تحليل سجلات Splunk باستخدام أداة Log Observer: 5 قدرات رئيسية
- 5 دقائق للقراءة
فهرس المحتويات
ما هو تحليل سجلات سبلك؟
Splunk هو منصة برمجية تُستخدم للبحث، وتحليل، وتصوير البيانات التي تُنتجها الآلات، مثل ملفات السجل، وبيانات التطبيقات، وبيانات الشبكة. يُستخدم عادةً من قبل محترفي تكنولوجيا المعلومات لمراقبة وحل المشكلات في أنظمتهم، بالإضافة إلى الحصول على رؤى حول أداء واستخدام تطبيقاتهم وبنيتهم التحتية. يمكن استخدام Splunk للبحث، والتصفية، وتحليل البيانات من مجموعة متنوعة من المصادر، بما في ذلك السجلات، والقياسات، والأحداث، وإنشاء تصورات وتقارير في الوقت الحقيقي.
تحليل سجلات Splunk هو عملية استخدام منصة Splunk للبحث، والتصفية، وتحليل بيانات السجلات للحصول على رؤى وحل المشكلات. يتضمن ذلك استيراد بيانات السجلات إلى Splunk، وإنشاء عمليات بحث وتصفية لاستخراج المعلومات ذات الصلة، واستخدام أدوات التصور والتقارير في Splunk للحصول على رؤى حول البيانات. يمكن استخدام تحليل سجلات Splunk لتحديد الأنماط والاتجاهات والشذوذ في بيانات السجلات، ومراقبة أداء وصحة الأنظمة والتطبيقات. كما يمكن استخدامه لاكتشاف التهديدات الأمنية وقضايا الامتثال، ومساعدة محترفي تكنولوجيا المعلومات في استكشاف المشكلات وحلها بشكل أسرع وأكثر فعالية.
هذا المحتوى هو جزء من سلسلة حول إدارة السجلات.
القراءة الموصى بها:أمن SOAR: 3 مكونات، فوائد، وأفضل حالات الاستخدام.
ما هو سحابة المراقبة من سبلانك؟
سحابة سبلنك للمراقبة هي منصة قائمة على السحابة توفر أدوات وخدمات لمراقبة وتحليل واستكشاف أداء التطبيقات والبنية التحتية السحابية. تم تصميمها لمساعدة المؤسسات على فهم وتحسين أداء وموثوقية وأمان تطبيقاتها وأنظمتها.
تتيح منصة Splunk Observability Cloud للمؤسسات أن:
- مراقبة وتصور أداء التطبيقات والبنية التحتية في الوقت الحقيقي.
- تحليل السجلات، المقاييس، وبيانات التتبع لتحديد الاتجاهات والأنماط.
- حل المشكلات وتحسين الأداء من خلال ربط البيانات عبر مصادر مختلفة.
- أتمتة استجابة الحوادث وإصلاحها باستخدام الكشف عن الشذوذ والتنبيهات المدعومة بالتعلم الآلي.
- الامتثال للمتطلبات التنظيمية وأفضل الممارسات لأمان السحابة والخصوصية.
مراقب سجلات سبلانك: 5 ميزات رئيسية
أداة Splunk Log Observer هي جزء من خدمة Splunk Observability Cloud. تم تصميمها لمساعدتك في مراقبة وتحليل بيانات السجلات من مجموعة واسعة من المصادر، بما في ذلك التطبيقات والخوادم وأجهزة الشبكات.
مع Splunk Log Observer، يمكنك جمع وفهرسة والبحث في بيانات السجلات في الوقت الحقيقي، واستخدام أدوات التحليل والتصور القوية لتحديد الأنماط والاتجاهات والشذوذات. يمكنك أيضًا استخدامها لإنشاء لوحات معلومات مخصصة وتنبيهات لمساعدتك في مراقبة صحة وأداء أنظمتك.
يوفر Splunk Log Observer مجموعة من الميزات والأدوات لمساعدتك في استخراج الرؤى من بيانات السجلات الخاصة بك، بما في ذلك التحليلات المعتمدة على التعلم الآلي، وإثراء البيانات، واستعلامات البحث المخصصة. كما أنه يتكامل مع مجموعة واسعة من الأدوات والخدمات الخارجية، مثل منصات السحابة، وأدوات إدارة أداء التطبيقات (APM)، ومنصات الاستجابة للحوادث.
1. مراقب سجلات سبلانك - الاتصال
تتيح تكامل Splunk Log Observer Connect لك استعلام السجلات من منصة Splunk Cloud أو Splunk Enterprise باستخدام Splunk Log Observer. كما يسمح لك بمراجعة المحتوى من Splunk Observability Cloud. على سبيل المثال، يمكنك استخدام سجلات السياق الأبوي لاستكشاف سلوك البنية التحتية والتطبيقات.
احتمال آخر هو تنفيذ استعلامات بدون كود ضد سجلات Splunk لتحديد السبب الجذري لمشاكل النظام. ثم يمكنك عرض المحتوى مباشرة في سحابة المراقبة. يمكن للفرق عرض المقاييس، والتتبع، وبيانات السجل ذات الصلة للتحقيق وحل المشكلات بسرعة.
2. عرض صحة النظام العامة باستخدام الجدول الزمني
تتيح لك ميزة الجدول الزمني في Splunk Log Observer عرض وتحليل بيانات السجلات على مدى فترة زمنية محددة. يمكنك استخدام الجدول الزمني لتحديد الأنماط والاتجاهات والشذوذ في بيانات سجلاتك، ولرؤية كيفية أداء أنظمتك مع مرور الوقت.
