Splunk (Cisco)
L’Éditeur Splunk propose une approche SIEM efficace dans la gestion et l’exploitation des puits de logs. L’objectif est d’améliorer la lisibilité des très nombreuses remontées de logs issues d’éléments actifs du réseau.
Cisco a fait l’acquisition de Splunk en 2024.
Splunk indexe tout ou partie de vos logs informatiques à partir de n’importe quelle source, en temps réel (équipements réseaux, journaux d’évènements, enregistrements de fichiers, modification de configurations/paramétrages d’OS, connections VPN, …).
Quel que soit la source ou le format, Splunk est capable d’indexer sans modules complémentaires à acquérir, à développer ou à maintenir.
Dans un deuxième temps, l’application vous permet de rechercher les logs, de générer des rapports, et de surveiller ou d’analyser en temps réel les informations issues de la collecte. Ceci à travers toute votre infrastructure IT.
Dans la majorité des entreprises, les données utilisées pour manager, sécuriser, ou encore auditer, sont stockées de manière disparate. Elles sont isolées et réparties à travers toute l’infrastructure IT. Gérées manuellement, ces données sont longues à être exploitées, peu granulaires, sans mise en perspective et finalement difficile à interpréter.
Splunk a une approche intéressante dans la collecte, la recherche, et l’utilisation des données informatiques (logs). Souple, performante, elle permet de traiter d’énormes volumes de logs.
Splunk favorise les dépannages rapides et les investigations sur les incidents. Il offre de puissantes analyses statistiques et de corrélations de logs. Il fournit également une interface utilisateur interactive afin d’alerter, surveiller, permettre du reporting et des analyses.
L’outil est :
-
Souple, dans le but de gérer toutes les données informatiques
-
Modulable, pour travailler sur vos données en temps réel ou archivées
-
Universel, il vous permet de parcourir l’ensemble de vos équipements
-
Puissant, pour fournir des informations à n’importe quel type d’interlocuteur dans l’entreprise
Utiliser l’outil, c’est :
-
Améliorer la maintenance de ses applications
-
Investiguer sur des incidents de sécurité dans les minutes qui suivent
-
Éviter la dégradation du service et prévenir des pannes éventuelles
Peu de solutions de centralisation des logs permettent une exploitation aussi fine et flexible des données.
Splunk offre la possibilité de recherches en temps réel ou rétroactives. L’outil de reporting permet, de mettre à jour des compteurs d’évènements, de calculer des métriques et de spécifier des laps de temps définis.
L’assistant de recherche propose par exemple :
-
Une barre de recherche ainsi qu’une aide contextuelle afin d’exploiter au mieux toute la puissance du langage de recherche
-
Une interaction avec les résultats de recherche en temps réel
-
La possibilité de zoomer ou dézoomer sur une échelle de temps particulière dans l’optique de dégager rapidement des tendances, des pointes ou des anomalies
-
De naviguer dans les résultats et éliminer le « bruit »
Au cours de travaux de maintenance ou de troubleshooting, vous trouverez l’information pertinente dans les secondes qui suivent.
Vous pouvez également ajouter du sens aux logs en identifiant, nommant, marquant des champs et des données.
Splunk vous permet aussi d’ajouter des informations à partir de sources externes (bases de données de management, systèmes de gestion des configurations, annuaires utilisateurs).
Bien entendu, il est possible de convertir des recherches en alertes déclenchant l’envoi automatique de mails, de notifications RSS, ou d’exécution de scripts.
Les alertes peuvent également envoyer une alerte SNMP à votre service de maintenance.
Les alertes peuvent être basées selon une variété de seuils, de conditions et de patterns complexes, et même de scénarios.
Le générateur de rapport permet de créer rapidement des graphiques et des tableaux de bord qui indiquent les tendances significatives, les hauts et les bas, les résumés des valeurs premières et la fréquence des occurrences.
L’outil permet la création de rapports robustes, riches en information sans aucune connaissance approfondie des commandes de recherche.
Le mot du partenaire
Splunk dans sa politique de développement s’appuie exclusivement sur des revendeurs à fort potentiel technique et dotés de compétences technico-commerciales fortes.
Aixagon correspond à ce profil de revendeur où chaque avant-vente réalisée avec succès permet au client d’Aixagon de profiter des meilleures performances de nos solutions grâce à de l’intégration affinées par une équipe professionnelle.