Splunk Splunk 7.x Fundamentals Part 1 - Module 7: Best Practices

1. In Search
Có một số phương pháp tốt nhất khi tìm kiếm trong Splunk như sau:

• Sử dụng thời gian để giới hạn các sự kiện được trả về là cách hiệu quả nhất để lọc sự kiện.
• Tìm kiếm càng ít dữ liệu, thì kết quả trả về càng nhanh.
• Câu tìm kiếm càng chi tiết , càng có nhiều khả năng nhận được kết quả mong muốn.

Ví dụ: Cụm tìm kiếm "access denied" tốt hơn cụm tìm kiếm "denied".

• Inclusion is generally better than exclusion.( Bao gồm thường tốt hơn loại trừ.)

Ví dụ:Cụm từ tìm kiếm "access denied" thì tốt hơn , NOT "access granted".

• Áp dụng các lệnh lọc càng sớm trong tìm kiếm.

Ví dụ: Loại bỏ các event trùng lặp, sau đó sắp xếp lại các sự kiện.

• Tránh sử dụng dụng ký tự thay thế(wildcard - *) ở đầu hoặc giữa kí tự tìm kiếm:

Ví dụ:

*fail: splunk sẽ scan tất cả các giá trị trong timeframe, có thể thực thi câu lệnh mãi mà ko stop.

f*il: splunk sẽ trả về các kết quả tìm kiếm không mong muốn.

vì thế sử dụng: fail* sẽ giúp tối ưu câu lệnh tìm kiếm.

• Khi có thể, sử dụng toán tử OR thay vì sử dụng *:

Ví dụ: sử dụng (user=admin OR user=administrator) thay vì sử dụng user=admin*

2.Using Time



Splunk hỗ trợ với một số lựa chọn thời gian để giới hạn kết quả tìm kiếm các sự kiện. Bao gồm các tùy chọn:

• Presets: Các lựa chọn thời gian thông đụng được cài đặt trước.
• Relative: tìm kiếm trong khoảng thời gian tương đối.
• Real-time: tìm kiếm theo thời gian thực.
• Date range: tìm kiếm trong khoảng thời gian tính bằng ngày.
• Date & Time Range: tìm kiếm trong khoảng thời gian ngày , giờ, phút giây.
• Advanced: tìm kiếm nâng cao.

2.1 Presets


Hiển thị các tùy chọn thời gian thông dụng được cài đặt trước như trên hình. Ngoài ra còn có tùy chọn All time, đây là tùy chọn thường được sử dụng để over view trước khi tìm kiếm.

2.2 Relative


Tùy chọn thời gian tương đối, tính theo khoảng thời gian , mang tính tương đối, cho nên chỉ sử dụng overview.

2.3 Real-time



Tìm kiếm thời gian thực cho phép theo dõi những gì đang xảy ra trong dữ liệu theo thời gian thực. Thời gian được chọn sẽ giới hạn những sự kiện xảy ra giữa thời gian sớm nhất và muộn nhất đã chọn.Trong ví dụ này, chúng ta chỉ thấy các sự kiện đã xảy ra 10 phút trước cho đến bây giờ. Danh sách sự kiện sẽ cập nhật trong thời gian thực, xóa các sự kiện cũ hơn 10 phút và thêm các sự kiện khi vừa xảy ra.

2.4 Date Range

Tùy chọn thời gian theo đơn vị tính là ngày.

Bao gồm các tùy chọn:

• Between: ở giữa 2 ngày.
• Before: trước một ngày bất kì.
• Since: sau một ngày bất kì.

2.5 Date & Time Range



Tùy chọn thời gian theo đơn vị tính chính xác đến giây.

Bao gồm các tùy chọn:

• Between: ở giữa 2 khoảng thời gian bất kì.
• Before: trước một khoảng thời gian bất kì.
• Since: sau một khoảng thời gian bất kì.

2.6 Advanced




Trong tab "advanced", chỉ định phạm vi thời gian theo cú pháp time string.
Trong ví dụ trên, yêu cầu Splunk trả lại các sự kiện từ 20 phút trước cho đến hiện tại. Thay vì sử dụng bảng chọn thời gian chi tiết trong các tùy chọn trên, có thể sử dụng time string, chuỗi “-20” tương đương với 20 phút trước đây.
Viết tắt thời gian được sử dụng để cho Splunk biết phạm vi thời gian cần tìm kiếm.

• s cho giây
• m cho phút
• h cho giờ
• d cho ngày
• w cho tuần
• mon cho tháng
• y cho năm
• dấu “-“ cho khoảng thời gian trong quá khứ.

Ngoài ra, cũng có thể chỉ định phạm vi thời gian trong chuỗi tìm kiếm của mình.
Sử dụng đối số "earliest" để chỉ định phần đầu của phạm vi thời gian và "latest" để chỉ định phần kết thúc.

3. Indexes

Một trường thông tin có thể giúp lọc sớm các sự kiện trong tìm kiếm là sử dụng các index. Index là nơi Splunk lưu trữ dữ liệu sự kiện để tìm kiếm. Quản trị viên Splunk thường sẽ sử dụng nhiều index để tách biệt dữ liệu.
Ví dụ: có thể có một index để lưu trữ dữ liệu web và một index cho dữ liệu bảo mật.
Yêu cầu người dùng chỉ tìm kiếm trong các index chứa các sự kiện họ cần có thể giúp tìm kiếm hiệu quả hơn. Quản trị viên cũng có thể sử dụng các index để giới hạn quyền truy cập vào các vai trò cụ thể vì lý do bảo mật.