Différences

Ci-dessous, les différences entre deux révisions de la page.

--- splunk [2023/08/04 16:10] – [Architecture] superadmin
+++ splunk [2023/09/14 17:13] (Version actuelle) – [Procédures & Documentation] superadmin
@@ Ligne 1: / Ligne 1: @@
 ====== Splunk ======
-Splunk est une application permettant la collecte et l'analyse de grandes quantités de données en provenance de machines d'une infrastructure (serveurs, équipements réseaux, applications...). Elle permet l'investigation et le reporting en temps réel et peut être utilisée comme SIEM, à l'instar de la stack ELK.
+Splunk est une solution de collecte et l'analyse de grandes quantités de logs en provenance d'une infrastructure (serveurs, équipements réseaux, applications...). Elle permet l'investigation et le reporting en temps réel et peut être utilisée comme SIEM, à l'instar de la stack ELK.
 ===== Fonctionnement de Splunk =====
@@ Ligne 7: / Ligne 7: @@
 ==== Architecture ====
-Splunk a deux 3 types de déploiements : local, on premise, et cloud. Il est composé d'un ou plusieurs hôtes avec des rôles différents, pouvant être redondés et mis en cluster pour former une architecture distribuée.
+Splunk a 3 modes de déploiement : local (sur une machine unique), on premise, et cloud. Il est composé d'un ou plusieurs hôtes avec des rôles différents, pouvant être redondés et mis en cluster pour former une architecture distribuée.
 Quel que soit le rôle des hôtes, sous Linux, Splunk est installé par défaut dans le répertoire ''/opt/splunk''.
@@ Ligne 22: / Ligne 22: @@
   * Thawed (thawedPath) : Stocke les évènements "décongelés" depuis le bucket frozen (fichiers dans ''/opt/splunk/var/lib/splunk/%index%/thaweddb/*'')
-Une fois les données indexées, elles peuvent être réutilisées par les applications. Ce sont les hôtes avec le rôle "Tête de recherche" ("Search head") qui effectuent les recherches et génèrent les rapports.
+Une fois les données indexées, elles peuvent être réutilisées par les applications. Ce sont les hôtes avec le rôle "Tête de recherche" ("Search head") qui effectuent les recherches, corrèlent les données, et génèrent les rapports.
 Pour terminer, le composant "Deployer" permet la gestion de la configuration des têtes de recherches.
-Voici à quoi ressemble schématiquement une architecture Splunk complète et distribuée :
+Voici à quoi ressemble schématiquement une architecture de traitement Splunk distribuée :
-{{ ::splunk_full_arch.png?600 |Architecture Splunk complète et distribuée}}
+{{ ::splunk_full_arch.png?400 |Chaîne de traitement de données Splunk distribuée}}
@@ Ligne 43: / Ligne 43: @@
 :!: En cas de violation de licence, Splunk ne désactive pas les recherches mais alerte les utilisateurs.
-Les licences Splunk sont gérées par un maître de licence au sein de l'architecture, sous forme de pools de licences que l'on peut attribuer à chaque composant (indexeurs, têtes de recherches, forwarder...) en fonction du besoin.
+Les licences Splunk sont gérées par un maître de licences au sein de l'architecture, sous forme de pools de licences que l'on peut attribuer à chaque composant (indexeurs, têtes de recherches, forwarder...) en fonction du besoin.
 :!: Splunk déconseille d'attribuer les licences des forwarders via les pools de licences.
@@ Ligne 58: / Ligne 58: @@
 Les applications et extensions pour Splunk sont généralement gratuites, en dehors de quelques unes qui nécessitent une licence premium.
+===== Procédures & Documentation =====
+[[Installation de Splunk Enterprise]]
+[[Configuration de Splunk]]
+[[Importer des données dans Splunk]]