GUIA DE SOLUÇÕES O guia da Splunk para inteligência operacional Use o Splunk e os dados da sua máquina para oferecer novos níveis de visibilidade e percepção para a TI e os negócios O que é o Splunk® Enterprise ? A abordagem do Splunk O Splunk é o mecanismo para os dados gerados por máquina. Ele coleta, classifica e aproveita os dados de máquina gerados por seus sistemas de TI e infraestrutura, sejam eles físicos, virtuais ou em nuvem. Use o Splunk e os dados da sua máquina para oferecer novos níveis de visibilidade e inteligência operacional para a TI e o negócio. O Splunk é o mecanismo para os dados de máquina. Ele foi desenvolvido para resolver todos os desafios dos dados da máquina e coletar, indexar e aproveitar seus dados de máquina não estruturados e em correlações baseadas em tempo. O Splunk pode ler os dados de praticamente qualquer fonte imaginável, como tráfego de rede, servidores da Web, aplicativos personalizados, servidores de aplicativos, hypervisors, sistemas de GPS, feeds de bolsas de valores, mídias sociais e bancos de dados estruturados preexistentes. Ele oferece uma compreensão do que está acontecendo em tempo real e uma análise profunda do que está acontecendo em todos os sistemas e infraestrutura de TI. Além disso, transforma os dados gerados por máquina em informações valiosas, não importa seu negócio. TM A oportunidade de dados da máquina Todas as suas aplicações, sistemas e infraestrutura de TI geram dados a cada milissegundo, todos os dias. Esses dados gerados por máquina contêm um registro definitivo das transações do usuário, comportamento do cliente, comportamento da máquina, ameaças de segurança, atividades fraudulentas e muito mais. Eles também são dinâmicos, não estruturados e não padronizados, e constituem a maioria dos dados da sua empresa. Os dados gerados por máquina são um recurso incrivelmente valioso, mas as empresas raramente extraem deles o valor de que precisam. As soluções existentes para análise, gerenciamento e monitoramento de dados simplesmente não foram projetadas para esse tipo de dados. Pense no gerenciamento de informações. Os sistemas de gerenciamento de data warehouses e bancos de dados relacionais são baseados em esquemas rígidos e projetados para dados estruturados e consistentes. Eles fornecem análise de histórico, mas não visibilidade em tempo real. O Enterprise Search foi criado para dados gerados por humanos, como documentos e páginas da Web. Esses dados são muito diferentes dos dados da máquina. Os dados de máquina têm uma ordem de magnitude, maior volume e diversidade do que os dados tradicionais e estruturados. Fazer "splunking" dos dados de máquina oferece muitos usos para a TI e o negócio: • Gerenciamento de aplicativos: solucionar problemas em toda a pilha de aplicativos a partir de um único local e monitorar a queda de desempenho. • Segurança e conformidade: oferece rapidamente resposta, correlação e monitoramento aprofundado de incidentes em todas as fontes de dados • Gerenciamento de operações e infraestrutura: monitora de forma proativa para garantir o tempo de atividade, além de detectar e resolver problemas • Análise empresarial e da Web: ganhe visibilidade e inteligência sobre clientes, serviços e transações, além de identificar tendências e padrões em tempo real Encontrar e corrigir problemas, seguir a trilha de um invasor, emitir relatórios de conformidade e analisar o comportamento dos clientes são atividades que exigem uma visualização completa. As ferramentas de gerenciamento de TI e o gerenciamento de eventos e informações de segurança são, por outro lado, isolados e projetados para um nível da empresa. Eles fornecem uma visão limitada dos dados básicos e estão vinculados a tipos específicos de dados e fontes. Ou eles monitoram vários sistemas, com graves lacunas nos dados que coletam. Eles também não fornecem o contexto histórico. Na verdade, encontrar a melhor maneira de filtrar, refinar e compreender as enormes quantidades de dados da máquina pode transformar a forma como as organizações de TI gerenciam, protegem e fazem auditorias de TI. Isso também pode fornecer informações valiosas para a empresa sobre as tendências e comportamentos dos seus clientes e serviços. Criar painéis de controle personalizados está a apenas alguns cliques para TI e usuários corporativos. GUIA DE SOLUÇÕES A solução dos problemas muitas vezes significa correlacionar logs do servidor da Web, mensagens SOA, transações de banco de dados, desempenho virtual e alterações de configuração. Investigar incidentes de segurança exige a análise dos eventos dos logs dos servidores, firewalls e varreduras de IDS, além de eventos de aplicativos, configurações e scripts para entender o que está acontecendo. Cumprir a conformidade exige revisões sistemáticas e a retenção de dados em longo prazo de toda a infraestrutura, colocando mais barreiras ao acesso a esses dados para as necessidades operacionais diárias. Quando a empresa busca melhor inteligência, podem ser necessárias a correlação e a análise em tempo real das transações e eventos de diversas fontes de TI, possivelmente combinados com dados empresariais. O Splunk mune os engenheiros de rede, administradores de sistemas, analistas de segurança e conformidade, equipe da central de atendimentos e usuários corporativos com novos níveis de visibilidade, tudo isso a partir de uma única solução. Isso é o que consideramos oferecer Inteligência Operacional. Qual é a diferença do Splunk? O Splunk é diferente das abordagens anteriores de gerenciar, fazer auditorias, proteger e coletar inteligência de sistemas de TI. Nós mostramos como. Resultados imediatos, sem riscos. O Splunk é um software empresarial fácil de usar. Os usuários podem baixar o Splunk gratuitamente, instalá-lo em poucos minutos, alimentá-lo com quaisquer dados gerados por máquina e se tornar produtivo imediatamente. Chega daqueles exércitos de consultores ou DBAs para fazer as coisas funcionarem. A prova é imediata. A maioria dos usuários baixa e instala o Splunk quando estão sendo atacados. Um problema grave de serviço ou incidente de segurança agora podem ser investigados em poucos minutos, ao contrário das horas ou dias que isso costumava levar. Baseado em tecnologia de indexação e pesquisa de alto desempenho. Todos os dias, milhões de pessoas pesquisam e navegam por bilhões de páginas da Web servidas por computadores em todo o mundo. A pesquisa é flexível, intuitiva e oferece resultados