Citrix Analytics for Security

Arquitectura Splunk con aplicación complementaria de Citrix Analytics

Splunk sigue una arquitectura que contiene los tres niveles siguientes:

  • Colección
  • Indexación
  • Buscando

Splunk admite una amplia gama de mecanismos de recopilación de datos que ayudan a introducir datos en Splunk con facilidad, de modo que puedan indexarse y estar disponibles para la búsqueda. Este nivel no es más que su transportista pesado o transportista universal.

Debe instalar la aplicación complementaria en la capa de reenvío pesado en lugar de en la capa de reenvío universal. Porque, con pocas excepciones en el caso de datos bien estructurados (como json, csv, tsv), el reenviador universal no analiza las fuentes de registro en eventos, por lo que no puede realizar ninguna acción que requiera comprender el formato de los registros.

También incluye una versión reducida de Python, lo que lo hace incompatible con cualquier aplicación de entrada modular que requiera una pila completa de Splunk para funcionar. El reenviador pesado no es más que tu nivel de colección.

La diferencia clave entre un reenviador universal y un reenviador pesado es que el reenviador pesado contiene toda la canalización de análisis y realiza las mismas funciones que realiza un indexador sin escribir ni indexar eventos en el disco. Esto permite al transportista pesado comprender eventos individuales y actuar sobre ellos, como enmascarar datos, filtrar y enrutar en función de los datos de eventos. Como la aplicación complementaria cuenta con una instalación completa de Splunk Enterprise, puede alojar entradas modulares que requieren una pila completa de Python para una recopilación de datos adecuada, o actuar como punto final para el recopilador de eventos HTTP (HEC) de Splunk.

Una vez recopilados los datos, se indexan o procesan y almacenan de manera que se puedan buscar.

La forma principal de que los clientes exploren sus datos es mediante la búsqueda. Una búsqueda puede guardarse como un informe y utilizarse para alimentar los paneles del panel de control. Las búsquedas son la forma de extraer información de sus datos.

En general, la aplicación complementaria de Splunk se implementa en el nivel de colección (a nivel empresarial de Splunk), mientras que nuestra aplicación de paneles se implementa en la capa de búsqueda (a nivel de Splunk Cloud). Con una configuración local sencilla, puedes tener estos tres niveles en un único host de Splunk (lo que se conoce como implementación de un solo servidor).

El nivel de colección es una forma mucho mejor de utilizar la aplicación complementaria de Splunk. Hay dos formas de instalar la aplicación complementaria. Puede instalarlo en el nivel de recopilación en el entorno del cliente o puede instalarlo en el administrador de datos de entradas de la instancia de Splunk Cloud.

Consulte el siguiente diagrama para entender la arquitectura de implementación de Splunk con nuestra aplicación complementaria:

Arquitectura de despliegue de Splunk

El administrador de datos de entradas (IDM) que se muestra en el diagrama mencionado anteriormente es la implementación gestionada por Splunk Cloud de un nodo de recopilación de datos (DCN) que solo admite entradas modulares y programadas. Para necesidades de recopilación de datos más allá de eso, puede implementar y administrar una DCN en su entorno utilizando un reenviador pesado de Splunk.

Splunk permite recopilar, indexar y buscar datos de varias fuentes. Una forma de recopilar datos es a través de las API, que permiten a Splunk acceder a los datos almacenados en otros sistemas o aplicaciones. Estas API pueden incluir REST, servicios web, JMS y/o JDBC como mecanismo de consulta. Splunk y cualquier desarrollador externo ofrecen una gama de aplicaciones que permiten las interacciones de la API a través del marco de entrada modular de Splunk. Estas aplicaciones suelen requerir una instalación completa del software empresarial de Splunk para funcionar correctamente.

Para facilitar la recopilación de datos a través de las API, es habitual implementar un reenviador pesado como DCN. Los transportistas pesados son agentes más poderosos que los transportistas universales, ya que contienen todo el proceso de análisis y pueden comprender eventos individuales y actuar en función de ellos. Esto les permite recopilar datos a través de las API y procesarlos antes de enviarlos a una instancia de Splunk para su indexación.

Para obtener más información sobre la arquitectura de alto nivel de una implementación de Splunk Cloud, consulte Arquitecturas validadas de Splunk.

Arquitectura Splunk con aplicación complementaria de Citrix Analytics

En este artículo