-
セキュリティ情報およびイベント管理 (SIEM) の統合と開始
-
Citrix Analyticsのアドオンアプリケーションを使用した Splunk アーキテクチャ
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
Citrix Analyticsのアドオンアプリケーションを使用した Splunk アーキテクチャ
Splunk は、次の 3 つの階層で構成されるアーキテクチャを採用しています。
- コレクション
- インデックス作成
- 検索中
Splunkは、データを簡単にSplunkに取り込むことができるさまざまなデータ収集メカニズムをサポートしています。これにより、データをインデックス化して検索できるようになります。この階層は、ヘビーフォワーダーまたはユニバーサルフォワーダーに他なりません。
アドオンアプリケーションは、ユニバーサルフォワーダーレイヤーではなくヘビーフォワーダーレイヤーにインストールする必要があります。なぜなら、よく構造化されたデータ (json、csv、tsv など) を除いて、ユニバーサルフォワーダーはログソースを解析してイベントを生成しないため、ログの形式を理解する必要があるアクションを実行できないためです。
また、Pythonの簡略化されたバージョンも付属しているため、機能するためにSplunkスタック全体を必要とするモジュラー入力アプリケーションとは互換性がありません。ヘビーフォワーダーはコレクション階層に他なりません。
ユニバーサルフォワーダーとヘビーフォワーダーの主な違いは、ヘビーフォワーダーには完全な解析パイプラインが含まれており、実際にディスクにイベントを書き込んだりインデックスしたりしなくても、インデクサーが実行するのと同じ機能を実行することです。これにより、ヘビーフォワーダーは、データのマスキング、フィルタリング、イベントデータに基づくルーティングなどの個々のイベントを理解して処理できます。アドオンアプリケーションにはSplunk Enterpriseが完全にインストールされているため、適切なデータ収集のために完全なPythonスタックを必要とするモジュラー入力をホストすることも、Splunk HTTPイベントコレクター(HEC)のエンドポイントとして機能させることもできます。
データが収集されると、インデックス化または処理され、検索可能な方法で保存されます。
顧客がデータを探索する主な方法は検索です。検索はレポートとして保存し、ダッシュボードパネルに追加できます。検索は、データから情報を抽出したものです。
一般に、Splunkアドオンアプリケーションはコレクション層(Splunkエンタープライズレベル)にデプロイされ、ダッシュボードアプリケーションは検索レイヤー(Splunk Cloudレベル)にデプロイされます。シンプルなオンプレミス設定では、これら 3 つの階層すべてを 1 台の Splunk ホストに配置できます (シングルサーバーデプロイメントと呼ばれます)。
Splunkのアドオンアプリケーションを使用するには、コレクション階層の方がはるかに優れています。アドオンアプリケーションをインストールするには 2 つの方法があります。お客様の環境のコレクション階層にインストールすることも、 Splunk Cloud インスタンスの入力データマネージャーにインストールすることもできます。
アドオンアプリケーションでのSplunkの導入アーキテクチャを理解するには、次の図を参照してください。
前述の図に示されている入力データマネージャー (IDM) は、Splunk Cloud が管理するデータ収集ノード (DCN) の実装で、スクリプト入力とモジュラー入力のみをサポートします。それ以上のデータ収集が必要な場合は、Splunkヘビーフォワーダーを使用して環境内にDCNをデプロイして管理できます。
Splunk では、さまざまなソースからデータを収集、インデックス化、検索できます。データを収集する1つの方法は、Splunkが他のシステムやアプリケーションに保存されているデータにアクセスできるようにするAPIを使用することです。これらの API には、クエリメカニズムとして REST、Web サービス、JMS、または JDBC を含めることができます。Splunkやサードパーティの開発者は、Splunkのモジュラー型入力フレームワークを通じてAPIインタラクションを可能にするさまざまなアプリケーションを提供しています。これらのアプリケーションを正しく機能させるには、通常、Splunk Enterprise ソフトウェアを完全にインストールする必要があります。
API によるデータ収集を容易にするために、ヘビーフォワーダーを DCN としてデプロイするのが一般的です。ヘビーフォワーダーは、完全な解析パイプラインを備えており、個々のイベントを理解して処理できるため、ユニバーサルフォワーダーよりも強力なエージェントです。これにより、API を使用してデータを収集し、Splunk インスタンスに転送してインデックス化する前に処理できます。
Splunk Cloud デプロイのアーキテクチャの概要について詳しくは、「 Splunk 検証済みアーキテクチャ」を参照してください。
共有
共有
この記事の概要
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.