Splunk-技术白皮书说明

1、 -技术白皮书目 录 TOC o 1-3 h z u HYPERLINK l _Toc236419127一、Splunk产生的背景3HYPERLINK l _Toc236419128二、目前IT数据整合的需求3HYPERLINK l _Toc2364191292.1、IT设备的数据整合需求 PAGEREF _Toc236419129 h 3HYPERLINK l _Toc2364191302.2、主机系统和数据库的数据整合需求 PAGEREF _Toc236419130 h 4HYPERLINK l _Toc2364191312.3、各种业务系统的数据整合需求 PAGEREF _Toc2364

2、19131 h 4HYPERLINK l _Toc2364191322.4、应用程序的数据整合需求 PAGEREF _Toc236419132 h 5HYPERLINK l _Toc2364191332.5、IT数据的法规遵从 PAGEREF _Toc236419133 h 6HYPERLINK l _Toc236419134三、Splunk介绍 PAGEREF _Toc236419134 h 6HYPERLINK l _Toc236419135四、Splunk的四大应用 PAGEREF _Toc236419135 h 7HYPERLINK l _Toc2364191364.1、运维IT数据整

3、合 PAGEREF _Toc236419136 h 7HYPERLINK l _Toc2364191374.2、IT安全信息及数据的整合 PAGEREF _Toc236419137 h 9HYPERLINK l _Toc2364191384.3、应用程序IT数据整合 PAGEREF _Toc236419138 h 10HYPERLINK l _Toc2364191394.4、IT数据的法规遵从 PAGEREF _Toc236419139 h 11HYPERLINK l _Toc236419140五、Splunk的六大神奇功能 PAGEREF _Toc236419140 h 13HYPERLIN

4、K l _Toc2364191415.1、Index(索引) PAGEREF _Toc236419141 h 13HYPERLINK l _Toc2364191425.2、Search(搜索) PAGEREF _Toc236419142 h 13HYPERLINK l _Toc2364191435.3、Alert(警报通知) PAGEREF _Toc236419143 h 14HYPERLINK l _Toc2364191445.4、Report(报告) PAGEREF _Toc236419144 h 14HYPERLINK l _Toc2364191455.5、Share(资源共享) PAG

5、EREF _Toc236419145 h 15HYPERLINK l _Toc2364191465.6、Secure(安全功能) PAGEREF _Toc236419146 h 15HYPERLINK l _Toc236419147六、Splunk技术参数 PAGEREF _Toc236419147 h 16HYPERLINK l _Toc2364191486.1、Index 索引 PAGEREF _Toc236419148 h 16HYPERLINK l _Toc2364191496.2、Search 搜索 PAGEREF _Toc236419149 h 17HYPERLINK l _Toc

6、2364191506.3、Alert - 事件警告 PAGEREF _Toc236419150 h 17HYPERLINK l _Toc2364191516.4、Report 报告 PAGEREF _Toc236419151 h 17HYPERLINK l _Toc2364191526.5、Share 分权管理 PAGEREF _Toc236419152 h 17HYPERLINK l _Toc2364191536.6、Scale 扩充与能力 PAGEREF _Toc236419153 h 17HYPERLINK l _Toc2364191546.7、Secure 安全架构 PAGEREF _

7、Toc236419154 h 18一、Splunk产生的背景计算机技术、网络技术、信息技术已经成为各个组织和机构建设中必不可少的组成部分，甚至相当一部分组织和机构把信息化建设看成组织和机构建设的重中之重。因为互联网，信息化都给组织和机构带来了海量的，即时的各种信息，但是不是所有信息是有用的，因此很多组织和机构为了有效的管理这些海量的信息，并使之成为组织和机构有用的信息，现在都在进行IT数据整合的项目，也就通常大家都提到过的数据大集中。同时，随着信息架构与应用系统日渐庞大，现行IT架构中，早已不是单一系统或是单一设备的单纯环境，组织中往往使用许多不同的 Log Management 对应不同系统

8、、设备与应用的需求，然而除了成本扩张外，每年的维护与人力资源的投资，都是一笔可观的费用成本，既使组织可以暂时获得单一事件或需求上的满足，对于结合异质系统、平台的问题上，却又需要花费大量的人力时间，对于问题解决的时间花费与异质平台问题查找，都无法有效管理与降低成本。因此在数据大集中背景下，如何使组织和机构的IT数据进行整合，管理，维护，分析并使之再生效益。那就是使用目前大家都耳熟能详的一种技术搜索。二、目前IT数据整合的需求2.1、IT设备的数据整合需求随着组织和机构信息化建设的规模越来越大，购买的各种设备也越来越多，各种类型的设备不一而足，即便是同一种类型的设备都可以分为好几种品牌。例如基础网

