Splunk Stream是什麼

Splunk Stream是Splunk官方提供的免費App，可以捕獲，過濾，索引和分析網絡事件數據流，內置了大量的數據分析和可視化功能，並且能夠創建新的數據流分析和可視化界面。

是Splunk Enterprise Security和Splunk User Behavior Analisis的基礎，提供數據。

Stream"流"是由特定網絡協議和一組字段定義的事件分組。當與日誌，指標和其他信息相結合時，可以通過Splunk Stream捕獲的流，洞察網絡基礎架構中的活動和可疑行爲。

支持NetFlow v5, v9, jFlow, sFlow, 和 IPFIX。

使用Splunk Stream：

被動地捕獲網絡事件數據的實況流。
捕獲多個網絡協議的元數據和完整數據包流。
收集NetFlow協議數據。
應用聚合方法對事件數據進行統計分析。
應用過濾器來最小化索引器要求。
從字符串中提取內容並生成散列。
從網絡流量中提取文件。
在預建的儀表板中監控網絡趨勢和應用程序性能。
部署獨立的Stream轉發器來捕獲遠程linux機器上的數據。
不需要標籤或儀器儀表即可迅速而不引人注意。

Splunk Stream 包含的組件

splunk_app_stream

提供streamfwd的配置管理。還提供流轉發器管理工具，捕獲數據的過濾，預定義流和儀表板，用於分析網絡事件和流數據。

Splunk_TA_stream

提供數據抓取和轉發功能。 Splunk_TA_stream包括Stream轉發器（streamfwd）。 streamfwd是Splunk_TA_stream的核心組件，並提供被動捕獲的網絡數據。

獨立的Stream轉發器

Splunk Stream一個獨立的Stream轉發器安裝包（splunkstreamfwd.tgz），它不與splunk_app_stream和Splunk_TA_stream一起部署。 Splunk App for Stream生成一個curl命令，可以使用這個命令在任何兼容的Linux機器上安裝獨立的Stream轉發器。

Splunk Stream內置的分析功能

分析總覽

應用分析

流量可視化

HTTP總覽

Http活動

數據庫活動

DNS總覽

DNS活動

SSL 活動

Splunk Stream支持哪些協議

協議	描述
AMQP	AMQP，即Advanced Message Queuing Protocol,一個提供統一消息服務的應用層標準高級消息隊列協議,是應用層協議的一個開放標準,爲面向消息的中間件設計。基於此協議的客戶端與消息中間件可傳遞消息，並不受客戶端/中間件不同產品，不同的開發語言等條件的限制
DHCP	DHCP（Dynamic Host Configuration Protocol，動態主機配置協議）是一個局域網的網絡協議，使用UDP協議工作，主要有兩個用途：給內部網絡或網絡服務供應商自動分配IP地址，給用戶或者內部網絡管理員作爲對所有計算機作中央管理的手段，在RFC 2131中有詳細的描述。
DIAMETER	Diameter協議被IETF的AAA工作組作爲下一代的AAA協議標準。Diameter（爲直徑，意爲着Diameter協議是RADIUS協議的升級版本）協議包括基本協議，NAS（網絡接入服務）協議，EAP（可擴展鑑別）協議，MIP（移動IP）協議，CMS（密碼消息語法）協議等。
DNS	域名解析協議
FTP	文件傳輸協議
HTTP	超文本傳輸協議
ICMP	Internet控制報文協議
IMAP	Internet郵件訪問協議
IP	網絡之間互連的協議
IRC	互聯網中繼聊天協議
LDAP	輕量級目錄訪問協議Lightweight Directory Access Protocol
MAPI	消息應用程序接口
MySQL	MySQL客戶端/服務器端協議
NetBIOS	網絡基本輸入/輸出系統協議
NFS	網絡文件系統
POP3	郵局協議V3
Postgres	PostgreSQL數據庫
RADIUS	遠程用戶撥號認證服務，是目前應用最廣泛的AAA協議。
RTP	實時傳輸協議，RTP協議詳細說明了在互聯網上傳遞音頻和視頻的標準數據包格式。
SIP	SIP（Session Initiation Protocol，會話初始協議）是由IETF（Internet Engineering Task Force，因特網工程任務組）制定的多媒體通信協議。
SMB	服務器信息塊（SMB）是一個網絡文件共享協議，它允許應用程序和終端用戶從遠端的文件服務器訪問文件資源。
SMPP	SMPP技術廣泛應用於短信的接收與提交。
SNMP	簡單網絡管理協議（SNMP）
TCP	TCP（Transmission Control Protocol 傳輸控制協議）是一種面向連接的、可靠的、基於字節流的傳輸層通信協議，
TDS Tabular Data Stream - Sybase/MSSQL	Tabular Data Stream (TDS) 是一種應用程序層的協議, 用來在數據庫服務器和客戶端之間轉移數據.
TNS	Transparence Network Substrate，透明網絡底層協議（Oracle）
UDP	用戶數據報協議，是OSI（Open System Interconnection，開放式系統互聯）參考模型中一種無連接的傳輸層協議，提供面向事務的簡單不可靠信息傳送服務，IETF RFC 768是UDP的正式規範。
XMPP	XMPP是一種基於標準通用標記語言的子集XML的協議，它繼承了在XML環境中靈活的發展性。

