下载试用

产品特色-趣味的Splunk

提高服务水平,缩减运营成本,规避安全风险……
产品特色
Splunk将为您挖掘IT数据中最宝贵的信息!

趣味的Splunk

随着网络和安全技术的不断发展,企业中的网络及安全设备也迅速地增加着,与此同时TCP数据包也随之增加,如何实时有效地监控这些TCP标志位呢?Splunk可以做到,Splunk不仅仅可以对普通日志进行IT搜索和分析,对于特定要求的监控分析也能够很好地加以实现。

从底层数据包信息到网络安全日志信息,再到业务应用系统的日志,我们都可以通过仔细的观察和归纳,将日常运维的细节信息放入Splunk平台中进行检索和分析,这不单单是一个IT搜索,也是我们通过Splunk学习一些已知和未知信息的机会,从这些信息中能够使我们更好地熟悉和了解日常运维的环境。因此我们可以有针对性地导入信息去进行检索和分析,而不是盲目地导入大量信息,对这些信息进行有效地管理和监控,通过积极地查找和发现有价值的内容,从中体验Splunk搜索带给我们的乐趣。如果说把IT检索比作是探险的话,Splunk无疑是最好的探险工具,在我们不断探索未知的道路上提供最有效的探测器,让我们都携带上Splunk踏上搜索之旅。

首先我们需要收集网络中TCP数据包的信息交给Splunk平台进行检索和分析。

通过分析系统可以将监控数据源的数据包存储到本地,并且可以提取我们所关心的TCP标志位信息:

TCP标志位信息

在分析系统中我们可以看到每个TCP数据包中的详细信息,包括我们这边所关心的TCP标志位信息如SYN、FIN以及RESET等。

 

 

索引

这些信息我们通过Splunk对这些庞大的数据信息进行处理,先建立一个专用的索引。

 

搜索

将TCP数据包信息导入Splunk系统后,通过搜索栏进行图形显示,更有利于日常的监控:

 

仪表板

将TCP数据包中的标志位进行分析,把平时需要监控的重点内容放入到日常监控仪表板中。

 

 

告警

通过判断事件数量可以发现有些时间段SYN数据包数量比较多,通过设置告警让Splunk对我们进行一些提醒吧。

 

 

告警

设置告警的执行条件,如果有SYN攻击在某一时段的SYN事件数量会增加,选择发送电子邮件在第一时间告知运维人员可能的故障隐患。

 

 

Splunk销售与支持

  • 联系电话:400-067-1005
  • 电子邮件:contact@10data.com


沪ICP备11017547 沪公网安备 31011502002368号 ©版权所有 2005-2017 上海天旦网络科技发展有限公司(Netis)

GO TOP

返回