pluto
Moderator
- Joined
- Sep 8, 2020
- Messages
- 51
- Reaction score
- 11
- Points
- 8
Sử dụng Manage search jobs xử lý lỗi đứng ứng dụng SIEM trên Splunk.
1.Intro Jobs and Job management
Mỗi khi chạy một câu search, tạo pivot, mở report hoặc load một dashboard panel, Splunk sẽ tạo một Job tương ứng trên hệ thống.
Job là một quá trình theo dõi thông tin về câu search đang chạy hoặc search đã hoàn thành. Thông tin được theo dõi bao gồm chủ sở hữu của job, ứng dụng mà job đã được chạy, bao nhiêu sự kiện đã được query và thời gian để hoàn thành Job.
Người quản trị có thể dựa vào các thông số của Job để đánh giá mức độ chiếm tài nguyên của hệ thống Splunk để hoàn thành một câu search, report, dashboard, … để xử lý các lỗi giật lag khi vận hành hệt thống Splunk.
2. Opening the Jobs page
Để quản lý Jobs, chọn Activity>Jobs:
Sau đó, hiện ra bảng liệt kê danh sách các Jobs đang chạy/đã chạy/... như sau:
Tại bảng trên, cần quan tâm tới các thông tin sau:
- Owner: người thực hiện Jobs.
- Application: Tên ứng dụng đang thực hiện Jobs.
- Events: số lượng sự kiện mà Jobs này đã truy vấn tới.
- Created at: thời gian tạo Jobs.
- Expires: thời gian hết hạn của Jobs.
- Runtime: Khoảng thời gian Jobs đã chạy.
- Status: Trạng thái của Jobs.
- Actions: các tùy chọn có thể đưa ra cho Jobs.
3. Filter Jobs
Splunk hỗ trợ tính năng filter Jobs nhằm cho phép tìm kiếm chính xác các Jobs đang chạy theo các tiêu chí:
Filter theo App:
Filter theo Owner:
Filter theo Status:
Trong trường hợp một ứng dụng của Splunk đang hoạt động, gặp các vấn đề như lag , giật,… Có thể sử dụng Filter Jobs để tìm ra chính xác cá Jobs gây ra các tình trạng đó.
Để đánh giá các Jobs, có thể sử dụng chức năng Inspect Job để xem xét kĩ hơn những gì Jobs đó đang thực hiện.
Tại một Jobs muốn xem, trong cột Action, chọn Job>Inspect Job:
Sau đó sẽ xuất hiện cửa sổ Inspect Job, dựa vào đây có thể đánh giá chính xác một Jobs đang chạy những gì.
4. Pause and Delete Jobs
Trong trường hợp xác định chính xác một Jobs gây nên hiện tượng đứng, giật , lag … ứng dụng. Có thể thực hiện các Action như Pause, Delete Jobs để giảm hiện tượng trên.
Để Stop Job, tại Job tương ứng, chọn icon hình vuông:
Để Pause Job, tại Job tương ứng, chọn icon dưới đây:
Để Delete Job, tại Job tương ứng, chọn Job>Delete Job:
5. Xử lý lỗi đứng ứng dụng SIEM trên Splunk.
Khi ứng dụng SIEM trên Splunk bị đứng, giật lag,…khiến cho không thể thao tác, cấu hình cài đặt các thông số. Do đó, cần phải sử dụng các bước trên để giảm hiện tượng đứng, giật lag,… để thực hiện cấu hình chỉnh sửa ứng dụng SIEM.
Nguyên nhân hệ thống SIEM đứng, giật lag,… là vì ứng dụng SIEM có nhiều rule có tần suất chạy lớn.
Để giảm tần suất này, sau khi dùng bác bước trên, xác định chính xác các rule gây nên lỗi đứng, giật lag. Vào ứng dụng SIEM trên Splunk, sau đó chọn Configure>Content:
Tiếp theo chọn Content Management:
Sử dụng Filter để tìm chính xác Rule gây nên lỗi đứng hệ thống:
Sau đó click chuột chọn vào Rule:
Sau đó hiện lên bảng Key Indicator Search, sau đó edit tăng chỉ số Cron Schedule nhằm giảm tần suất của Rule, sau đó chọn Save:
Chi tiết Cron Schedule xem tại: https://docs.splunk.com/Documentation/Splunk/8.1.3/Alert/CronExpressions
