Modul 1 - Ce este Splunk si de ce să îl folosim?
Modul 2 - Componentele de bază ale Splunk
Modul 3 - Modele de Implementare Splunk
Modul 4 - Instalarea și Configurarea Splunk
Modul 5 - Înțelegerea Search Processing Language (SPL) în Splunk
Modul 6 - Crearea Dashboard-urilor și Vizualizărilor în Splunk
Modul 7 - Crearea Alertelor și Rapoartelor Programate în Splunk
Modul 8 - Splunk Apps & Add-ons
Modul 9 - Managementul Utilizatorilor & Controlul Accesului în Splunk
Modul 10 - Detectarea Ransomware-ului în Splunk Utilizând Loguri Sysmon
Modul 11 - Recapitulare Finală & Proiect Practic
Quiz
Diploma de Participare
2.4 – Splunk Search Head: Motorul de Căutare & Vizualizare
Ce este un Search Head?
Search Head-ul este responsabil pentru gestionarea căutărilor, dashboard-urilor și rapoartelor. Acesta interacționează cu Indexer-ul pentru a recupera datele și a le prezenta utilizatorilor.
Responsabilitățile principale ale unui Search Head:
- Procesează interogările de căutare trimise de utilizatori.
- Recuperează datele indexate de la Indexers.
- Generează rapoarte, alerte și dashboard-uri.
- Suportă utilizatori multipli simultan.
Cum funcționează căutările în Splunk
Când un utilizator rulează o interogare:
- Search Head-ul procesează cererea de căutare.
- Trimite cererea către Indexer-ul corespunzător, unde datele sunt stocate.
- Indexer-ul recuperează logurile solicitate și le trimite înapoi.
- Search Head-ul formatează și afișează rezultatele.
- Exemplu:
- Un analist de securitate caută încercările eșuate de autentificare:
- index=auth_logs status=failed | stats count by user
- Search Head-ul extrage evenimentele de login eșuate de la Indexer și afișează rezultatele într-un tabel.
- Un analist de securitate caută încercările eșuate de autentificare:
Search Head Clustering
În medii mari, se utilizează multipli „Search Heads” pentru a distribui încărcătura de căutare. Acest proces se numește „Search Head Clustering”, asigurând disponibilitate ridicată și performanță optimă.