Investigation de cybersécurité avec SplunkIbrahimous
Démonstration d'investigation sur des cyberattaques, dans le contexte d’un SOC, avec l’outil « Splunk ».
Présentation réalisée pour le Security Tuesday de l'ISSA France le 19 mai 2015.
Alphorm.com Formation Splunk : Maitriser les fondamentauxAlphorm
Splunk fait partie des solutions les plus prisés dans le monde de l’analyse de logs. Cette dernière permet de faire parler ses logs et d’en faire sortir des informations décisionnelles quel que soit le domaine d’application.
Mais concrètement c’est quoi des logs ?
Les logs représentent simplement un horodatage et une donnée d’état, entre autre des traces et chacun va pour interpréter ces derniers comme le souhaite selon son expérience, ses compétences et son angle d’analyse.
Il faut savoir que c’est extrêmement difficile d’arriver de manière native à voir l’image en grand, quel que soit le domaine : cybersécurité, troublshooting, Business Intelligence …
Splunk est une solution multi usage pour l'analyse de logs appliqué à la business intelligence, supervision, cybersécurité (proactif)
La nécessité d'une prise de décision intelligente est l'une des exigences les plus importantes pour l'analyse des journaux. C'est pourquoi Splunk est la solution parfaite pour votre entreprise. Avec ce logiciel, vous pourrez analyser vos logs, les comprendre et prendre des décisions en fonction de leurs données.
Cette formation présente deux options
• Option 1 : Vous pouvez effectuer le lab sur votre machine locale via les machines virtuelles transmises par le formateur
• Option 2 : Vous pouvez accéder à notre pour avoir accès à un lab prêt à l’emplois dans le cloud depuis votre navigateur ou via le protocole RDP pour effectuer les manipulations de cette formation mais aussi avoir un accès à des exercices plus poussés afin de vous entrainer et perfectionner vos compétences sur Splunk.
Pour plus d’informations vous pouvez visiter : https://splunk.alphorm.com
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...Tidiane Sylla
Dans ce projet, on s’intéresse à la mise en place d’une solution de gestion de la sécurité du
réseau d’Afribone Mali. Une telle solution est composée d’un tableau de bord de sécurité du réseau,
d’une solution de gestion de logs centralisées et d’une équipe CIRT pour le pilotage de la solution.
Alphorm.com Formation Logpoint SIEM: Le guide completAlphorm
La formation Logpoint « le guide complet »est une formation sur les produits de pointe axée sur des fonctionnalités faciles à appliquer et qui permettra de bien maitrisé et gérer la solution en toute fluidité ainsi vous donnera une idée plus vaste sur le SIEM et qu’est ce qu’il peut offrir comme fonctionnalité pour compléter les couches de sécurités dans un organisme . Le programme de formation LogPoint offre toutes les capacités de gestion de l'information et des événements tout au long de votre solution et de ses applications.
Investigation de cybersécurité avec SplunkIbrahimous
Démonstration d'investigation sur des cyberattaques, dans le contexte d’un SOC, avec l’outil « Splunk ».
Présentation réalisée pour le Security Tuesday de l'ISSA France le 19 mai 2015.
Alphorm.com Formation Splunk : Maitriser les fondamentauxAlphorm
Splunk fait partie des solutions les plus prisés dans le monde de l’analyse de logs. Cette dernière permet de faire parler ses logs et d’en faire sortir des informations décisionnelles quel que soit le domaine d’application.
Mais concrètement c’est quoi des logs ?
Les logs représentent simplement un horodatage et une donnée d’état, entre autre des traces et chacun va pour interpréter ces derniers comme le souhaite selon son expérience, ses compétences et son angle d’analyse.
Il faut savoir que c’est extrêmement difficile d’arriver de manière native à voir l’image en grand, quel que soit le domaine : cybersécurité, troublshooting, Business Intelligence …
Splunk est une solution multi usage pour l'analyse de logs appliqué à la business intelligence, supervision, cybersécurité (proactif)
La nécessité d'une prise de décision intelligente est l'une des exigences les plus importantes pour l'analyse des journaux. C'est pourquoi Splunk est la solution parfaite pour votre entreprise. Avec ce logiciel, vous pourrez analyser vos logs, les comprendre et prendre des décisions en fonction de leurs données.
