Your SlideShare is downloading. ×
Guia para inteligência operacional
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×

Saving this for later?

Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime - even offline.

Text the download link to your phone

Standard text messaging rates apply

Guia para inteligência operacional

625
views

Published on


0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
625
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
13
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. guia de soluçõesO guia da Splunk parainteligência operacionalUse o Splunk e os dados da sua máquina para oferecer novosníveis de visibilidade e percepção para a TI e os negóciosO que é o Splunk® Enterprise ? A abordagem do Splunk TM O Splunk é o mecanismo para os dados de máquina. Ele foiO Splunk é o mecanismo para os dados gerados desenvolvido para resolver todos os desafios dos dadospor máquina. Ele coleta, classifica e aproveita os da máquina e coletar, indexar e aproveitar seus dados dedados de máquina gerados por seus sistemas máquina não estruturados e em correlações baseadas em tempo. O Splunk pode ler os dados de praticamente qualquerde TI e infraestrutura, sejam eles físicos, virtuais fonte imaginável, como tráfego de rede, servidores daou em nuvem. Use o Splunk e os dados da sua Web, aplicativos personalizados, servidores de aplicativos,máquina para oferecer novos níveis de visibilidade e hypervisors, sistemas de GPS, feeds de bolsas de valores, mídias sociais e bancos de dados estruturados preexistentes.inteligência operacional para a TI e o negócio. Ele oferece uma compreensão do que está acontecendo em tempo real e uma análise profunda do que está acontecendoA oportunidade de dados da máquina em todos os sistemas e infraestrutura de TI. Além disso, transforma os dados gerados por máquina em informaçõesTodas as suas aplicações, sistemas e infraestrutura de TI valiosas, não importa seu negócio.geram dados a cada milissegundo, todos os dias. Essesdados gerados por máquina contêm um registro definitivo Fazer "splunking" dos dados de máquina oferece muitos usosdas transações do usuário, comportamento do cliente, para a TI e o negócio:comportamento da máquina, ameaças de segurança, • Gerenciamento de aplicativos: solucionar problemasatividades fraudulentas e muito mais. Eles também são em toda a pilha de aplicativos a partir de um único localdinâmicos, não estruturados e não padronizados, e constituem e monitorar a queda de desempenho.a maioria dos dados da sua empresa. • Segurança e conformidade: oferece rapidamenteOs dados gerados por máquina são um recurso incrivelmente resposta, correlação e monitoramento aprofundado devalioso, mas as empresas raramente extraem deles o valor incidentes em todas as fontes de dadosde que precisam. As soluções existentes para análise,gerenciamento e monitoramento de dados simplesmente não • Gerenciamento de operações e infraestrutura:foram projetadas para esse tipo de dados. monitora de forma proativa para garantir o tempo de atividade, além de detectar e resolver problemasPense no gerenciamento de informações. Os sistemas degerenciamento de data warehouses e bancos de dados • Análise empresarial e da Web: ganhe visibilidade erelacionais são baseados em esquemas rígidos e projetados inteligência sobre clientes, serviços e transações, alémpara dados estruturados e consistentes. Eles fornecem de identificar tendências e padrões em tempo realanálise de histórico, mas não visibilidade em tempo real. O Encontrar e corrigir problemas, seguir a trilha de um invasor,Enterprise Search foi criado para dados gerados por humanos, emitir relatórios de conformidade e analisar o comportamentocomo documentos e páginas da Web. Esses dados são muito dos clientes são atividades que exigem uma visualizaçãodiferentes dos dados da máquina. Os dados de máquina têm completa.uma ordem de magnitude, maior volume e diversidade do queos dados tradicionais e estruturados.As ferramentas de gerenciamento de TI e o gerenciamentode eventos e informações de segurança são, por outro lado,isolados e projetados para um nível da empresa. Eles fornecemuma visão limitada dos dados básicos e estão vinculados atipos específicos de dados e fontes. Ou eles monitoram váriossistemas, com graves lacunas nos dados que coletam. Elestambém não fornecem o contexto histórico.Na verdade, encontrar a melhor maneira de filtrar, refinar ecompreender as enormes quantidades de dados da máquinapode transformar a forma como as organizações de TIgerenciam, protegem e fazem auditorias de TI. Isso tambémpode fornecer informações valiosas para a empresa sobre astendências e comportamentos dos seus clientes e serviços. Criar painéis de controle personalizados está a apenas alguns cliques para TI e usuários corporativos.