9、络建设中，需要采用，路由器，交换机，接入链路等，而路由器又有思科，华为，Juniper等品牌；而安全和应用层IT建设中，组织和机构会需要防火墙，负载均衡器，代理网关或入侵防御等设备，而光负载均衡器市场就有Radware，F5，Array等6，7个品牌。因此当一个中大型组织和机构面对如此众多但又比不可少的IT设备时，对于IT的网管人员管理的难度是可想而知，他们迫切需要一个综合的数据平台，能够统一查看这些设备的状态，而不需要每天都都到设备上登录一次；需要一个能当这些设备出问题时，快速定位出问题所在的机制；需要一个能快速生成报表，并且能够整合多台设备数据生产报表的系统。2.2、主机系统和数据库的数据

10、整合需求同上述IT设备来说，服务器和数据库的数据管理也是大同小异，甚至比这些设备的数据更难管理。对于网管人员同样会遇到大量服务器，而这些服务的数量甚至远远超过了IT设备的数量，因此每日查看这些服务器的状态，查找是否有服务器出现问题，并对出问题的服务器进行人工的日志分析，并需要定时为这些服务手工生成报表，都为网管人员的工作带来大量低技术含量并重复率极高的内容，使网管工作经常性陷入一种无意义的瞎忙状态中。对于数据库管理员来说，组织和机构里数据库可能没有服务器那么多，但是其管理工作的难道也非常高，因为数据库里的信息是组织和机构最重要的信息，其需要安全程度可想而知，但是由于数据库必须要接受各种类型的人

11、物来访问，因此数据库管理人员对于这些访问信息非常关注，比如每天都有什么人来访过，有多人被拒绝了，都什么时间段来访问的，访问的过程中都执行了什么命令，这些访问都使用了什么IP地址，发生了多少次数，数据库的某些关键信息是否有被改动的记录等等。而这些信息都不是数据本身能够提供，需要耗费数据库管理员大量的时间才能统计出来，有的甚至无法统计，因此数据库的数据管理也是大型组织和机构亟待解决的问题。2.3、各种业务系统的数据整合需求组织和机构为了信息化建设，将会开发各种IT业务系统，旨在提升工作效率，减少繁复的工作流程，整合组织和机构各种资源，最终提升整个组织和机构的生产力，为组织和机构带来效益。但是随着信

12、息化建设的不断扩大，这些业务系统也逐渐变多，变大，例如，组织和机构会有OA系统，ERP系统，CRM系统，邮件系统，财务系统，公文审批系统，组织和机构门户网站等等。同样这些IT业务系统会产生大量的IT数据，而这些IT数据又是非常重要的，因为其关系组织和机构各个业务流程的具体运营状态，如果一个系统出现问题将有可能导致整个组织和机构停摆。而网管人员对于这些组织和机构业务系统产生的各种数据，管理起来更是头大，因为这些业务系统由于开发方式，开发的组织和机构和开发工具不同产生的数据是各式各样的，因此对于这些数据的归档，整合和联合分析都有着巨大的难度。但是这些又是势在必行的，因为这些系统的各种状态对于组织和

13、机构正常运行起着巨大的作用，比如，领导可能想即时的看到ERP系统中某产品近半年的销售状态，想了解CRM系统中某客户近一年内和本组织和机构的生意往来，想知道今天有没有人利用Mail系统发垃圾邮件，有知道某个销售一个季度的业绩，想了解组织和机构的门户网站都有多少人来访问，都来自那些地方。而这些需求如果仅仅靠网管人员和其现有的工具来实现，简直比登天还难。2.4、应用程序的数据整合需求最后一部分，就是组织和机构开发的这些业务系统的支撑软件产生的各种IT数据，例如下述如BEA，SAP，Vmware，Exchange，Websphere，Weblogic，Veritas，Apache，IIS，Tomcat

14、这些软件等等。对于一个中大型组织和机构拥有这么多类型软件并不是一件什么新鲜事情。但是对于系统维护人员，或者网管人员来说可以算是一种灾难，因为这些软件都是个组织和机构各种业务息息相关的，任何一个软件出现问题，都会导致组织和机构的某一个业务系统停顿，对组织和机构正常运行产生负面影响，给组织和机构带来各种损失。因此，对于这些软件产生的IT数据，组织和机构需要一个综合的数据管理平台，能够利用这些软件的数据进行相关性的分析，能够在这些软件出现问题时最快速找到问题，能够定时的为这些软件产生运行状态报表，能够通过分析这些数据为组织和机构的领导进行信息化建设时提供数据支持。2.5、IT数据的法规遵从诸如FFI