Cette formation présente deux options
• Option 1 : Vous pouvez effectuer le lab sur votre machine locale via les machines virtuelles transmises par le formateur
• Option 2 : Vous pouvez accéder à notre pour avoir accès à un lab prêt à l’emplois dans le cloud depuis votre navigateur ou via le protocole RDP pour effectuer les manipulations de cette formation mais aussi avoir un accès à des exercices plus poussés afin de vous entrainer et perfectionner vos compétences sur Splunk.
Pour plus d’informations vous pouvez visiter : https://splunk.alphorm.com
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...Tidiane Sylla
Dans ce projet, on s’intéresse à la mise en place d’une solution de gestion de la sécurité du
réseau d’Afribone Mali. Une telle solution est composée d’un tableau de bord de sécurité du réseau,
d’une solution de gestion de logs centralisées et d’une équipe CIRT pour le pilotage de la solution.
Alphorm.com Formation Logpoint SIEM: Le guide completAlphorm
La formation Logpoint « le guide complet »est une formation sur les produits de pointe axée sur des fonctionnalités faciles à appliquer et qui permettra de bien maitrisé et gérer la solution en toute fluidité ainsi vous donnera une idée plus vaste sur le SIEM et qu’est ce qu’il peut offrir comme fonctionnalité pour compléter les couches de sécurités dans un organisme . Le programme de formation LogPoint offre toutes les capacités de gestion de l'information et des événements tout au long de votre solution et de ses applications.
Video: https://www.youtube.com/watch?v=v69kyU5XMFI
A talk I gave at the Philly Security Shell meetup 2019-02-21 on how the Elastic Stack works and how you can use it for indexing and searching security logs. Tools I mentioned: Github repo with script and demo data - https://github.com/SecHubb/SecShell_Demo Cerebro - https://github.com/lmenezes/cerebro Elastalert - https://github.com/Yelp/elastalert For info on my SANS teaching schedule visit: https://www.sans.org/instructors/john... Twitter: https://twitter.com/SecHubb
"Savoir attaquer pour mieux se défendre", telle est la maxime de cette formation Hacking et Sécurité 2020. Partir d’une approche offensive des pratiques et des méthodologies utilisées par les hackers dans le cadre d’intrusions sur les réseaux et les applications. La présente formation hacking et sécurité 2020 se compose de 4 parties :
• Méthodologies de Pentest, Reconnaissance Passive et Active
• Les techniques d'OSINT - L'essentiel
• Attaques Réseaux, Physiques et Clients
• Attaques AD et Web
Dans cette troisième partie, nous découvrirons ensemble les principales techniques d’attaques sur les réseaux informatiques et sans fils qui nous permetteronts d’acquérir les bases pour des formations plus avancées.
Par la suite nous discuteront des attaques systèmes ainsi que les exploitations via backdoors et notamment grâce à des frameworks C2.
Nous finiront ensuite par une introduction aux attaques physiques.
Get advice from security gurus on how to get up & running with SIEM quickly and painlessly. You'll learn about log collection, log management, log correlation, integrated data sources and how-to leverage threat intelligence into your SIEM implementation.
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...Alaaeddine Tlich
Rapport de Projet de Fin d'Etudes.
Pour l’obtention du diplôme de Licence appliquée en Réseaux de l’Informatique Spécialité : Technologies de l’Informatique et de Télécommunication
Intitulé : Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Système et Réseau
Réalisé par : Alaadine Tlich & Nabil Kherfani
Au sein de : Hexabyte
Enjeux et évolutions de la sécurité informatique
- Evolution des attaques informatiques
- Etude des attaques récentes
- Métiers de la sécurité informatique
- Prospective
Giantsnet est un groupe composé de jeunes étudiants professionnels, on est là pour vous , des tutoriels dans tout les domaines Administration des Systèmes & Réseaux ( Virtualisation, Supervision .. ), Sécurité, Linux, CISCO, Microsoft ... et pleins d'autres choses . Notre but c'est de partager l'information avec vous, vous avez qu’à nous suivre pour découvrir.
Facebook :https://www.facebook.com/souhaib.es
Page : https://www.facebook.com/GNetworksTv
Groupe : https://www.facebook.com/groups/Giants.Networks
Twitter : https://www.twitter.com/GNetworksTv
YouTube : https://www.youtube.com/user/GNetworksTv
Splunk Data Onboarding Overview - Splunk Data Collection ArchitectureSplunk
Splunk's Naman Joshi and Jon Harris presented the Splunk Data Onboarding overview at SplunkLive! Sydney. This presentation covers:
1. Splunk Data Collection Architecture 2. Apps and Technology Add-ons
3. Demos / Examples
4. Best Practices
5. Resources and Q&A
Alphorm.com Formation Hacking et Sécurité, l'essentielAlphorm
Lien formation complète ici:
http://www.alphorm.com/tutoriel/formation-en-ligne-hacking-et-securite-lessentiel
Cette formation est une approche offensive des pratiques et des méthodologies utilisées par les hackers dans le cadre d’intrusion sur des réseaux et applications. Nous mettons l’accent sur la compréhension technique et pratique des différentes formes d’attaques existantes, en mettant l’accent sur les vulnérabilités les plus critiques.
Vous pourrez, au terme de cette formation réaliser des audits de sécurité (test de pénétration) au sein de votre infrastructure.
Il s’agit d’une formation complète sur l’essentiel de ce dont vous avez besoin afin de mettre la casquette du Hacker dans vos tests de vulnérabilité , mais aussi si vous souhaitez avoir une approche offensive de la sécurité informatique , ainsi que toute personne souhaitant acquérir les connaissances techniques d’attaques , il faut savoir attaquer pour mieux se défendre.
La présentation des techniques d’attaques et vulnérabilités sont axées pratique s au sein d’un lab de test de pénétration.
Revue des différents types de menaces informatiques, analyse de l'évolution des attaques informatiques, étude de cas avec WannaCry, psychologie du marché de la sécurité informatique, évolution de la réglementation
Learn from a Splunk security expert how to use Splunk Enterprise in a live, hands-on incident investigation session. We'll use Splunk to disrupt an adversary's Kill Chain by finding the Actions on Intent, Exploitation Methods, and Reconnaissance Tactics used against a simulated organization. Data investigated will include threat list intelligence feeds, endpoint activity logs, e-mail logs, and web access logs. This session is a must for all security experts! Please bring your laptop as this is a hands-on session.
Video: https://www.youtube.com/watch?v=v69kyU5XMFI
A talk I gave at the Philly Security Shell meetup 2019-02-21 on how the Elastic Stack works and how you can use it for indexing and searching security logs. Tools I mentioned: Github repo with script and demo data - https://github.com/SecHubb/SecShell_Demo Cerebro - https://github.com/lmenezes/cerebro Elastalert - https://github.com/Yelp/elastalert For info on my SANS teaching schedule visit: https://www.sans.org/instructors/john... Twitter: https://twitter.com/SecHubb
"Savoir attaquer pour mieux se défendre", telle est la maxime de cette formation Hacking et Sécurité 2020. Partir d’une approche offensive des pratiques et des méthodologies utilisées par les hackers dans le cadre d’intrusions sur les réseaux et les applications. La présente formation hacking et sécurité 2020 se compose de 4 parties :
• Méthodologies de Pentest, Reconnaissance Passive et Active
• Les techniques d'OSINT - L'essentiel
• Attaques Réseaux, Physiques et Clients
• Attaques AD et Web
Dans cette troisième partie, nous découvrirons ensemble les principales techniques d’attaques sur les réseaux informatiques et sans fils qui nous permetteronts d’acquérir les bases pour des formations plus avancées.
Par la suite nous discuteront des attaques systèmes ainsi que les exploitations via backdoors et notamment grâce à des frameworks C2.
Nous finiront ensuite par une introduction aux attaques physiques.
Get advice from security gurus on how to get up & running with SIEM quickly and painlessly. You'll learn about log collection, log management, log correlation, integrated data sources and how-to leverage threat intelligence into your SIEM implementation.
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...Alaaeddine Tlich
Rapport de Projet de Fin d'Etudes.
Pour l’obtention du diplôme de Licence appliquée en Réseaux de l’Informatique Spécialité : Technologies de l’Informatique et de Télécommunication
Intitulé : Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Système et Réseau
Réalisé par : Alaadine Tlich & Nabil Kherfani
Au sein de : Hexabyte
Enjeux et évolutions de la sécurité informatique
- Evolution des attaques informatiques
- Etude des attaques récentes
- Métiers de la sécurité informatique
- Prospective
Giantsnet est un groupe composé de jeunes étudiants professionnels, on est là pour vous , des tutoriels dans tout les domaines Administration des Systèmes & Réseaux ( Virtualisation, Supervision .. ), Sécurité, Linux, CISCO, Microsoft ... et pleins d'autres choses . Notre but c'est de partager l'information avec vous, vous avez qu’à nous suivre pour découvrir.
