Citrix Analytics for Security

Architecture Splunk avec application complémentaire Citrix Analytics

L’architecture de Splunk comprend les trois niveaux suivants :

  • Collection
  • Indexation
  • Recherche

Splunk prend en charge un large éventail de mécanismes de collecte de données qui permettent d’intégrer facilement des données dans Splunk, afin qu’elles puissent être indexées et mises à disposition pour la recherche. Ce niveau n’est rien d’autre que votre transitaire lourd ou votre transitaire universel.

Vous devez installer l’application complémentaire sur la couche de redirection lourde plutôt que sur la couche de transfert universelle. En effet, à quelques exceptions près pour les données bien structurées (telles que json, csv, tsv), le redirecteur universel n’analyse pas les sources des journaux en événements. Il ne peut donc effectuer aucune action nécessitant une compréhension du format des journaux.

Il est également livré avec une version allégée de Python, ce qui le rend incompatible avec les applications d’entrée modulaires qui nécessitent une pile Splunk complète pour fonctionner. Le transitaire lourd n’est rien d’autre que votre niveau de collection.

La principale différence entre un redirecteur universel et un redirecteur lourd réside dans le fait que le redirecteur lourd contient le pipeline d’analyse complet, exécutant les mêmes fonctions qu’un indexeur sans réellement écrire et indexer les événements sur le disque. Cela permet au transitaire lourd de comprendre et d’agir sur des événements individuels, tels que le masquage des données, le filtrage et le routage en fonction des données d’événements. Comme l’application complémentaire dispose d’une installation complète de Splunk Enterprise, elle peut héberger des entrées modulaires qui nécessitent une pile Python complète pour collecter correctement les données, ou servir de point de terminaison pour le collecteur d’événements HTTP (HEC) de Splunk.

Une fois les données collectées, elles sont indexées ou traitées et stockées de manière à pouvoir être consultées.

La recherche est le principal moyen pour les clients d’explorer leurs données. Une recherche peut être enregistrée sous forme de rapport et utilisée pour alimenter les panneaux du tableau de bord. Les recherches sont des informations extraites de vos données.

En général, l’application complémentaire Splunk est déployée au niveau Collection (au niveau de l’entreprise Splunk), tandis que notre application de tableau de bord est déployée sur la couche de recherche (au niveau de Splunk Cloud). Dans le cadre d’une configuration sur site simple, vous pouvez disposer de ces trois niveaux sur un seul hôte Splunk (ce que l’on appelle le déploiement sur un seul serveur).

Le niveau de collecte est un bien meilleur moyen d’utiliser l’application complémentaire pour Splunk. Il existe deux manières d’installer l’application complémentaire. Vous pouvez l’installer au niveau de collecte dans l’environnement client ou vous pouvez l’installer dans le gestionnaire de données d’entrée de l’ instance Splunk Cloud.

Reportez-vous au schéma suivant pour comprendre l’architecture de déploiement de Splunk avec notre application complémentaire :

Architecture de déploiement de Splunk

Le gestionnaire de données d’entrée (IDM) illustré dans le schéma ci-dessus est l’implémentation gérée par Splunk Cloud d’un nœud de collecte de données (DCN) qui prend uniquement en charge les entrées scriptées et modulaires. Pour les besoins de collecte de données supplémentaires, vous pouvez déployer et gérer un DCN dans votre environnement à l’aide d’un Splunk Heavy Forwarder.

Splunk permet de collecter, d’indexer et de rechercher des données provenant de différentes sources. L’un des moyens de collecter des données consiste à utiliser des API, qui permettent à Splunk d’accéder aux données stockées dans d’autres systèmes ou applications. Ces API peuvent inclure REST, des services Web, JMS et/ou JDBC en tant que mécanisme de requête. Splunk et tous les développeurs tiers proposent une gamme d’applications qui permettent des interactions avec les API via le framework de saisie modulaire Splunk. Ces applications nécessitent généralement une installation complète du logiciel d’entreprise Splunk pour fonctionner correctement.

Pour faciliter la collecte de données via des API, il est courant de déployer un redirecteur lourd en tant que DCN. Les redirecteurs lourds sont des agents plus puissants que les redirecteurs universels, car ils contiennent l’intégralité du pipeline d’analyse et peuvent comprendre les événements individuels et agir en conséquence. Cela leur permet de collecter des données via des API et de les traiter avant de les transmettre à une instance Splunk à des fins d’indexation.

Pour en savoir plus sur l’architecture de haut niveau d’un déploiement de Splunk Cloud, consultez la section Architectures validées par Splunk.

Architecture Splunk avec application complémentaire Citrix Analytics

Dans cet article