15、EC、FISMA、HIPAA、PCI和SOX之类的法规遵从强制规定，皆不断针对监控、报告及审核记录检查工作加入新的要求。但要完全符合这些要求，通常是相当困难且需付出高成本。而您所需的IT数据往往散布于系统各个角落，难以有效存取、分析及管理。此外，若必须同时兼顾其它控管领域的法规遵从，还必须对由防火墙、存取控制系统及应用程序所产生的系统管理日志文件，产生访问控制操作报告。而这些系统所产生的日志文件，往往具有不同的格式和储存位置。每位审核员的请求，亦涉及截然不同的手动程序。也许您正饱受组织内部产生的脚本所造成的IT数据问题，并发现持续维护会影响IT资源。即使采用商业日志文件管理系统方式，亦会发现其

16、极为僵硬且功能受限。其无法处理自定应用程序，并需要持续的维护，才能跟上变化的脚步。除了明确的记录规定外，对于生产系统的限制存取规定具有更大，但却常被低估的影响力。若拒绝开发人员及应用程序系统管理员存取生产系统以分析日志文件及配置，将会阻碍其发现及修正与获益服务相关问题的努力。若仅着重于监控及检查法规遵从性数据的日志文件管理方式，对于弥补这种营运缺口则毫无帮助。三、Splunk介绍Splunk是专门设计给组织和机构使用的IT搜索引擎(Search Engine)，它将雅虎、Google的搜寻技术与概念发扬光大，如今组织和机构可以用Splunk来管理复杂的 IT 系统。Splunk的软件能自动收集

17、由各种服务器、网络设备和软件产生的数据与日志。Splunk的设计与使用概念就像是Google谷歌搜索引擎一样，组织和机构一旦安装Splunk的IT Search Engine之后，IT人员就可以透过Browser使用Splunk并对组织和机构的各种IT Data进行关键词(Keyword)搜寻，快速地得到所需要的数据，除此之外Splunk本身还具有计算(Computing)能力，管理者可以透过Splunk将搜寻所得的结果立即做运算处理，产生各种报告、图表与警示，而且还可以设定Splunk进行排程定时搜寻，并将结果以Email Alert方式通知相关人员。Splunk的IT Search Eng

18、ine设计打破过去传统IT管理的方式，也突破过去各种IT管理工具如IBM Tivoli, HP OpenView, CA UniCenter的使用方式，用简单易懂的关键词(Keyword)搜寻方式，来协助IT人员找寻与解决IT问题。使用者不仅可以透过Splunk进行IT Search，还可以透过它的SplunkBase与API来开发相当多种的应用工具。市场上多认为Splunk将会是未来组织和机构IT管理的主要工具。管理的真谛是简化流程。Splunk IT Search是一个全新的概念，藉由功能强大的搜索引擎，能够协助管理人员快速搜寻各种应用系统、网络设备所产生的大量IT data * ，透过各

19、种相对应的关联性来找出各种IT事件的源头，进而协助管理人员解决IT营运会遇到的各种问题。* IT Data 泛指一般的日志如syslog, SNMP ,csv,code,messageetc.四、Splunk的四大应用4.1、运维IT数据整合Splunk将所有来源的各类型IT数据编列索引，使您可由单一位置实时搜寻、报警及回报整个系统的运作情形。Splunk能快速报告各项结果并轻松采纳变更项目，且无须遵循、维护任何复杂的模型或规则。使您能更快速将问题复原、减少停机时间，以及改善服务效能等级。疑难排解Splunk能作为您 (或组织和机构中任何员工) 进行疑难排解的单一窗口，使您快速解决各项服务问题

20、。无论是客户来电、硬件设备闪烁红灯等各种状态，皆可依时间、位置、专属错误讯息或您所了解的其它信息搜寻错误。此外，可在搜寻结果上点击一下，便可依时间、主机、执行ID或其它条件与其它事件相关联。Splunk能发现问题的症结是在配置变更、系统管理事件或工作负载过重其能为配置文件及效能标准值制作索引，并配合错误及活动日志文件，使您在单一窗口中获得全盘的掌握。您的第一线人员不必像之前般提升层级，即能轻易取用信息，以解决众多意外事件。而当必须将问题提升至开发人员时，他们亦能实时存取所需要的数据，无须登入生产机组或是干扰系统管理员，以请求采用严格生产存取控制的数据。另外，可将Splunk与您现有的管理工具及