Facebook :https://www.facebook.com/souhaib.es
Page : https://www.facebook.com/GNetworksTv
Groupe : https://www.facebook.com/groups/Giants.Networks
Twitter : https://www.twitter.com/GNetworksTv
YouTube : https://www.youtube.com/user/GNetworksTv
Splunk Data Onboarding Overview - Splunk Data Collection ArchitectureSplunk
Splunk's Naman Joshi and Jon Harris presented the Splunk Data Onboarding overview at SplunkLive! Sydney. This presentation covers:
1. Splunk Data Collection Architecture 2. Apps and Technology Add-ons
3. Demos / Examples
4. Best Practices
5. Resources and Q&A
Alphorm.com Formation Hacking et Sécurité, l'essentielAlphorm
Lien formation complète ici:
http://www.alphorm.com/tutoriel/formation-en-ligne-hacking-et-securite-lessentiel
Cette formation est une approche offensive des pratiques et des méthodologies utilisées par les hackers dans le cadre d’intrusion sur des réseaux et applications. Nous mettons l’accent sur la compréhension technique et pratique des différentes formes d’attaques existantes, en mettant l’accent sur les vulnérabilités les plus critiques.
Vous pourrez, au terme de cette formation réaliser des audits de sécurité (test de pénétration) au sein de votre infrastructure.
Il s’agit d’une formation complète sur l’essentiel de ce dont vous avez besoin afin de mettre la casquette du Hacker dans vos tests de vulnérabilité , mais aussi si vous souhaitez avoir une approche offensive de la sécurité informatique , ainsi que toute personne souhaitant acquérir les connaissances techniques d’attaques , il faut savoir attaquer pour mieux se défendre.
La présentation des techniques d’attaques et vulnérabilités sont axées pratique s au sein d’un lab de test de pénétration.
Revue des différents types de menaces informatiques, analyse de l'évolution des attaques informatiques, étude de cas avec WannaCry, psychologie du marché de la sécurité informatique, évolution de la réglementation
Learn from a Splunk security expert how to use Splunk Enterprise in a live, hands-on incident investigation session. We'll use Splunk to disrupt an adversary's Kill Chain by finding the Actions on Intent, Exploitation Methods, and Reconnaissance Tactics used against a simulated organization. Data investigated will include threat list intelligence feeds, endpoint activity logs, e-mail logs, and web access logs. This session is a must for all security experts! Please bring your laptop as this is a hands-on session.
Détecter et neutraliser efficacement les cybermenaces !Kyos
Le 10.05.2016, Kyos a organisé une matinée sécurité sur Genève autour du thème "Détectez et neutralisez efficacement
les cybermenaces !"
Introduction :
Se doter d’une « capacité proactive d’intelligence en sécurité » est souvent perçu comme une démarche complexe et coûteuse. Cependant les attaques restent trop souvent identifiées uniquement plusieurs mois ou années après les méfaits. Avec LogRhythm, nous vous apportons une solution de nouvelle génération de visibilité centralisée autour des cybermenaces et incidents, qui a été construite pour :
- centraliser la collecte des logs et évènements de votre infrastructure,
- analyser en temps réel et détecter les menaces,
- accélérer votre workflow de gestion des menaces,
- savoir décerner votre niveau de risque,
- mettre en œuvre rapidement la sécurité analytique,
- orchestrer et automatiser la réponse aux incidents.
Nous vous présenterons les fonctionnalités de LogRhythm et son utilisation possible pour la mise en place d’un SOC (Centre de supervision et d’administration de la sécurité).
Pour les personnes voulant aller plus loin, une deuxième partie « hands-on » technique est organisée pour vous permettre d’évaluer les capacités de la solution en direct. Nous vous remercions de bien vouloir transmettre cette invitation à vos collègues intéressés par ce type d’approche pratique et conviviale.
The document provides a review and comparison of the QRadar, ArcSight, and Splunk SIEM platforms. It summarizes their key capabilities and components. For each solution, it outlines strengths such as integrated monitoring, analytics features, and scalability. It also notes weaknesses such as complexity, customization limitations, and high data volume licensing costs. The comparison finds QRadar well-suited for smaller deployments, ArcSight for medium-large organizations, and notes Splunk's log collection strengths but limited out-of-the-box correlations compared to competitors. Gartner assessments for each platform cover visibility trends, deployment challenges, and roadmap monitoring advice.
Spunk is characterized as confident, arrogant, and embodying masculine ideals. In contrast, Joe is fearful and nervous. When Spunk confronts Joe over Lena, he asserts his dominance over her. Though this could be seen as a dangerous stereotype, Lena demonstrates her choice for Spunk. Later, Spunk's character develops signs of weakness as he feels guilt. His demise suggests masculinity can be both empowering and its downfall. The women understand Lena's situation and limitations as a woman in that society.
