HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

KHOA CÔNG NGHỆ THÔNG TIN 1

Môn học: An toàn hệ điều hành

Đề tài số 8: Tìm hiểu về Splunk cho thu thập và phân tích dữ liệu
Nhóm môn học 02

Giảng viên : Hoàng Xuân Dậu

Sinh viên : Bùi Thanh Phong – B19DCAT135
Đặng Kiều Phong – B19DCAT137
Trần Hoàng Phong – B19DCAT138
Đinh Thị Minh Phương – B19DCAT139
Nguyễn Minh Quang – B19DCAT144
Nguyễn Đoàn Quân – B19DCAT145
Ngô Hoàng Trường Sơn – B19DCAT152

Hà Nội - 2022

1
 Mục lục
Phần 1: Giới thiệu chung .................................................................................................. 3
1.1. Khái niệm về Splunk .............................................................................................. 3
1.2. Splunk được sử dụng để làm gì?........................................................................... 3
1.3. Tại sao chúng ta cần Splunk ................................................................................. 4
1.4. Kiến trúc Splunk .................................................................................................... 4
1.5. Cách thức hoạt động của Splunk .......................................................................... 5

Phần 2 : Các chức năng chính của Splunk ...................................................................... 6

Phần 3 : Ưu điểm, nhược điểm của việc sử dụng Splunk .............................................. 9

Phần 4: Ứng dụng của Splunk........................................................................................ 10

4.1. Quản lý ứng dụng.................................................................................................. 10
4.2. Quản lý hoạt động IT ............................................................................................ 11
4.3. An ninh trong linh vực IT..................................................................................... 15

2
Phần 1: Giới thiệu chung
1.1. Khái niệm về Splunk
− Splunk là một phần mềm giám sát mạng dựa trên sức mạnh của việc
phân tích Log. Splunk thực hiện các công việc tìm kiếm, giám sát và
phân tích các dữ liệu lớn được sinh ra từ các ứng dụng, các hệ thống
và các thiết bị hạ tầng mạng. Nó có thể thao tác tốt với nhiều loại dịnh
dạng dữ liệu khác nhau (Syslog, csv, apache-log,
access_combined…). Splunk được xây dựng dựa trên nền tảng
Lucene and MongoDB.
− Splunk là phần mềm cho phép CNTT có thể tìm kiếm và duyệt logs và
các dữ liệu IT trong thời gian thực. Người dùng có thể ngay lập tức
phát hiện ra sự cố ở bất cứ ứng dụng nào, hoặc ở các máy chủ và thiết
bị; cảnh báo các nguy cơ tiềm ẩn và báo cáo các hoạt động của các
dịch vụ và thành phần khác nhau trong mạng. Và đây cũng là giải
pháp troubleshoot cho hệ thống.
− Splunk là một công cụ dữ liệu rất linh hoạt và khả năng mở rộng cho
các dữ liệu máy tính được tạo ra bởi cơ sở hạ tầng CNTT của CNTT.
Nó thu thập ,lập chỉ mục và khai thác những dữ liệu được tạo ra từ bất
cứ nguồn nào , định dạng hoặc vị trí bao gồm cả đóng gói và các ứng
dụng tùy chỉnh , máy chủ ứng dụng , máy chủ web , cơ sở dữ liệu ,
mạng , máy ảo, hypervisors, hệ điều hành và nhiều hơn nữa mà không
cần phải phân tích cú pháp tùy chỉnh , bộ điều hợp hoặc một cơ sở dữ
liệu trên các phụ trợ .

1.2. Splunk được sử dụng để làm gì?

− Splunk được sử dụng để cung cấp một cái nhìn rõ ràng, chi tiết về toàn bộ
hệ thống công nghệ thông tin. Nó liên kết các dữ liệu riêng biệt của các
thiết bị, ứng dụng riêng biệt lại với nhau một cách tự động, giúp quá trình
tìm kiếm điều tra trở nên nhanh chóng, đơn giản đi rất nhiều.
− Chủ động giám sát các dữ liệu để phát hiện các bất thường theo thời gian
thực. Cho phép người dùng ngay lập tức đi sâu chi tiết vào vấn đề gặp phải
để có hướng giải quyết một cách chính xác và nhanh chóng nhất.

3
1.3. Tại sao chúng ta cần Splunk
− Splunk còn được goi là Google của log, có công cụ search mạng mẽ nó
chấp nhận dữ liệu ở bất kỳ định dạng nào
− Splunk tự động list ra thời gian cụ thể của từng sự kiện xảy trong hệ thống
mà nó đang giám sát. Cảnh báo trong thời gian thực. Ta có thể chỉnh tùy
chọn, định nghĩa các loại cảnh báo và có thể chỉ định ai nhận được cảnh
báo đó
− Splunk cung cấp thông tin tìm kiếm thông minh: Kết quả tìm kiếm được
sắp xếp hợp lý, có liên quan với nhau, khả năng hiển thị thời gian thực,
phân tích lịch sử các sự kiện đã xảy ra. Splunk có thể lưu trữ khối lượng dự
liệu lớn của hệ thống IT và dữ liệu này có thể có cấu trúc bất kỳ, song tốc
độ truy vấn dữ liệu nhanh
− Tìm kiếm phân tán sử dụng Map Reduce( 1 phần mềm của Google, phục vụ
cho việc tính toán phân tán các tập dữ liệu lớn trên các cụm máy tính).
1.4. Kiến trúc Splunk

− Từ trên xuống dưới:

+ Splunk thu thập nhật ký bằng cách theo dõi các tệp, phát hiện các thay
đổi tệp, nghe trên cổng hoặc chạy tập lệnh để thu thập dữ liệu nhật ký
- tất cả đều được thực hiện bởi bộ chuyển tiếp Splunk.