  • 2. guia de soluçõesA solução dos problemas muitas vezes significa correlacionar Indexa dados de qualquer fonte. Produtos paralogs do servidor da Web, mensagens SOA, transações gerenciamento de sistemas, SIEM, CEP/ECA e gerenciamentode banco de dados, desempenho virtual e alterações de de logs exigem semanas ou meses desenvolvendo ouconfiguração. configurando conectores personalizados para cada fonte de dados. O Splunk coleta diretamente os dados de dezenasInvestigar incidentes de segurança exige a análise dos eventos de milhares de fontes, levando-os em segurança até umdos logs dos servidores, firewalls e varreduras de IDS, além de local central em tempo real. Nas situações em que os dadoseventos de aplicativos, configurações e scripts para entender o necessários não estão disponíveis na rede, você pode instalarque está acontecendo. Splunk forwarders. Os Splunk forwarders são leves agentesCumprir a conformidade exige revisões sistemáticas e a e oferecem um coletor de dados universal e em tempo real.retenção de dados em longo prazo de toda a infraestrutura, Monitore os arquivos de log de aplicativos locais, capture acolocando mais barreiras ao acesso a esses dados para as saída de comandos de status em um cronograma, obtenhanecessidades operacionais diárias. métricas de desempenho a partir de fontes virtuais ou não virtuais ou observe o sistema de arquivos para alterações deQuando a empresa busca melhor inteligência, podem ser configuração, permissões e atributos.necessárias a correlação e a análise em tempo real dastransações e eventos de diversas fontes de TI, possivelmente Permite a análise de dados de histórico e em tempo real.combinados com dados empresariais. Os sistemas tradicionais de TI forçam uma decisão entre monitoramento em tempo real e análise de histórico. Com oO Splunk mune os engenheiros de rede, administradores de Splunk, você pode pesquisar e analisar os dados históricos emsistemas, analistas de segurança e conformidade, equipe da tempo real a partir de uma única solução. Isso significa que vocêcentral de atendimentos e usuários corporativos com novos pode identificar e responder aos padrões de comportamento ouníveis de visibilidade, tudo isso a partir de uma única solução. atividade de interesse antes que seja tarde demais.Isso é o que consideramos oferecer Inteligência Operacional. O software que os usuários querem usar. Antes fazia sentido gerenciar sua infraestrutura de TI em silos. Porém ,Qual é a diferença do Splunk? com a computação atual dimensionada e distribuída, e comO Splunk é diferente das abordagens anteriores de gerenciar, a proliferação de virtualizações e aplicativos complexosfazer auditorias, proteger e coletar inteligência de sistemas de baseados na Web, isso simplesmente não funciona mais. OTI. Nós mostramos como. Splunk rompe os silos de TI. Pesquise, crie relatórios, monitore e analise todos os seus dados a partir de qualquer aplicativo,Resultados imediatos, sem riscos. O Splunk é um software servidor e dispositivo, tudo isso a partir de um único local eempresarial fácil de usar. Os usuários podem baixar o Splunk em tempo real. Integre o sistema facilmente com ferramentasgratuitamente, instalá-lo em poucos minutos, alimentá-lo com empresariais de gerenciamento, segurança e conformidadequaisquer dados gerados por máquina e se tornar produtivo existentes. Encontrar e corrigir problemas, seguir a trilha deimediatamente. Chega daqueles exércitos de consultores ou um invasor, rastrear transações e ganhar novas percepçõesDBAs para fazer as coisas funcionarem. A prova é imediata. dos seus dados operacionais, de repente, se transformou emA maioria dos usuários baixa e instala o Splunk quando estão um conjunto de tarefas muito mais rápido e fácil.sendo atacados. Um problema grave de serviço ou incidente desegurança agora podem ser investigados em poucos minutos, Crie visualizações e painéis de controle personalizados.ao contrário das horas ou dias que isso costumava levar. O Splunk ajuda a dar sentido a grandes volumes de dados gerados por máquina para satisfazer às necessidades deBaseado em tecnologia de indexação e pesquisa de alto diferentes usuários e grupos na empresa. Crie rapidamentedesempenho. Todos os dias, milhões de pessoas pesquisam painéis de controle personalizados que integram diversose navegam por bilhões de páginas da Web servidas por gráficos e visualizações dos seus dados em tempo real, ecomputadores em todo o mundo. A pesquisa é flexível, visualize-os pelo seu desktop ou dispositivo móvel. Personalizeintuitiva e oferece resultados imediatos. O Splunk possui em os painéis de controle para diferentes usuários na sua empresa,seu núcleo uma tecnologia poderosa de indexação e pesquisa, como gerentes, analistas de negócios, analistas de segurança,mudando completamente o significado de velocidade e auditores, desenvolvedores e administradores de sistemas.capacidade de resposta. Com ele, você pode pesquisar bilhões Os usuários podem editar os painéis de controle usando umade eventos em segundos e começar a ver os resultados simples interface do tipo "arrastar e soltar". Os controlesimediatamente. integrados de gráficos significam que eles podem alterar osProjetado para dados não estruturados e em série tipos de gráfico, sem interrupções.temporal. Os dados gerados por máquina são dados não Faça mais com os Splunk Apps. Crie aplicativos no Splunkestruturados. Baseiam-se em série temporal, dinâmicos e que ofereçam uma experiência de usuário direcionadanão padronizados. Eles capturam todas as interações entre para tecnologias e situações de uso específicas. Vocêmáquinas e entre homem e máquina, geradas em volumes que pode compartilhar e reutilizar os aplicativos dentro de suasuperam os dados empresariais estruturados. Eles também empresa e no restante da comunidade do Splunk. Há umestão crescendo em ritmo exponencial. O Splunk não usa número crescente de aplicativos no site da nossa comunidadeesquemas predefinidos, podendo ler dados em qualquer (www.‍splunkbase.com), criados pela nossa comunidade,formato e de praticamente qualquer fonte imaginável. parceiros e pela Splunk. Aplicativos para segurança empresarial 2
