Citrix Analytics für Sicherheit

Splunk-Architektur mit Citrix Analytics als Add-On

Splunk folgt einer Architektur, die die folgenden drei Ebenen enthält:

  • Sammlung
  • Indizierung
  • Suchen

Splunk unterstützt eine Vielzahl von Datenerfassungsmechanismen, mit denen Daten einfach in Splunk aufgenommen werden können, sodass sie indexiert und für die Suche verfügbar gemacht werden können. Diese Stufe ist nichts anderes als Ihr Heavy Forwarder oder Universal Forwarder.

Sie müssen die Zusatzanwendung auf der Heavy-Forwarder-Ebene statt auf der universellen Forwarder-Ebene installieren. Denn mit wenigen Ausnahmen für gut strukturierte Daten (wie json, csv, tsv) analysiert der Universal Forwarder Protokollquellen nicht in Ereignisse und kann daher keine Aktion ausführen, für die ein Verständnis des Protokollformats erforderlich ist.

Es wird auch mit einer abgespeckten Version von Python geliefert, wodurch es nicht mit modularen Eingabeanwendungen kompatibel ist, für deren Funktion ein vollständiger Splunk-Stack erforderlich ist. Der Heavy Forwarder nichts anderes als deine Sammelstufe.

Der Hauptunterschied zwischen einem Universal Forwarder und einem Heavy Forwarder besteht darin, dass der Heavy Forwarder die vollständige Parsing-Pipeline enthält und dieselben Funktionen ausführt, die ein Indexer ausführt, ohne Ereignisse tatsächlich auf den Datenträger zu schreiben und zu indizieren. Dies ermöglicht es dem Heavy Forwarder, einzelne Ereignisse wie das Maskieren von Daten, das Filtern und Routing auf der Grundlage von Ereignisdaten zu verstehen und darauf zu reagieren. Da die Zusatzanwendung über eine vollständige Splunk Enterprise-Installation verfügt, kann sie modulare Eingaben hosten, die einen vollständigen Python-Stack für eine korrekte Datenerfassung benötigen, oder als Endpunkt für den Splunk HTTP Event Collector (HEC) fungieren.

Sobald die Daten gesammelt sind, werden sie indexiert oder verarbeitet und so gespeichert, dass sie durchsuchbar sind.

Die wichtigste Methode für Kunden, ihre Daten zu erkunden, ist die Suche. Eine Suche kann als Bericht gespeichert und zur Stromversorgung von Dashboard-Panels verwendet werden. Suchen sind das Extrahieren von Informationen aus Ihren Daten.

Im Allgemeinen wird die Splunk-Add-On-Anwendung auf der Collection-Ebene (auf Splunk-Unternehmensebene) bereitgestellt, wohingegen unsere Dashboarding-Anwendung auf der Suchebene (auf Splunk Cloud-Ebene) bereitgestellt wird. Bei einem einfachen lokalen Setup können Sie all diese drei Ebenen auf einem einzigen Splunk-Host haben (bekannt als Single Server Deployment).

Die Sammlungsstufe ist eine viel bessere Möglichkeit, die Zusatzanwendung für Splunk zu verwenden. Es gibt zwei Möglichkeiten, die Zusatzanwendung zu installieren. Entweder können Sie es auf der Erfassungsebene in der Kundenumgebung oder im Eingabedatenmanager unter der Splunk Cloud-Instanzinstallieren.

Sehen Sie sich das folgende Diagramm an, um die Splunk-Bereitstellungsarchitektur mit unserer Zusatzanwendung zu verstehen:

Splunk-Bereitstellungsarchitektur

Der im oben genannten Diagramm gezeigte Inputs Data Manager (IDM) ist die von Splunk Cloud verwaltete Implementierung eines Data Collection Node (DCN), der nur skriptbasierte und modulare Eingaben unterstützt. Für darüber hinausgehende Datenerfassungsanforderungen können Sie mithilfe eines Splunk Heavy Forwarders ein DCN in Ihrer Umgebung bereitstellen und verwalten.

Splunk ermöglicht das Sammeln, Indexieren und Suchen von Daten aus verschiedenen Quellen. Eine Möglichkeit, Daten zu sammeln, sind APIs, die es Splunk ermöglichen, auf Daten zuzugreifen, die in anderen Systemen oder Anwendungen gespeichert sind. Diese APIs können REST, Webdienste, JMS und/oder JDBC als Abfragemechanismus enthalten. Splunk und alle Drittanbieter-Entwickler bieten eine Reihe von Anwendungen an, die API-Interaktionen über das modulare Splunk-Eingabeframework ermöglichen. Diese Anwendungen erfordern in der Regel eine vollständige Installation der Splunk-Unternehmenssoftware, um ordnungsgemäß zu funktionieren.

Um die Erfassung von Daten über APIs zu erleichtern, ist es üblich, einen Heavy Forwarder als DCN einzusetzen. Heavy Forwarders sind mächtigere Agenten als Universal Forwarders, da sie die gesamte Parsing-Pipeline enthalten und einzelne Ereignisse verstehen und darauf reagieren können. Auf diese Weise können sie Daten über APIs sammeln und verarbeiten, bevor sie zur Indizierung an eine Splunk-Instanz weitergeleitet werden.

Weitere Informationen zur übergeordneten Architektur einer Splunk Cloud-Bereitstellung finden Sie unter Splunk Validated Architectures.

Splunk-Architektur mit Citrix Analytics als Add-On

In diesem Artikel