imediatos. O Splunk possui em seu núcleo uma tecnologia poderosa de indexação e pesquisa, mudando completamente o significado de velocidade e capacidade de resposta. Com ele, você pode pesquisar bilhões de eventos em segundos e começar a ver os resultados imediatamente. Projetado para dados não estruturados e em série temporal. Os dados gerados por máquina são dados não estruturados. Baseiam-se em série temporal, dinâmicos e não padronizados. Eles capturam todas as interações entre máquinas e entre homem e máquina, geradas em volumes que superam os dados empresariais estruturados. Eles também estão crescendo em ritmo exponencial. O Splunk não usa esquemas predefinidos, podendo ler dados em qualquer formato e de praticamente qualquer fonte imaginável. Indexa dados de qualquer fonte. Produtos para gerenciamento de sistemas, SIEM, CEP/ECA e gerenciamento de logs exigem semanas ou meses desenvolvendo ou configurando conectores personalizados para cada fonte de dados. O Splunk coleta diretamente os dados de dezenas de milhares de fontes, levando-os em segurança até um local central em tempo real. Nas situações em que os dados necessários não estão disponíveis na rede, você pode instalar Splunk forwarders. Os Splunk forwarders são leves agentes e oferecem um coletor de dados universal e em tempo real. Monitore os arquivos de log de aplicativos locais, capture a saída de comandos de status em um cronograma, obtenha métricas de desempenho a partir de fontes virtuais ou não virtuais ou observe o sistema de arquivos para alterações de configuração, permissões e atributos. Permite a análise de dados de histórico e em tempo real. Os sistemas tradicionais de TI forçam uma decisão entre monitoramento em tempo real e análise de histórico. Com o Splunk, você pode pesquisar e analisar os dados históricos em tempo real a partir de uma única solução. Isso significa que você pode identificar e responder aos padrões de comportamento ou atividade de interesse antes que seja tarde demais. O software que os usuários querem usar. Antes fazia sentido gerenciar sua infraestrutura de TI em silos. Porém , com a computação atual dimensionada e distribuída, e com a proliferação de virtualizações e aplicativos complexos baseados na Web, isso simplesmente não funciona mais. O Splunk rompe os silos de TI. Pesquise, crie relatórios, monitore e analise todos os seus dados a partir de qualquer aplicativo, servidor e dispositivo, tudo isso a partir de um único local e em tempo real. Integre o sistema facilmente com ferramentas empresariais de gerenciamento, segurança e conformidade existentes. Encontrar e corrigir problemas, seguir a trilha de um invasor, rastrear transações e ganhar novas percepções dos seus dados operacionais, de repente, se transformou em um conjunto de tarefas muito mais rápido e fácil. Crie visualizações e painéis de controle personalizados. O Splunk ajuda a dar sentido a grandes volumes de dados gerados por máquina para satisfazer às necessidades de diferentes usuários e grupos na empresa. Crie rapidamente painéis de controle personalizados que integram diversos gráficos e visualizações dos seus dados em tempo real, e visualize-os pelo seu desktop ou dispositivo móvel. Personalize os painéis de controle para diferentes usuários na sua empresa, como gerentes, analistas de negócios, analistas de segurança, auditores, desenvolvedores e administradores de sistemas. Os usuários podem editar os painéis de controle usando uma simples interface do tipo "arrastar e soltar". Os controles integrados de gráficos significam que eles podem alterar os tipos de gráfico, sem interrupções. Faça mais com os Splunk Apps. Crie aplicativos no Splunk que ofereçam uma experiência de usuário direcionada para tecnologias e situações de uso específicas. Você pode compartilhar e reutilizar os aplicativos dentro de sua empresa e no restante da comunidade do Splunk. Há um número crescente de aplicativos no site da nossa comunidade (www.splunkbase.com), criados pela nossa comunidade, parceiros e pela Splunk. Aplicativos para segurança empresarial 2 GUIA DE SOLUÇÕES Todos os dados da máquina Percepções de negócios Obtenha uma percepção em tempo real dos dados operacionais para tomar decisões de negócios com mais embasamento. Visibilidade operacional Obtenha visibilidade de ponta a ponta para acompanhar e oferecer KPIs de TI e tomar decisões de TI com mais embasamento. Monitoramento proativo Monitore automaticamente sua infraestrutura para identificar questões, problemas e ataques antes que influenciem seus clientes e serviços. Pesquisa + investigação Localize e corrija problemas com muito mais rapidez por toda a sua empresa, usando os dados de TI. O Splunk oferece Inteligência Operacional ou para conformidade, aplicativos para diferentes plataformas, como Windows, Linux e Unix, e aplicativos para diferentes tecnologias, como redes, virtualizações e muito mais. Acompanha as mudanças. A única constante nos atuais ambientes de TI complexos, virtualizados e híbridos são as mudanças. O que pensamos que sabemos está, muitas vezes, errado. As abordagens tradicionais de TI para gerenciamento e segurança presumem que os usuários conheçam todas as possíveis falhas e riscos com antecedência, e que esses formatos de dados não mudarão. Simplesmente, esse não é mais o caso. Na verdade, a maioria dos departamentos de TI gasta mais tempo personalizando e mantendo suas ferramentas do que usando-as. O Splunk não depende de esquemas frágeis que limitam a flexibilidade e que corrompem quando os formatos dos dados mudam. O Splunk indexa todos os dados selecionados em tempo real, o tempo todo. Todas as interpretações de dados que você precisar, como extrair um campo ou marcar um subconjunto de hosts, podem ser feitas facilmente sem interrupções, enquanto você pesquisa. Dimensionamento do laptop ao datacenter. Em um momento em que cada despesa é minuciosamente controlada, as empresas nem sempre contam os recursos de que precisam. É por isso que o Splunk tem um preço e foi criado para se adequar a todos os ambientes. Ele pode ser baixado e executado em um laptop em menos de cinco minutos e o mesmo software pode ser dimensionado através das maiores infraestruturas globais, indexando dezenas de terabytes de dados por dia. Oferecendo os principais recursos para a inteligência operacional • Colete e indexe universalmente os dados de máquina, de praticamente qualquer fonte • Habilite a busca em formato livre e investigações de