The document is a series of blank pages with the text "Generated by CamScanner from intsig.com" repeated on each page without any other visible content. It provides no substantive information beyond indicating the pages were created by CamScanner and originate from intsig.com.
SplunkLive Wellington 2015 - New Features, Pivot and Search DojoSplunk
The document discusses new features in Splunk 6.3 including instant pivot tables, pivot tutorials, and the Search Dojo tool. It provides demos and examples of using instant pivot to explore data, pivot tutorials to learn the tool, and the Search Dojo to comment on and improve searches by using subsearches, ensuring results return, and other techniques.
EMC Sponsored Session- Building Massive + Efficient Indexer Storage Environme...Splunk
We all know that Splunk software is designed to handle streaming work flows and scale out very linearly. Infrastructure needs to be able to grow with Splunk’s scalability while being smart enough to take care of itself. There are multiple ways to deploy storage to support your Splunk environment but there are a few recommended practices to keep in mind as you begin planning your Splunk deployment to avoid the pitfalls of traditional DAS infrastructure. From flashing your home path, to ice cold data lakes, + converged solutions, we will cover what you need to know to avoid the common challenges of traditional IT when it comes to big data workloads.
Splunk for Enterprise Security featuring User Behavior AnalyticsSplunk
This session will review Splunk’s two premium solutions - Splunk Enterprise Security (ES) is Splunk's award-winning security intelligence solution that brings immediate value for continuous monitoring across SOC and incident response environments. Splunk UBA is a new technology that applies unsupervised machine learning and data science to solving one of the biggest problems in information security today: insider threat. You’ll learn how Splunk UBA works in tandem with ES, or third-party data sources, to bring significant automated analytical power to your SOC and Incident Response teams.
This document provides an overview of security information and event management (SIEM). It discusses how SIEM systems aggregate log data from various network devices and security tools to enable log management, event correlation, incident investigation and compliance reporting. It describes common SIEM components like log sources, event processors, and management consoles. It also covers log transmission methods, common ports used, and features of SIEM tools like QRadar including rule-based alerting, custom reports, and the Ariel Query Language for log searches.
Cas d’usage du Big Data pour la relation et l’expérience clientJean-Michel Franco
Présentation réalisée pour les assises du Big Data à Charleroi
Elle présente un overview du Big Data, du projet datalyse mené avec des industriels et des unversitaires pour traiter 5 cas d'usages du Big Data ; puis elle zoome sur les cas liés à la collecte des parcours clients multi-canaux et aux recommandations temps réel.
The document discusses machine learning and analytics capabilities in Splunk. It provides an overview of machine learning concepts like supervised vs. unsupervised learning. It then introduces the ML Toolkit and Showcase App, which adds machine learning commands to the Splunk Programming Language. The app uses popular Python machine learning libraries behind the scenes. The document demonstrates how to fit and apply models to data in Splunk using these new commands. It also outlines some limitations and future plans for the preview release app. Example use cases for predictive modeling in areas like capacity planning, insider threat detection, and customer churn prediction are presented.
conception et création une base de donnée de réservation de vol sara bada
L'objectif de notre projet est multiple et tente de répondre à plusieurs perspectives. Dans un contexte de développement, l’application a pour but de proposer une amélioration en terme de gestion de données et l’usage de l’informatique afin de rendre le travail des entreprises plus facile à réaliser, consommant moins de temps et étant sujet du moins possible d’erreurs. On projette donc dans ce travail de pousser l’efficacité des employés du service Liaison de la joint venture Sonatrach/Bp/Statoil en leur proposant une application qui automatisera la gestion des réservations de vols.
Une description de X-Analysis Professional, qui contient les fonctionnalités essentielles de l’ensemble d’outils X-Analysis. X-Analysis Professional comporte
des fonctionnalités automatisées et interactives de documentation et d’analyse d’impact pour les applications RPG et COBOL résidant sur la plateforme IBM i.
MISE EN ŒUVRE ET IMPLEMENTATION SUR GLPI.pptxPriscilleGANKIA
ce document aborde un projet de classe réalisé portant sur la mise en place et l'implémentation du logiciel GLPI sur le système d'information de l'université Denis SASSOU-N'GUESSO au CONGO Brazzaville
Synchroniser ses applications (plus) simplementgplanchat
Lors du PHP Tour 2017 Nantes, nous avions vu la présentation du composant akeneo/batch. Revenons sur 3 ans supplémentaires d'usage, de réflexions et de refactorisation qui ont abouti à la création d'un framework spécialisé.