  • 3. guia de soluções Obtenha uma percepção em tempo real dos Percepções de dados operacionais para tomar decisões de negócios negócios com mais embasamento. Obtenha visibilidade de ponta a ponta para Visibilidade acompanhar e oferecer KPIs de TI e tomar operacional decisões de TI com mais embasamento. Todos os dados da máquina Monitore automaticamente sua infraestrutura Monitoramento para identificar questões, problemas e ataques proativo antes que influenciem seus clientes e serviços. Pesquisa + Localize e corrija problemas com muito investigação mais rapidez por toda a sua empresa, usando os dados de TI.O Splunk oferece Inteligência Operacionalou para conformidade, aplicativos para diferentes plataformas, • Monitore os dados e forneça alertas em tempo real,como Windows, Linux e Unix, e aplicativos para diferentes quando surgirem condições específicastecnologias, como redes, virtualizações e muito mais. • Forneça relatórios e análises eficazes.Acompanha as mudanças. A única constante nos atuais • Ofereça a capacidade de criar painéis de controle eambientes de TI complexos, virtualizados e híbridos são as visualizações personalizados para diferentes funçõesmudanças. O que pensamos que sabemos está, muitas vezes,errado. As abordagens tradicionais de TI para gerenciamento • Dimensione de forma eficiente, utilizando um hardwaree segurança presumem que os usuários conheçam todas comumas possíveis falhas e riscos com antecedência, e que esses • Ofereça segurança baseada em função e controle deformatos de dados não mudarão. Simplesmente, esse não acesso granularesé mais o caso. Na verdade, a maioria dos departamentosde TI gasta mais tempo personalizando e mantendo suas • Suporte multi-tenancy e seja implantado de forma flexívelferramentas do que usando-as.O Splunk não depende de esquemas frágeis que limitam Indexação universala flexibilidade e que corrompem quando os formatos dos Os componentes individuais em sua infraestruturadados mudam. O Splunk indexa todos os dados selecionados geram centenas de eventos por segundo. Um datacenterem tempo real, o tempo todo. Todas as interpretações de pode registrar vários terabytes de dados por dia. Vocêdados que você precisar, como extrair um campo ou marcar provavelmente começará a se perguntar como será possívelum subconjunto de hosts, podem ser feitas facilmente sem acessar todos esses dados em todos os diferentes formatosinterrupções, enquanto você pesquisa. e locais. O Splunk oferece uma série de métodos de entradaDimensionamento do laptop ao datacenter. Em um flexíveis e não precisa de conectores especiais para formatosmomento em que cada despesa é minuciosamente controlada, de dados específicos. Assim, você pode imediatamenteas empresas nem sempre contam os recursos de que indexar os logs, os dados clickstream, as configurações,precisam. É por isso que o Splunk tem um preço e foi criado armadilhas e alertas, mensagens, scripts, dados e estatísticaspara se adequar a todos os ambientes. Ele pode ser baixado de desempenho a partir dos seus aplicativos, servidores ee executado em um laptop em menos de cinco minutos e o dispositivos em rede, sejam eles físicos, virtuais ou em nuvem.mesmo software pode ser dimensionado através das maiores Entrada de dados flexível. O Splunk coleta e indexa os dadosinfraestruturas globais, indexando dezenas de terabytes de de praticamente qualquer fonte imaginável, como tráfegodados por dia. de rede, servidores da Web, aplicativos personalizados, servidores de aplicativos, hypervisors, sistemas de GPS,Oferecendo os principais recursos para a feeds de bolsas de valores, mídias sociais e bancos de dados estruturados preexistentes. Não importa como você obtéminteligência operacional os dados ou o formato em que estão, eles serão indexados • Colete e indexe universalmente os dados de máquina, de da mesma forma, sem quaisquer analisadores ou conectores praticamente qualquer fonte específicos para escrever ou manter. • Habilite a busca em formato livre e investigações de Encaminha dados de sistemas remotos. Os Splunk incidentes a partir de um único local forwarders podem ser implantados em situações em que os • Extraia conhecimento dos dados automaticamente e dados necessários não estão disponíveis na rede ou visíveis permita que os usuários adicionem os seus próprios dados para o servidor onde o Splunk está instalado. Os Splunk 3
  • 4. guia de soluçõesforwarders oferecem coleta universal de dados segura, Resultados interativos. Quando comparada a ferramentas edistribuída e em tempo real. Eles conseguem monitorar os scripts de linha de comando, uma interface interativa melhoraarquivos de log de aplicativos locais, capturar a saída de significativamente a experiência do usuário e a velocidade comcomandos de status em um cronograma, obter métricas a qual as tarefas podem ser realizadas. Amplie e reduza emde desempenho a partir de fontes virtuais ou não virtuais uma linha cronológica de resultados para revelar rapidamenteou observar o sistema de arquivos para alterações de as tendências, picos e anomalias. Clique para detalhar seusconfiguração, permissões e atributos. Eles são leves, podem resultados e eliminar ruídos, encontrando aquela agulha noser instalados rapidamente e sem nenhum custo adicional. palheiro. Se estiver resolvendo um problema de um cliente ou investigando um alerta de segurança, você encontrará asIndexação em tempo real. O pessoal de TI depende de respostas em segundos ou minutos, em vez de horas ou dias.informações atualizadas para solucionar problemas, realizarinvestigações de incidentes de segurança, relatórios de Pesquisa de transações. Enviar e-mails, fazer um pedidoconformidade e outras tarefas importantes. O Splunk indexa em um site ou conectar uma chamada VoIP criarão inúmerosconstantemente os dados de máquina em tempo real, como eventos em diferentes componentes de TI. Muitas vezes vocêseus logs, dados de configuração, eventos de mudanças, vai querer procurar por essas coleções de eventos, que fazemsaída dos comandos de diagnóstico, dados de APIs e parte da mesma transação. Por exemplo, encontrar todos osfilas de mensagens, inclusive os logs dos seus aplicativos eventos do sendmail com o mesmo ID de usuário, entre umpersonalizados. login e um logout, que ocorrem dentro de 10 minutos.Captura tudo. O Splunk armazena os dados brutos e os O Splunk possibilita correlacionar os eventos, encontrandoíndices aprimorados em um repositório de dados eficiente, características comuns e, em seguida, salvando aquelacomprimido e baseado em sistema de arquivos, com pesquisa como uma transação, para que você possa encontrarassinatura e auditoria de dados opcionais para comprovar a os mesmos tipos de transações novamente, para parâmetrosintegridade dos dados. de pesquisa diferentes.Sem esquemas rígidos. O Splunk não tem um esquemapredefinido. As soluções que dependem de esquemas frágeis Aumente o conhecimentopossuem flexibilidade limitada e caem por terra quando os O Splunk automaticamente extrai conhecimento dos dados eformatos dos dados mudam. Todas as interpretações de dados permite que os usuários adicionem os seus próprios, liberandode que você precisar, como extrair um campo ou marcar um todo o potencial dos seus dados. É possível agregar aos dadossubconjunto de hosts, são feitas