incidentes a partir de um único local • Extraia conhecimento dos dados automaticamente e permita que os usuários adicionem os seus próprios dados • Monitore os dados e forneça alertas em tempo real, quando surgirem condições específicas • Forneça relatórios e análises eficazes. • Ofereça a capacidade de criar painéis de controle e visualizações personalizados para diferentes funções • Dimensione de forma eficiente, utilizando um hardware comum • Ofereça segurança baseada em função e controle de acesso granulares • Suporte multi-tenancy e seja implantado de forma flexível Indexação universal Os componentes individuais em sua infraestrutura geram centenas de eventos por segundo. Um datacenter pode registrar vários terabytes de dados por dia. Você provavelmente começará a se perguntar como será possível acessar todos esses dados em todos os diferentes formatos e locais. O Splunk oferece uma série de métodos de entrada flexíveis e não precisa de conectores especiais para formatos de dados específicos. Assim, você pode imediatamente indexar os logs, os dados clickstream, as configurações, armadilhas e alertas, mensagens, scripts, dados e estatísticas de desempenho a partir dos seus aplicativos, servidores e dispositivos em rede, sejam eles físicos, virtuais ou em nuvem. Entrada de dados flexível. O Splunk coleta e indexa os dados de praticamente qualquer fonte imaginável, como tráfego de rede, servidores da Web, aplicativos personalizados, servidores de aplicativos, hypervisors, sistemas de GPS, feeds de bolsas de valores, mídias sociais e bancos de dados estruturados preexistentes. Não importa como você obtém os dados ou o formato em que estão, eles serão indexados da mesma forma, sem quaisquer analisadores ou conectores específicos para escrever ou manter. Encaminha dados de sistemas remotos. Os Splunk forwarders podem ser implantados em situações em que os dados necessários não estão disponíveis na rede ou visíveis para o servidor onde o Splunk está instalado. Os Splunk 3 GUIA DE SOLUÇÕES forwarders oferecem coleta universal de dados segura, distribuída e em tempo real. Eles conseguem monitorar os arquivos de log de aplicativos locais, capturar a saída de comandos de status em um cronograma, obter métricas de desempenho a partir de fontes virtuais ou não virtuais ou observar o sistema de arquivos para alterações de configuração, permissões e atributos. Eles são leves, podem ser instalados rapidamente e sem nenhum custo adicional. Indexação em tempo real. O pessoal de TI depende de informações atualizadas para solucionar problemas, realizar investigações de incidentes de segurança, relatórios de conformidade e outras tarefas importantes. O Splunk indexa constantemente os dados de máquina em tempo real, como seus logs, dados de configuração, eventos de mudanças, saída dos comandos de diagnóstico, dados de APIs e filas de mensagens, inclusive os logs dos seus aplicativos personalizados. Captura tudo. O Splunk armazena os dados brutos e os índices aprimorados em um repositório de dados eficiente, comprimido e baseado em sistema de arquivos, com assinatura e auditoria de dados opcionais para comprovar a integridade dos dados. Sem esquemas rígidos. O Splunk não tem um esquema predefinido. As soluções que dependem de esquemas frágeis possuem flexibilidade limitada e caem por terra quando os formatos dos dados mudam. Todas as interpretações de dados de que você precisar, como extrair um campo ou marcar um subconjunto de hosts, são feitas no momento da pesquisa. Automatiza a cronologia. Todos esses dados de streaming significam extração, e normalizar marcas temporais é muito importante. O Splunk determina automaticamente o horário de cada evento, mesmo com os formatos mais atípicos ou não tradicionais. As marcas temporais ausentes de dados podem ser tratadas inferindo-se as marcas temporais com base em contexto. Pesquisa e investigação O Splunk permite que os usuários pesquisem e naveguem pelos seus dados a partir de um único local. Pesquise e investigue qualquer coisa. A busca em formato livre é compatível com pesquisas intuitivas booleanas, aninhadas, com texto entre aspas e curingas, comuns a todos acostumados a usar a Internet. Isso permite que os usuários iterem e refinem suas pesquisas rapidamente, sem saberem nada sobre formatos específicos de dados. Busca em tempo real. Pesquisar dados de streaming e dados de histórico indexados em tempo real, a partir da mesma interface, é o que há de melhor. Com o Splunk, você consegue analisar o comportamento e a atividade em tempo real, além de visualizar o contexto histórico. Pesquisa por tempo. Em função do grande volume e da natureza repetitiva dos dados da máquina, os usuários muitas vezes começam restringindo a pesquisa a um intervalo de tempo específico. Com enfoque no momento em os eventos acontecem, o Splunk permite que os usuários combinem pesquisas por tempo e palavras. Essa capacidade de pesquisar em todos os níveis da sua infraestrutura por erros e alterações de configuração, segundos antes da ocorrência de uma falha do sistema, é incrivelmente rápida e poderosa. Resultados interativos. Quando comparada a ferramentas e scripts de linha de comando, uma interface interativa melhora significativamente a experiência do usuário e a velocidade com a qual as tarefas podem ser realizadas. Amplie e reduza em uma linha cronológica de resultados para revelar rapidamente as tendências, picos e anomalias. Clique para detalhar seus resultados e eliminar ruídos, encontrando aquela agulha no palheiro. Se estiver resolvendo um problema de um cliente ou investigando um alerta de segurança, você encontrará as respostas em segundos ou minutos, em vez de horas ou dias. Pesquisa de transações. Enviar e-mails, fazer um pedido em um site ou conectar uma chamada VoIP criarão inúmeros eventos em diferentes componentes de TI. Muitas vezes você vai querer procurar por essas coleções de eventos, que fazem parte da mesma transação. Por exemplo, encontrar todos os eventos do sendmail com o mesmo ID de usuário, entre um login e um logout, que ocorrem dentro de 10 minutos. O Splunk possibilita correlacionar os eventos, encontrando características comuns e, em seguida, salvando aquela pesquisa como uma transação, para que você possa encontrar os mesmos tipos de transações novamente, para parâmetros de pesquisa diferentes. Aumente o conhecimento O Splunk automaticamente extrai conhecimento dos dados e permite que os usuários adicionem os