下载试用

博客

Splunk如何帮助保证数据的完整性

Posted on 2017年03月2日

信息安全的基本要求保证企业核心数据的保密性、完整性、可用性可靠性及可控性。当用户把越来越多的重要数据扔进splunk来处理,如何保护这些数据的安全成为了需要关注的话题。

 

 

今天先来讲讲splunk是如何保证数据完整性的.

其实Splunk在早期的版本中就提供了数据完整性校验机制,以帮助确保你的数据在被splunk索引后,没有再发生过任何的改动。那个时候有两种数据校验机制可供选择,一个叫做签名 Block Signing).一个叫做事件散列event hash)。但这两种机制都各有一个明显的弊端,前者无法应用于分布式搜索distributed search)环境,后者无法应用于索引集群index replication)环境。但其实在很多时候我们都会用到这两技术,所以使用早期版本splunk构建的数据分析平台没有一个很好的保证数据完整性问题的方法。

于是splunk在6.3版本引入了一个新的数据完整性校验机制——分片散列slice hashing),可以很好的工作在分布式和集群环境下。如果你的企业对数据平台有合规性的要求(比如PCI,或者要定期接受审计),可以考虑在索引配置页面启用这个特性。

 

图片1

 

启用特性后,splunk会对进入索引的数据slice)为单位计算散列值,默认每片大小为128kb.。这个散列会跟原始数据存放一起需要的时候帮助你进行数据完整性校验。

 

执行完整性校验的过程很简单,通过splunk命令执行

check-integrity指令就可以对任意index/bucket执行完整性校验

图为index完整性校验示例:

 

图片2

 

下图bucket完整性校验示例:

 

图片3

 

需要注意的是,完整性校验只对新索引的数据生效,启用这个特性之前已经索引到splunk的数据,无法生效的。

 

有了这个特性以后,面临一年一度的审计时,只需要从容的打开splunk面板告诉那个auditor,我已经启用了完整性校验机制,然后为TA演示一下是如何进行完整性校验就可以了:

 

 

 

By Vantasy

 

问问专家
Splunk销售与支持

  • 联系电话:400-067-1005
  • 电子邮件:contact@10data.com


沪ICP备11017547 沪公网安备 31011502002368号 ©版权所有 2005-2017 上海天旦网络科技发展有限公司(Netis)

GO TOP

返回