Dans des environnement de plus en plus interconnectés, de plus en plus hétéroclites, nous voyons apparaitre l'usage des PWA, la généralisation des API et des tâches en files d'attentes asynchrones. Là où les solutions pour interroger des petits volumes de données dans des bases distantes commencent à atteindre une certaine maturité.
Où en sommes-nous sur les synchronisations en grand volume et aux formats de données hétéroclites ?
RMLL 2011 - TYPO3 le CMS de référence au gouvernement du QuébecYannick Pavard
Présentation donnée lors des RMLL 2011 à Strasbourg. On y parle du succès de TYPO3 comme SGC au gouvernement du Québec, du fonctionnement des appels d'offres, procès de SFL, Loi 133, etc...
Une vidéo sera disponible sur le Web, sans doute sur le site des www.rmll.info édition 2011.
2. Introduction
Splunk est considérée
comme étant l’une des plus
puissante plate-forme d’analyse des données
machine, des données que génèrent les machines
en grande quantité mais qui sont rarement utilisé
de façon efficace.
En effet les données machine (Machine data)
sont déjà d’une importance capitale dans le
domaine de la technologie et ne cesse de gagner
de l’influence dans le monde des affaires
(intelligence opérationnel).
3. Introduction
La meilleure façon de prendre conscience de la puissance
ainsi que de la polyvalence de splunk est de se pencher sur les
deux scénarios qui suivent :
1-le premier étant dans ‘’Data center ’’
2-le second étant dans le département marketing
4. Splunk à la rescousse dans un
Datacenter :
Imaginant le cas de
figure suivant : il est 2h du
matin. Le téléphone
sonne, votre patron
appelle, pour vous
informer que le site web
de la compagnie est
tombé en panne, et là
instantanément un torrent
de question vient vous
harceler l’esprit .
5. Splunk à la rescousse dans un
Datacenter : (suite)
vous avez déployé
splunk au préalable, il
suffit juste de le lancer
de votre emplacement
en se connectant à
votre serveur splunk, et
d’effectuer des
recherches sur vos
fichiers log rediriger
depuis vos serveurs :
web, base de données,
firewall, routeurs, etc.
6. Splunk Dans Le Département
Marketing:
Vous travaillez au sein du
service de promotion
d’une grande
compagnie, La semaine
dernière, les gars du
Datacenter ont installé un
nouveau tableau de
bord Splunk qui montre
(pour la dernière heure, le
jour et semaine) tous les
termes de recherche
utilisés pour trouver le site
web de la société.
7. Le fonctionnement de splunk
Vue qu’on utilise splunk pour
réponde à un certain
nombre de questions, qui
dépondent principalement
de notre contexte
professionnel on peut
rapidement se rendre
compte que cette tache
peut se deviser en trois
phases distinctes voir le
graphe :
Premièrement,
identifier les données
qui peuvent répondre
à votre question.
Troisièmement,
afficher la réponse
dans un rapport,
tableau interactif, ou
graphique pour la
rendre intelligible à un
grand nombre de
gens.
Deuxièmement,
transformer les
données en
résultats qui
peuvent répondre
à vos
question.
8. Le fonctionnement de splunk
Le cœur de métier de splunk est de rendre les données machines
utile pour les gens.
En effet le gens qui ont créé les systèmes tel que : (Serveur web,
load balencers, plateformes de médias sociaux, etc...),ils ont aussi
spécifié les informations que ces derniers doivent écrire au sein des
fichiers log quand il sont au en train de s’exécutées.
Exemple (d’output dans un fichier log) :
Action: ticked s:57, m:05, h:10, d:23, mo:03, y:2011
Action: ticked s:58, m:05, h:10, d:23, mo:03, y:2011
Action: ticked s:59, m:05, h:10, d:23, mo:03, y:2011
Action: ticked s:00, m:06, h:10, d:23, mo:03, y:2011
9. Le fonctionnement de splunk
Mais comment splunk
conçoit-il les données
machines?
-Réponse:
Splunk divise les données
machine brutes en morceaux
d'information discrets connu sous
le nom ‘’événements’’.
en effet Lorsque vous effectuez
une recherche simple, Splunk
récupère les
événements qui correspondent à
vos termes de recherche.