seus próprios, liberando todo o potencial dos seus dados. É possível agregar aos dados informações sobre os eventos, campos, transações, padrões e estatísticas. Você também pode identificar, nomear e marcar esses dados, e pode realizar várias tarefas, como encontrar todos os eventos com um nome de usuário específico até obter instantaneamente os dados estatísticos sobre atividades específicas do usuário. Você também pode correlacionar e nomear as transações que englobem múltiplas fontes de dados. O Splunk une a flexibilidade da busca em formato livre com a capacidade de trabalhar com seus dados, de um jeito que você nunca experimentou antes. Mapeie o conhecimento no momento da pesquisa. O Splunk evita os problemas causados pelas abordagens tradicionais, mapeando o conhecimento para os dados no momento da pesquisa, em vez de tentar normalizar os dados em um esquema de banco de dados frágil antecipadamente. Além disso, não há mais a necessidade do gerenciamento complexo de analisadores e conectores personalizados. Valorize facilmente seus dados da máquina com informações de bancos de dados externos de gerenciamento de ativos, sistemas de gerenciamento de configuração e diretórios de usuário. Agora você tem uma forma flexível de gerenciar seus dados. Assim, conforme eles mudam, você não precisa mudar também. Trabalhe de forma mais inteligente. O Splunk permite que todos os usuários adicionem seus próprios conhecimentos enquanto trabalham. Ao salvar pesquisas e identificar diferentes tipos de campos, eventos e transações, você torna o sistema mais inteligente para todo mundo. Além disso, esse conhecimento não sai pela porta quando alguém vai embora. Monitore e emita alertas Em vez de usar a pesquisa com a única finalidade de reagir a incidentes e problemas, você deseja ser proativo. O Splunk oferece recursos flexíveis de alertas que melhoram sua 4 GUIA DE SOLUÇÕES cobertura de monitoramento. Além disso, por funcionar em toda a sua estrutura de TI, ele é a solução de monitoramento mais flexível do seu arsenal. Transforme as pesquisas em alertas em tempo real. As pesquisas podem ser salvas e programadas para monitoramento contínuo, além de serem capazes de disparar alertas por e-mail ou RSS. Você pode até mesmo lançar um script para tomar ações corretivas, enviar um a interceptação SNMP para o seu console de gerenciamento de sistemas ou gerar um protocolo para a central de atendimento. Programar alertas é uma ótima maneira de concluir a investigação de um problema ou incidente de segurança, procurando de forma proativa ocorrências semelhantes no futuro. Correlacione eventos complexos. O Splunk permite correlacionar eventos complexos a partir de múltiplas fontes de dados em toda a sua infraestrutura de TI, para que você monitore eventos mais significativos. Por exemplo, você pode acompanhar uma série de eventos relacionados como uma única transação, para medir a duração ou status. Monitore para condições específicas. Os alertas podem se basear em uma série de condições de limite e baseadas em tendências, em qualquer nível de granularidade. A linguagem de busca vai além das simples pesquisas booleanas em pesquisas de campo, buscas e sub-buscas estatísticas, você pode correlacionar o que quiser e emitir alertas sobre padrões complexos, como carrinhos de compras abandonados, ataques brutais e cenários de fraude. Gere relatórios e análises Se você sempre quis gerar relatórios sem interrupções a partir de dados gerados por máquina difíceis de entender, você vai adorar o Splunk. Crie relatórios eficazes, ricos em informações, para fazer análises sem precisar de conhecimentos avançados sobre comandos de busca. Você pode programar a entrega de qualquer relatório em PDF e compartilhá-lo com usuários corporativos, gerentes ou outros interessados em TI. Relatórios sobre os resultados da pesquisa. Crie facilmente gráficos, tabelas e minigráficos a partir dos resultados da pesquisa, e visualize tendências importantes, observe os altos e baixos, faça um resumo dos principais valores e gere um relatório sobre os tipos de condições mais e menos frequentes. A simplicidade de analisar enormes quantidades de dados vai surpreendê-lo (e ao seu chefe). Por exemplo, um relatório pode mostrar o total de bytes enviados pelo endereço IP a partir de eventos de atividade de firewall, uma tabela mostrando bytes por protocolo por endereço IP ou um gráfico ilustrando o tráfego de firewall por hora para o laptop de um determinado funcionário. Praticamente todos os campos podem ser usados como critério de relatório. E lembre-se, como os campos são identificados como sua pesquisa, você pode especificar novos campos sem reindexar seus dados. Analise eventos correlacionados. O Splunk é compatível com cinco tipos de correlação. Correlações baseadas no tempo, para identificar relações baseadas em tempo, proximidade ou distância. Correlações baseadas em transações, para rastrear transações que abrangem vários silos, sistemas e fontes de dados, para que você possa gerar relatórios e analisar atividades importantes, como o tempo para finalizar uma transação de novo serviço ou determinar se uma transação complexa já foi ou não finalizada. Sub-buscas, tomando os resultados de uma pesquisa para usá-los em outra. Pesquisas, correlacionando com fontes de dados externas, fora do Splunk. Junções, para suportar junções internas e externas tipo SQL. Funciona bem com os outros. Agora, toda a sua empresa pode aproveitar o valor dos dados da máquina. Os relatórios podem ser salvos e compartilhados com a administração ou outros colegas em formatos seguros tipo somente leitura, como o PDF e, até mesmo, integrados em painéis de controle. Visualizações e painéis de controle personalizados Dê mais sentido aos enormes volumes de dados à sua disposição. O Splunk possibilita a criação de painéis de controle e visualizações para diferentes tipos de usuários, técnicos e não técnicos. Integre os relatórios, e pesquise os resultados e, até mesmo, dados de aplicativos externos. Edite painéis de controle, usando uma simples interface do tipo “arrastar e soltar”. Os controles integrados de gráficos significam que você pode alterar os tipos de gráfico, sem interrupções. Fazer tudo isso pela IU do Splunk significa que você pode capacitar os usuários corporativos a fazer o mesmo. Painéis de controle dinâmicos. Os painéis de controle integram múltiplos gráficos, visualizações e relatórios de dados de histórico e ao vivo, para satisfazer as necessidades de diferentes usuários. Os melhores mecanismos da categoria oferecem a capacidade de personalizar os painéis de controle para analistas de gestão, comerciais ou de segurança, auditores, desenvolvedores e administradores de sistemas. Mashups com outros aplicativos. O Splunk oferece a capacidade de criar mashups com outros aplicativos baseados na Web, como o Tivoli, SAP, consoles de segurança e muito mais, para oferecer uma visão perfeita através dos silos. Painéis de controle a qualquer hora, em qualquer lugar. Os gráficos e os cronogramas no Splunk não usam o Flash, o que significa que os painéis de controle podem ser visualizados e editados de qualquer lugar em dispositivos móveis ou em navegadores que não tenham o Flash instalado. Crie e baixe Splunk Apps Agora você está indexando e usufruindo de todos os dados da sua máquina, poderá usufruir de aplicativos que permitem fazer ainda mais. Inove você mesmo. O Splunk facilita a criação de aplicativos que ofereçam uma experiência de usuário direcionada para diferentes funções e situações de uso. A estrutura do Splunk App oferece a capacidade de desenvolver e empacotar aplicativos através de uma única interface de usuário. Proporcione uma experiência de usuário adaptada a uma situação de uso específica ou aprimore as tecnologias dos fornecedores existentes. 5 GUIA DE SOLUÇÕES Compartilhe e baixe aplicativos. Você pode compartilhar e reutilizar os aplicativos dentro de sua empresa e no restante da comunidade do Splunk. Há um número crescente de aplicativos no site da nossa comunidade www.splunkbase.com, criados pela nossa comunidade, parceiros e pela Splunk. Você pode encontrar aplicativos que ajudam a visualizar os dados geograficamente ou que suportam situações específicas de uso, como segurança empresarial ou conformidade com a PCI. Também existem aplicativos para diferentes sistemas operacionais e tecnologias de terceiros, como Windows, Linux, Blue Coat, Cisco, WebSphere e F5 Networks. Gerenciamento fácil. Após instalado, você aplica controles de acesso baseados em função e distribui aplicativos com uma experiência de usuário personalizada por toda a empresa, ampliando o valor dos seus dados para diferentes usuários. Escalabilidade massiva Com o Splunk, você pode dimensionar sua instalação a partir de um único servidor Windows, Linux ou Unix comum para as maiores e mais complexas infraestruturas de geografia e centro de processamento de dados múltiplos, indexando dezenas de terabytes de dados por dia. A arquitetura do Splunk se baseia na estrutura do MapReduce e é dimensionada linearmente através de servidores comuns para volumes ilimitados de dados. Você encontrará uma grande variedade de opções para acessar os dados, armazená-los, procurá-los e encaminhá-los para outros sistemas. Fácil instalação. Um pacote de software autônomo independente de programas de terceiros faz com que o Splunk seja fácil de instalar e executar. Ele funciona em todos os principais sistemas operacionais e plataformas de hardware. Além disso, como o Splunk é um software, ele pode operar em infraestruturas físicas ou virtuais, em vez de exigir hardware, energia e espaço no rack dedicados. Analisa dados grandes. Seu centro de processamento de dados gera mais dados gerados por máquina do que você provavelmente jamais imaginou. Um único servidor de produção pode gerar centenas de megabytes de dados por dia. Firewalls e servidores da web podem gerar, cada um deles, muitas vezes essa quantidade. Na realidade, os dados da máquina constituem um dos mais rápidos e complexos segmentos dos dados grandes. Esse volume de dados também está sujeito a exigências de retenção, que vão desde alguns dias para resposta a incidentes, até meses e anos para conformidade. Baseado na estrutura do MapReduce, o Splunk permite o dimensionamento linear através de hardware comum. Ao considerarmos desempenho e compararmos abordagens para coletar, indexar e aproveitar seus dados da máquina, aqui estão alguns pontos a observar e considerar: Taxa de transferência de indexação. Os eventos por segundo (EPS) é uma medida comum de taxa de transferência, mas considere que os tamanhos dos eventos podem variar de algumas centenas de bytes a um megabyte ou mais. Os valores de EPS são geralmente calculados seja qual for o tamanho ideal para o equipamento ou solução de um determinado fornecedor. Busque fornecedores que indexem cada byte dos seus dados, sem a necessidade de analisadores ou conectores personalizados. Se o fornecedor for incapaz ou não se dispuser a cotar seus valores de EPS com base nesses critérios, siga em frente e encontre um que o faça. Velocidade de pesquisa. Pesquisas de qualquer tipo devem gerar resultados em questão de segundos, não minutos ou horas. Com base em uma estrutura de computação distribuída, o Splunk converte automaticamente as pesquisas em um programa paralelo, permitindo recuperar e analisar rapidamente grandes conjuntos de dados. Um único servidor comum será compatível com pesquisas de bilhões de eventos em segundos. Eficiência de armazenamento. Medida como a percentagem do tamanho original do fluxo de dados, a eficiência de armazenamento determina a quantidade de capacidade de armazenamento que você precisará para manter seus dados e seus respectivos índices. Uma boa solução exigirá de 25% a 50% do tamanho original dos dados para manter seus dados e um conjunto útil de índices. Cuidado com as soluções que afirmam usar 10% ou menos do tamanho original dos dados. Isso indica apenas o armazenamento de dados comprimidos, não a indexação. Arquivamento. No fim, você pode decidir armazenar seus dados em camadas. O armazenamento em camadas pode oferecer menor custo e melhor redundância. O arquivamento de dados com base na utilização do disco ou na idade será útil para a criação de um repositório de dados em múltiplas camadas. Certifique-se de que sua solução permita configurar uma política de arquivamento com base no tamanho ou no tempo do repositório de dados e restaurar seus arquivos sob demanda. Redimensionamento linear. Você pode dimensionar o Splunk horizontal e verticalmente, simplesmente acrescentando mais capacidade de computação. Você pode executar uma configuração distribuída em diferentes servidores físicos, uma combinação de servidores virtuais e não virtuais ou em uma máquina grande com múltiplos processadores e núcleos. O Splunk permite equilibrar as cargas de trabalho, configurando vários indexadores e ferramentas de busca em toda a sua configuração. Pesquisa distribuída. Muitas vezes, não será viável centralizar fisicamente todos os seus dados em um único local. Você provavelmente precisará pesquisar em várias instalações e repositórios de dados, em diferentes silos de tecnologia e geográficos. Roteamento e clonagem de dados. Com todo aquele fluxo de dados para gerenciar, você desejará ter a capacidade de encaminhar os dados baseados nas características e conteúdo. Isso será importante para dimensionar e proteger a instalação do seu Splunk. E, ao depender do Splunk como peça essencial da sua infraestrutura de TI, você provavelmente desejará clonar os dados importantes para vários servidores para garantir uma alta disponibilidade. 