no momento da pesquisa. informações sobre os eventos, campos, transações, padrões eAutomatiza a cronologia. Todos esses dados de streaming estatísticas. Você também pode identificar, nomear e marcarsignificam extração, e normalizar marcas temporais é muito esses dados, e pode realizar várias tarefas, como encontrarimportante. O Splunk determina automaticamente o horário todos os eventos com um nome de usuário específico atéde cada evento, mesmo com os formatos mais atípicos ou não obter instantaneamente os dados estatísticos sobre atividadestradicionais. As marcas temporais ausentes de dados podem específicas do usuário. Você também pode correlacionarser tratadas inferindo-se as marcas temporais com base em e nomear as transações que englobem múltiplas fontes decontexto. dados. O Splunk une a flexibilidade da busca em formato livre com a capacidade de trabalhar com seus dados, de um jeito que você nunca experimentou antes.Pesquisa e investigação Mapeie o conhecimento no momento da pesquisa. O SplunkO Splunk permite que os usuários pesquisem e naveguem evita os problemas causados pelas abordagens tradicionais,pelos seus dados a partir de um único local. mapeando o conhecimento para os dados no momentoPesquise e investigue qualquer coisa. A busca em formato da pesquisa, em vez de tentar normalizar os dados em umlivre é compatível com pesquisas intuitivas booleanas, esquema de banco de dados frágil antecipadamente. Alémaninhadas, com texto entre aspas e curingas, comuns a todos disso, não há mais a necessidade do gerenciamento complexoacostumados a usar a Internet. Isso permite que os usuários de analisadores e conectores personalizados. Valorizeiterem e refinem suas pesquisas rapidamente, sem saberem facilmente seus dados da máquina com informações de bancosnada sobre formatos específicos de dados. de dados externos de gerenciamento de ativos, sistemas de gerenciamento de configuração e diretórios de usuário. AgoraBusca em tempo real. Pesquisar dados de streaming e dados você tem uma forma flexível de gerenciar seus dados. Assim,de histórico indexados em tempo real, a partir da mesma conforme eles mudam, você não precisa mudar também.interface, é o que há de melhor. Com o Splunk, você consegueanalisar o comportamento e a atividade em tempo real, além Trabalhe de forma mais inteligente. O Splunk permite quede visualizar o contexto histórico. todos os usuários adicionem seus próprios conhecimentos enquanto trabalham. Ao salvar pesquisas e identificarPesquisa por tempo. Em função do grande volume e da diferentes tipos de campos, eventos e transações, você tornanatureza repetitiva dos dados da máquina, os usuários muitas o sistema mais inteligente para todo mundo. Além disso, essevezes começam restringindo a pesquisa a um intervalo de conhecimento não sai pela porta quando alguém vai embora.tempo específico. Com enfoque no momento em os eventosacontecem, o Splunk permite que os usuários combinempesquisas por tempo e palavras. Essa capacidade de pesquisar Monitore e emita alertasem todos os níveis da sua infraestrutura por erros e alterações Em vez de usar a pesquisa com a única finalidade de reagirde configuração, segundos antes da ocorrência de uma falha a incidentes e problemas, você deseja ser proativo. O Splunkdo sistema, é incrivelmente rápida e poderosa. oferece recursos flexíveis de alertas que melhoram sua 4
  • 5. guia de soluçõescobertura de monitoramento. Além disso, por funcionar em de dados, para que você possa gerar relatórios e analisartoda a sua estrutura de TI, ele é a solução de monitoramento atividades importantes, como o tempo para finalizar umamais flexível do seu arsenal. transação de novo serviço ou determinar se uma transação complexa já foi ou não finalizada. Sub-buscas, tomando osTransforme as pesquisas em alertas em tempo real. resultados de uma pesquisa para usá-los em outra. Pesquisas,As pesquisas podem ser salvas e programadas para correlacionando com fontes de dados externas, fora domonitoramento contínuo, além de serem capazes de disparar Splunk. Junções, para suportar junções internas e externasalertas por e-mail ou RSS. Você pode até mesmo lançar um tipo SQL.script para tomar ações corretivas, enviar um a interceptaçãoSNMP para o seu console de gerenciamento de sistemas ou Funciona bem com os outros. Agora, toda a sua empresagerar um protocolo para a central de atendimento. Programar pode aproveitar o valor dos dados da máquina. Os relatóriosalertas é uma ótima maneira de concluir a investigação de um podem ser salvos e compartilhados com a administração ouproblema ou incidente de segurança, procurando de forma outros colegas em formatos seguros tipo somente leitura,proativa ocorrências semelhantes no futuro. como o PDF e, até mesmo, integrados em painéis de controle.Correlacione eventos complexos. O Splunk permitecorrelacionar eventos complexos a partir de múltiplas fontes Visualizações e painéis de controlede dados em toda a sua infraestrutura de TI, para que você personalizadosmonitore eventos mais significativos. Por exemplo, você podeacompanhar uma série de eventos relacionados como uma Dê mais sentido aos enormes volumes de dados à suaúnica transação, para medir a duração ou status. disposição. O Splunk possibilita a criação de painéis de controle e visualizações para diferentes tipos de usuários,Monitore para condições específicas. Os alertas podem se técnicos e não técnicos. Integre os relatórios, e pesquisebasear em uma série de condições de limite e baseadas em os resultados e, até mesmo, dados de aplicativos externos.tendências, em qualquer nível de granularidade. A linguagem Edite painéis de controle, usando uma simples interface dode busca vai além das simples pesquisas booleanas em tipo “arrastar e soltar”. Os controles integrados de gráficospesquisas de campo, buscas e sub-buscas estatísticas, você significam que você pode alterar os tipos de gráfico, sempode correlacionar o que quiser e emitir alertas sobre padrões interrupções. Fazer tudo isso pela IU do Splunk significa quecomplexos, como carrinhos de compras abandonados, ataques você pode capacitar os usuários corporativos a fazer o mesmo.brutais e cenários de fraude. Painéis de controle dinâmicos. Os painéis de controle integram múltiplos gráficos, visualizações e relatórios deGere relatórios e análises dados de histórico e ao vivo, para satisfazer as necessidadesSe você sempre quis gerar relatórios sem interrupções a partir de diferentes usuários. Os melhores mecanismos da categoriade dados gerados por máquina difíceis de entender, você vai oferecem a capacidade de personalizar os painéis de controleadorar o Splunk. Crie relatórios eficazes, ricos em informações, para analistas de gestão, comerciais ou de segurança,para fazer análises sem precisar de conhecimentos avançados auditores, desenvolvedores e administradores de sistemas.sobre comandos de busca. Você pode programar a entrega Mashups com outros aplicativos. O Splunk oferece ade qualquer relatório em PDF e compartilhá-lo com usuários capacidade de criar mashups com outros aplicativos baseadoscorporativos, gerentes ou outros interessados em TI. na Web, como o Tivoli, SAP, consoles de segurança e muitoRelatórios sobre os resultados da pesquisa. Crie facilmente mais, para oferecer uma visão perfeita através dos silos.gráficos, tabelas e minigráficos a partir dos resultados da Painéis de controle a qualquer hora, em qualquer lugar. Ospesquisa, e visualize tendências importantes, observe os altos gráficos e os cronogramas no Splunk não usam o Flash, o quee baixos, faça um resumo dos principais valores e gere um significa que os painéis de controle podem ser visualizadosrelatório sobre os tipos de condições mais e menos frequentes. e editados de qualquer lugar em dispositivos móveis ou emA simplicidade de analisar enormes quantidades de dados navegadores que não tenham o Flash instalado.vai surpreendê-lo (e ao seu chefe). Por exemplo, um relatóriopode mostrar o total de bytes enviados pelo endereço IPa partir de eventos de atividade de firewall, uma tabela Crie e baixe Splunk Appsmostrando bytes por protocolo por endereço IP ou um gráfico Agora você está indexando e usufruindo de todos os dadosilustrando o tráfego de firewall por hora para o laptop de da sua máquina, poderá usufruir de aplicativos que permitemum determinado funcionário. Praticamente todos os campos fazer ainda mais.podem ser usados como critério de relatório. E lembre-se,como os campos são identificados como sua pesquisa, você Inove você mesmo. O Splunk facilita a criação de aplicativospode especificar novos campos sem reindexar seus dados. que ofereçam uma experiência de usuário direcionada para diferentes funções e situações de uso. A estrutura do SplunkAnalise eventos correlacionados. O Splunk é compatível com App oferece a capacidade de desenvolver e empacotarcinco tipos de correlação. Correlações baseadas no tempo, aplicativos através de uma única interface de usuário.para identificar relações baseadas em tempo, proximidade ou Proporcione uma experiência de usuário adaptada a umadistância. Correlações baseadas em transações, para rastrear situação de uso específica ou aprimore as tecnologias dostransações que abrangem vários silos, sistemas e fontes fornecedores existentes. 5
  • 6. guia de soluçõesCompartilhe e baixe aplicativos. Você pode compartilhar e o tamanho ideal para o equipamento ou solução de umreutilizar os aplicativos dentro de sua empresa e no restante determinado fornecedor. Busque fornecedores que indexemda comunidade do Splunk. Há um número crescente de cada byte dos seus dados, sem a necessidade de analisadoresaplicativos no site da nossa comunidade www.‍splunkbase.‍com, ou conectores personalizados. Se o fornecedor for incapaz oucriados pela nossa comunidade, parceiros e pela Splunk. Você não se dispuser a cotar seus valores de EPS com base nessespode encontrar aplicativos que ajudam a visualizar os dados critérios, siga em frente e encontre um que o faça.geograficamente ou que suportam situações específicas de Velocidade de pesquisa. Pesquisas de qualquer tipo devemuso, como segurança empresarial ou conformidade com a gerar resultados em questão de segundos, não minutosPCI. Também existem aplicativos para diferentes sistemas ou horas. Com base em uma estrutura de computaçãooperacionais e tecnologias de terceiros, como Windows, Linux, distribuída, o Splunk converte automaticamente as pesquisasBlue Coat, Cisco, WebSphere e F5 Networks. em um programa paralelo, permitindo recuperar e analisarGerenciamento fácil. Após instalado, você aplica controles rapidamente grandes conjuntos de dados. Um único servidorde acesso baseados em função e distribui aplicativos com uma comum será compatível com pesquisas de bilhões de eventosexperiência de usuário personalizada por toda a empresa, em segundos.ampliando o valor dos seus dados para diferentes usuários. Eficiência de armazenamento. Medida como a percentagem do tamanho original do fluxo de dados, a eficiência deEscalabilidade massiva armazenamento determina a quantidade de capacidade deCom o Splunk, você pode dimensionar sua instalação a partir armazenamento que você precisará para manter seus dadosde um único servidor Windows, Linux ou Unix comum para e seus respectivos índices. Uma boa solução exigirá de 25% aas maiores e mais complexas infraestruturas de geografia 50% do tamanho original dos dados para manter seus dadose centro de processamento de dados múltiplos, indexando e um conjunto útil de índices. Cuidado com as soluções quedezenas de terabytes de dados por dia. A arquitetura do afirmam usar 10% ou menos do tamanho original dos dados.Splunk se baseia na estrutura do MapReduce e é dimensionada Isso indica apenas o armazenamento de dados comprimidos,linearmente através de servidores comuns para volumes não a indexação.ilimitados de dados. Você encontrará uma grande variedade Arquivamento. No fim, você pode decidir armazenar seusde opções para acessar os dados, armazená-los, procurá-los e dados em camadas. O armazenamento em camadas podeencaminhá-los para outros sistemas. oferecer menor custo e melhor redundância. O arquivamentoFácil instalação. Um pacote de software autônomo de dados com base na utilização do disco ou na idade seráindependente de programas de terceiros faz com que o Splunk útil para a criação de um repositório de dados em múltiplasseja fácil de instalar e executar. Ele funciona em todos os camadas. Certifique-se de que sua solução permita configurarprincipais sistemas operacionais e plataformas de hardware. uma política de arquivamento com base no tamanho ou noAlém disso, como o Splunk é um software, ele pode operar em tempo do repositório de dados e restaurar seus arquivos sobinfraestruturas físicas ou virtuais, em vez de exigir hardware, demanda.energia e espaço no rack dedicados. Redimensionamento linear. Você pode dimensionar o SplunkAnalisa dados grandes. Seu centro de processamento de horizontal e verticalmente, simplesmente acrescentandodados gera mais dados gerados por máquina do que você mais capacidade de computação. Você pode executar umaprovavelmente jamais imaginou. Um único servidor de configuração distribuída em diferentes servidores físicos, umaprodução pode gerar centenas de megabytes de dados por combinação de servidores virtuais e não virtuais ou em umadia. Firewalls e servidores da web podem gerar, cada um máquina grande com múltiplos processadores e núcleos. Odeles, muitas vezes essa