+ Cơ chế lập chỉ mục, bao gồm một hoặc nhiều trình lập chỉ mục, xử lý
dữ liệu hoặc có thể nhận dữ liệu được xử lý trước bởi người giao nhận

4
  Máy chủ triển khai quản lý các trình lập chỉ mục và người
đứng đầu tìm kiếm, cấu hình và chính sách trên toàn bộ triển
khai Splunk.
 Quyền truy cập và điều khiển của người dùng được áp dụng ở
cấp độ lập chỉ mục - mỗi trình lập chỉ mục có thể được sử
dụng cho một kho dữ liệu khác nhau, có thể có các quyền
người dùng khác nhau.
+ Đầu tìm kiếm được sử dụng để cung cấp chức năng tìm kiếm theo yêu
cầu và cũng cung cấp năng lượng cho các tìm kiếm theo lịch trình
được khởi xướng bởi các báo cáo tự động.

+ Người dùng có thể xác định các đối tượng Lập kế hoạch, Báo cáo và
Kiến thức để lên lịch tìm kiếm và tạo cảnh báo.

+ Dữ liệu có thể được truy cập từ giao diện người dùng, Splunk CLI
hoặc API tích hợp với nhiều hệ thống bên ngoài.

1.5. Cách thức hoạt động của Splunk

− Splunk nhập dữ liệu theo thời gian thực và sau đó phân tích dữ liệu đó dựa
trên các mục tiêu đã đặt.
− Ví dụ, một quản trị viên web có thể đang cấp lưu lượng truy cập mà máy có
thể đọc được để phân tích xem lưu lượng truy cập đang đi đến đâu, nơi nào
có thể có tắc nghẽn và liệu có thể có gián đoạn hay không. Trang tổng quan
của quản trị viên web có thể cảnh báo cho quản trị viên web khi có những
thay đổi bất thường đối với lưu lượng truy cập, khi một cuộc tấn công ác ý
có thể đang diễn ra hoặc khi quản trị viên web có thể muốn mua thêm tài
nguyên.
− Splunk, về bản chất, là một sản phẩm linh hoạt. Nó được thiết kế để thu thập
dữ liệu, tìm kiếm các chỉ số, sau đó phân tích và báo cáo về các chỉ số đó như
được tổ chức xác định.
− Do đó, Splunk là một nền tảng rất nhanh nhẹn và mạnh mẽ có thể được sử
dụng để phân tích nhiều loại dữ liệu. Nhưng nó cần được lập trình để làm
như vậy.

5
Phần 2 : Các chức năng chính của Splunk
− Đánh chỉ mục dữ liệu: Splunk có thể đánh chỉ mục cho nhiều kiểu dữ liệu, với
một khối lượng dữ liệu rất lớn trong một khoảng thời gian ngắn. Giúp việc tìm
kiếm diễn ra nhanh chóng và thuận tiện. Các nguồn dữ liệu thông thường:
+ Các dữ liệu có cấu trúc: Các tập tin CSV, JSON hay XML.
+ Các dịch vụ Web: Apache, IIS.
+ Các phần mềm vận hành IT: Nagios, NetApp, Cisco USC.
+ Dịch vụ cơ sở dữ liệu: Oracle, MySQL, Microsoft SQL Server.
+ Mạng và An toàn: Syslog, SNMP, các thiết bị của Cisco, Snort.
+ Các nền tảng ảo hóa: VMWare, Xen Desktop, XenApp, Hyper-V.
+ Các dịch vụ ứng dụng: JMX & JMS, WebLogic, WebSphere.
+ Nền tảng của Microsoft: Exchange, Active Directory, Sharepoint.
− Định dạng Log: Hỗ trợ hầu hết toàn bộ các loại log của hệ thống, thiết bị hạ tầng
mạng, phần mềm, Firewall, IDS/IPS, Log Event, Register của các máy trạm ….
Splunk có thể định dạng từng loại log khác nhau, các loại log được sinh ra từ những
ứng dụng khác nhau. Mỗi loại log sẽ được đánh kiểu theo từng loại cụ thể (source
type). Thông thường khi log được xử lý bởi Splunk, nó thực hiện 2 công việc chính
là:
+ Phân tách log.
+ Đánh chỉ mục.
Mỗi loại log có một cách sắp xếp dữ liệu khác nhau do vậy khi các bản tin tới
Splunk server nó sẽ được phân tách thành các trường, công việc này hỗ trợ rất
nhiều cho quá trình tìm kiếm và lọc thông tin. Do vậy bước này cực kì quan trọng
đối với hệ thống giám sát tập trung.
− Thu thập dữ liệu: Splunk có thể thực hiện việc thu thập log từ rất nhiều nguồn
khác nhau. Quá trình thu thập dữ liệu với Splunk được nâng cao vì hệ thống của
Splunk làm cho việc thu thập dữ liệu đơn giản hơn từ nhiều kiểu dữ liệu khác nhau
của các hệ thống máy tính.
+ Từ một file hoặc thư mục (kể cả file nén) trên server.
+ Qua các kết nối UDP, TCP từ các Splunk Server khác trong mô hình
Splunk phân tán.
+ Từ các sự kiện Logs, Registry của Windows.
Splunk cũng kết hợp rất tốt với các công cụ thu thập log khác để tăng hiệu năng
của hệ thống.
Để thêm dữ liệu vào Splunk trên giao diện Web ta có 3 cách như hình sau
+ Upload: Ta có thể upload các tập tin log hay các tập tin log từ máy tính.