11. Le fonctionnement de splunk
La seule exigence concernant les
données machine est le faite
qu’elles soient textuel et non pas
binaire, par exemple les fichiers
images et son sont des exemples
courant de données binaires,
toutefois certains types de fichiers
binaire comme le core dump qui
ce produit lorsque un programme
crashe peut être convertie en
format texte. Splunk offre la
possibilité de faire appelle à nos
scripts afin de pouvoir réaliser ce
type de conversion avant
l'indexation des données
Durant l’indexation Splunk peut lire
les données à partir de plusieurs
sources parmi on site : (les plus
commune)
Les fichiers
Le réseau
Les scripts
d’entrée
12. Le fonctionnement de splunk
Comment Splunk traite les données machine au sein d’un Datacenter ?
1-Splunk Commence par indexer les données
Ce qui signifie que Splunk
collecte les données de
différents endroits et les
combine puis il les stocke
dans un index centralisé,
avant les administrateur
système devait se logger
dans différentes machines
afin d’avoir accès au
données
2-utilisation des indexes pour optimiser les recherches
L’utilisation des indexes
confère à Splunk un grand
degré de rapidité lors des
recherches de sources de
problèmes dans les fichiers
log
3-filtrage des résultats
Splunk mais à disposition
de l’utilisateur plusieurs
outils permettant de
filtrer les résultats ce qui
implique par voie de
conséquence une
détection plus rapide de
la racine du problème
13. Le fonctionnement de splunk
Remarque :
Le Champ Timestamp (_time ) est considéré comme étant spécial dû au fait que les indexeurs l’utilise pour
ordonner les évènements , il permet aussi à Splunk de rechercher efficacement des évènements
appartenant un intervalle temporelle bien précis .le schéma qui suit montre de façon détaillée le
processus d’indexage de Splunk.
14. Le fonctionnement de splunk
Les données que Splunk prend en Input
sont appelées les données brut. Splunk
les indexe on créant une map de mots
basée sur le temps.
Ce qu’il faut bien retenir c’est que ce
processus ce déroule sans que les
données ne soient modifiées .
En effet l’indexe que construit Splunk
est similaire aux indexes qui existent au
dos des manuels scolaires, et qui
pointent vers des pages en utilisant des
mots spécifiques .cependant en Splunk
les « pages » sont appelés événements
Chaque évènement en Splunk dispose
d’au moins quatre champs par défaut
et qui sont fournis dans le schéma qui
suit :
15. Le fonctionnement de splunk:
Afin de réaliser des recherches splunk offre une interface graphique bien accueillante comme on
peut le voire dans l’animation qui suit:
16. SPL : (Search Processing Language)
Splunk offre une aide précieuse puisque il
permet de tamiser les données provenant de
plusieurs indexes de grandes taille pour ne
conserver à la fin que les données utiles
permettant ainsi de répondre à nos questions
que sa soit d’un point de vue technologique
(administration réseau ,sécurité informatique )
ou bien d’un point de vue intelligence
opérationnelle (exemple : examiner les
données utilisateurs de notre afin de déceler
quelles sont les tendances futur ).
En effet Splunk offre un outil très performant
qui permet de réaliser des recherches d’une
précision d’orfèvre, cet outil n’est rien d’autre
que le langage SPL.
Définition:
SPL ou Search Processing
Language est un langage de
programmation à usage spécial
conçu par Splunk, afin de gérer,
la big data généré par un réseau
de machine. A L'origine SPL est
basé sur Unix Piping et SQL, son
champ d'application comprend
les données de recherche, de
filtrage, de modification, de
manipulation, d'insertion et de
suppression.
17. SPL : (Search Processing Language)
L’exemple suivant donne un aperçu du potentiel qu’offre ce langage :
sourcetype = syslog ERROR | top user | fields - percent
En effet cette ligne de commande aura comme résultat tous les événements ayant comme sourcetype syslog et contenant la chaine de caractères
ERROR ceci est pour le premier segment de la commande ensuite ce résultat sera rediriger comme input pour le 2éme segment de la commande
et qui est (top user) et qui va fournir les 10 valeurs du champ user les plus récurant dans le input qu’il a reçu ensuit le résultat de ce 2éme
segment servira comme input au 3éme segment (fields-percent ) ce segment a pour but d’éliminer la colonne percent qui est générer
automatiquement lors de l’exécution de la commande top l’animation qui suit montre de manière détaillé l’exécution de cette commande
18. SPL : (Search Processing Language)
Les catégories de commandes
Splunk
Les commandes de
tries
les commandes de
filtrages
Les commandes de
regroupement de
résultats
Les commandes
sont:
Les commandes
sont
search
La commande est :
Sort
Where
Dedup
Head
Tail
Les commandes de
reporting :
La commande est:
Top/rare
Transaction
Stats
Chart
timechart
Le commandes de
modification,
filtrage, ajout de
champs :
Les commandes
sont:
Fields
Replace
Rex
Eval
Lookup
19. SPL : (Search Processing Language)
Explication de l’Arborescence :
1- la commande sort : est une commande ayant pour but d’ordonner les résultats d’une
recherche et de limiter de manière optionnel le nombre de résultats.
