Citrix Analytics for Security

采用 Citrix Analytics 附加应用程序的 Splunk 架构

Splunk 遵循的架构包含以下三个层级:

  • 集合
  • 索引
  • 正在搜索

Splunk 支持多种数据收集机制,可帮助将数据轻松提取到 Splunk 中,这样就可以对其进行索引并可供搜索。这个层不过是您的重型转发器或通用转发器。

您必须在重型转发器层而不是通用转发器层上安装附加应用程序。因为,除了结构良好的数据(例如 json、csv、tsv)很少有例外,通用转发器不会将日志源解析为事件,因此它无法执行任何需要了解日志格式的操作。

它还附带了精简版的 Python,这使得它与任何需要完整的 Splunk 堆栈才能运行的模块化输入应用程序不兼容。重型转发器不过是您的集合层。

通用转发器和重型转发器之间的关键区别在于,重型转发器包含完整的解析管道,无需在磁盘上实际写入和索引事件即可执行与索引器相同的功能。这使重型转发器能够理解单个事件并对其采取操作,例如屏蔽数据、筛选和基于事件数据的路由。由于附加应用程序安装了完整的 Splunk Enterprise,因此它可以托管需要完整的 Python 堆栈才能正确收集数据的模块化输入,也可以充当 Splunk HTTP 事件收集器 (HEC) 的端点。

收集数据后,将对其进行索引或处理,并以使其可搜索的方式存储。

客户浏览数据的主要方式是搜索。搜索可以另存为报告,并用于为控制板面板提供动力。搜索是从您的数据中提取的信息。

通常,Splunk 附加应用程序部署在集合层(Splunk 企业级),而我们的控制板应用程序部署在搜索层(Splunk Cloud 级别)。在简单的本地设置中,您可以将所有这三个层都放在单个 Splunk 主机上(称为单服务器部署)。

集合层是使用 Splunk 附加应用程序的更好方式。安装附加应用程序有两种方法。您可以将其安装在客户环境下的集合层,也可以将其安装在 Splunk Cloud 实例下的输入数据管理器中。

请参阅下图,了解我们的附加应用程序的 Splunk 部署架构:

Splunk 部署架构

上述图表中显示的输入数据管理器 (IDM) 是 Splunk 云托管的数据收集节点 (DCN) 的实现,仅支持脚本和模块化输入。对于除此之外的数据收集需求,您可以使用 Splunk 重型转发器在您的环境中部署和管理 DCN。

Splunk 允许收集、索引和搜索来自各种来源的数据。收集数据的一种方法是通过 API,这允许 Splunk 访问存储在其他系统或应用程序中的数据。这些 API 可以包括 REST、Web 服务、JMS 和/或 JDBC 作为查询机制。Splunk 和任何第三方开发人员提供了一系列通过 Splunk 模块化输入框架实现 API 交互的应用程序。这些应用程序通常需要安装完整的 Splunk 企业软件才能正常运行。

为了便于通过 API 收集数据,通常将重型转发器部署为 DCN。重型转发器比通用转发器更强大,因为它们包含完整的解析管道,可以理解单个事件并对单个事件采取操作。这使他们能够通过 API 收集数据并对其进行处理,然后再将其转发到 Splunk 实例进行索引。

要了解有关 Splunk 云部署高级架构的更多信息,请参阅 Splunk 验证架构

采用 Citrix Analytics 附加应用程序的 Splunk 架构

在本文中