Цель курса

Освоение платформы Splunk для самостоятельного решения практических задач. Получение навыков по подключению источников, анализу машинных данных и построению отчетности. Формирование знаний об архитектуре решений на базе Splunk, языке поисковых запросов (SPL) и способе построения специализированных приложений на платформе Splunk.


Для кого предназначен курс?

  • Специалисты, эксплуатирующие Splunk в своих организациях. Курс будет полезен для тех, кто хочет повысить эффективность использования Splunk и реализовать новые практические задачи.
  • Руководители ИТ и ИБ подразделений. По результатам курса возникнет понимание возможности решения задач как ваших, так и смежных подразделений на основании единой платформы по обработке машинных данных.
  • Специалисты, которые хотят повысить уровень знаний в области управления данными. Навыки работы с платформой Splunk будут востребованы при реализации проектов в области Big Data, информационной безопасности, ИТ-мониторинга и бизнес-аналитики.


Необходимая подготовка

Обязательные
  • Базовые навыки работы с консолью Linux
  • Базовые навыки работы с XML
  • Наличие ноутбука, удовлетворяющего минимальным требованиям:
    • любая операционная система
    • установленный браузер (допустимы последние версии Firefox, Chrome, Safari, IE 11)
    • клиент SSH
    • клиент RDP
    • больше 1 Гб ОЗУ
Дополнительно
  • Опыт работы с JS
  • Опыт работы с Python
  • Три дня практикис глубоким погружением в анализ данных

    Три дня практики

    с глубоким погружением в анализ данных

День #1. Основы использования Splunk

1. Знакомство со Splunk

  • сохранение поиска в виде отчета (Reports)
  • редактирование отчетов
  • варианты визуализации данных (диаграммы, графики, таблицы и прочее)
  • создание панелей инструментов (Dashboards)
  • добавление отчетов на панель инструментов
  • изменение панелей инструментов
  • визуализация результатов работы статистических и трансформирующих команд
  • обогащение визуализации, использование команд trendline, iplocation, geostats и аналогов

    2. Изучение интерфейса Splunk

    • базовые термины и определения, используемые в курсе
    • описание лабораторной среды и демонстрационного стенда
    • введение в интерфейс Splunk, основная навигация
    • обзор приложений на базе платформы Splunk

      3. Введение в механизм поиска по данным

      • выполнение базовых поисковых запросов
      • работа с временными диапазонами поисковых запросов
      • определение содержания результатов поиска
      • детализация/уточнение результатов поиска
      • использование временной шкалы
      • работа с событиями
      • управление поисковыми заданиями

        4. Применение поисковых механизмов

        • структура языка поискового запросов (SPL)
        • обзор основных команд поиска и методов поиска
        • команды, трансформирующие данные: top, rare, stats

          5. Дополнительная обработка результатов поиска

          • работа с результатами поиска: фильтрация, детализация, группировка
          • корреляция данных: формирование событий, работа с транзакциями, группировка полей

            6. Создание отчетов и визуализация данных

            • сохранение поиска в виде отчета (Reports)
            • редактирование отчетов
            • варианты визуализации данных (диаграммы, графики, таблицы и прочее)
            • создание панелей инструментов (Dashboards)
            • добавление отчетов на панель инструментов
            • изменение панелей инструментов
            • визуализация результатов работы статистических и трансформирующих команд
            • обогащение визуализации, использование команд trendline, iplocation, geostats и аналогов

              День #2. Продвинутое использование Splunk

              1. Создание дашбордов, использование Simple XML и токенов

              • знакомство со способами создания дашбордов
              • изучение внутренней структуры основанных на Simple XML дашбордов
              • понятие токена, использование токенов для управления вводом пользователя
              • типы визуализации, расширенная настройка визуализации с помощью Simple XML
              • автоматическое обновление дашбордов

                2. Работа с объектами знаний (Knowledge Objects)

                • обзор типов источников событий и типов данных
                • управление правами доступа к данным
                • описание общей информационной модели (CIM – Common Information Model)
                • политика согласованного именования объектов знаний
                • инструмент lookup и его применение для обработки данных
                • создание, настройка lookup, размещение в файле, автоматизация
                • создание и использование тегов (Tags)
                • описание типов (Event Types) событий, их создание и использование
                • использование макросов (Macros) с применением параметров
                • применение сценариев реагирования (Workflow Actions): функции GET, POST и Search

                  3. Работа с полями в Splunk

                  • изучение метода Field Extractor (FX)
                  • определение вариантов для извлечения полей с использованием FX
                  • обзор процесса извлечения полей вручную с использованием FX
                  • использование диспетчера FX для изменения извлекаемых полей
                  • псевдонимы полей данных (Field Aliases) и вычисляемые поля (Calculated Fields)

                    4. Построение отчетности, схемы оповещения и реагирования

                    • создание и настройка отчетов по расписанию (Scheduled Reports)
                    • создание оповещений (Alerts), использование полей в оповещениях
                    • нестандартные действия оповещений (Alert Actions

                      5. Работа с Data Model и KV Store

                      • применение KV Store: создание коллекций, настройка lookup на KB Store collection
                      • работа с KV Store: использование команд lookup, inputlookup, outputlookup

                        День #3. Разработка и интеграция решений на Splunk

                        1. Обзор архитектуры Splunk и лицензирование

                        • описание основных компонентов платформы Splunk
                        • внутренняя архитектура платформы
                        • общие требования Splunk: права доступа, синхронизация времени, сетевые порты
                        • особенности использования в виртуальной среде
                        • варианты лицензирования и контроль использования лицензии

                          2. Источники данных, индексирование данных и понятие индекса

                          • варианты сбора данных
                          • применение Universal Forwarder
                          • индексирование данных, обзор индексов (Indexes)
                          • разделение информации на отдельные индексы

                            3. Масштабирование и кластеризация

                            • возможности масштабирования платформы и распределенная архитектура Splunk
                            • использование механизмов кластеризации

                              4. Ролевая модель Splunk

                              • описание механизмов ролевого доступа
                              • пользователи (Users), роли (Roles) и возможности (Capabilities)
                              • варианты аутентификации и интеграция ролевой модели с Microsoft Active Directory

                                5. Применение готовых решений (Apps и Add-ons)

                                • структура каталогов Splunk
                                • приложения (Apps) и надстройки (Add-ons)
                                • структура приложений и конфигурационные файлы Splunk
                                • создание собственных приложений и надстроек
                                • установка полезных приложений и технических надстроек из базы Splunkbase
                                • обзор премиальных приложений Splunk: Enterprise Security, UBA, ITSI

                                  6. Интеграция со сторонними системами

                                  • обзор методов интеграции
                                  • использование Splunk REST API и SDK
                                  • использование Splunk Web Framework для поиска и визуализации данных

                                    7. Расширение функциональности языка SPL

                                    • виды поисковых команд Splunk
                                    • установка и использование пользовательских поисковых команд Splunk
                                    • создание поисковых команд с помощью Splunk SDK for Python