לקראת אירוע | כל מה שרציתם לדעת על פתרון Splunk

האתגר
המכונות בארגון (מערכות ה-IT והתשתיות) בסביבות השונות: פיזיות וירטואליות וב-"ענן", מייצרות נתונים רבי ערך הכוללים, בין השאר: תיעוד של פעולות המשתמשים, התנהגות לקוחות, איומי אבטחה, פעולות מרמה ועוד. הנתונים דינאמיים, בלתי מובנים ואינם סטנדרטים, כאשר הגרסאות הקיימות של בחינת הנתונים לצרכי ניהול ומעקב, אינם בנויים לטיפול בסוג זה של נתונים.

הפתרון
Splunk – פתרון תוכנה מתקדם, המוטמע במהלך קצר (דקות) בארגון, אשר אוסף ומקטלג בזמן אמת נתוני מכונה מכל מקור שהוא, תבנית או מיקום. זאת, ללא צורך ברכישת תוכניות או חיבורים מותאמים במיוחד. ניתן להתאים את Splunk לעבודה מול שרת אחד (Windows, Linux, Unix), או לקטלג נפחים עצומים של עשרות טרה בייט ביום שמקורם במערכות מידע שונות, ללא קשר עם מיקומן הגיאוגרפי. Splunk כולל מערך מקיף של אבטחה, ובוחן בכל גישה את הרשאת המשתמש, כולל פעולות מערכתיות, פעולות משתמשים באינטרנט וממשקי שורות פקודה. באתר קהילת Splunk ניתן לחלוק במספר גדל והולך של יישומים זמינים עבור תפקידים ומצבי שימוש שונים.

התועלות
איתור ותחקור – ניתן לאתר ולתחקר נתונים בזמן אמת באמצעות מונחים ספציפיים או ביטויים. בקליק אחד ניתן למצוא תא "המחט בערימת השחת", להגיב לאירועים, יישומי SLA ועוד, עם התרחשותם.

צבירת ידע – ניתן להוסיף קשרים ומשמעויות לנתוני המכונה: מתן שמות, תיוג שדות ונקודות נתונים. כמו כן ניתן להוסיף נתונים ממקורות חיוניים כגון: מסדי ניהול, מערכות ניהול תצורה, ספריות משתמשים ולהפוך את נתוני המערכת למאגר ידע, ברור ונהיר עבור כל המשתמשים.

פיקוח והתרעה – החיפושים יכולים להפוך להתרעות בזמן אמת, אשר מפעילות תגובות באופן אוטומטי כגון: משלוח אוטומטי של דוא"ל, שליחה ל-RSS FEED או משלוח הודעה למערכת הבקרה – SNMP Trap. ניתן לבסס את ההתרעות על מגוון מצבי סף, מגמות ותבניות מורכבות.

דיווח וניתוח – באמצעות אשף הדוחות ניתן לייצר במהירות תרשימים מתקדמים, גרפים ולוחות מחוונים המציגים מגמות, ערכים ונתונים נדרשים לצורכי ההנהלה, הארגון או משתמשים אחרים.

לקוחות – פתרון Splunk נמצא בשימוש של למעלה מ-3,200 לקוחות בעולם מהם למעלה מ-50% מהארגונים המשתייכים ל-.Fortune 100

מציין בעז לוינשטיין, מנהל אגף תשתיות מחשוב ב-012: "מערכת Splunk אוגרת את כלל תוצרי הלוג המיוצרים במערכות ההנדסיות של החברה: נתבים, מערכות דואר, מערכות זיהוי, DNS וכד'. המערכת מציגה לכלל מוקדי החברה מימשק ובו ניתן לקבל ניתוח בזמן אמת של אירועים רלוונטים ע"פ דרישה ובהתאמה ללקוח או למזהה מסוים (לדוג' כתובת IP).

עם קבלת שיחה מלקוח המערכת מציגה את המופעים הרלוונטים לצורך הצגה פשוטה של נתוני הלוג ובכך למעשה נותנת לנציג השירות מענה מידי והבנה של תקלות לקוח, כגון הקשת סיסמא שגויה. ע"י שימוש במערכת אנו חוסכים זמן שיחה יקר מכוון שבחלק מן התקלות אין צורך "לתחקר" את הלקוח והבעיה מוצגת מיד. ע"פ נתוני המוקד הפעלת המערכת חוסכת בזמן שיחה ומייעלת את פעילות המוקד.

לאור ההצלחה והתוצרים שקבלנו מן המערכת, אנו משמישים את המערכת לניתוח לוגים שמתקבלים ממערכות ה-IT לצורך זיהוי תקלות וסיוע בעבודה היום יומית של נציגי מחלקת HELP DESK. בשלב ראשון אנו מנתחים את כלל פעילות זיהוי שמות המשתמשים בארגון.

עם השמשת המערכת בשלב הפיילוט זיהינו שוב ירידה בתלונות לקוחות פנימיים ומענה מהיר ומקצועי בהבנת בעיות זיהוי וכניסה למערכות. לדוגמא: עובד שסיסמתו הייתה ננעלת בצורה תכופה מיד עם השמשת המערכת, זוהה כי במכשיר סלולרי הותקנה תוכנת דואר נוספת שלא הותקנה ע"י נציג מחלקת HD וגרמה לנעילת חשבונו של העובד".