Het Amerikaanse Splunk maakt het gelijknamige loganalyseproduct. Het principe is erg eenvoudig. Computers en bijhorende infrastructuur genereren heel wat data gedurende de dag, zelfs gedurende elke milliseconde.
Die data bevat de hele gang van zaken van de ict-omgeving: alle gebruikerstransacties, klanten- en machinegedrag, beveiligingsproblemen en kwetsbaarheden, frauduleuze activiteiten en zo meer. Al die data staat verspreid, in telkens andere formaten en volgordes en doorgaans doe je er weinig tot niets mee. Splunk is een datamining-tool voor dat soort ict-data. Het analyseert en herinterpreteert de data, zodat het rapporten, overzichten, aanbevelingen en waarschuwingen kan genereren.
Er is een gratis versie van Splunk, maar die kan slechts 500 MiB aan data per dag aan en ontbeert enkele geavanceerde functionaliteiten. De complete versie is Splunk Enterprise Edition. Deze verzamelt, indexeert en beheert alle ict-data in jouw bedrijf, ongeacht of dat van fysieke, virtuele of cloudsystemen afkomstig is. Volgens Splunk helpt hun software zowel ict-mensen als bedrijfsleiders nieuwe inzichten te verwerven: dat heet dan Operationele Intelligentie.
Functionaliteit en beheer
Splunk wordt geleverd als één enkel uitvoerbaar bestand dat voor de installatie zorgt. Dat is zo voor alle ondersteunde platformen: Windows XP of hoger, Linux, Unix-achtigen zoals *BSD en Mac OSX en nog enkele andere, inclusief een aantal populaire netwerkapparaten, mits voor die laatste aan enkele voorwaarden voldaan is. Splunk bestaat uit verschillende componenten en die kun je op verschillende computers draaien of op slechts één. In dat laatste geval heeft de software wel behoorlijk krachtige systeemvereisten. De componenten van Splunk bestaan uit indexers (die bewaren de Splunk dataopslag en indexeren data van lokale en op afstand staande systemen), zoekstruiners (dienen om data op te zoeken en erdoor te bladeren), forwarders, uitrolservers en High Availability-componenten. De uitrolservers dienen uiteraard voor de softwaredistributie van Splunk, met name voor de agent. Wij installeerden alle componenten op één systeem voor deze test.
Na afloop van de installatie bedien je Splunk via een webinterface (ja, ook in Windows). Standaard wordt daarvoor poort 8000 gebruikt en het https-protocol, maar je kunt Splunk ook bedienen via een CLI of via een softwarematige UI voor Windows (maar die moet wel apart aangeschaft worden).
De webinterface toont heel wat functionaliteit waaronder rapporten, zoekfuncties en dashboard-views, maar dat hangt allemaal af van welke Splunk-applicaties je installeert. Er bestaan naast de commerciële add-ons voor Splunk ook heel wat gratis software.
Webinterface
Het hoofdscherm van de webinterface toont alle beschikbare functies binnen twee verticaal onderverdeelde hoofdrubrieken: links 'Apps and knowledge' en rechts 'System configurations'. Onder die laatste rubriek is er een functie 'Data inputs'. Die dient voor de datavergaring. Dat kan via scripts, bestanden en directories en via netwerkpoorten.Voor Windows kan 'Data inputs' ook werken met registersleutelwijzigingen en Active Directory-activiteiten. Vrijwel elk type bestand kan voor data-invoer gebruikt worden, maar Splunk eist logischerwijze wel dat je opgeeft van welk platform de data afkomstig is en ook enige informatie geeft over structuur, indeling en dergelijke, voor zover hij dat niet zelf al kent. Splunk eist in tegenstelling tot andere producten op de markt niet van je dat je ongestructureerde data zelf normaliseert voordat hij er iets mee kan aanvangen. Bij datastructuren (ook eventlogs) kun je altijd doorklikken naar meer details (drill-down). De standaard voorziene rapportage is met 23 voorgedefinieerde rapporten aan de karige kant, maar er zijn er heel wat extra te verkrijgen en die zijn vaak gratis. Wat onze aandacht trok, was de aanwezigheid van een Enterprise Security en een PCI Compliance suite. Daarmee kun je dus inderdaad snel overzichtelijke beveiligings- en nalevingsrapporten aanmaken. Splunk ondersteunt een vrij uitgebreid systeem van gebruikersrollen, wat enigszins verrassend is voor logbeheersoftware. Er zijn meer dan veertig mogelijkheden om een onderscheid te maken tussen wat gebruikers wel of niet mogen.
Conclusie
Splunk is vrij krachtig en biedt indrukwekkende functionaliteiten, maar om echt het onderste uit de kan te halen (zeker qua rapportage), moet je toch wel vaak beroep doen op de goodwill van derden en kijken of je de benodigde add-ons kunt downloaden.
Productinfo
Product: Splunk 4.1.6
Producent: Splunk, www.splunk.com
Leverancier: SMT, www.smtware.com
Adviesprijs (excl. BTW): niet meegedeeld, er is een gratis versie beperkt tot 500 MB/dag
Systeemvereisten: Dual Core, 8 GiB RAM, Windows XP+ of Linux/Unix/BSD/Mac
De serie
Deel 1: Loggegevens bevatten schat aan informatie (publicatiedatum maandag 28 februari)
Deel 2: GFI EventsManager 2010 (publicatiedatum donderdag 3 maart)
Deel 3: OSSEC (publicatiedatum maandag 7 maart)
Deel 4: Splunk (publicatiedatum donderdag 10 maart)