6
 + Monitor: Splunk sẽ thực hiện giám sát trên chính máy đang cài Splunk. Với
tùy chọn này ta lại có các kiểu như: Tập tin, thư mục; lấy từ HTTP; các
cổng TCP/UDP; các Script.
+ Forward: Các nguồn dữ liệu sẽ được lấy từ các Splunk Forwarder, ở phần
này ta cần phải cấu hình trên server cần lấy dữ liệu và triển khai splunk
forwarder như một client. Khi đó Splunk có thể điều khiển được splunk
forwarder.
− Cập nhật dữ liệu: Splunk cập nhật dữ liệu liên tục khi có thay đổi trong thời gian
thực. Giúp cho việc phát hiện và cảnh báo đúng đắn trong thời gian thực.
− Tìm kiếm thông tin: Splunk làm việc rất tốt với dữ liệu lớn và cập nhật liên tục. Cốt
lõi của nền tảng Slunk là SPL - Splunk's Search Processing Language. SPL là một
ngôn ngữ có khả năng vô hạn và học nó cũng không quá phức tạp. Nó cho ta sức
mạnh để hỏi bất kì câu hỏi nào với bất kỳ dữ liệu nào của máy.SPL hòa hợp những
khả năng tốt nhất của SQL và cú pháp xử lý liên hợp trên Unix cho phép ta:
+ Truy cập tất cả dữ liệu trong định dạng gốc của nó.
+ Tối ưu hóa cho các sự kiện chuỗi thời gian.
+ Sử dụng cùng một ngôn ngữ cho mô phỏng.

SPL cung cấp hơn 140 lệnh cho phép tìm kiếm, tương quan, phân tích và mô phỏng
bất kì dữ liệu nào. Một ngôn ngữ mạnh mẽ có thể tóm tắt trong 4 ý chính sau:
+ Tìm những thứ nhỏ nhất trong Haystack: Tìm kiếm cho các từ khóa và lọc
thông qua tập các dữ liệu.
+ Mô phỏng dữ liệu địa lý theo thời gian thực: Sử dụng lệnh "iplocation" để
gián địa chỉ IP theo kinh độ và vĩ độ, "geostats" để gán các số liệu theo thời
gian thực.
+ Dự đoán, biểu đồ và mô phỏng số liệu: Sử dụng lệnh "stats" mạnh mẽ với
hơn 20 lựa chọn tính toán số liệu khác nhau. Sau đó các biểu đồ, mô phỏng
thể hiện kết quả các liệu thông qua khoảng thời gian.
+ Máy học và phát hiện dị thường: Sử dụng phát hiện dị thường để mở ra các
hành động và các sự kiện bất thường. Xây dựng và áp dụng mô hình máy học
với các lệnh "fit" và "apply".

Những nhà quản trị mạng cao cấp và chuyên nghiệp thường gọi Splunk với cái tên
“Splunk toàn năng” hay “Splunk as Google for Log files” để nói lên sức mạnh của
Splunk.

− Giám sát và cảnh báo: Splunk cung cấp cho người dùng một cơ chế cảnh báo dựa
trên việc tìm kiếm các thông tin do chính người sử dụng đặt ra. Khi có vấn đề liên
quan tới hệ thống phù hợp với các tiêu chí đó thì hệ thống sẽ cảnh báo tới người
dùng. Hiện tại Splunk ta có thể đặt cảnh báo Splunk qua:
+ Một Log Event.
7
 + Chạy một script.
+ Gửi Email.
+ Gửi một HTTP POST.
+ Thậm chí có thể gọi điện hoặc gửi tin nhắn qua số điện thoại của người dùng
nếu ta cấu hình.
Đặc biệt ta có thể sử dụng hỗn hợp các lựa chọn này cùng một lúc. Ví dụ ta có thể
vừa gửi một HTTP POST vừa gửi một email.
− Khắc phục sự cố: Splunk còn cung cấp một cơ chế tự động khắc phục với các vấn
đề xảy ra bằng việc tự động chạy các file Script mà người dùng tự tạo (Ví dụ như:
Chặn IP, dòng Port …) khi có các cảnh báo xảy ra.
+ Ví dụ ta có một script chặn các địa chỉ IP đang thực hiện tấn công DoS vào
hệ thống của ta. Ta sẽ thực hiện đếm các request đến từ cùng một địa chỉ IP,
nếu số lượng request vượt quá số lượng request cho phép trong 1s thì script
sẽ tự chạy, và ta có thể bảo vệ hệ thống của ta khỏi cuộc tấn công đó. Công
việc này hoàn toàn được tự động thực hiện.
− Hiển thị thông tin: Splunk cung cấp một cơ chế hiển thị rất trực quan giúp người
sử dụng có thể dễ dàng hình dung về tình trạng của hệ thống, đưa ra các đánh giá
về hệ thống. Splunk còn tự động kết xuất ra các báo cáo với nhiều loại định dạng
một cách rất chuyên nghiệp.
− Phát triển: Splunk cung cấp các API hỗ trợ người dùng phát triển ứng dụng của họ
trên Splunk. Một số API điển hình như:
+ Splunk SDK: Cung cấp các SDK trên nền tảng Python, Java, JS, PHP, Ruby,
C#. Splunk SDK được viết dựa trên Splunk REST API. Những thứ mà ta có
thể làm đối với Splunk SDK là: tích hợp với các công cụ báo cáo và cổng
thông tin của bên thứ 3, Đẩy log trực tiếp tới Splunk, Tích hơp kết quả tìm
kiếm của Splunk vào ứng dụng của người dùng, Giải nén dữ liệu, Xây dựng
một giao diện Web theo ý thích của người dùng,...
+ Shep: Splunk Hadoop Intergration - Đây là sự kết hợp giữa Splunk và
Hadoop. Sử dụng Hadoop như một kho lưu trữ của Splunk có các tính năng
sau:
 Map Reduce Job trong Hadoop có thể sử dụng dữ liệu của Splunk.
 Truyền dữ liệu từ Splunk tới HDFS trong thời gian thực.
 Ngôn ngữ tìm kiếm được tích hợp với Hadoop.
 Giám sát các tập tin và các thư mục của HDFS cho việc đánh chỉ mục
của Splunk.
+ Splunk PowerShell Resource Kit: Bộ công cụ hỗ trợ việc mở rộng và quản lý
hệ thống. Sử dụng Splunk PowerShell Resource Kit, người quản trị hệ thống
Windows có thể quản lý và mở rộng môi trường Splunk để hỗ trợ nhiều công
việc. Với phiên bản đầu tiên của bộ công cụ này, các người quản tri có thể
quản lý topo của Splunk, cấu hình các thành phần bên trong và mượn bộ máy
tìm kiếm của Splunk từ một phiên của PowerShell. Các nhóm lệnh có thể
thực hiện trên PowerShell để tương tác với Splunk bao gồm:
8
  Kiểm tra và quản lý các dịch vụ Splunk.
 Tìm kiếm trên Splunk.
 Triển khai Splunk.
 Quản lý các lớp của các máy chủ trong Splunk.

Phần 3 : Ưu điểm, nhược điểm của việc sử dụng Splunk

− Một số điểm mạnh mà Splunk cung cấp cho người dùng là:
+ Cung cấp GUI nâng cao và khả năng hiển thị thời gian thực trong
dashboard
+ Splunk làm giảm thời gian khắc phục sự cố và giải quyết bằng cách đưa ra
kết quả tức thì.
+ Splunk là một công cụ phù hợp nhất để phân tích nguyên nhân gốc rễ.
+ Splunk cho phép bạn tạo đồ thị, cảnh báo.
+ Bạn có thể dễ dàng tìm kiếm và điều tra các kết quả cụ thể bằng Splunk.
+ Splunk cho phép bạn khắc phục mọi tình trạng lỗi để cải thiện hiệu suất.
+ Giúp bạn theo dõi bất kỳ số liệu kinh doanh nào và đưa ra quyết định sáng
suốt.
+ Splunk cho phép bạn kết hợp Trí tuệ nhân tạo vào chiến lược dữ liệu của
mình.
+ Cho phép bạn thu thập Thông tin hoạt động hữu ích từ dữ liệu máy của bạn
+ Tổng hợp và thu thập thông tin có giá trị từ các bản ghi khác nhau
+ Splunk cho phép bạn chấp nhận bất kỳ kiểu dữ liệu nào như định dạng .csv,
json, log, v.v.
+ Cung cấp khả năng phân tích tìm kiếm và trực quan hóa mạnh mẽ nhất để
trao quyền cho người dùng thuộc mọi loại.
+ Cho phép bạn tạo một kho lưu trữ trung tâm để tìm kiếm dữ liệu Splunk từ
nhiều nguồn khác nhau.

− Bên cạnh đó vẫn tồn tại những hạn chế như :

+ Splunk có thể tỏ ra đắt đỏ đối với khối lượng dữ liệu lớn.
+ Splunk là một kiến trúc nhiều tầng. Vì vậy cần dành nhiều thời gian để tìm
hiểu công cụ này để phát huy hết được sức mạnh của Splunk
+ Các tìm kiếm rất khó hiểu, đặc biệt là các cụm từ thông dụng và cú pháp
tìm kiếm.
+ Không có cơ chế bảo mật trên đường truyền: Không phù hợp với những hệ
thống đòi hỏi bảo mật cao.
+ Splunk chưa có cơ chế giúp tự động phát hiện ra các tấn công hay các vấn
đề từ bên ngoài: Những điều này phụ thuộc vào kinh nghiệm sử dụng và
vốn hiểu biết về bảo mật của người quản trị
9
 + Đề triển khai được một hệ thống sử dụng Splunk hiệu quả chúng ta cũng
cần có một hệ thống riêng, đây cũng là một trở ngại không nhỏ với các hệ
thống có quy mô trung bình và nhỏ.

Phần 4: Ứng dụng của Splunk

4.1. Quản lý ứng dụng
− Giải quyết vấn đề nhanh hơn, giảm thời gian bị downtime:
+ Troublesshoot vấn đề 1 cách nhanh chóng, giảm chi phí và giảm thời gian
để điều tra và khắc phục sự cố tới 70%.
+ Giảm sự phức tạp bằng cách cung cấp cho các nhà phát triển được truy cập
vào log của ứng dụng thông qua 1 vị trí trung tâm mà không cần quyền
truy cập vào hệ thống đó.
+ Giám sát toàn bộ môi trường ứng dụng của chúng ta trong thời gian thực
để ngăn chặn các vấn đề ảnh hưởng tới người dung, giữ lại log từ các sự
kiện định kỳ để ngăn ngừa mất mát.
+ Truy vết và giám sát các giao dịch của ứng dụng thông qua các tầng của
kiến trúc phân tán và từ nhiều nguồn dữ liệu
+ Phát hiện các bất thường hoặc các vấn đề trong hoạt động, thời gian đáp
ứng và chủ động giải quyết chúng trước khi nó ảnh hưởng tới người dung
ứng dụng.
+ Theo dõi số liệu hoạt động quan trọng như thời gian đáp ứng end-to-end,
độ dài thông điệp hàng đợi và đếm số lần giao dịch thất bại để đảm bảo
ứng dụng đáp ứng được nhu cầu cần thiết
+ Nắm được toàn bộ hoạt động của ứng dụng trong thời gian thực trên toàn
bộ cơ sở hạ tầng ứng dụng của chúng ta.
+ Đạt được cái nhìn toàn diện về cách mà người dung sử dụng dịch vụ của
chúng ta, từ đócó thể cung cấp dịch vụ tốt hơn.
+ Làm phong phú hệ thống của chúng ta bằng cách thêm các nguồn phi
CNTT như giá cả cơ sở dữ liệu, thông tin khách hàng và thông tin vị trí.
− Là giải pháp tốt cho quản lý ứng dụng:
+ Không giống các công cụ quản lý truyền thống, splunk có thể index, phân
tích, khai thác dữ liệu từ bất kỳ tầng ứng dụng nào. Nó cung cấp 1 góc nhìn
trung tâm về toàn bộ hệ thống cơ sở hạ tầng của chúng ta.
+ Ngôn ngữ tìm kiếm trong splunk giúp người sử dụng so sánh các sự kiện,
các giao dịch và chỉ số hoạt động quan trọng khác.
+ Quyền điều khiển được trao cho nhiều nhóm trong một tổ chức. Những
hiểu biết về dữ liệu ứng dụng có thể kết hợp với thông tin có cấu trúc như
thông tin user hoặc giá cả thông tin để doanh nghiệp quyết định tốt hơn.

10
 + Nhà sản xuất quản lý hoạt động ứng dụng AppDynamics và Extrahop đã
phát triển ừng dụng Splunk để giúp khách hàng quản lý tốt hơn các dữ liệu
ứng dụng như log, các sự kiện, hoạt động của cơ sở hạ tầng và nhiều hơn
thế nữa.
4.2. Quản lý hoạt động IT
Trung tâm IT dữ liệu trên toàn thế giới đang trở nên cực kỳ phức tạp, với hàng
trăm công nghệ khác nhau và thiết bị ở nhiều layer. Ảo hóa và điện toán đám mây cũng
đang trở nên phức tạp, đặc biệt là các vấn đềliên quan đến hiệu suất hoạt động. Đội ngũ
quản trị và quản lý CNTT lãng phí nhiều thời gian trong việc di chuyển từ một giao diện
điều khiển tới giao diện điều khiển khác , cố gắng theo dõi các dữ liệu cần thiết để đảm
bảo hiệu suất và tính sẵn sàng cao.
Splunk cung cấp 1 cách tiếp cận tốt hơn mà không cần phải phân tích cú pháp hay tùy
chỉnh nó. Splunk thu thập và lập indexes chứa tất cả dữ liệu được tạo ra bởi hệ thống IT
của chúng ta (hệ thống mạng, server, OS, ảo hóa, v.v.) . Nó hoạt động với bất kỳ dữ liệu
mà máy tạo ra, bao gồm log, file cấu hình, số liệu hiệu suất, SNMP trap và các ứng dụng
log tùy chỉnh.
− Giải quyết vấn đề nhanh hơn, giảm thời gian Downtime:
+ Giúp nắm bắt được hoạt động ảo hóa, hệ thống cloud private và public từ 1
giao diện trung tâm.
+ Giúp tìm được nguồn gốc của vấn đề nhanh hơn 70% mà không cần phải
tìm kiếm trong hệ thống , server hay máy ảo.
+ Quản lý hệ thống của chúng ta trong thời gian thực, ngăn ngừa vấn đề xảy
ra trước khi nó ảnh hưởng tớingười dùng và có thêm kinh nghiệm xử lý các
sự kiện xảy ra định kỳ để tránh mất mát.
+ Chỉ cần 1 người quản lý có quyền truy cập trực tiếp, đảm bảo an toàn cho
dữ liệu, giúp tránh leo thang đặc quyền.
− Giảm chi phí cung cấp dịch vị CNTT:
+ Sử dụng sức mạnh và khả năng mở rộng của splunk không chỉ cho hoạt
động quản lý CNTT mà còn dùng để hỗ trợ kiểm toán, an ninh.
+ Giảm số lượng các công cụ và kỹ năng cần thiết để duy trì quản lý cơ sở hạ
tầng phức tạp của chúng ta.

11
4.2.1. Phân tích hoạt động IT
− Splunk dùng trong hoạt động phân tích IT cung cấp những hiểu biết toàn diện theo
nhiều tầng giúp cho định hướng của doanh nghiệp tốt hơn tùy theo từng trường
hợp cụ thể.
− Chủ động trong việc nhận diện và khắc phục lỗi dịch vụ để đảm bảo sự hài long
của khách hàng và giúp tăng số lượng khách hàng sử dụng.
− Đạt hiệu quả trong quá trình hoạt động do nắm bắt được những nguy hiểm tiềm
tàng trong quá trình hoạt động kinh doanh.
− Giúp đạt được các mục tiêu kinh doanh bằng cách cung cấp tầm nhìn toàn diện
trên toàn hệ thống công nghệ không đồng nhất, các dịch vụ, cách quản lý, lên kế
hoạch về dung lượng, phân tích mức sử dụng của người dùng và nhiều hơn nữa.
4.2.2. Giám sát cơ sở hạ tầng
− Máy chủ :
+ Chủ động giám sát các máy chủ và hiểu biết sâu hơn về hiệu suất, cấu hình,
truy cập và các lỗi phát sinh.
+ Tương quan hiệu suất máy chủ, các lỗi và dữ liệu sự kiện với người dùng,
ảo hóa và ứng dụng thành phần để ngăn ngừa và khắc phục lỗi.
+ Phân tích và tối ưu hóa chi phí cho việc theo dõi dung lượng máy chủ, báo
cáo an ninh trong thời gian thực.
− Hệ thống lưu trữ :
+ Tương quan log, số liệu hiệu suất và các sự kiện từ hệ thống lưu trữ của
chúng ta với máy chủ, mạng và dữ liệu từ các ứng dụng để giải quyết các
vấn đề và làm tăng sự hài long của khách hàng.
+ Sử dụng công cụ phân tích mạnh mẽ để khắc phục sự cố trong thời gian
thực và phân tích hiệu suất hệ thống lưu trữ của chúng ta.
+ Giảm thơi gian phát triển và cắt giảm chi phí bằng việc dễ dàng tích hợp
với các nhà cung cấp dịch vụ lưu trữ, như NetApp và EMC.
− Hệ thống mạng :
+ Giám sát và theo dõi dữ liệu mạng từ các thiết bị không dây, switch, router,
firewall và trên những thiết bị khác bằng cách sử dụng SNMP, Netflow,
syslog, PCAP,v.v.
+ Chủ động nhận diện các vấn đề an ninh mạng và thực hiện phân tích vấn
đề. Tương quan dữ liệu mạngvới các ứng dụng, hệ thống lưu trữ và phân
tích máy chủ để giữ cho mạng của chúng ta an toàn và hoạt động mọi lúc.
+ Đạt được chỉ số ROI tối đa bằng cách tối ưu hóa dung lượng mạng lưới của
chúng ta, xác định độ trễ,quản lý bang thông, xác định top 10 tài nguyên
mạng thường được sử dụng và mô hình sử dụng.
4.2.3. Splunk cho hệ điều hành

12
 − Tương quan số liệu hệ thống và dữ liệu sự kiện với cá dữ liệu ở các tầng công
nghệ khác một cách dễ dàng.
− Tìm liên kết giữa vấn đề hiệu suất ứng dụng và hệ điều hành, ảo hóa, hệ thống lưu
trữ, mạng, và cơ sở hạ tầng máy chủ.
− Nắm được toàn bộ hoạt động hệ thống bằng cách cung cấp bảng điều khiển trung
tâm sức khỏe hệ thống xuyên suốt môi trường không đồng bộ.
− Nắm được năng lực hạn chế của hệ thống hoặc tình trạng nhàn rỗi.
− Theo dõi những thay đổi và đảm bảo an ninh cho môi trường của chúng ta bằng
cách giám sát môi trường để phát hiện những hoạt động bất ngờ, thay đổi vai trò
của người sử dụng, truy cập trái phép,v.v..
4.2.4. Quản lý ảo hóa
Cơ sở hạ tầng ảo hóa tạo ra môi trường năng động, nơi mà tài nguyên máy tính
như máy chủ, storage, phần cứng mang được ảo hóa từ các ứng dụng, hệ điều hành và
người sử dụng. Môi trường ảo phức tạp đòi hỏi cách tiếp cận mới với các dịch vụ IT
truyền thống như xử lý sự cố hiệu suất, quản lý và phân tích rủi ro.
− Ứng dụng ảo hóa của Splunk kết hợp sức manh và tính năng của Splunk
Enterprise được thiết kế dành riêng cho công nghệ ảo hóa. Nó giúp tăng tốc dữ
liệu thu thập được cơ sở hạ tầng ảo. Kết hợp dữ liệu hạ tầng ảo hóa với dữ liệu
tầng công nghệ khác sẽ cho 1 góc nhìn bao quát hơn về hệ thống trung tâm dữ
liệu.
− Splunk App cho ảo hóa có thể tương thích và thu thập dữ liệu ảo hóa từ các công
nghệ ảo hóa như WMware vSphere, Citrix XenServer và Microsoft Hyper-V, và
công nghệ ảo hóa máy tính bàn như Citrix XenApp và Citrix XenDesktop.
− Nó tạo các báo cáo đa dạng , đồng nhất về các công nghệ ảo hóa từ tất cả các lớp
ứng dụng và cơ sở hạ tầng của chúng ta.
− Giúp chủ động ngăn chặn , quản lý vấn đề hiệu suất, tắc nghẽn cổ chai, những sự
kiện bất ngờ, những thay đổi và lỗi an ninh bảo mật nguy hiểm. Nó phân tích và
báo cáo chính xác giúp cho người dùng có trải nghiệm tối ưu.
− Tương quan dữ liệu ảo hóa, giúp việc tìm ra các sự kiện có liên quan một cách dễ
dàng hơn, tương quan các vấn đề về hiệu năng, mạng và kiến trúc hệ thống máy
chủ.
− Giữ lại số liệu về hiệu suất hoạt động của máy để theo dõi và phân tích. Thu thập
dữ liệu có chiều sâu từ máy chủ, máy ảo, hệ thống máy tính. Cung cấp khả năng
hiển thị hoạt động và phân tích hoàn chỉnh bằng cách xác định khả năng của máy
chủ, các máy ảo nhàn rỗi, các máy chủ sử dụng đúng mức, sức chứa dữ liệu, theo
dõi thống kê hiệu suất để tìm mô hình sử dụng và tránh khả năng tắt nghẽn có thể.

