اجزاء اصلی پلتفرم اسپلانک (Splunk)

همانطور که در مقالات دیگر عنوان کردیم، پلتفرم اسپلانک یک راهکار نوین جهت تحلیل و بررسی حجم عظیمی از داده می‌باشد. از این پلتفرم همچنین در حوزه‌‌های مرکز عملیات امنیت (SOC) استفاده می‌شود. شایان ذکر است که اسپلانک یک نرم افزار مجزاء برای SIEM با نام Enterprise Security توسعه داده است که در این زمینه توانسته است با موفقیت پیشرو تامین امنیت سازمان‌‌ها و شرکت‌‌ها باشد. در این مقاله قصد داریم به بررسی اجزاء اصلی اسپلانک بپردازیم.

به دلیل گسترده بودن این نرم افزار، اجزاء اصلی پلتفرم اسپلانک از دو قسمت Processing Component و Management Component تشکیل شده است. هر یک نیز به چندین زیر مجموعه و اجزاء تقسیم می‌شوند.

Processing Components

 ماهیت قسمت Processing پردازش بر روی انتقال و دریافت لاگ، ذخیره سازی لاگ و جستجوی لاگ می‌باشد. در این قسمت تمرکز بیشتر بر روی کار با داده و لاگ خام می‎باشد تا بتواند به صورت مورد نیز پردازش، ذخیره و جستجو شود. قسمت Processing به ۳ زیر مجموعه Indexer، Search head و Forwarder تقسیم می‌شوند. برای درک بهتر این موضوع لطفا به تصویر زیر دقت نمایید.

اجزاء اصلی پلتفرم اسپلانک

 

Forwarder Components

این قسمت مخصوص دریافت لاگ از دستگاه‌‌های سخت افزاری و سیستم عامل‌‌ها می‌باشد. Forwarder ها به خودی خود به دو قسمت Heavy Forwarder و Universal Forwarder تقسیم می‌شوند.

  • Universal Forwarder : این قسمت مخصوص دریافت لاگ از تمامی دستگاه‌‌هایی می‌‎باشد که دارای سیستم عامل است. به دلیل نداشتن قابلیت Parse داده و یا Routing پس از دریافت لاگ، تمامی آن‌‌ها را به Heavy Forwarder می‌فرستد.
  • Heavy forwarder : این قسمت مخصوص دریافت لاگ از سیستم‌‌های سخت افزاری و بدون سیستم عامل می‌باشد. همچنین این قسمت میزبان لاگ‌‌های Universal Forwarder می‌باشد و با دریافت تمامی لاگ‌ها آن‌‌ها را به Indexer انتقال می‌دهد.

Indexer Components

این قسمت مخصوص دریافت لاگ‌‌ها و ذخیره سازی آن‌ها می‌باشد. درواقع بدون این قسمت کاربر نمی‌تواند به داده‌‌ها و لاگ‌‌ها دسترسی داشته باشد. به نوعی دیگر Indexer پس از ذخیره سازی لاگ‌‌ها، دستورات را از Search head دریافت می‌کند و پس از پردازش نتایج آن را به Search head برمی‌گرداند.

Search Head Components

در قسمت آخر کاربر، می‌تواند با استفاده از Search Head به لاگ‌‌های ذخیره شده دسترسی داشته باشد و دستورات دلخواه خود را تحت زبان کوئری نویسی SPL بنویسد و آن را اجرا کند. همچنین در قسمت قبلی عنوان شد که دستورات کوئری چطور و چگونه اجراء می‌شود.

Management Components

ماهیت قسمت Management، مدیریت پروژه پیاده سازی شده در پلتفرم اسپلانک و مدیریت اجزاء Processing می‌باشد. این قسمت شامل زیر مجموعه‌‌های زیر می‌باشد :

  • License Master
  • Deployment Server
  • Indexer Cluster Master Node
  • Search Head Cluster Deployer

اجزاء اصلی پلتفرم اسپلانک

License Master

در این قسمت لایسنس‌‌های اجزاء مختف اسپلانک مدیریت می‎شود. این قسمت‌‌ها شامل Forwarders، Indexers و Search Head ‌می‌باشد. قابلیت درست کردن License Master نیز در این قسمت فراهم است.

Deployment Server

زمانی که چندین Forwarder، Indexer و یا چندین Search Head وجود داشته باشد و بخواهیم بر روی تنظیمات همگی مدیریت داشته باشیم بدون آنکه تک تک به سراغ هر یک برویم، در آن زمان می‌توان از Deployment Server استفاده نمود.

Indexer Cluster Master Node

زمانی که چندین Indexer و یا چندین Search head در پروژه پیاده سازی شده باشد، با Indexer Cluster Master Node می‌توان فعالیت Cluster های ایجاد شده را مدیریت نمود.

Search Head Cluster Deployer

 در این قسمت می‌توان تنظیمات اولیه و یا پیاده سازی برخی برنامه‌‌ها بر روی Search Head ها پیاده سازی نمود. در انتها باید این نکته را در نظر گرفت که تنها در زمانی که چندین Search Head پیاده سازی شده باشد می‌توان از Search Head Cluster Deployer استفاده نمود.