quantidade. Na realidade, os dados Splunk permite equilibrar as cargas de trabalho, configurandoda máquina constituem um dos mais rápidos e complexos vários indexadores e ferramentas de busca em toda a suasegmentos dos dados grandes. configuração.Esse volume de dados também está sujeito a exigências Pesquisa distribuída. Muitas vezes, não será viável centralizarde retenção, que vão desde alguns dias para resposta a fisicamente todos os seus dados em um único local. Vocêincidentes, até meses e anos para conformidade. provavelmente precisará pesquisar em várias instalações e repositórios de dados, em diferentes silos de tecnologia eBaseado na estrutura do MapReduce, o Splunk permite o geográficos.dimensionamento linear através de hardware comum. Aoconsiderarmos desempenho e compararmos abordagens para Roteamento e clonagem de dados. Com todo aquele fluxocoletar, indexar e aproveitar seus dados da máquina, aqui de dados para gerenciar, você desejará ter a capacidade deestão alguns pontos a observar e considerar: encaminhar os dados baseados nas características e conteúdo. Isso será importante para dimensionar e proteger a instalaçãoTaxa de transferência de indexação. Os eventos por do seu Splunk. E, ao depender do Splunk como peça essencialsegundo (EPS) é uma medida comum de taxa de transferência, da sua infraestrutura de TI, você provavelmente desejarámas considere que os tamanhos dos eventos podem variar clonar os dados importantes para vários servidores parade algumas centenas de bytes a um megabyte ou mais. garantir uma alta disponibilidade.Os valores de EPS são geralmente calculados seja qual for 6
  • 7. guia de soluçõesIntegração. Se você for como a maioria dos departamentos de eventos individuais podem ser assinados e fluxos deTI, você fez investimentos significativos em outras ferramentas eventos bloqueados. O Splunk também oferece medidas dede gerenciamento, ferramentas de monitoramento e integridade de mensagens que provam que ninguém inseriuferramentas de análise. Não seria ótimo se você pudesse nem excluiu eventos do fluxo original.integrar o Splunk a todas elas? Imagine lançar pesquisas de Implantação protegida. Manter uma trilha de auditoria e acontexto do seu console de gerenciamento de rede, enviar assinatura dos eventos é inútil se o servidor que executa oalertas do Splunk para o seu console de gerenciamento Splunk puder ser comprometido. Certifique-se de que seude sistemas ou automatizar a criação de protocolos de fornecedor ofereça orientações de proteção.problema quando atividades incomuns acontecem. O Splunkoferece múltiplos pontos de integração e uma API robusta edocumentada. ROI e Splunk Os clientes da Splunk geralmente conseguem medir o ROISegurança em semanas ou meses, às vezes, até mesmo antes de ser implantado na produção. Os usuários do Splunk podemVocê precisará manter os dados da sua máquina seguros. solucionar problemas em aplicativos e investigar incidentes deEspecialmente quando você perceber que essas informações segurança em minutos, em vez de horas ou dias, melhorandosão seus bens valiosos. O Splunk oferece manipulação segura significativamente os níveis de serviço, reduzindo asdos dados, controles de acesso, auditorias, garantia de interrupções e entregando relatórios de conformidade a umintegridade dos dados e integração com as soluções single custo menor. Essa visibilidade, normalmente indisponívelsign-on da empresa. antes do Splunk, oferece às empresas um ROI rápido, novaAcesso e transporte seguros dos dados. Os dados gerados produtividade e importantes percepções. Aqui estão algunspor máquina podem ser sigilosos. O Splunk é compatível com exemplos:o fornecimento avançado de dados anônimos para mascarar • Um fornecedor líder em soluções de gestão de saúdeas informações confidenciais dos resultados. As informações evitou uma multa de US$ 100.000, encontrada durante acorporativas ou de clientes particulares também exigem fase de avaliação do Splunk. Esse mesmo cliente obteveacesso, transporte e armazenamento seguros. Você deve um ROI anual de mais de US$ 700.000.avaliar possíveis soluções para acesso criptografado a fluxosde dados, usando algo como TCP/SSL. Certifique-se de que • Uma das editoras mais importantes do mundoo acesso do usuário esteja protegido, usando, por exemplo, dos negócios substituiu seu antigo software deHTTPS ou SSH, para ter acesso de linha de comando. monitoramento de servidores pelo Splunk e outro software de código aberto. Isso eliminou as taxas deControle de acesso granular. Claro que você também precisa manutenção e reduziu os custos operacionais em US$ser capaz de controlar as ações que os usuários podem 1,6 milhões/ano.realizar e quais dados, ferramentas e painéis de controle elespodem acessar. Você não deseja necessariamente permitir • Um dos principais fabricantes do ramo de comunicaçõesque a equipe de desenvolvimento de aplicativos acesse suas evitou uma atualização de licença de software no valor deanálises de IDS, alertas e logs de firewall. O Splunk é um US$ 1,5 mil para seu SIEM existente, reatribuiu as funçõessistema flexível baseado em função que permite que você de cinco analistas de turno integral para outras tarefascrie suas próprias funções para mapear as políticas da sua (US$ 600.000/ano) e agora monitora novas fontesempresa para diferentes classes de usuários. de dados para identificar os ataques desconhecidos anteriores.Em alguns ambientes, como serviços multi-tenant, podeser necessário controlar fisicamente o acesso aos dados. • O maior fornecedor de pôquer B2B do mundo,A capacidade de encaminhar os dados selecionados para hospedando 25 das maiores marcas do setor e atédiferentes instalações do Splunk permitirá que você separe os 45.000 jogadores simultâneos nas horas de pico, reduziudados fisicamente em diferentes repositórios de dados. Você o tempo de inatividade em 30% e contabilizou umatambém vai querer integrar com LDAP e Active Directory e economia anual de US$ 1,9 milhão (16x ROI no 1º ano).grupos de mapas para diferentes funções. • Um dos maiores sites de viagens on-line do mundoSingle sign-on. Se estiver usando controles de acesso demonstrou um ROI anual de mais de US$ 14 milhões.internamente e tiver políticas de controle de acesso Esse ROI foi uma combinação de ferramentas deorganizacionais, você vai querer ter certeza de poder integrar consolidação, licenças de aposentados, prevenção desua solução Splunk com o sistema de autenticação, seja ele interrupções e eficiência na resolução de problemas,LDAP, Active Directory, e-Directory ou outro sistema de obtida pelo uso do Splunk.autenticação.Função de auditoria. Depois de configurar seus controles Download gratuitode acesso, é preciso monitorar quem está fazendo o quê. O Baixe o Splunk gratuitamente. Você receberá uma licençaSplunk registra as atividades administrativas e dos usuários, do Splunk Enterprise para 60 dias e poderá indexar atépara que você possa auditorar quem está acessando quais 500 megabytes de dados por dia. Após 60 dias, ou a qualquerdados e quando. momento antes disso, você poderá converter a uma licença perpétua grátis ou comprar uma licença Enterprise, entrando emIntegridade dos dados. Você também precisará garantir contato pelo sales@splunk.com.a integridade dos dados. Como você sabe se os resultadosda pesquisa ou o relatório que você está vendo não sãobaseados em dados que foram adulterados? Com o Splunk, 7
