Splunk Components

Usando um único componente de software que é fácil de entender em suas configurações, o Splunk Enterprise pode coexistir com a infraestrutura existente ou pode ser implantado como uma plataforma universal para acessar dados de TI. A implementação mais simples é aquela obtida por padrão ao instalar o Splunk Enterprise: Indexando, pesquisando e exibindo dados no mesmo servidor.

Em seguida, os principais componentes que constituem uma implementação do Splunk; de forma mais simples até as mais sofisticadas.

Indexer

• Processa dados de máquina, armazenando os resultados em índices como eventos, permitindo pesquisa e análise rápidas.
• Conforme o indexador indexa dados, ele cria vários arquivos organizados em conjuntos de diretórios por idade.
• Contêm dados brutos (compactados) e índices (aponta para os dados brutos). (Dados raw)

Search Head

• Permite que os usuários usem a pesquisa para buscar os dados indexados
• Distribui solicitações de pesquisa do usuário para os indexers
• Consolida os resultados e extrai pares de valores de campo dos eventos para o usuário
• Knowledge Objects podem ser criados para extrair campos adicionais e transformar os dados sem alterar os dados de índice subjacentes
• Ainda fornecem ferramentas para aprimorar a experiência de pesquisa, como relatórios, painéis e visualizações.

Forwarders

• Instâncias do Splunk Enterprise que consomem e enviam dados para o(s) Indexer(s)
• Requer recursos mínimos e tem pouco impacto no desempenho
• Normalmente residem nas máquinas os dados se originam
• Geralmente primeira forma de coleta e fornecimento de dados para indexação

Heavy Forwarder

• Um tipo de encaminhador, que é uma instância do Splunk Enterprise que envia dados para outra instância do Splunk Enterprise ou para um sistema de terceiros.
• Um Heavy Forwarder ocupa menos espaço do que um indexador do Splunk Enterprise, mas retém a maioria dos recursos de um indexador. Uma exceção é que ele não pode realizar pesquisas distribuídas. Você pode desabilitar alguns serviços, como o Splunk Web, para reduzir ainda mais o tamanho do seu espaço físico.

Deployment Server

• Responsável por gerenciar e centralizar toda configuração dos coletores (Forwarders)
• Também pode ser utilizado para distribuir apps para o master node e para o Deployer. Não pode ser utilizado para distribuir apps para os membros do cluster de Search Heads.
• O Deployment Server lida com as atualizações de configuração e conteúdo das instalações existentes do Splunk Enterprise.
• Você não pode usá-lo para instalações iniciais ou de atualização do Splunk Enterprise ou do Universal Forwarder.

Cluster Master

• O Master Node gerencia o Cluster. Ele coordena as atividades de replicação dos nós pares e informa ao Search Head onde encontrar os dados.
• Ajuda a gerenciar a configuração de nós de pares e orquestra atividades corretivas se um par fica offline. Ao contrário dos nós pares, o master node não indexa dados externos.
• Um cluster possui exatamente um master node.

License Master

• Um License Master - LM controla um ou mais slaves license - SL.
• Há dois modelos de LM, Standalone license master e Central license master
• No LM, você pode definir pilhas, pools, adicionar capacidades de licenciamento e gerenciar as instâncias SL.
• Ao receber event data, o volume de dados medido é baseado nos dados brutos (raw) que são colocados no pipeline de indexação.
• Não se baseia na quantidade de dados compactados gravados no disco. Como os dados são medidos no pipeline de indexação, os dados filtrados e descartados antes da indexação não contam na cota de volume de licença.

04 Passos para implantação simples:

• Download do arquivo de instalação através do site oficial;
• Instalação em seu ambiente (Windows, Linux, Mac, etc)
• Encaminhar os dados que deseja (Logs, scrits, arquivo .csv, etc);
• Após esses passos estará disponível para buscas, criação de alertas, visualizações, Dashboards, etc;

Dashboard de Exemplo: