什么是 Splunk?
Splunk 是领先的运营智能软件供应商,这类软件用于监视、报告和分析位于现场或云中的实时计算机数据和太字节历史数据。全球 80 个国家(或地区)的4,000 多家企业、服务提供商和政府机构都采用了 Splunk 来改善服务水平、降低 IT 运营成本、减少安全风险。
它能够在几分钟内(而不是几个小时或几天)解决问题和调查安全事件。监视您的端对端基础结构,避免服务性能降低或中断。以较低成本满足合规性要求。关联并分析跨越多个系统的复杂事件
在您的整个 IT 基础结构部署 Splunk 可以实现:
应用程序管理
基础结构与运营管理
安全性与合法性
应用程序管理
深入了解您的应用程序环境开发、维护并支持一个大型的、复杂的、高分布式任务的关键型应用程序是一个巨大的挑战。传统的应用程序管理方案配备不足,无法应对当今应用程序体系结构和部署环境的复杂性。 Splunk 提供一种更好的解决方案,可让您更快发现并解决应用程序问题、减少停机时间、获取对关键性能指标的端对端运营可见性,从机器数据中提供新的观察能力,进而帮助制定最佳决策
减少升级和停机时间
Splunk 能让您在几分钟 ,甚至几秒内从中央控制台快速搜索所有不同储仓,并关联不同层次应用程序基础结构中的事件,从而将 MTTR/MTTI 减少 60% 至 80%以上。从交易开始便实时跟踪至交易结束,以诊断问题,甚至在它们影响业务之前进行诊断。并且,还在端到端业务服务层级提供实时准确的报告。
更快地解决问题
能使技术服务人员跨多层应用程序,精确找到问题,从而降低问题升级的可能,并让正确的人员参与进来,寻求解决办法。凭借 Splunk 安全的基于角色的访问控制,帮助开发人员更快地发现并解决问题。开发人员自己可以更快地访问生产日志,而不会违反合规性要求,并通过即时搜索日志来寻求解决办法。
开发更好的应用程序
随着永不停止的开发周期不断循环,大多数开发人员,尤其是开发面向客户的Web 应用程序的人员,承受着日益增加的压力,被迫不断而迅速地提供刚好有效的应用程序。而现在,只需将智能整合到您的日志文件中即可加快应用程序交付,而无需开发人员遵守任何架构、格式或仪器。请对您的所有应用程序日志实施Splunk,以便在开发环境中迅速跟踪交易,并准确定位和指出导致错误或缓慢的任何代码。
基础结构与运营管理
提高 IT 运营性能和可靠性
世界各地的 IT 数据中心都极其复杂,通过层叠并结合成千上万的不同技术和设备来提供业务服务。虚拟化和云计算加剧了这种复杂性,尤其是在出现中断或性能问题的时候。运营团队和管理员会花费大量的宝贵时间从一个控制台转移至另一个控制台、登录到层叠的元素并尝试跟踪他们所需的数据,从而确保实现高性能和高可用性。
Splunk 能提供更好的解决方案。它收集和索引了由 IT 基础结构 - 网络、服务器和客户操作系统、 hypervisor、数据库审核线索、消息队列 - 产生的所有数据。它可以处理机器生成的任何数据,包括日志、文件配置、性能指标、 SNMP trap和自定义应用程序日志等等。无需使用自定义分析器或适配器。借助 Splunk,您可以将数据仓库转化成为集成的、可操作的信息和运营观察能力。
查找并防止虚拟和非虚拟基础结构中的问题
实时捕获并保持每一层基础结构中的全部机器数据 - 物理服务器、 hypervisor、虚拟机和部署的应用程序。使用单一控制台来查找问题的根源,而不必访问每一台服务器或设备的日志来解决问题并进行调试。将实时流式处理数据分析与太字节的历史数据关联和分析结合起来检测模式,可以帮助预测和防止在未来发生停机或性能降低的问题。
增强服务中心能力 - 支持一次性解决方案
为第一线支持人员提供直接和安全访问他们首次解决问题所需要的数据,或寻找适当的团队来发现有问题的工作。通过使用 Splunk 监视简单的任务(如捕捉所发生的重大错误)或复杂的任务(如计算大型传入数据流量的指标,使基础结构在高峰时能够正常运行)的实时流式处理数据,主动防止出现问题。
监视发生变化的环境
使用 Splunk 来监视变化,以便将安全或运营调查与环境中的变化关联起来。查明任何人、任何时候在环境中做的任何事情,并即时把变化与性能偏差、可用性问题与安全性、合法性问题联系起来
安全性与合法性
安全性与合法性问题将很快地发生在企业体系机构中的任何地方。当前趋势表明恶意软件越来越复杂,攻击签名或基于系统的规则越来越具有突变性。保持数据安全性已经不再寄希望于传统的安全体系结构去捕获潜在安全问题。大多数安全系统只会监控过去发生的事项,或查查看到在自然状态下发生的事件。这种做法强化了企业的观念,让他们认为安全就是一个成本中心和保守势力,而且不会产生任何商业价值。
所有数据均与安全相关
在当今的环境中,安全事件随处可见。通常,传统的安全系统无法监视到多个服务器的 CPU 使用状态中,在几分钟内同时出现峰值等恶意行为的微弱信号。除了传统的安全日志之外,需要采用一种可以暴露各种可能的攻击载体的活动模式方式来收集和监视应用程序日志数据。因此,所有数据均与安全有关。
为了保护自己和维护他们的客户的利益,组织需要不断地监视他们的安全态势并维护情景意识。组织往往希望将日志收集和事件关联结合起来,作为监视威胁并对其作出快速反应的方法。
传统的方法僵硬、成本高且无法扩展
通常,如果目前的解决方案缺乏可扩展性,那么其性能就会受到很大的影响。监视解决方案的基础结构、模式和基于规则的方法,需要选择收集什么样的数据,以及将多少数据传送到 SIEM,最终迫使用户事先决定哪些数据将会构成事件。安全团队的视野受限,只能看到预先确定的一组基本验证数据所支持的安全事件。
端对端情景意识和持续监视
Splunk 能够提供情景意识,并从某个地方实时持续监视您的整个 IT 基础结构。Splunk 能使安全团队将所有可用和可操作机器数据用于验证调查,而不会影响其性能。
可以使用相同的搜索和统计分析语言同时监视实时数据和历史数据,这样能够大大减少用来调查安全事件、复杂的欺诈和内部人员威胁问题的时间。调查可以始终遵循组织随时随地生成的日志和其它机器数据的过程。 Splunk 报告可以用作表明符合多种合规性要求的证据,例如 PCI、 SOX 和 FISMA、 HIPAA、 FTC 红旗规则 (Red Flags rule)、国家隐私法以及多种其它要求,同时还支持 COBIT、ITIL 和 NIST IT 框架