  • 8. guia de soluçõesBuscando uma solução de alto nível para gerenciar os dados da sua máquina? Entãoconsidere o seguinte: 1 Indexação de dados dinâmicos Indexa todos os dados da máquina gerados por aplicativos, servidores ou dispositivos em rede, inclusive logs, dados clickstream, configurações, mensagens, armadilhas e alertas, métrica e dados a de desempenho, sem analisadores ou conectores personalizados para formatos específicos (inclui ambientes virtuais e não virtuais). Acesso flexível aos dados, em tempo real e sob demanda, a partir de arquivos, portas e bancos de b dados em rede e APIs e interfaces personalizados. Ouve as portas TCP e UDP da rede para receber syslog, syslog-ng e entradas de outras redes. Consome arquivos compactados. Captura novos eventos em arquivos de log dinâmicos em tempo real. Monitora arquivos por mudanças. Pesquisa tabelas de banco de dados por DBI. Monitora eventos do Windows remotamente através de WMI. Acessa nativamente a API de eventos do Windows. Monitora o registro do Windows para mudanças. Conecta-se ao OPSEC LEA e outros protocolos importantes de eventos de segurança. Inscreve-se em filas de mensagens, tais como JMS. Captura a saída dos comandos de status do sistema Unix / Linux, como o ps, top e vmstat. Copia arquivos remotamente através de scp, rsync, ftp e sftp. Expansível pelas entradas de script para capturar a saída de comandos de novo status, conectar-se a APIs de novos eventos e inscrever-se em diferentes tipos de filas de mensagens. Indexação universal dos dados em praticamente todos os formatos, sem analisadores ou conectores c personalizados para formatos específicos de dados. Identifica eventos em linha única, multilinha e complexas estruturas XML. Reconhece e normaliza marcas temporais. Lida com marcas temporais erradas ou ausentes através da inferência contextual. Captura e indexa a estrutura de cada evento. Rastreia e indexa o host e a origem de cada evento. Classifica os formatos de código dinamicamente. d Indexa densamente cada termo nos dados originais. e Mantém os dados da máquina originais e inalterados. f Cria um índice não estruturado no disco sem esquema. Suporta transmissão e recepção de dados de uma máquina remota para balanceamento de carga, g failover e implantações distribuídas. 8
  • 9. guia de soluções2 Pesquisa e investigaçãoa Pesquisa eventos entre componentes em vários formatos ao mesmo tempo. Pesquisa dados dinâmicos e de histórico a partir da mesma interface e automaticamente preenche osb dados de histórico para pesquisas em tempo real, com janelas. Resultados rápidos nas pesquisas por termos em vez de consultas otimizadas para campos/colunasc específicos em um esquema persistente. Pesquisa ad hoc de formato livre para qualquer termo nos eventos originais com suporte parad booleanas, aninhadas, com texto entre aspas e curingas. Pesquisas precisas usando campos identificados dentro dos dados no momento da pesquisa. Suportae várias exibições de esquema para os mesmos dados, sem armazenamento redundante ou reindexação.f Sugestões de preenchimento automático para tornar mais fácil descobrir o que procurar. Navegue por eventos relacionados e refine as pesquisas clicando em campos ou termos nos resultadosg da pesquisa.h Pesquise por tempo em vários formatos de dados. Visualize as tendências e navegue por resultados usando gráficos, histogramas, minigráficos e resumosi interativos baseados no tempo.j Pesquise por transações em diferentes fontes e componentes de dados. Pesquisa persistente como evento e tipos de transação e pesquise, filtre e resuma por evento e tipo dek transação.l Descubra campos, tipos de eventos e transações de forma interativa no momento da pesquisa. Salve as pesquisas em relatórios, painéis de controle ou modos de exibição para simplificar os cenáriosm de pesquisa de rotina.n Interface do usuário AJAX interativa, baseada em navegador. Não são necessário plug-ins.o Interface CLI opcional programável para pesquisa em tempo real e de histórico.3 Adicione conhecimento Permite que o sistema e o usuário adicionem automaticamente significado semântico aos dadosa gerados por máquina. Extrai conhecimento dos dados da máquina automaticamente, como marcas temporais, pares deb nome/valor, cabeçalhos etc. Permita que os usuários agreguem conhecimentos sobre os eventos, campos, transações e padrõesc nos dados de sua máquina. Atribua etiquetas aos valores de campo para ajudar a pesquisar grupos de eventos com seusd respectivos valores de campo de forma mais eficiente.e Identificar e classificar as transações por correlação de eventos de múltiplas fontes de dados. Salve as pesquisas que retornam resultados interessantes, salvando a sequência de pesquisa (paraf executar a pesquisa depois) ou os resultados da pesquisa (para rever os resultados depois). Compartilhe e promova pesquisas salvas, relatórios salvos e tipos de eventos com outros usuáriosg autorizados. 9
  • 10. guia de soluções4 Monitore e emita alertas Execute pesquisas baseadas em tempo em uma programação e defina as condições de alerta com basea em limites e deltas no número e distribuição dos resultados.b Dispare alertas via e-mail, RSS, SNMP ou scripts.c Tome atitudes corretivas ou de acompanhamento automatizadas através de alertas de script.d Incorpore regras de correlação sofisticadas em alertas através de subpesquisas.5 Gere relatórios e análises Crie relatórios resumidos com base nos resultados de qualquer pesquisa de forma interativa, clicandoa em campos e estatísticas disponíveis. Crie relatórios usando campos e esquemas identificados no momento pesquisa. É compatível comb várias exibições de esquema para os mesmos dados, sem armazenamento redundante ou reindexação. Suporta análise estatística e resumida sofisticada, canalizando os comandos de pesquisa avançadac juntos em uma única pesquisa.d Visualize os resultados do relatório em um formato tabular. Visualize os resultados do relatório em gráficos interativos de linha, barra, pizza, dispersão e mapas dee calor.f Aprofunde-se em qualquer campo ou termo.g