Thematischer Schwerpunkt dieser Ausgabe ist die kontinuierliche Überwachung von Servern, Clients und anderen Geräten im Netzwerk: mit dem IPMI-Plugin, dem ... (mehr)

Fehlersuche

Wenn irgendetwas nicht funktioniert wie geplant, empfiehlt sich die alte Windows-Maxime: neu starten. Allerdings nicht den Rechner, sondern nur die Splunk-Software. Bedenken Sie außerdem, dass nicht alle Splunk-Applikationen die gleiche Qualitätskontrolle erfahren. Fehlende Konfigurationsdateien oder fehlerhafte Anpassung an die neueste Splunk-Version können den Anwender durchaus zur Verzweiflung bringen.

Vergessen Sie auch nicht die Firewall-Einstellungen. Es passiert immer wieder, dass die Anwendungen selbst richtig konfiguriert sind, aber die Daten nicht durchkommen, weil beispielsweise eine explizite Allow-Anweisung in der Firewall-Konfiguration fehlt.

Um das Datenaufkommen auf ein Minimum zu reduzieren, überlegen Sie sich gut, was Sie überwachen wollen, und verzichten Sie auf alle überflüssigen Events. Vielleicht kommen Sie dann sogar mit der freien Version von Splunk aus, die auf 500 MByte Daten pro Tag beschränkt ist. Möglicherweise ist es auch eine Option, einen zentralen Syslog-Server zu installieren, auf dem Sie die Log-Meldungen mit Hilfe von Regular Expressions vorsortieren, bevor Sie sie an Splunk weiterreichen.

Fazit

Die viele Optionen, die Splunk zur Überwachung von Servern und Netzwerken bietet, könnten ein Buch füllen. Dieser Artikel konzentriert sich auf sicherheitsspezifische Aspekte beim Monitoring, aber im Prinzip können Admins mit Splunk praktisch alles überwachen, was ihnen in den Sinn kommt.

In größeren Netzwerken stößt man mit der freien Splunk-Lizenz schnell an Grenzen, aber dann ist die Enterprise-Lizenz von Splunk sicherlich eine Option, zumal sie noch mehr Features beherrscht. Egal was Sie überwachen möchten, für vereinheitlichtes Monitoring in einer gemischten Umgebung stellt Splunk eine gute Lösung dar.

Ähnliche Artikel

comments powered by Disqus
Mehr zum Thema

Splunk Insights for Infrastructure 1.1.1

Mit Insights for Infrastructure hat die Firma Splunk eine schnell zu implementierende Einsteigerversion ihrer großen Datenanalysesoftware veröffentlicht. Der Fokus liegt dabei besonders auf dem Monitoring und der Logfile-Analyse von Windows- und Linux-Systemen. Im Test zeigte sich bei dem sehr kostengünstigen Werkzeug aber ausgerechnet in diesem Bereich eine entscheidende Schwäche.

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2019