Splunk-Protokollanalyse mit Log Observer: 5 wichtige Funktionen

Was ist eine Splunk-Protokollanalyse?

Splunk ist eine Softwareplattform zum Suchen, Analysieren und Visualisieren maschinengenerierter Daten wie Protokolldateien, Anwendungsdaten und Netzwerkdaten. IT-Experten nutzen die Plattform häufig zur Überwachung und Fehlerbehebung ihrer Systeme sowie zur Gewinnung von Einblicken in die Leistung und Nutzung ihrer Anwendungen und Infrastruktur. Mit Splunk können Daten aus verschiedenen Quellen, darunter Protokolle, Metriken und Ereignisse, gesucht, gefiltert und analysiert sowie Echtzeitvisualisierungen und -berichte erstellt werden.

Bei der Splunk-Protokollanalyse werden Protokolldaten mithilfe der Splunk-Plattform gesucht, gefiltert und analysiert, um Erkenntnisse zu gewinnen und Probleme zu beheben. Dazu werden Protokolldaten in Splunk importiert, Suchvorgänge und Filter erstellt, um relevante Informationen zu extrahieren, und die Visualisierungs- und Berichtstools von Splunk genutzt, um Einblicke in die Daten zu gewinnen. Mit der Splunk-Protokollanalyse können Muster, Trends und Anomalien in Protokolldaten erkannt und die Leistung und Integrität von Systemen und Anwendungen überwacht werden. Darüber hinaus können Sicherheitsbedrohungen und Compliance-Probleme erkannt und IT-Experten dabei unterstützt werden, Probleme schneller und effektiver zu beheben.

Empfohlene Lektüre:SOAR-Sicherheit: 3 Komponenten, Vorteile und wichtigste Anwendungsfälle.

Was ist die Splunk Observability Cloud?

Die Splunk Observability Cloud ist eine cloudbasierte Plattform, die Tools und Dienste zur Überwachung, Analyse und Fehlerbehebung der Leistung von Cloud-nativen Anwendungen und Infrastrukturen bereitstellt. Sie soll Unternehmen dabei helfen, die Leistung, Zuverlässigkeit und Sicherheit ihrer Anwendungen und Systeme zu verstehen und zu optimieren.

Die Splunk Observability Cloud ermöglicht Unternehmen:

• Überwachen und visualisieren Sie die Leistung von Anwendungen und Infrastruktur in Echtzeit
• Analysieren Sie Protokolle, Metriken und Ablaufverfolgungsdaten, um Trends und Muster zu erkennen
• Beheben Sie Probleme und optimieren Sie die Leistung, indem Sie Daten aus verschiedenen Quellen korrelieren
• Automatisieren Sie die Reaktion auf Vorfälle und deren Behebung mit maschinell lernender Anomalieerkennung und -warnung
• Erfüllen Sie gesetzliche Anforderungen und Best Practices für Cloud-Sicherheit und Datenschutz

Splunk Log Observer: 5 Schlüsselfunktionen

Splunk Log Observer ist Teil der Splunk Observability Cloud. Es unterstützt Sie bei der Überwachung und Analyse von Protokolldaten aus einer Vielzahl von Quellen, darunter Anwendungen, Server und Netzwerkgeräte.

Mit Splunk Log Observer können Sie Protokolldaten in Echtzeit erfassen, indizieren und durchsuchen und mithilfe leistungsstarker Analyse- und Visualisierungstools Muster, Trends und Anomalien erkennen. Darüber hinaus können Sie benutzerdefinierte Dashboards und Warnmeldungen erstellen, um den Zustand und die Leistung Ihrer Systeme zu überwachen.

Splunk Log Observer bietet eine Reihe von Funktionen und Tools, mit denen Sie Erkenntnisse aus Ihren Protokolldaten gewinnen können, darunter maschinell lernende Analysen, Datenanreicherung und benutzerdefinierte Suchanfragen. Darüber hinaus lässt es sich in zahlreiche Tools und Dienste von Drittanbietern integrieren, beispielsweise Cloud-Plattformen, APM-Tools (Application Performance Management) und Incident-Response-Plattformen.

1. Splunk Log Observer Connect

Mit der Splunk Log Observer Connect-Integration können Sie Protokolle der Splunk Cloud Platform oder von Splunk Enterprise mithilfe von Splunk Log Observer abfragen. Außerdem können Sie Inhalte aus Splunk Observability Cloud überprüfen. Beispielsweise können Sie Parent-Context-Protokolle verwenden, um Fehler im Verhalten von Infrastruktur und Anwendungen zu beheben.

Eine weitere Möglichkeit besteht darin, codelose Abfragen in Splunk-Protokollen auszuführen, um die Ursache von Systemproblemen zu identifizieren. Anschließend können Sie den Inhalt direkt in Observability Cloud anzeigen. Teams können Metriken, Traces und zugehörige Protokolldaten einsehen, um Probleme schnell zu untersuchen und zu beheben.

2. Zeigen Sie den Gesamtzustand des Systems mithilfe der Zeitleiste an

Mit der Zeitleistenfunktion in Splunk Log Observer können Sie Protokolldaten über einen bestimmten Zeitraum anzeigen und analysieren. Mithilfe der Zeitleiste können Sie Muster, Trends und Anomalien in Ihren Protokolldaten erkennen und die Leistung Ihrer Systeme im Laufe der Zeit verfolgen.