Agende pesquisas ou relatórios para entrega automática por e-mail ou RSS.h Armazene em cache os resultados dos relatórios programados para reutilização.i Crie relatórios em tempo real baseados em fontes de dados de streaming dinâmicos.j Agende os relatórios de entrega via PDF.6 Crie visualizações e painéis de controle personalizados Crie e edite painéis de controle que combinam pesquisas, relatórios, gráficos e tabelas usando uma editor de painel de controle visual. Crie painéis de controle sofisticados, com interfaces de usuário e visualizações ricas totalmenteb personalizadas, incluindo mashups com outros aplicativos e dados de fontes externas. Forneça painéis de controle pré-embalados, que retratam as principais informações e a atividade doc usuário, como atividade do administrador, atividade de pesquisa, atividade de indexação e atividade de entradas. Ofereça indexação de resumo para gerar relatórios de forma eficiente sobre grandes volumes ded dados, como tendências de longo prazo. Amplie ou restrinja as permissões de leitura e gravação baseadas em funções para um painel dee controle. Crie painéis compostos com base em fontes de dados de histórico ou dinâmicos. Implante painéis def controle em dispositivos e navegadores que não suportam Flash.g Agende a entrega de qualquer painel de controle via PDF. 10
  • 11. guia de soluções7 Crie e implemente aplicativos Proporcione a capacidade de criar e distribuir aplicativos sobre mecanismo de dados da máquina paraa situações específicas de uso. Empacote painéis de controle e configurações personalizados, que vão de scripts, objetos deb conhecimento e configurações de back-end como aplicativos. Navegue facilmente e alterne entre aplicativos dinamicamente sendo executados na instância do mecanismo dos dados da máquina, utilizando uma interface de inicialização de aplicativos. Visualizec instantaneamente todos os aplicativos instalados na instância do mecanismo dos dados da máquina que o usuário tem permissão de ver.d Forneça uma estrutura poderosa para suportar a criação de aplicativos robustos em todos os níveis.e Amplie ou restrinja as permissões de leitura e gravação baseadas em funções para o aplicativo.8 Integração Forneça APIs para permitir a rápida integração com outros aplicativos, ferramentas de gerenciamentoa de TI e sistemas. Exigências de interface mínimas devem incluir interface de linha de comando, DBI, roteamento deb dados, SDKs documentados, REST, alertas de script, entradas de script.9 Dimensione e implemente O servidor do mecanismo dos dados da máquina é um pacote de software autônomo independente dea programas de terceiros. O setor de TI roda em ambientes de armazenamento e servidor virtualizados. Há disponíveis pacotes nativos (rpm, deb, pkg, dmg, msi, etc.) e distribuições de formatos de arquivosb (.tgz., .zip, .tar.Z) para os sistemas operacionais mais amplamente implementados, como Linux, Windows, Solaris, HP-UX, AIX, Free BSD e Mac OSX. Os servidores funcionam em conjunto para suportar modelos centralizados e descentralizados para oc gerenciamento dos dados da máquina em toda a empresa. Fornece em tempo real a centralização dos dados da máquina a partir dos servidores de produção comd transporte de dados confiável via TCP. Arquitetura distribuída para suportar configurações de alta disponibilidade, com failover integrado ee balanceamento de carga.f Roteamento de dados baseado em políticas entre servidores e para sistemas de terceiros. Dimensionamento linear de terabytes por dia através de pesquisa distribuída e balanceamento deg dados com base na técnica do MapReduce.h Visualização única em todos os silos através de pesquisa distribuída.i Mantém uma completa trilha de auditoria assinada das ações administrativas e histórico de pesquisas.j Monitora suas próprias configurações para alteração não autorizada. Gerenciamento de configuração centralizado, baseado em políticas, entre os servidores em umak implantação distribuída. 11
  • 12. g u ia de so l u ç õ es l API REST permite uma rápida integração com outras ferramentas de gerenciamento de TI e sistemas. m Os níveis de indexação ajustáveis podem ser definidos para diferentes fontes ou eventos. Velocidade de pesquisa extremamente rápida, proporciona resultados em segundos através de bilhões n de eventos. Armazenamento comprimido altamente eficiente, de 12% a 48% do tamanho original dos dados típico o para syslog, dependendo do nível de indexação. O repositório de dados usa armazenamento local ou de rede e é compatível com utilitários de back-up p de sistemas de arquivos incrementais. O índice é segregado por tempo, para suportar períodos de retenção prolongados sem impacto no q desempenho da pesquisa. r Política configurável de arquivamento e aposentadoria de dados por idade ou tamanho. Arquive e restaure dados comprimidos ou totalmente indexados sob demanda. Facilita a manutenção s de dados mais antigos usando o armazenamento nearline de custo mais baixo para períodos de retenção prolongados. Uso integrado do MapReduce para permitir o dimensionamento das funções de pesquisa em tempo t real e de histórico em todo o hardware comum. 10 Seguro Funções flexíveis para acesso controlado de usuários e APIs. Suporta acesso aos dados e recursos a granulares por função. Permite o acesso restrito a fontes de dados específicos, tipos de dados, períodos de tempo, visualizações específicas, relatórios ou painéis de controle. Integração de autenticação e autorização com o Active Directory, eDirectory e outras implementações b compatíveis com LDAP. Integração com soluções single sign-on da empresa, permitindo a autenticação de passagem de c credenciais de terceiros. Indexação remota de dados em tempo real para minimizar a oportunidade de alterações de trilhas de d auditoria em hosts comprometidos. Acesso seguro ao fluxo de dados e funcionalidade distribuída através de SSL/TCP. Acesso seguro do e usuário através de HTTPS. f Bloqueia e sinaliza eventos para demonstrar a integridade dos dados. g Mantém uma completa trilha de auditoria assinada das ações administrativas e histórico de pesquisas. h Monitora suas próprias configurações para alteração não autorizada. 250 Brannan St, San Francisco, CA, 94107 info@splunk.com | sales@splunk.com 866-438-7758 | 415-848-8400 www.splunkbase.com www.splunk.comCopyright © 2012 Splunk Inc. Todos os direitos reservados. Splunk Enterprise é protegido pelas leis de direitos autorais e de propriedade intelectualinternacionais e dos EUA. Splunk é uma marca registrada ou marca comercial da Splunk Inc. nos Estados Unidos e/ou outras jurisdições. Todas asoutras marcas e nomes aqui mencionados podem ser marcas comerciais de suas respectivas empresas. Nº do item: SG-OpIntell-108-A4