Modul 1 - Ce este Splunk si de ce să îl folosim?
Modul 2 - Componentele de bază ale Splunk
Modul 3 - Modele de Implementare Splunk
Modul 4 - Instalarea și Configurarea Splunk
Modul 5 - Înțelegerea Search Processing Language (SPL) în Splunk
Modul 6 - Crearea Dashboard-urilor și Vizualizărilor în Splunk
Modul 7 - Crearea Alertelor și Rapoartelor Programate în Splunk
Modul 8 - Splunk Apps & Add-ons
Modul 9 - Managementul Utilizatorilor & Controlul Accesului în Splunk
Modul 10 - Detectarea Ransomware-ului în Splunk Utilizând Loguri Sysmon
Modul 11 - Recapitulare Finală & Proiect Practic
Quiz
Diploma de Participare
2.3 – Splunk Indexer: Motorul de Stocare a Datelor
Ce este un Indexer?
Indexer-ul este responsabil pentru stocarea, procesarea și gestionarea datelor în Splunk. Acesta transformă logurile brute în evenimente căutabile utilizând tehnici de indexare.
Responsabilitățile principale ale unui Indexer:
- Primește loguri brute de la Forwarders.
- Indexează datele și le stochează într-un format optimizat.
- Răspunde la cererile de căutare ale Search Heads.
- Gestionează mai multe indexi (ex: index=security, index=app_logs).
Cum funcționează Indexarea în Splunk
- Splunk primește date brute din diferite surse (ex: servere, firewall-uri, aplicații).
- Indexer-ul analizează datele și le transformă în evenimente, extrăgând timestamp-uri, hostname-uri și alte câmpuri relevante.
- Datele sunt comprimate și stocate într-un format optimizat pentru căutare eficientă.
- Utilizatorii pot rula interogări pentru a recupera datele indexate instantaneu.
- Exemplu: Dacă logurile unui firewall ajung în Splunk, Indexer-ul va:
- Extrage: timestamp, IP sursă, IP destinație și acțiunea efectuată.
- Stoca: aceste informații într-un format structurat.
- Face căutabil: folosind interogări SPL, precum:
- index=firewall action=blocked | stats count by source_ip