فهرست مطالب
داشبوردهای اسپلانک
امکان کانفیگ جستجوها به صورت هشدارهای Real Time وجود دارد تا در زمان رخدادن یک رویداد خاص، به صورت ایمیل یا RSS دریافت کنید. سپس فعالیتهای برنامه ریزی شده را اجرا کنید. هشدارها در صورت وقوع شرایط خاصی که شما پیشتر تعیین کرده اید فعال میشوند. با استفاده از یک هشدار، سریعتر از وقوع مشکلات مطلع شده و آنها را مدیریت کنید. در هر جایي مدیر و کاربران Splunk میتوانند از طریق هر مرورگر استانداردی به صورت امن به این نرم افزار دسترسی داشته باشند. دسترسی راه دور Splunk به کاربران این اجازه را میدهد که با استفاده از انواع سیستم عامل های کامپیوتری و تلفن های همراه ، مدیران میتوانند در زمان نیاز اقدامات لازم را انجام دهند و امکان نظارت و بررسی وضعیت عملیات را از هر جایی دارند. همچنین امکان ایجاد داشبرد های جدید با توجه به قابلیت های مورد نیاز فراهم میباشد و به راحتی با زبان های برنامه نویسی جهت توسعه کد اصلی و یا اسکریپت XML رابط کاربری داشبورد ها قابل تغییر است.
مدیریت ایندکس های اسپلانک
با انتخاب گزینه New Index در داشبورد اصلی صفحه ای باز میشود که میتوان در آن شاخص جدیدی را تعریف نمود.چنانچه شاخص جدید تعریف نماییم، یک فایل جدید در مسیر Splunk\lib\var\Splunk با نامی که مشخص نموده ایم ایجاد میشود. برای حذف شاخص غیرضروری میتوان از منوی Settings لینک Indexes برای حذف شاخص مورد نظر اقدام نمود که در این صورت از کاربر تأیید میگیرد و پیغام میدهد که این داده غیرقابل برگشت است. در این صورت فولدری که اشاره نمودیم در مسیر Splunk\lib\var\Splunk را حذف مینماید.
مشاهده، ایجاد و حذف فیلدها
چنانچه از منوی Settings لینک Fileds و سپس Extraction Field را انتخاب کنیم در این صفحه میتوان فیلدهای تعریف شده را مشاهده کرد. همچنین میتوان در صورت لزوم فیلدهای بیشتری را تعریف کرد. برای این کار گزینه New را انتخاب میکنیم. فیلد Response را تعریف کرده و بعد از فشار دادن دکمه Save این فیلد به فیلدهای موجود اضافه میشود. فیلد مورد نظر را جستوجو میکنیم و از نتایج نمایش داده شده، لینک Permission را انتخاب مینماییم.
در این قسمت دسترسی های لازم را به همه کاربران و کاربر Admin سیستم میدهیم و گزینه Save را انتخاب میکنیم. بعد از آن این فیلد در فهرست فیلدهای کاربر و درقسمت Datasource که تعیین کردیم نمایش داده میشود. علاوه بر این روش میتوان با انتخاب لینک Fields New Extract فیلدهای جدید تعریف نمود که دارای الگوی خاص مورد نظر ما باشند. از دکمه Sample میتوان تعداد نمونه هایی که میخواهیم بررسی کنیم را انتخاب نماییم. میتوانیم برای اینکه تعداد بیشتری رکورد داشته باشیم،برای مثال گزینه 10000 رخداد را انتخاب نماییم. چنانچه بخواهیم یک عبارت را برای جستوجو تهیه کنیم دکمه Expression Regular را میزنیم. اما اگر عبارتی را بخواهیم که قابل جدا کردن با کاما، فاصله خالی و غیره باشد دکمه Delimiters را انتخاب میکنیم.
ایجاد هشدار اسپلانک
هشدارها جهت این که بتوانیم یک اتفاق خاص را مانیتور کرده و به آن پاسخ دهیم بسیار کاربردی میباشد. در واقع با تنظیم هشدار، وقتی اتفاق خاصی بیفتد Splunk به ما اطلاع میدهد. هشدار از یک جست و جوی ضبط شده برای رخدادها در زمان Real Time یا بر اساس پیکربندی از پیش تعریف شده استفاده میکند. به عنوان مثال دستور Root For Password Failed را در جستوجو وارد میکنیم. سپس گزینه Save Alert > As را فشار میدهیم. در اینجا میتوانیم هشدار را به صورت برنامه ریزی شده Scheduled برای اجرا در زمان های مشخص و یا به صورت لحظه ای تعریف نماییم. در بخش Trigger Condition شرط مورد نظر را وارد مینماییم. به عنوان مثال میتوانیم مشخص نماییم که زمانی که تعداد نتایج در 2 دقیقه بیشتر از 8 شود هشدار دهد. بعد از ایجاد هشدار مشخص مینماییم که وقتی شرط تعریف شده در مرحله قبل محقق شود، چگونه به اطلاع رسانی شود. به عنوان مثال میتواند به فرد ایمیل بزند و یا یک اسکریپتی اجرا کند.