لاستخدام ميزة الجدول الزمني في Splunk Log Observer، يمكنك اختيار نطاق زمني للبيانات التي ترغب في عرضها، ثم استخدام أدوات التصور والتحليل المختلفة لاستكشاف البيانات. على سبيل المثال، يمكنك استخدام الجدول الزمني لرؤية الاتجاهات في بيانات السجلات على مر الزمن، مثل عدد الأخطاء أو حجم الحركة إلى أنظمتك. يمكنك أيضًا استخدام الجدول الزمني لرؤية أحداث أو أنماط معينة حدثت خلال فترة زمنية معينة.
تظهر لقطة الشاشة التالية عدد الأحداث المجمعة حسب حقل الحدث المسمى 'name':
3. قياس السجلات
المقاييس المستمدة من السجلات هي مقاييس تُحسب من بيانات السجلات. يمكن استخدامها لقياس مجموعة واسعة من مقاييس الأداء والعمليات، مثل عدد الأخطاء، وحجم الحركة، أو زمن استجابة النظام.
لإنشاء مقاييس مستمدة من السجلات في Splunk Log Observer، يمكنك استخدام أدوات البحث والتحليل لتعريف وحساب المقاييس التي ترغب في تتبعها. على سبيل المثال، يمكنك استخدام لغة البحث في Splunk Log Observer لتعريف مقياس يحسب عدد رسائل الخطأ في بيانات السجل الخاصة بك على مدار فترة زمنية محددة. يمكنك بعد ذلك استخدام هذا المقياس لتتبع أداء أنظمتك وتحديد الاتجاهات أو الأنماط في البيانات.
4. تجميع السجلات لتجميع السجلات في مجالات
يمكنك تجميع السجلات لتجميع بيانات السجل ذات الصلة في حقول وإجراء حسابات. يمكن أن تولد السجلات المجمعة إحصائيات مثل المجموعات والمتوسطات عبر السجلات ذات الصلة، مما يساعد في تصور المشكلات.
على سبيل المثال، يمكنك عرض جدول السجلات لتقييم أداء الخدمات المختلفة، مع التركيز على وقت استجابة كل خدمة. من خلال تجميع سجلات السجل بناءً على عناوين URL الخاصة بالخدمات وتجميع بيانات السجل، يمكنك حساب متوسط وقت الاستجابة وتحديد الخدمات الأبطأ. يمكنك بعد ذلك التحقيق في سجلات الخدمات الأبطأ التي حددتها لفهم سبب بطء استجابتها.
5. قواعد التسجيل
هناك عدة قواعد يمكنك استخدامها في أداة Splunk Log Observer:
- قواعد وقت البحث: هذه هي قواعد معالجة السجلات التي تطبقها على البيانات التاريخية. قد تحدث قواعد معالجة السجلات في وقت البحث أو وقت الفهرسة. تنطبق قواعد وقت الفهرسة فقط على تدفقات البيانات بعد إنشاء القواعد. يمكن أن تنطبق قواعد وقت البحث على المشكلات التي تم اكتشافها بأثر رجعي.
- قواعد معالجة السجلات: يمكن أن تضيف قيمة من خلال تحويل بيانات السجلات الخام عند وصول بيانات جديدة.
- قواعد التسجيل غير المحدودة: تسمح لك هذه الأداة بأرشفة بعض أو كل السجلات في حاوية Amazon S3 للاستخدام المستقبلي أو لأغراض الامتثال. لا تحتاج إلى دفع رسوم فهرسة السجلات إذا لم تستخدم Log Observer لتحليل السجلات.
إضافة تحليل سجلات Splunk إلى Exabeam
يمكن أن تكون بيانات تحليل سجلات Splunk مفيدة جدًا لإضافة سياق أو مصادر إضافية إلى الجدول الزمني الذكي من Exabeam. بينما يقوم Splunk بجمع وتحليل السجلات من مصادر أعمال وبيانات متعددة، قد لا تكون هناك أدوات أمان تراقبها بشكل محدد. يمكن أن تساعد إضافة أحداث أمان محددة عبر بيانات السجلات المفسرة في Common Information Model من تحليل سجلات Splunk ومراقب السجلات المحلل الأمني في رؤية الأحداث ذات الصلة بسرعة.
من حذف السجلات من قبل جهات خبيثة أو إخفاء مساراتهم، إلى انهيار مفاجئ في التواصل، هذه هي مؤشرات على احتمال وجود اختراق، والتي، عند دمجها مع تحليلات سلوك Exabeam، يمكن أن تحدد بسرعة المشكلات المحتملة التي قد تظل غير مرئية أو غير ملحوظة من خلال مراقبة السجلات البسيطة وتحليلات الصحة.
يمكن أن يكون إدخال سجلات Splunk إلى التحليلات المتقدمة في Exabeam توفيرًا في التكاليف أيضًا – حيث يتم تحليل السجلات، وإضافة السياق، وبناء الأحداث وتحليلها للاستجابة السريعة التي لا تتطلب تخزين الأحداث على المدى الطويل. يقوم الجدول الزمني الذكي في Exabeam بنمذجة السلوك وتعيين درجات المخاطر لمستخدمين أو أجهزة معينة تختلف أنماط الأحداث الملاحظة لديها بشكل كافٍ عن أنماطها السابقة — ويساعد فريق الأمن على رؤية المشكلات بسرعة دون الحاجة إلى مهارات استعلام متقدمة.
المزيد من شروحات إدارة السجلات
تعلم المزيد عن إكزابييم
تعرف على منصة Exabeam ووسع معرفتك في أمن المعلومات من خلال مجموعتنا من الأوراق البيضاء، البودكاست، الندوات، والمزيد.
-
مدونة
تمكين الامتثال التنظيمي من قبل OJK والقدرة على الصمود في وجه التهديدات السيبرانية لقطاع البنوك والمالية في إندونيسيا باستخدام Exabeam.
- عرض المزيد