2- les commandes qui suivent sont des commandes de filtrages en autres termes se sont des
commandes qui vont prendre un ensemble d’évènements ou de résultats comme entrée afin
qu’ils subissent une opération de filtrage ayant comme objectif de fournir une sortie d’une
dimension moindre que celle de l’entrée et qui ne conserve que les informations nécessaire :
(search, where, dedup, head, tail).
3-la commande transaction est une commande de type Grouping Results comme le nom du
type de la commande l’indique cette dernière a pour but de regrouper les évènements de
façon à mettre en lumière des tendances (très apprécié dans le domaine de l’intelligence
opérationnel ).
4- les commandes classifier dans la catégorie Reporting sont des commandes dont le cœur de
métier est de générer des résumer pour les rapports en prenant comme entrée les résultats de
recherche. Parmi ces commandes on site : (top/rare, stats, chart, timechart).
5-les commandes de type modification, filtrage, ajout de champs : ce sont des commandes
ayant comme rôle de filtrer (supprimer) certains champs afin de ne se focaliser que sur les
champs qui nous intéresse, ou bien modifier ou ajouter des champs pour enrichir nos résultats
on site : (fields, replace, rex, eval, lookup).
20. Le déroulement du stage
En effet le but de ce
stage est la réalisation
d’un outil de message
syslog pour les
équipements réseau
de la DSI.
Cette solution sera
implémenter dans un
premier temps dans un
environnement ayant
l’architecture suivante :
21. Le déroulement du stage
La première phase
a été d’établir une étude afin de
déterminer les caractéristiques technique de
l’environnement hardware sur lequel splunk devrait être
déployé, ces derniers sont cité dans ce qui suit:
les caractéristiques Hardware
1-le processeur : une puce Intel d'architecture x86 64bit.
2- 2 CPUs 4cores pour chacune d'ente elle soit un total de 8 cores , un minimum de 2.5 GHz pour
chacun des cores
3-La mémoire vive : une RAM d'une taille de 8 GB.
4-la carte réseau : une carte de 1 Gb Ethernet , (optionnelle) une deuxième carte réseau Ethernet
du même type pour la gestion du réseau
22. Le déroulement du stage
Effectivement l’environnement matériel qui a été choisi est
le suivant:
1-un serveur IBM System x3650 (offrant les caractéristiques
technique vue précédemment)
2-Installation de la distribution centos 6.3 64 bits sur ce
dernier
23. Le déroulement du stage
Sur le site web de la compagnie splunk :
il n’existe aucune procédure d’installation spécifique à une distribution centos, cependant
vue que centos est un équivalent open source de RHEL on adoptera la même procédure
d’installation spécifiée pour ce dernier :
Pour installer splunk dans le répertoire par défaut /opt/Splunk
rpm -i splunk_package_name.rpm
./splunk start --accept-license
./splunk enable boot-start
Afin de se connecter à l’interface web de splunk il suffit de
taper :
http://<hostname>:port
24. Possibilité à exploiter
Les SDK de Splunk sont écrits au-dessus de la APIs REST Splunk. est de
nous fournir une large couverture de l'API REST dans un mode
spécifique au langage utilisé. Afin de faciliter votre accès à notre
moteur de recherche Splunk.
Les différentes SDKs fournis par splunk sont es suivantes:
Python
Java
JavaScript
PHP
Ruby
C#
25. Possibilité à exploiter
tout ce qu’on vient de cité est intéressant, Cependant qu’elles sont les
possibilités qu’offre de telle SDKs pouvant être exploitées afin de répondre au
mieux à notre besoin:
L’intégration avec d’autres outils de reporting
Se connecter directement à splunk
Intégrer les résultats de recherche de Splunk dans nos applications
Extraire des données pour l'archivage
Construire une interface utilisateur adopter à nos besoins en se basant sur la pile web
existante