Presentacion Splunk - Septiembre 2011

Splunk Logo

Estuvimos en la presentación de Splunk en Argentina (Septiembre 2011)

El día martes 30 de agosto durante todo el día participamos del evento de presentación de Splunk en Argentina a cargo de Victor Almandoz quien es su director de operaciones en América Latina.
El evento se extendió desde pasadas las 9 hasta las 17 hs. aproximadamente.
Durante el mismo hubieron varias exposiciones a cargo de la gente de SIClabs sobre temas relacionados a seguridad, y hubo una pequeña demo general del producto para los que no se quedaron al workshop.

Splunk es una herramienta agentless con un poderoso motor de búsqueda que captura la información y la analiza en tiempo real (Registros, Syslogs, etc) sin necesidad de bases de datos externas (Ej: MySQL).
Posee también un buscador para navegar la informacion estilo SQL Query (ej: where xxx = zzz) que me parecio muy completo ya que además tiene ayuda contextual, osea que te ayuda a autocompletar el string de busqueda a medida que escribís con un menu desplegable.

Permite también la creacion de alertas y dashboards de monitoreo en tiempo real, customizados y de una manera muy simple.

Es una herramienta que me pareció muy flexible ya que no solo permite indexar todo tipo de fuentes de datos sino que además es sumamente escalable en varios aspectos:
- El sistema de licenciamiento es por consumo de Storage. Osea que puedo consumir 2TB de info y pago por esa cantidad y puedo ampliarla cuando lo necesite a mi medida.
- Posee también una licencia Free (500MB mensuales si mal no recuerdo) que se puede descargar del site y usar libremente.
- Tiene un sistemas de Addons al estilo Mozilla lo cual me pareció ser lo que mas libertad me da de este sistema. Ya que es imposible que un sistema comercial y no a medida cumpla con el 100% de los requerimientos que un usuario/empresa pueda tener para cada caso en particular. He podido probar ya algunos plugins de Cisco o de Maps y funcinan bien. Este es uno de los puntos más importantes y de hecho yo podria subir y compartir tambien mis propios plugins.
- Es una aplicación muy útil no solo para el sector técnico de una empresa sinó también para la gestión en general ya que no solo puedo ver reportes de incidentes de seguridad, reportes de conexiones o consumo de recursos, sinó que también puedo ver datos estadísticos o geográficos por ejemplo.
- La información que Splunk es capaz de analizar puede encontrarse localmente o en la nube.
- Algo muy importante tambien es el soporte para Windows, Linux, Mac, Solaris, AIX, FreeBSD, HP-UX.

Como experiencia personal, luego de haber participado también del workshop a cargo de Todd Gow, es que Splunk es una herramienta muy simple de instalar y comenzar a usar, de gran utilidad en cuanto a que puede centralizar el manejo de la informacion para los distintos sectores de una empresa, muy flexible ayudado esto por el sistema de Addons, y muy intuituva a diferencia de otras aplicaciones que pude probar al respecto.

No tengo criticas aún para hacerle, talvez me gustaria que haya más opciones para SNMP, ya por lo que tuve tiempo de ver hasta ahora, hay muy poco acerca de esto salvo algún Addon. También creo que los Addons tienen poca documentación en algunos casos y eso debería ser al revés como norma para poder publicarlos.
Ya la estoy usando en mi trabajo diario y hasta ahora la calificación es más que positiva.

Les dejo algunos screens que tome.
Salu2

  

Splunk Enterprise Overview

Tags: 

Predefined Sections

Seccion Cisco   Seccion Linux   Seccion Microsoft   Seccion Redes   Seccion Seguridad   Seccion General