13
− Theo dõi những thay đổi và báo cáo về tài sản. theo dõi chi tiêt sự thay đổi mà
người dùng thực hiện, tự đông hóa các tác vụ của vSphere cũng như báo cáo tình
trạng các thành phần ảo.
− Cải thiện an ninh bằng cách giám sát môi trường để tìm các hoạt động đáng ngờ,
vai trò của người sử dụng bị thay đổi, truy cập trái phép và nhiều hơn nữa.

 Với Vmware vSphere

− Splunk App cho VMware cung cấp khả năng hiển thị các hoạt động 1 cách
chi tiết, hiệu suất, log, các tác vụ, sự kiện và lưu đồ từ máy chủ, các máy ảo
và các trung tâm ảo hóa. Cung cấp hình ảnh bao quát và chính xác về tình
trạng sức khỏe của môi trường ảo hóa, chủ động xác định các vấn đề về
hiệu suất, bảo mật, khả năng hoạt động và những thay đổi của máy ảo.
− Nắm được thông tin sức khỏe máy ảo trong thời gian thực. Có thể xác định
lập tức khu vực máy ảo, máy chủ có vấn đề. Phân tích dữ liệu theo thời gian
để xác định xem nó có ảnh hưởng đến cấu hình tài nguyên.
− Nhận báo cáo chi tiết dựa trên mỗi 20s. Khám phá lỗi và các trường hợp
ngoại lệ bằng việc chỉ ra các sự kiện có liên quan tới nhau bằng dữ liệu log
VC và ESXi trong một giao diện điều khiển duy nhất.
− Có thể biết được tình trạng sức khỏe của từng máy ảo. Tăng tốc độ
troubleshoot nhờ vào việc so sánh giữa các máy ảo với nhau.
− Chủ động trong việc quản lý hành vi mờ ám của user, các cuộc tấn công
tiềm năng bằng những báo cáo an ninh
− Nắm bắt được thông tin CPU, bộ nhớ , ổ đĩa và dung lượng disk sử dụng
trong thời gian thực. Chủ động cảnh báo khi thiếu hụt dung lượng xảy ra.
Lấy lại không gian lưu trữ không sử dụng để cho người dùng có trải nghiệm
tối ưu. Sử dụng xu hướng theo thời gian và tối ưu hóa dựa trên tiêu thụ. Dự
báo thông tin CPU, bộ nhớ, nhu cầu ổ cứng cần thiết và hiệu năng của từng
máy chủ, máy ảo VMs thông qua lịch sử sử dụng tài nguyên của máy ảo.

 Với Citrix XenServer và Microsoft Hyper-V:

− Cung cấp góc nhìn theo thời gian thực về các yếu tố như hiệu năng, chỉ số
tiêu thụ tài nguyên , cấu trúc liên kết trên nền tảng máy chủ ảo hóa bằng
cách sử dụng một khuôn khổ báo cáo chung. Nó bao gồm một chuỗi các
biểu đồ liên quan đến hoạt động IT, giám sát hoạt động, lên kế hoạch khả
năng chịu tải, và thay đổi theo dõi.
− Dashboard Out-of-the-box cho 1 cái nhìn cụ thể trong thời gian thực về tình
trạng sức khỏe của máy ảo và máy chủ.
− Đào sâu vào lưu đồ để cho cái nhìn chuyên sâu về hiệu năng, log, thay đổi
về cấu hình, các cảnh báo và hơn nữa.