6 GUIA DE SOLUÇÕES Integração. Se você for como a maioria dos departamentos de TI, você fez investimentos significativos em outras ferramentas de gerenciamento, ferramentas de monitoramento e ferramentas de análise. Não seria ótimo se você pudesse integrar o Splunk a todas elas? Imagine lançar pesquisas de contexto do seu console de gerenciamento de rede, enviar alertas do Splunk para o seu console de gerenciamento de sistemas ou automatizar a criação de protocolos de problema quando atividades incomuns acontecem. O Splunk oferece múltiplos pontos de integração e uma API robusta e documentada. Segurança Você precisará manter os dados da sua máquina seguros. Especialmente quando você perceber que essas informações são seus bens valiosos. O Splunk oferece manipulação segura dos dados, controles de acesso, auditorias, garantia de integridade dos dados e integração com as soluções single sign-on da empresa. Acesso e transporte seguros dos dados. Os dados gerados por máquina podem ser sigilosos. O Splunk é compatível com o fornecimento avançado de dados anônimos para mascarar as informações confidenciais dos resultados. As informações corporativas ou de clientes particulares também exigem acesso, transporte e armazenamento seguros. Você deve avaliar possíveis soluções para acesso criptografado a fluxos de dados, usando algo como TCP/SSL. Certifique-se de que o acesso do usuário esteja protegido, usando, por exemplo, HTTPS ou SSH, para ter acesso de linha de comando. Controle de acesso granular. Claro que você também precisa ser capaz de controlar as ações que os usuários podem realizar e quais dados, ferramentas e painéis de controle eles podem acessar. Você não deseja necessariamente permitir que a equipe de desenvolvimento de aplicativos acesse suas análises de IDS, alertas e logs de firewall. O Splunk é um sistema flexível baseado em função que permite que você crie suas próprias funções para mapear as políticas da sua empresa para diferentes classes de usuários. Em alguns ambientes, como serviços multi-tenant, pode ser necessário controlar fisicamente o acesso aos dados. A capacidade de encaminhar os dados selecionados para diferentes instalações do Splunk permitirá que você separe os dados fisicamente em diferentes repositórios de dados. Você também vai querer integrar com LDAP e Active Directory e grupos de mapas para diferentes funções. Single sign-on. Se estiver usando controles de acesso internamente e tiver políticas de controle de acesso organizacionais, você vai querer ter certeza de poder integrar sua solução Splunk com o sistema de autenticação, seja ele LDAP, Active Directory, e-Directory ou outro sistema de autenticação. Função de auditoria. Depois de configurar seus controles de acesso, é preciso monitorar quem está fazendo o quê. O Splunk registra as atividades administrativas e dos usuários, para que você possa auditorar quem está acessando quais dados e quando. Integridade dos dados. Você também precisará garantir a integridade dos dados. Como você sabe se os resultados da pesquisa ou o relatório que você está vendo não são baseados em dados que foram adulterados? Com o Splunk, eventos individuais podem ser assinados e fluxos de eventos bloqueados. O Splunk também oferece medidas de integridade de mensagens que provam que ninguém inseriu nem excluiu eventos do fluxo original. Implantação protegida. Manter uma trilha de auditoria e a assinatura dos eventos é inútil se o servidor que executa o Splunk puder ser comprometido. Certifique-se de que seu fornecedor ofereça orientações de proteção. ROI e Splunk Os clientes da Splunk geralmente conseguem medir o ROI em semanas ou meses, às vezes, até mesmo antes de ser implantado na produção. Os usuários do Splunk podem solucionar problemas em aplicativos e investigar incidentes de segurança em minutos, em vez de horas ou dias, melhorando significativamente os níveis de serviço, reduzindo as interrupções e entregando relatórios de conformidade a um custo menor. Essa visibilidade, normalmente indisponível antes do Splunk, oferece às empresas um ROI rápido, nova produtividade e importantes percepções. Aqui estão alguns exemplos: • Um fornecedor líder em soluções de gestão de saúde evitou uma multa de US$ 100.000, encontrada durante a fase de avaliação do Splunk. Esse mesmo cliente obteve um ROI anual de mais de US$ 700.000. • Uma das editoras mais importantes do mundo dos negócios substituiu seu antigo software de monitoramento de servidores pelo Splunk e outro software de código aberto. Isso eliminou as taxas de manutenção e reduziu os custos operacionais em US$ 1,6 milhões/ano. • Um dos principais fabricantes do ramo de comunicações evitou uma atualização de licença de software no valor de US$ 1,5 mil para seu SIEM existente, reatribuiu as funções de cinco analistas de turno integral para outras tarefas (US$ 600.000/ano) e agora monitora novas fontes de dados para identificar os ataques desconhecidos anteriores. • O maior fornecedor de pôquer B2B do mundo, hospedando 25 das maiores marcas do setor e até 45.000 jogadores simultâneos nas horas de pico, reduziu o tempo de inatividade em 30% e contabilizou uma economia anual de US$ 1,9 milhão (16x ROI no 1º ano). • Um dos maiores sites de viagens on-line do mundo demonstrou um ROI anual de mais de US$ 14 milhões. Esse ROI foi uma combinação de ferramentas de consolidação, licenças de aposentados, prevenção de interrupções e eficiência na resolução de problemas, obtida pelo uso do Splunk. Download gratuito Baixe o Splunk gratuitamente. Você receberá uma licença do Splunk Enterprise para 60 dias e poderá indexar até 500 megabytes de dados por dia. Após 60 dias, ou a qualquer momento antes disso, você poderá converter a uma licença perpétua grátis ou comprar uma licença Enterprise, entrando em contato pelo [email protected]. 7 GUIA DE SOLUÇÕES Buscando uma solução de alto nível para gerenciar os dados da sua máquina? Então considere o seguinte: 1 Indexação de dados dinâmicos a Indexa todos os dados da máquina gerados por aplicativos, servidores ou dispositivos em rede, inclusive logs, dados clickstream, configurações, mensagens, armadilhas e alertas, métrica e dados de desempenho, sem analisadores ou conectores personalizados para formatos específicos (inclui ambientes virtuais e não virtuais). b Acesso flexível aos dados, em tempo real e sob demanda, a partir de arquivos, portas e bancos de dados em rede e APIs e interfaces personalizados. Ouve as portas TCP e UDP da rede para receber syslog, syslog-ng e entradas de outras redes. Consome arquivos compactados. Captura novos eventos em arquivos de log dinâmicos em tempo real. Monitora arquivos por mudanças. Pesquisa tabelas de banco de dados por DBI. Monitora eventos do Windows remotamente através de WMI. Acessa nativamente a API de eventos do Windows. Monitora o registro do Windows para mudanças. Conecta-se ao OPSEC LEA e outros protocolos importantes de eventos de segurança. Inscreve-se em filas de mensagens, tais como JMS. Captura a saída dos comandos de status do sistema Unix / Linux, como o ps, top e vmstat. Copia arquivos remotamente através de scp, rsync, ftp e sftp. Expansível pelas entradas de script para capturar a saída de comandos de novo status, conectar-se a APIs de novos eventos e inscrever-se em diferentes tipos de filas de mensagens. c Indexação universal dos dados em praticamente todos os formatos, sem analisadores ou conectores personalizados para formatos específicos de dados. Identifica eventos em linha única, multilinha e complexas estruturas XML. Reconhece e normaliza marcas temporais. Lida com marcas temporais erradas ou ausentes através da inferência contextual. Captura e indexa a estrutura de cada evento. Rastreia e indexa o host e a origem de cada evento. Classifica os formatos de código dinamicamente. d Indexa densamente cada termo nos dados originais. e Mantém os dados da máquina originais e inalterados. f Cria um índice não estruturado no disco sem esquema. g Suporta transmissão e recepção de dados de uma máquina remota para balanceamento de carga, failover e implantações distribuídas. 8 GUIA DE SOLUÇÕES 2 Pesquisa e investigação a Pesquisa eventos entre componentes em vários formatos ao mesmo tempo. b Pesquisa dados dinâmicos e de histórico a partir da mesma interface e automaticamente preenche os dados de histórico para pesquisas em tempo real, com janelas. c Resultados rápidos nas pesquisas por termos em vez de consultas otimizadas para campos/colunas específicos em um esquema persistente. d Pesquisa ad hoc de formato livre para qualquer termo nos eventos originais com suporte para booleanas, aninhadas, com texto entre aspas e curingas. e Pesquisas precisas usando campos identificados dentro dos dados no momento da pesquisa. Suporta várias exibições de esquema para os mesmos dados, sem armazenamento redundante ou reindexação. f Sugestões de preenchimento automático para tornar mais fácil descobrir o que procurar. g Navegue por eventos relacionados e refine as pesquisas clicando em campos ou termos nos resultados da pesquisa. h Pesquise por tempo em vários formatos de dados. i Visualize as tendências e navegue por resultados usando gráficos, histogramas, minigráficos e resumos interativos baseados no tempo. j Pesquise por transações em diferentes fontes e componentes de dados. k Pesquisa persistente como evento e tipos de transação e pesquise, filtre e resuma por evento e tipo de transação. l Descubra campos, tipos de eventos e transações de forma interativa no momento da pesquisa. m Salve as pesquisas em relatórios, painéis de controle ou modos de exibição para simplificar os cenários de pesquisa de rotina. n Interface do usuário AJAX interativa, baseada em navegador. Não são necessário plug-ins. o Interface CLI opcional programável para pesquisa em tempo real e de histórico. 3 Adicione conhecimento a Permite que o sistema e o usuário adicionem automaticamente significado semântico aos dados gerados por máquina. b Extrai conhecimento dos dados da máquina automaticamente, como marcas temporais, pares de nome/valor, cabeçalhos etc. c Permita que os usuários agreguem conhecimentos sobre os eventos, campos, transações e padrões nos dados de sua máquina. d Atribua etiquetas aos valores de campo para ajudar a pesquisar grupos de eventos com seus respectivos valores de campo de forma mais eficiente. e Identificar e classificar as transações por correlação de eventos de múltiplas fontes de dados. f Salve as pesquisas que retornam resultados interessantes, salvando a sequência de pesquisa (para executar a pesquisa depois) ou os resultados da pesquisa (para rever os resultados depois). g Compartilhe e promova pesquisas salvas, relatórios salvos e tipos de eventos com outros usuários autorizados. 9 GUIA DE SOLUÇÕES 4 Monitore e emita alertas a Execute pesquisas baseadas em tempo em uma programação e defina as condições de alerta com base em limites e deltas no número e distribuição dos resultados. b Dispare alertas via e-mail, RSS, SNMP ou scripts. c Tome atitudes corretivas ou de acompanhamento automatizadas através de alertas de script. d Incorpore regras de correlação sofisticadas em alertas através de subpesquisas. 5 Gere relatórios e análises a Crie relatórios resumidos com base nos resultados de qualquer pesquisa de forma interativa, clicando em campos e estatísticas disponíveis. b Crie relatórios usando campos e esquemas identificados no momento pesquisa. É compatível com várias exibições de esquema para os mesmos dados, sem armazenamento redundante ou reindexação. c Suporta análise estatística e resumida sofisticada, canalizando os comandos de pesquisa avançada juntos em uma única pesquisa. d Visualize os resultados do relatório em um formato tabular. e Visualize os resultados do relatório em gráficos interativos de linha, barra, pizza, dispersão e mapas de calor. f Aprofunde-se em qualquer campo ou termo. g Agende pesquisas ou relatórios para entrega automática por e-mail ou RSS. h Armazene em cache os resultados dos relatórios programados para reutilização. i Crie relatórios em tempo real baseados em fontes de dados de streaming dinâmicos. j Agende os relatórios de entrega via