21、流程紧密整合，并可使用Splunk工具列从任何网页式的主控台，启动相关的Splunk搜寻。监控Splunk是极为强大的监控工具。可节省搜寻时间、排定时程，并依结果定期发出报警信息。因为Splunk可以搜寻从日志文件到配置等各种不同的IT数据类型，因此可将单一工具应用于整体基础结构之上，并对任何关键配置变更提出报警、对日志文件中所显示的信息提出报警，甚至对任何超过临界值的执行数目提出报警。最令人满意的是，Splunk能协助随时改善监控情况。当在排错客户的问题时，可以立即储存并设定该事件重复发生的报警，以便在收到其它客户的申诉之前，先收到Splunk的通知。Splunk不会成为另一个您必须随时照料

22、的主控台；其报警功能可通过电子邮件、RSS、短信或触发脚本寄送通知，可轻易与您现有的监控主控台及服务台整合。报警亦可触发自动化动作，以立即响应特定状况。服务效能管理Splunk 可运用所有应用程序和组件内所登录的数据，协助您充分掌握实际的服务效能而且无须加入新的仪测技术。其能针对错误、执行效能及其它标准提出报告，并可为商业拥有者、IT管理员及客户更新仪表板信息。4.2、IT安全信息及数据的整合Splunk可从单一位置实时搜寻、报警及报告任何使用者、网络、系统或应用程序活动、配置变更及其它IT数据。消除设置多重主控台的需要，从单一位置即可追查攻击者的行踪。现在您可以执行更为深入的分析，并更快速而

23、彻底地予以回应，降低风险及危险暴露的程度。Splunk能让您拥有一直渴望，但是从未想过可真正达成的全面可见性。意外事件回应在接获任何可疑活动的报警或报告时，Splunk将会是您第一个处理的窗口。只需在Splunk搜寻框中输入您所掌握的详细数据，包括IDS报警的来源及目标IP，或是认为其私人数据已外泄的客户账户ID即可。Splunk会立即传回您整个网络中所有应用程序、主机及装置中，与该搜寻条件有关的每一事件。虽然开始传回的数据非常多，但Splunk可协助您理出头绪，并依照所希望的方式加以整理。其会自动撷取及让您筛选时间及其它字段、依据关键词及模式将事件分类，因此您可快速处理完所有的活动数据。若您

24、发现值得注意的事件，并希望加以追踪，仅要点击任何名词，即可针对所点击的词汇执行新搜寻。正因为Splunk可为任何IT数据制作索引而不仅是安全性事件或日志文件，因此您只需使用Splunk，即可掌握全盘状况。您可在此单一位置中，搜寻及发现攻击者当下可能执行的程序、过去执行的程序，并查看其可能已修改的配置变更。安全性监控Splunk可让您非常容易跨越IT束缚监控安全性事件；搜寻您路由器及防火墙日志文件中的数据流违反情况，寻找服务器及应用程序上的违反情况，或是寻找未经授权或不安全的配置变更。运用Splunk的趋势分析、分类及执行识别功能，即可快速识别极为复杂的使用情况，例如可疑的执行及模式，或是网络活

25、动的变化。报警功能可透过电子邮件、RSS、短信或触发脚本寄送通知，可轻易与您现有的监控主控台整合。报警还能触发自动化动作，以便立即响应特定状况，譬如命令防火墙封锁入侵者日后的数据流。变更侦测通过Splunk，可持续监测所有路径上的档案，无须另行部署其它代理程序。每次在您所监控的路径上加入、变更或删除档案时，Splunk皆会记录一个事件。您也可以让Splunk在每次整体档案有所变更时，皆为其制作快照索引。若已部署专用的变更监控工具，亦无影响，只要使用Splunk为其所记录的事件制作索引，代替直接监控变更即可。无论来源为何，只要索引中的数据变更，您就会接获重大配置设定变更的警示，并能轻易追踪配置变