14
 − Truy cập vào lịch sử dữ liệu cho việc phân tích và xử lý sự cố.
− Cấu hình cảnh báo dựa trên kịch bản có sẵn cho các vấn đề thường gặp như
bộ nhớ, CPU, dung lượng ổ đĩa thấp.
− Giám sát và theo dõi tài nguyên mà máy ảo tiêu thụ để hỗ trợ cho việc lên
kế hoạch về khả năng hoạt động của máy ảo.
− Cho góc nhìn 360 độ về khả năng hiển thị máy ảo với dữ liệu từ tầng công
nghệ khác giúp giải quyết và xử lý xự cố nhanh hơn.
4.3. An ninh trong linh vực IT
− Mối đe dọa an ninh ngày một tăng:
+ Hiện tại các phần mềm malware đã trở nên “tàng hình”, và thường trông
giống như một dịch hay 1 ứng dụng bình thường nào đó. Nó được xây dựng
để lây lan trên toàn bộ hệ thống. Kẻ tấn công có thể tùy ý nghiên cứu chỉnh
sửa hệ thống của chúng ta, nếu bị phát hiện, kẻ tấn công có thể kích hoạt
malware khác để tiếp tục thu thập dữ liệu.
+ Splunk có thể thu thập và index bất kì dữ liệu nào mà không quan tâm đến
định dạng hoặc kích cỡ và thực hiện tìm kiếm tự động trên hàng petabyte
dữ liệu. Splunk có một ngôn ngữ lệnh phân tích mạnh mẽ, thông minh, giúp
các nhà phân tích đặt ra những câu hỏi về bảo mật dựa trên dữ liệu của
chúng ta. Cách tiếp cân đặc biệt này giúp chúng ta chủ động trong việc tìm
cá mối đe dọa bằng cách kiểm tra hoạt động của dữ liệu trong môi trường
hoạt động bình thường.
− Quản lý log:
+ Phần mềm Splunk giúp khách hàng cải thiện vấn đề phân tích dữ liệu log để
quản lý việc kinh doanh của họ tốt hơn. Splunk tự động index dữ liệu, bất
kể có cấu trúc hay không cấu trúc. , cho phép chúng ta nhanh chóng tìm
kiếm, báo cáo, và chẩn đoán các hoạt động và các vấn đề an ninh một cách
ít tốn kém hơn. Với Spunk-việc quản lý log của chúng ta sẽ dễ hơn bao giờ
hết.
− Ứng dụng Splunk dành cho an ninh:
+ Với ứng dụng an ninh của Splunk chúng ta có thể sử dụng số liệu thống kê
trên bất kỳ dữ liệu nào để tìm kiếm các mối đe dọa tiềm ẩn, trong khi vẫn
có thể giám sát liên tục các mối đe dọa đã bị phát hiện bởinhững sản phẩm
an ninh truyền thống.
+ Ứng dụng an ninh Splunk chạy ở phía trên Splunk Enterprise và cung cấp
công cụ để giám sát, cảnh báo và phân tích cần thiết để xác định và giải
quyết các mối đe dọa đã biết và chưa biết. Nó phù hợp với đội ngũ an ninh
nhỏ hoặc một trung tâm hoạt động bảo mật.
+ Bảng điều khiển an ninh cung cấp một cách xem hoàn toàn tùy biến với các
từ khóa bảo mật quan trọng trong lĩnh vực an ninh domain.
15
+ Ứng dụng an ninh Splunk chứa 1 thư viện dựng sẵn các số liệu an ninh để
hỗ trợ người dùng nhận diện được các tình huống và giám sát liên tục các
nguy cơ bảo mật trên domain. Và tất cả thông tin đó đều được thể hiện rõ
trên bảng điều khiển Dash board.
+ Tính năng xem xét lại các sự kiện đã xảy ra: Cung cấp chi tiết quy trình
công việc phân tích cần thiết để các ưu tiên của vụ việc, bối cảnh của sự cố,
loại của nó và các máy chủ có liên quan. Chỉ một click chuột và chúng ta có
thể thấy được các dữ liệu thô mà ứng dụng an ninh splunk lưu trữ.
+ Tính năng bảo vệ tài sản và điều tra nhận dạng mối nguy hiểm cung cấp
cho nhà phân tích an ninh khả năng xem xét các mối đe dọa dựa trên một
loạt các sự kiện an ninh. Đơn giản chỉ cần chọn một khung thời gian sự
kiện hoặc nhiều sự kiện đại diện cho những hoạt động đáng ngờ và Splunk
sẽ tự động hiển thị một bản tóm tắt mô hình an ninh. Với 1 cú click chuột,
chúng ta có thể xem tất cả các dữ liệu thô được đặt ra theo thứ tự thời gian,
đưa ra 1 cái nhìn trực tiếp cho đồng nghiệp hoặc tạo ra một tìm kiếm mới
để xem các sự kiện đã xuất hiện này có tiế tục xuất hiện hay không.
+ Phân tích và dư đoán: Bảng điều khiển phân tích cung cấp một điểm. Nhấp
vào điểm đó sẽ hiện các giải pháp để biết được hướng đi tương lai của điểm
đó và dự báo giá trị dựa trên mô hình dữ liệu. Chỉ cần chọn kiểu dữ liệu, bất
kỳ đối tượng chứa kiểu dữ liệu đó, kiểu hàm trình diễn, thuộc tính và chu
kỳ phân tích mà chúng ta muốn tạo.
+ Danh sách các mối đe dọa: Splunk cung cấp dịch vụ out-of-the-box hỗ trợ
cho 18 mã nguồn mở đe dọa tới dữ liệu nhằm tăng thêm tính bảo mật cho
hệ thống của chúng ta. Splunk cho phép chúng ta thêm mã nguồn mở của
riêng chúng ta và nguồn cung cấp dữ liệu thanh toán chỉ với vài click chuột
mà không cần một cam kết dịch vụ. Splunk còn công tác với trung tâm bảo
mật Norse Security, 1 trung tâm bảo mật uy tín toàn cầu. Splunk còn cho
khách hàng cảm giác trải nghiệm dịch vụ an ninh Splunk cho hệ thống
doanh nghiệp trong vòng 30 ngày.

16