Um die Zeitleistenfunktion in Splunk Log Observer zu nutzen, können Sie einen Zeitraum für die anzuzeigenden Daten auswählen und diese dann mit den verschiedenen Visualisierungs- und Analysetools untersuchen. So können Sie beispielsweise mithilfe der Zeitleiste Trends in Protokolldaten im Zeitverlauf anzeigen, etwa die Anzahl der Fehler oder das Datenverkehrsaufkommen auf Ihren Systemen. Sie können die Zeitleiste auch verwenden, um bestimmte Ereignisse oder Muster anzuzeigen, die während eines bestimmten Zeitraums aufgetreten sind.

Der folgende Screenshot zeigt die Anzahl der Ereignisse, gruppiert nach dem Ereignisfeld „Name“:

3. Log-Metrikierung

Aus Protokolldaten abgeleitete Metriken sind Metriken, die aus Protokolldaten berechnet werden. Mit ihnen können zahlreiche Leistungs- und Betriebsmetriken gemessen werden, beispielsweise die Anzahl der Fehler, das Datenverkehrsaufkommen oder die Reaktionszeit eines Systems.

Um aus Protokollen abgeleitete Metriken in Splunk Log Observer zu erstellen, können Sie die Such- und Analysetools verwenden, um die zu verfolgenden Metriken zu definieren und zu berechnen. Beispielsweise können Sie die Suchsprache in Splunk Log Observer verwenden, um eine Metrik zu definieren, die die Anzahl der Fehlermeldungen in Ihren Protokolldaten über einen bestimmten Zeitraum zählt. Mit dieser Metrik können Sie dann die Leistung Ihrer Systeme verfolgen und Trends oder Muster in den Daten erkennen.

4. Protokollaggregation zum Gruppieren von Protokollen in Feldern

Sie können Protokolle aggregieren, um zugehörige Protokolldaten in Felder zu gruppieren und Berechnungen durchzuführen. Aggregierte Protokolle können Statistiken wie Summen und Durchschnittswerte über zugehörige Protokolle hinweg generieren und so bei der Visualisierung von Problemen helfen.

Sie können beispielsweise eine Protokolltabelle anzeigen, um die Leistung verschiedener Dienste zu bewerten und sich dabei auf die Reaktionszeit jedes Dienstes zu konzentrieren. Durch die Gruppierung von Protokolleinträgen basierend auf Dienst-URLs und die Aggregation von Protokolldaten können Sie die durchschnittliche Reaktionszeit berechnen und langsamere Dienste identifizieren. Anschließend können Sie die Protokolle der identifizierten langsameren Dienste untersuchen, um zu verstehen, warum sie langsam reagieren.

5. Protokollierungsregeln

Es gibt mehrere Regeln, die Sie in Splunk Log Observer verwenden können:

• Suchzeitregeln: Dies sind Protokollverarbeitungsregeln, die Sie auf historische Daten anwenden. Protokollverarbeitungsregeln können zum Such- oder Indexzeitpunkt auftreten. Indexzeitregeln gelten erst nach ihrer Erstellung für Datenströme. Suchzeitregeln können auf Probleme angewendet werden, die im Nachhinein erkannt werden.
• Regeln zur Protokollverarbeitung: Diese können einen Mehrwert schaffen, indem sie die Rohdatenprotokolle transformieren, wenn neue Daten eintreffen.
• Unbegrenzte Datensatzregeln: Diese ermöglichen Ihnen die Archivierung einiger oder aller Protokolle in einem Amazon S3-Bucket zur späteren Verwendung oder zu Compliance-Zwecken. Sie müssen für die Protokollindizierung nicht bezahlen, wenn Sie Log Observer nicht zur Analyse der Protokolle verwenden.

Hinzufügen der Splunk-Protokollanalyse zu Exabeam

Splunk-Protokollanalysedaten können sehr nützlich sein, um Kontext oder zusätzliche Quellen zu den Exabeam Smart Timelines ™ hinzuzufügen. Splunk sammelt und analysiert zwar Protokolle aus verschiedenen Geschäfts- und Datenquellen, diese verfügen jedoch möglicherweise nicht über spezielle Sicherheitstools zur Überwachung. Das Hinzufügen spezifischer Sicherheitsereignisse über analysierte Protokolldaten in einem Common Information Model von Splunk Log Analysis und Log Observer kann einem Sicherheitsanalysten helfen, schnell zu erkennen, wo Ereignisse mit für Sicherheitsoperationen relevanten Ereignissen in Zusammenhang stehen.

Von böswilligen Akteuren, die Protokolle löschen oder ihre Pfade auf andere Weise verschleiern, bis hin zu einem plötzlichen Kommunikationsabbruch sind dies Hinweise auf eine mögliche Gefährdung. In Kombination mit der Verhaltensanalyse Exabeam können so schnell potenzielle Probleme identifiziert werden, die bei einfacher Protokollbeobachtung und Integritätsanalyse ungesehen oder unbemerkt bleiben.

Die Einbindung von Splunk-Protokollen in Exabeam Advanced Analytics kann ebenfalls Kosten sparen: Protokolle werden analysiert, Kontext hinzugefügt und Ereignisse erstellt und analysiert, um schnelle Reaktionen zu ermöglichen, ohne dass eine langfristige doppelte Ereignisspeicherung erforderlich ist. Exabeam Smart Timelines modelliert das Verhalten und weist Risikobewertungen für bestimmte Benutzer oder Geräte zu, deren beobachtete Ereignismuster sich ausreichend von früheren Mustern unterscheiden. So kann das Sicherheitsteam Probleme schnell erkennen, ohne dass fortgeschrittene Abfragekenntnisse erforderlich sind.