26、更的错误症结原因。安全性报告Splunk为您提供单一位置，可跨越所有的IT基础结构及技术产生报告，包括跨越所有服务器、设备及应用程序，为安全性事件、效能统计数据及配置变更提供报告，并使用趋势图表及摘要辨识异常及可疑变化。其报告采用交互式能让您深入发掘，以了解问题的原因及影响。使用Splunk可传达您基础结构的安全性基本原则、检查存取控制，或是密切监视使用者的行为，并为您的客户、管理阶层或同事制作自动化的调度报表，或产生特定操作的报告。然后将报告结果列在仪表板上，为您组织中的资产管理人提供应用程序及系统的实时检查，以增加对状况的掌握能力。4.3、应用程序IT数据整合Splunk可以作为一个组织和

27、机构的整个IT数据的平台和数据中心，利用Splunk的索引能力可以消化组织和机构中任意的IT数据，利用Splunk的搜索功能可以迅速帮组织和机构找出问题的原因所在，利用Splunk的报表功能，能够对组织和机构的各种IT设备，主机系统，业务系统产生灵活或即时的报表。实时查错因此当Splunk面对组织和机构各种业务系统支撑软件的问题时，更显得游刃有余，无论这些软件产生何种问题，重要程度任何，具体时间是多少，发生了多少次，是否造成了整个业务系统的崩溃，都可以通过在Splunk搜索框中键入几个简单字符就能解决，而更为重要的是，Splunk可以根据这些数据的重要级别和发生的次数以及发生的时间来判断是否要

28、发出告警，让关心这些事件的管理人员，第一时间知道问题的出现，并根据告警的内容做好解决问题的准备。内部威胁Splunk能使您的组织具备必须的灵活分析能力，以侦测出所有类型的内部威胁。目前并无任何一种事件可以辨别恶意的内部人员。您必须监控整个应用程序堆栈、网络数据流、操作系统、数据库审核记录及应用程序，还有执行日志文件。然后使用Splunk搜寻所有类型的存取行为；产生单一使用者跨越所有应用程序及服务器活动的可视化报告，以便找出可疑的人员。变更验证Splunk能实际验证各项变更及是否符合预期效果的方式，终结周而复始的变更管理工作。或许您已使用或采用服务台及CMDB工具控制及实施基础结构内的变更工作。

29、但人为及系统错误可能导致无法正确实施变更。使用Splunk，即可验证实际发生的变更情况，例如若已下达消除特定执行错误的变更，可在命令事件中包括一个搜寻错误的连结。命令事件结案工作流程可使用连结以验证在执行变更后，错误是否已顺利消失。4.4、IT数据的法规遵从Splunk能以单一存取点为任何来源的任何IT数据类型进行搜寻、报警及报告。仅要使用单一解决方案，即可让审核记录收集及报告，到档案完整性监控等工作皆符合法规需求。其能在数秒内快速产生任何法规遵从报告。将可克服法规遵从障碍，使操作人员及开发人员得以立即存取他们所需要的数据，以便快速解决问题，同时维持可用性保障资料保存的安全性Splunk能提供

30、最有效率及可靠的解决方案，依照大多数法规强制规定的要求，撷取及长时间保存您所有的IT数据。首先，Splunk能在安全网络联机上实时撷取您所有的数据，即使应用程序日志文件已转送至Syslog以外的档案时亦然。实时的集中化处理，对于防止攻击者变更受入侵主机的日志文件，以企图掩饰其行踪是非常重要。Splunk支持多层的部署，并能提供全面化的审核及安全性，以确保Splunk本身的完整性。Splunk会在撷取时对您的数据进行签名，您可随时检查签名的完整性。此外，其会以高效率的压缩格式储存数据，为您提供原则式的控制权，依数据日期及储存限制封存或读取数据。在指定时间内，能以交互式、可搜寻的索引将数据完整保留

31、在在线，或者亦可将旧数据封存至低廉的近线储存装置，并在需要时加以还原。受控制的数据存取Splunk能消除各种阻碍营运的法规遵从束缚。其能为开发人员及应用程序系统管理员提供对于所有必须日志文件、组态及状态命令的存取，以方便分析及解决生产问题。可依据使用者的角色，控制其所能搜寻的数据，其无须苦候服务器系统管理员发送生产存取权才能获得数据，因此能以更少的人力更快速解决问题，却又同时严格遵守生产服务器存取限制的规定。事实上，正因为Splunk的快速搜寻及浏览能力，使员工能够比登入生产系统及手动分析数据的方式更具产能。使用Splunk，不但可使营运不受影响，还能满足审核员的所有要求。法规遵从性报告Spl