網絡數據收集架構

本地收集

本地收集架構需要在要監視的網絡或網段上的每個主機上安裝通用轉發器和Splunk_TA_stream。本地收集在例如用於從各個網絡節點捕獲數據的子網環境（例如多層網站）中是有用的。

SPAN 或 TAP 方式

從網絡設備鏡像流量出來到專用設備上，在專用設備上分析數據流量。

SPAN 架構的考慮點

捕獲的數據流量是否超過了NIC(網卡)的接收能力？例如1G的NIC肯定無法處理10GB端口鏡像出來的流量。
SPAN鏡像端口是否包含了所有端口的出、入流量？如果是的話，NIC需要更大的帶寬。
- 鏡像設備是否生成了NAT數據（即包含了內部網絡也包含了互聯網的數據流量）？
- 網絡數據流量有多大？根據流量的不同，可能需要進行一些性能調整，以確保系統按預期方式運行。

網絡收集部署架構的比較

類型	優點	缺點
本地	快速部署(使用deployment server) 更多的數據收集選擇(子網) 可以部署在公有云的虛擬機中，而SPAN/TAP的方式無法使用。	單機的資源限制。
SPAN	捕獲網絡上所有的數據流（高效）易於收集(單點捕獲) 對服務器沒有性能影響	需要在網絡設備硬件上配置捕獲網絡上的所有數據流(安全考慮) 易於收集(單點失敗) 難以在公有云環境中使用受限於網絡交換機的性能比使用TAP方式丟包更多
TAP	捕獲網絡上的所有數據流（高效）易於收集(單點捕獲) 對服務器沒有性能影響對網絡設備沒有性能影響相比SPAN方式，還原度更高	需要硬件設備捕獲網絡上的所有數據流(安全考慮) 易於收集(單點失敗) 難以在公有云環境中使用

部署架構

Search Head搜索服務器

Search Head上必須要部署splunk_app_stream 和 Splunk_TA_stream 。

Indexers索引服務器

索引服務器上必須要部署Splunk_TA_stream 。

Universal forwarders通用轉發器

在捕獲網絡數據的通用轉發器上需要部署Splunk_TA_stream 。

性能情況

FAQ

是否可以添加自定義的協議？

不可以

是否可以添加自定義的協議？

不可以。

能否將數據按照協議發送到指定的索引中？

不行。現在Splunk Stream不支持。但是可以使用props.conf 和 transforms.conf來配置。詳細的方法參見 Route specific events to a different index.

是否可以配置終端監聽某一個協議？Can I configure endpoints to listen for specific protocols?

可以。可以配置Stream過濾器監聽某一個協議的流量。例如，可以使用source_ip(網絡流中的常見字段)在DNS服務器上過濾DNS流量。不支持按照主機名過濾。

警告:此配置是高度自定義的配置，需要非常小心和熟悉如何配置。

Stream可以讀取PCAP文件嗎？

可以。使用Stream的streamfwd命令可以讀取PCAP文件，並將結構化的數據發送到索引中。

./streamfwd -r foo.pcap -s <host><server>.

參見 Stream command line options.

Stream可以解密數據包和應用數據嗎？

可以。可以使用SSL私鑰解密 streamfwd 捕獲的數據，前提是使用RSA加密算法。

Stream可以解密Diffie-Hellman（SSL key）流量嗎？

不可以。沒有辦法捕獲Diffie-Hellman流量, 無論streamfwd 使用 TAP還是本地模式.

商業轉載請聯繫作者獲得授權，非商業轉載請註明出處。

http://blog.csdn.net/ffjl1985/article/details/78421346

Splunk App for Stream