PDF. 6 Crie visualizações e painéis de controle personalizados a Crie e edite painéis de controle que combinam pesquisas, relatórios, gráficos e tabelas usando um editor de painel de controle visual. b Crie painéis de controle sofisticados, com interfaces de usuário e visualizações ricas totalmente personalizadas, incluindo mashups com outros aplicativos e dados de fontes externas. c Forneça painéis de controle pré-embalados, que retratam as principais informações e a atividade do usuário, como atividade do administrador, atividade de pesquisa, atividade de indexação e atividade de entradas. d Ofereça indexação de resumo para gerar relatórios de forma eficiente sobre grandes volumes de dados, como tendências de longo prazo. e Amplie ou restrinja as permissões de leitura e gravação baseadas em funções para um painel de controle. f Crie painéis compostos com base em fontes de dados de histórico ou dinâmicos. Implante painéis de controle em dispositivos e navegadores que não suportam Flash. g Agende a entrega de qualquer painel de controle via PDF. 10 GUIA DE SOLUÇÕES 7 Crie e implemente aplicativos a Proporcione a capacidade de criar e distribuir aplicativos sobre mecanismo de dados da máquina para situações específicas de uso. b Empacote painéis de controle e configurações personalizados, que vão de scripts, objetos de conhecimento e configurações de back-end como aplicativos. c Navegue facilmente e alterne entre aplicativos dinamicamente sendo executados na instância do mecanismo dos dados da máquina, utilizando uma interface de inicialização de aplicativos. Visualize instantaneamente todos os aplicativos instalados na instância do mecanismo dos dados da máquina que o usuário tem permissão de ver. d Forneça uma estrutura poderosa para suportar a criação de aplicativos robustos em todos os níveis. e Amplie ou restrinja as permissões de leitura e gravação baseadas em funções para o aplicativo. 8 Integração a Forneça APIs para permitir a rápida integração com outros aplicativos, ferramentas de gerenciamento de TI e sistemas. b Exigências de interface mínimas devem incluir interface de linha de comando, DBI, roteamento de dados, SDKs documentados, REST, alertas de script, entradas de script. 9 Dimensione e implemente a O servidor do mecanismo dos dados da máquina é um pacote de software autônomo independente de programas de terceiros. O setor de TI roda em ambientes de armazenamento e servidor virtualizados. b Há disponíveis pacotes nativos (rpm, deb, pkg, dmg, msi, etc.) e distribuições de formatos de arquivos (.tgz., .zip, .tar.Z) para os sistemas operacionais mais amplamente implementados, como Linux, Windows, Solaris, HP-UX, AIX, Free BSD e Mac OSX. c Os servidores funcionam em conjunto para suportar modelos centralizados e descentralizados para o gerenciamento dos dados da máquina em toda a empresa. d Fornece em tempo real a centralização dos dados da máquina a partir dos servidores de produção com transporte de dados confiável via TCP. e Arquitetura distribuída para suportar configurações de alta disponibilidade, com failover integrado e balanceamento de carga. f Roteamento de dados baseado em políticas entre servidores e para sistemas de terceiros. g Dimensionamento linear de terabytes por dia através de pesquisa distribuída e balanceamento de dados com base na técnica do MapReduce. h Visualização única em todos os silos através de pesquisa distribuída. i Mantém uma completa trilha de auditoria assinada das ações administrativas e histórico de pesquisas. j Monitora suas próprias configurações para alteração não autorizada. k Gerenciamento de configuração centralizado, baseado em políticas, entre os servidores em uma implantação distribuída. 11 GUIA DE SOLUÇÕES l API REST permite uma rápida integração com outras ferramentas de gerenciamento de TI e sistemas. m Os níveis de indexação ajustáveis podem ser definidos para diferentes fontes ou eventos. n Velocidade de pesquisa extremamente rápida, proporciona resultados em segundos através de bilhões de eventos. o Armazenamento comprimido altamente eficiente, de 12% a 48% do tamanho original dos dados típico para syslog, dependendo do nível de indexação. p O repositório de dados usa armazenamento local ou de rede e é compatível com utilitários de back-up de sistemas de arquivos incrementais. q O índice é segregado por tempo, para suportar períodos de retenção prolongados sem impacto no desempenho da pesquisa. r Política configurável de arquivamento e aposentadoria de dados por idade ou tamanho. s Arquive e restaure dados comprimidos ou totalmente indexados sob demanda. Facilita a manutenção de dados mais antigos usando o armazenamento nearline de custo mais baixo para períodos de retenção prolongados. t Uso integrado do MapReduce para permitir o dimensionamento das funções de pesquisa em tempo real e de histórico em todo o hardware comum. 10 Seguro a Funções flexíveis para acesso controlado de usuários e APIs. Suporta acesso aos dados e recursos granulares por função. Permite o acesso restrito a fontes de dados específicos, tipos de dados, períodos de tempo, visualizações específicas, relatórios ou painéis de controle. b Integração de autenticação e autorização com o Active Directory, eDirectory e outras implementações compatíveis com LDAP. c Integração com soluções single sign-on da empresa, permitindo a autenticação de passagem de credenciais de terceiros. d Indexação remota de dados em tempo real para minimizar a oportunidade de alterações de trilhas de auditoria em hosts comprometidos. e Acesso seguro ao fluxo de dados e funcionalidade distribuída através de SSL/TCP. Acesso seguro do usuário através de HTTPS. f Bloqueia e sinaliza eventos para demonstrar a integridade dos dados. g Mantém uma completa trilha de auditoria assinada das ações administrativas e histórico de pesquisas. h Monitora suas próprias configurações para alteração não autorizada. 250 Brannan St, San Francisco, CA, 94107 [email protected] | [email protected] 866-438-7758 | 415-848-8400 www.splunkbase.com www.splunk.com Copyright © 2012 Splunk Inc. Todos os direitos reservados. Splunk Enterprise é protegido pelas leis de direitos autorais e de propriedade intelectual internacionais e dos EUA. Splunk é uma marca registrada ou marca comercial da Splunk Inc. nos Estados Unidos e/ou outras jurisdições. Todas as outras marcas e nomes aqui mencionados podem ser marcas comerciais de suas respectivas empresas. Nº do item: SG-OpIntell-108-A4