Modul 1 - Ce este Splunk si de ce să îl folosim?
Modul 2 - Componentele de bază ale Splunk
Modul 3 - Modele de Implementare Splunk
Modul 4 - Instalarea și Configurarea Splunk
Modul 5 - Înțelegerea Search Processing Language (SPL) în Splunk
Modul 6 - Crearea Dashboard-urilor și Vizualizărilor în Splunk
Modul 7 - Crearea Alertelor și Rapoartelor Programate în Splunk
Modul 8 - Splunk Apps & Add-ons
Modul 9 - Managementul Utilizatorilor & Controlul Accesului în Splunk
Modul 10 - Detectarea Ransomware-ului în Splunk Utilizând Loguri Sysmon
Modul 11 - Recapitulare Finală & Proiect Practic
Quiz
Diploma de Participare
3.4 – Distributed Deployment
Ce este o implementare Distributed?
O implementare distributed separă componentele Splunk pentru a îmbunătăți performanța, scalabilitatea și disponibilitatea. Aceasta include:
- Search Heads – Gestionarea interogărilor utilizatorilor, dashboard-urilor și rapoartelor.
- Indexers – Stocarea și recuperarea eficientă a logurilor.
- Forwarders – Colectarea și trimiterea datelor de log către Indexers.
- Deployment Server – Administrarea configurațiilor pentru Forwarders.
Cazuri de utilizare pentru o implementare distributed
- Companii medii și mari care procesează de la gigabytes la petabytes de date zilnic.
- Echipe care necesită căutări rapide și procesare paralelă.
- Redundanță și recuperare în caz de dezastru pentru a preveni pierderea datelor.
O bancă colectează loguri de la mii de ATM-uri. O implementare distributed asigură performanță ridicată prin:
- Utilizarea Forwarders pe fiecare ATM pentru a trimite logurile către Indexers.
- Rularea mai multor Search Heads pentru căutări mai rapide.
Arhitectura implementare distributed
| Componentă | Funcție |
| Universal Forwarder (UF) | Colectează și trimite loguri către Indexers. |
| Heavy Forwarder (HF) | Preprocesează și filtrează logurile înainte de a le trimite către Indexers. |
| Indexer Cluster | Stochează și administrează logurile indexate. |
| Search Head Cluster | Gestionează interogările utilizatorilor. |
| Load Balancer | Distribuie cererile de căutare între Search Heads. |
Avantaje & Limitări
- Scalabil – Poți adăuga noi Indexers/Search Heads oricând.
- Rapid – Căutările sunt distribuite între mai mulți Indexers.
- Disponibilitate ridicată – Dacă un Indexer eșuează, altul preia sarcina.
- Configurare complexă – Necesită mai multe servere și setări avansate.
- Costuri mai mari – Sunt necesare resurse suplimentare și licențe suplimentare.