Splunk App for Stream透過儀表板可以看到網路監控的各種資訊,也能藉由篩選封包標頭,過濾擷取資訊。

圖片來源: 

Splunk

大資料廠商Splunk釋出網路串流擷取工具Splunk App for Stream,透過監控線路傳輸的資料抓取網路封包,為Splunk Enterprise以及Splunk Cloud 即時分析工具提供另一項分析資料來源,而不僅止於機器資料。Splunk亞太及日本地區首席安全戰略官彭志宏表示,Stream補上了Splunk在資安分析中的一塊拼圖。

Splunk搜尋引擎善於分析處理來自伺服器或網路設備等硬體的機器資料,從難以閱讀的日誌檔中,找出資安弱點或是企業營運可用的商業智慧。但是,當應用程式或是硬體設備沒有留下日誌檔的情況,英雄也無用武之地,尤其近年雲端服務與虛擬化的盛行,產生許多被忽視的資安灰色角落。

線路資料就是網路封包

以虛擬化來說,虛擬機器與作業系統間的操作,是一塊需要被重視的空隙,以往這部分少有記錄檔,兩者之間發生的事件並不被注意。而公有雲的安全監控也是另一項議題,由於公有雲如Amazon、Azure等服務,通常不允許安裝第三方的安全監控軟體,這也讓企業在使用這些公有雲服務,有安全上的顧慮。Splunk App for Stream在設備的連線端點直接擷取線路資料(Wire data),再加以分析,便可解決沒有日誌檔的問題。

Splunk App for Stream的作用就如同網路監聽技術Sniffer,能將流經安裝Sniffer設備的網路封包攔截下來,但是Sniffer抓到的封包資料內容可讀性很低,還需要經過特別的處理才能變為有用的資訊,而且Sniffer監控的是線路上的全部資料,因此在採用虛擬化的機器會有資料安全的疑慮,會因為擷取到非授權的資料而引發隱私權的問題。

在虛擬環境也能用

Stream能夠安裝在虛擬機器上或是網路線路上的設備,收集來自公有雲、虛擬桌面、虛擬機器或是防火牆等網路設備的線路資料,透過應用程式介面,設定過濾器以及封包擷取規則,讓用戶能控制線路資料的擷取量或是符合特定分析需求的傳輸資料。

再將擷取到的線路資料送到Splunk搜尋引擎,與既有的日誌檔、事件紀錄甚至是社群資料等數據交叉比對,取得企業在IT營運、資安以及業務分析上有價值的資訊。

在IT營運的部分,管理人員能快速的知道問題發生的原因並做出反應,同時也能了解基礎架構服務的效能表現。Splunk也表示,資安方面能做深度的監控並即時交叉比對,不只能發現問題,還能藉由偵測弱點、收集情報防範未發生的的資安事件。業務分析部分能觀察客戶在網頁的停留時間、跳出率、瀏覽路徑等資訊,訂定出相對應的策略。

Splunk解決方案行銷部門資深總監Leena Joshi說,Splunk App for Stream是Splunk在2013年併購網路即時監控公司Cloudmeter後的第一項產品。Splunk App for Stream目前在官網可以免費下載使用,但是必須搭配Splunk Enterprise以及Splunk Cloud即時分析工具使用。

熱門新聞

Advertisement