اجزاء اصلی پلتفرم اسپلانک (Splunk)
همانطور که در مقالات دیگر عنوان کردیم، پلتفرم اسپلانک یک راهکار نوین جهت تحلیل و بررسی حجم عظیمی از داده میباشد. از این پلتفرم همچنین در حوزههای مرکز عملیات امنیت (SOC) استفاده میشود. شایان ذکر است که اسپلانک یک نرم افزار مجزاء برای SIEM با نام Enterprise Security توسعه داده است که در این زمینه توانسته است با موفقیت پیشرو تامین امنیت سازمانها و شرکتها باشد. در این مقاله قصد داریم به بررسی اجزاء اصلی اسپلانک بپردازیم.
به دلیل گسترده بودن این نرم افزار، اجزاء اصلی پلتفرم اسپلانک از دو قسمت Processing Component و Management Component تشکیل شده است. هر یک نیز به چندین زیر مجموعه و اجزاء تقسیم میشوند.
Processing Components
ماهیت قسمت Processing پردازش بر روی انتقال و دریافت لاگ، ذخیره سازی لاگ و جستجوی لاگ میباشد. در این قسمت تمرکز بیشتر بر روی کار با داده و لاگ خام میباشد تا بتواند به صورت مورد نیز پردازش، ذخیره و جستجو شود. قسمت Processing به ۳ زیر مجموعه Indexer، Search head و Forwarder تقسیم میشوند. برای درک بهتر این موضوع لطفا به تصویر زیر دقت نمایید.
Forwarder Components
این قسمت مخصوص دریافت لاگ از دستگاههای سخت افزاری و سیستم عاملها میباشد. Forwarder ها به خودی خود به دو قسمت Heavy Forwarder و Universal Forwarder تقسیم میشوند.
- Universal Forwarder : این قسمت مخصوص دریافت لاگ از تمامی دستگاههایی میباشد که دارای سیستم عامل است. به دلیل نداشتن قابلیت Parse داده و یا Routing پس از دریافت لاگ، تمامی آنها را به Heavy Forwarder میفرستد.
- Heavy forwarder : این قسمت مخصوص دریافت لاگ از سیستمهای سخت افزاری و بدون سیستم عامل میباشد. همچنین این قسمت میزبان لاگهای Universal Forwarder میباشد و با دریافت تمامی لاگها آنها را به Indexer انتقال میدهد.
Indexer Components
این قسمت مخصوص دریافت لاگها و ذخیره سازی آنها میباشد. درواقع بدون این قسمت کاربر نمیتواند به دادهها و لاگها دسترسی داشته باشد. به نوعی دیگر Indexer پس از ذخیره سازی لاگها، دستورات را از Search head دریافت میکند و پس از پردازش نتایج آن را به Search head برمیگرداند.
Search Head Components
در قسمت آخر کاربر، میتواند با استفاده از Search Head به لاگهای ذخیره شده دسترسی داشته باشد و دستورات دلخواه خود را تحت زبان کوئری نویسی SPL بنویسد و آن را اجرا کند. همچنین در قسمت قبلی عنوان شد که دستورات کوئری چطور و چگونه اجراء میشود.
Management Components
ماهیت قسمت Management، مدیریت پروژه پیاده سازی شده در پلتفرم اسپلانک و مدیریت اجزاء Processing میباشد. این قسمت شامل زیر مجموعههای زیر میباشد :
- License Master
- Deployment Server
- Indexer Cluster Master Node
- Search Head Cluster Deployer
License Master
در این قسمت لایسنسهای اجزاء مختف اسپلانک مدیریت میشود. این قسمتها شامل Forwarders، Indexers و Search Head میباشد. قابلیت درست کردن License Master نیز در این قسمت فراهم است.
Deployment Server
زمانی که چندین Forwarder، Indexer و یا چندین Search Head وجود داشته باشد و بخواهیم بر روی تنظیمات همگی مدیریت داشته باشیم بدون آنکه تک تک به سراغ هر یک برویم، در آن زمان میتوان از Deployment Server استفاده نمود.
Indexer Cluster Master Node
زمانی که چندین Indexer و یا چندین Search head در پروژه پیاده سازی شده باشد، با Indexer Cluster Master Node میتوان فعالیت Cluster های ایجاد شده را مدیریت نمود.
Search Head Cluster Deployer
در این قسمت میتوان تنظیمات اولیه و یا پیاده سازی برخی برنامهها بر روی Search Head ها پیاده سازی نمود. در انتها باید این نکته را در نظر گرفت که تنها در زمانی که چندین Search Head پیاده سازی شده باشد میتوان از Search Head Cluster Deployer استفاده نمود.