32、unk不仅能使您遵守监控、审核及保存日志文件、配置及其它IT数据的明确要求，还能让您掌握所有其它类型控件的能力，快速而轻易地展现您组织和机构的法规遵从性。关于防火墙日志文件的报告，能显示是否具有适当的防火墙原则，以及其是否能正常运作。关于存取控制系统管理日志文件的报告，则可显示所处理的账户停用程序。您可排程任何搜寻，并透过电子邮件及RSS传送，以达到自动化报告的目的。在仪表板上加入索引图，方便法规遵从及安全性管理员监看法规遵从活动，并可在数秒内产生特定的操作报告，以回答任何审核员的问题。法规遵从性调查Splunk能将法规遵从调查及探查请求对营运的影响降至最低。FBI是否曾要求调阅您组织和机构的

33、存取日志文件、电子邮件通讯，或是员工或客户的Web记录？您是否曾疲于奔命处理HIPAA的信息请求？是否必须对您的每个系统，例如Web代理服务器、电子邮件服务器或其它系统，使用各种既笨重又缓慢的报告接口？Splunk能跨越所有数据快速而简便地进行搜寻，在数秒内取得您所需的信息，使您可迅速返回正常的工作。五、Splunk的六大神奇功能5.1、Index(索引) IT人员往往在管理 IT Data 会面临因厂商 IT Data format 变更时，与老旧设备、应用程序因稽核需求而必须产出分析报告，现有的 Log Management 无法立即支持或无法辨识。Splunk 具备多样且弹性的数据搜集方

34、法，可以检索各种型态的IT data，不限定 IT Data format，并收集来自各种不同的应用系统和网络设备。Splunk能够进一步监控文件系统中设定配置的变更，做变更管理，更可链接各种网络通讯端口(Ports)去接收Syslog、SNMP和来自其他各式各样网络装置的数据。 5.2、Search(搜索)Splunk具备快速自定的各种型态搜寻，而不是只有固定几种的字段，不需要指定数据的格式(format)，更可结合时间与关键词进行搜寻，呈现出清楚的搜寻结果，使用上就像Google一样的直观易用。键入关键词后任意搜寻既时的在线查询，立即产生长时间结果用交互比对查询，收敛事件范围用时间、关键词

35、与复杂流程拼凑关连事件5.3、Alert(警报通知)Splunk能够定期排程执行，并依据搜寻结果发出各项警示通知，可以透过email、RSS或SNMP等方式链接其他管理接口，可触发执行自行定义的因应方式，例如重新启动应用程序、系统或网络设备。Email、RSS、SNMP发送警告可制订不连续时间启动自动搜寻并发送警告可以呼叫 script 延伸应用5.4、Report(报告)Splunk提供强大的报表能力，能够将搜寻结果以各项清晰的图表呈现，更可弹性化地产制出组织和机构管理阶层所想要的报告内容。无须透过其他工具可直接产出报表11种报表格式，如直方图、线性图、分区图、圆饼图、单点图等可双维与多维度

36、分析报表皆为动态报表可随时点选并再次搜寻14种报表运算方式，强化报表可看性报表可随时转换为仪表版模式5.5、Share(资源共享)由各种设备所产生的IT data是相当枯燥乏味的，透过Splunk可将它转化为切实可用的重要IT信息，并且能为任何人所用，不需要太多艰深的知识即可找出想要的信息。搜寻报表转为监控仪表版，可经由权限控管分享信息接口搜寻分析可储存后，分享给特定人员信息搜寻可以收敛至关键词分享搜寻，或只授予部分变更权限5.6、Secure(安全功能)组织和机构的IT信息其重要性不言可喻，Splunk可整合组织和机构既有的认证系统进行安全管控，确保数据在存取、分析和稽核时不会破坏数据的完整

37、性。用户联机与数据访问权限控制IT Data 联机加密与压缩数据库加密与压缩不变更原始数据的完整性以上IT六大需求功能，为IT管理上多了弹性。改变是为了更好，也为了增加价值。Splunk技术参数6.1、Index 索引可以索引所有的 资安日志、系统日志、应用程序日志 不限制来源与设备，包含 日志、系统配置文件、SNMP与警告信息等可弹性化的实时与依照需求接受档案、网络端点、数据库或客户的 APIs 等接口收集 资安日志、系统日志、应用程序日志可接受 TCP 与 UDP 网络 ports 的 syslog, syslog-ng监控档案变更达成 Change Mangement for File可实时于接收 资安日志、系统日志、应用程序日志 时，将事件捕捉呈现藉由 WMI 或 API 远程实时监控 windows event log监