Splunk urmează un proces în trei pași pentru a gestiona datele:

Pasul 1: Ingestionarea datelor

Splunk colectează date din multiple surse, inclusiv:

• Servere și aplicații (Web servers, baze de date, API-uri, microservicii)
• Dispozitive de rețea (Firewalls, routere, switch-uri)
• Servicii Cloud (AWS, Azure, Google Cloud logs)
• Tool-uri de securitate (Antivirus, SIEM logs, access logs)
• Surse de date personalizate (Dispozitive IoT, senzori industriali, API feeds)

Formate de date suportate:

• Fișiere de log (.log, .txt)
• JSON / XML
• CSV, baze de date
• REST API feeds
• Syslog, SNMP

Pasul 2: Indexare și stocare

• După colectarea datelor, Splunk le indexează într-un format căutabil.
• Indexarea organizează logurile brute în câmpuri precum timestamp, host, source, sourcetype.
• Splunk optimizează căutările prin stocarea eficientă a datelor indexate.

Exemplu de Date Indexate in Splunk:

Pasul 3: Căutare, Analiză și Vizualizare

• Utilizatorii rulează interogări de căutare folosind SPL (Search Processing Language).
• Splunk permite aplicarea de filtre, agregări, corelări și analize de tendință.
• Utilizatorii pot crea dashboard-uri în timp real cu grafice, tabele și rapoarte.

Exemplu de interogare:

• Găsirea tuturor încercărilor eșuate de autentificare din ultimele 24 de ore:
  • index=security sourcetype=auth_logs status=”failed”