internos. En su lugar, se
consolidan y muestran los resultados que se originan a partir de pares de
búsqueda remotos (índices remotos).
Este componente es el responsable de hacer el procesamiento
durante el proceso de búsquedas. Al incluir servidores como Search heads
liberamos procesamiento en los indexers.
o Gestor
de configuraciones.
o Gestor
de consultas.
o Programación
de alertas.
o Generación
de informes.
o Administrador
de campos.
o Administrador
de datos.
o Gestor
de fuentes y tipos.
o Gestor
de entradas de datos.
o Gestor
de búsquedas distribuidas
o Gestor
de dashboards.
o Gestor
de usuarios y roles.
o Gestor
de licencia.
o Control
de usuarios.
o Control
de Jobs.
o Gestor
de aplicaciones.
o Ayuda
a balancear la carga de las consultas en cada Indexador.
o Gestiona
las consultas simultáneas entre usuarios, optimizando la entrega de la
información de los informes y los dashboards.
o Se
encarga de concentrar configuraciones, lo que ayuda a realizar backups y
rollback de configuraciones en minutos.
o Al
tener un concentrado de configuraciones se evitar replicar configuraciones en
cada Indexer
El Splunk Forwarder es una instancia de Splunk o agente que
reenvía datos a los indexadores remotos para el procesamiento y almacenamiento
de datos. Los Splunk Forwarder no indexan datos dentro de ellos.
Es el mecanimo por el cual se envían los logs hacia el
Indexer, considerando el SO de la fuente se instala y configura, se recomienda
el uso de forwarder management.
Como parte adicional
se recomienda el uso del Servidor Syslog el cual es una instancia
indexadora que se encarga
de la recepción de un compendio de fuentes. Este servidor syslog recibe eventos
y los almacena dentro de un file system local para que Splunk pueda indexarlos
por el método común de lectura de datos.
Gracias por leerme: les pido que cualquier comentario, bueno o malo lo dejen en este medio o me contacten por:
correo: splunkfanslatam@gmail.com
twitter: @splunkFansLATAM
Linkedin: Splunk LATAM
