Splunk Español – Blog IT

Splunk tuning

20 mayo, 201912 junio, 2019 by Alvaro Garcia Izquierdo

Siempre que realizamos una implementación de Splunk, u otro producto, una de las cosas que debemos cuidar es el tuning y aplicar las mejores practicas recomendadas por el fabricante.A continuación os pongo unas configuraciones básicas que siempre realizo al desplegar/montar un sistema Splunk Ulimits https://answers.splunk.com/answers/13313/how-to-tune-ulimit-on-my-server.html https://docs.splunk.com/Documentation/Splunk/7.2.6/Troubleshooting/ulimitErrors HTTP thread https://docs.splunk.com/Documentation/Splunk/7.2.6/Troubleshooting/HTTPthreadlimitissues Transparent huge memory https://docs.splunk.com/Documentation/Splunk/7.2.6/ReleaseNotes/SplunkandTHP Aquí se … Continuar leyendo Splunk tuning

Cifrado de comunicaciones en Splunk

2 mayo, 201912 junio, 2019 by Alvaro Garcia Izquierdo

Uno de los puntos mas importante en despliegues de Splunk, y algo que debería ser una costumbre en todos los primeros pasos de despliegues, es la instalación y configuración de certificados.En toda instalación de Splunk, podríamos distinguir tres puntos donde instalar certificados: Web: He llamado así al certificado que publicaremos para acceso de nuestros usuarios, … Continuar leyendo Cifrado de comunicaciones en Splunk

Splunk Eventgen

28 marzo, 2019 by Alvaro Garcia Izquierdo

Uno de los mayores problemas que nos podemos encontrar para hacer pruebas de tiempo real o demos, es la falta de alguna fuente que nos provea de estos eventos.Splunk ya pensó en esto hace tiempo, y tiene una App, la cual nos genera estos eventos en tiempo real, con la que podemos hacer infinidad de … Continuar leyendo Splunk Eventgen

Splunk Data Model

11 marzo, 2019 by Alvaro Garcia Izquierdo

Los «Data Model» de Splunk nos pueden servir de gran ayuda en muchos proyectos, en el caso de tener un gran cantidad de registros (miles de millones). Aunque esta es una novedad introducida hace tiempo, aún existen despliegues donde no se usan, es bastante habitual verlo en las App de seguridad, como por ejemplo Palo … Continuar leyendo Splunk Data Model

Splunk Validated Architectures

10 febrero, 2019 by Alvaro Garcia Izquierdo

El otro día encontré un articulo en el blog de Splunk titulado «Splunk Validated Architectures» el cual me pareció muy interesante, ya que explicaba los pasos a seguir a la hora de desplegar una arquitectura de Splunk, y las consideraciones que deberíamos de tomar a la hora de diseñar nuestra arquitectura… Una cosa ademas que … Continuar leyendo Splunk Validated Architectures

Splunk GIT

31 enero, 2019 by Alvaro Garcia Izquierdo

Uno de los mayores problemas de Splunk es el control de versiones de una App o un dashboard, hablando siempre de la parte de presentación, ya que la parte de indexación apenas suele tener cambios. Esto se complica cuando ademas tenemos sobre una misma App a varias personas creando dashboards o reports. Splunk por desgracia … Continuar leyendo Splunk GIT

Cosas que desearia haber conocido al emepzar con Splunk

23 diciembre, 2018 by Alvaro Garcia Izquierdo

Cuando empezamos a trabajar con una tecnología nueva, nos encontramos con problemas que no sabemos muy bien como solucionar, donde encontrarlo los logs, como hacer debug… Muchas veces nos lanzamos a leer la doc oficial del fabricante, blog, google… un día navegando encontré este enlace el cual me parece muy útil. De todas formas sigo pensando … Continuar leyendo Cosas que desearia haber conocido al emepzar con Splunk

Forwarder VS Heavy Forwarder.

14 octubre, 2018 by Alvaro Garcia Izquierdo

Una duda típica a la hora de recoger/enviar eventos a los indexadores, es que tipo de forwarder usar.Como norma general lo ideal es usar siempre Universal Forwarder (UF), este es un agente muy ligero, que apenas consume recursos del host donde se instala, incluso existe una versión para Raspberry Pi, aquí.Existe otro tipo, llamado Heavy Forwarder … Continuar leyendo Forwarder VS Heavy Forwarder.

Splunk Forwarder

29 septiembre, 2018 by Alvaro Garcia Izquierdo

Un componente casi imprescindible, pero no obligatorio en casi cualquier despliegue de Splunk es el Forwarder (FW).Este componente es el encargado de recolectar, enrutar, filtrar información… sobre nuestros datos, se puede instalar en maquinas Windows y Unix, puede recoger información de una BBDD o de una web, vía REST API, por ejemplo, y enviarlo directamente … Continuar leyendo Splunk Forwarder

Splunk

7 agosto, 2018 by Alvaro Garcia Izquierdo

Voy a comenzar este «reenganche» hablando de un software con el que llevo trabajando años, se llama Splunk, este es un software, o plataforma, como me gusta denominarlo a mi, el cual es capaz de ingerir gran cantidad de eventos/log (BBDD, syslog, REST API…) y poder representar esta información mediante gráficos, lanzar alarmas (email, sms … Continuar leyendo Splunk