工程

通过 Splunk 轻松将数据采集到 Elastic 中

作者
Jamie Hynds

随着组织从其现有供应商迁移至 Elastic,将日志数据从其当前解决方案快速上线至 Elastic 中是最重要的业务事项之一。数据上线通常涉及必须调整采集架构并跨数据源实施配置变更。我们想确保正在试用或迁移至 Elastic 的用户能够快速采集数据,从而尽早看到 Elastic 解决方案的强大性能。因此,我们构建了一个集成,该集成可自动将通过 Splunk 采集的数据映射至 Elastic Common Schema (ECS)。

在这篇博文中,我们将会向您介绍这一实验性 Splunk 集成(在 Elastic Stack 的 7.12 版本中推出)。这一集成允许您保留自己的 Splunk 通用转发器和其他 Splunk 采集技术,然后利用 Splunk API 将数据采集到 Elastic 中。这一集成目前支持采集 Apache、AWS Cloudtrail、NGINX、Windows Event Channels 和 Zeek 日志,但我们计划大幅度扩展所支持的数据源。

此集成的工作原理是什么?

1-integration-chart-blog-splunk-integration.png

此集成会利用 Elastic Agent 中的 HTTP JSON 输入来通过 Splunk REST API 运行一个 Splunk 搜索,然后从结果中提取原始事件。然后会使用 Elastic Agent 和既有的 Elastic 集成来处理这些原始事件。

配置集成

在本篇博文中,我们将会配置 Zeek 集成来从 Splunk 中检索既有事件。

我们需要执行的第一步是安装 Elastic Agent。它很容易部署而且支持所有常见操作系统。您可以在此处查看安装 Elastic Agent 并将其加入 Fleet 的步骤。

接下来,我们将会创建一个政策并添加 Zeek 集成。配置“第三方 REST API 输入”。您需要您的 Splunk Enterprise Server 的 URL 和凭据才能访问此 API。因为 Splunk 搜索是可定制的,所以搜索间隔也是可定制的。还可以添加标签来表明日志是通过 Splunk 转发过来的。

2-integration-chart-blog-splunk-integration.png

如您在下面的截图中所见,我们已经将 Zeek 日志流式传输到 Splunk 中:

3-integration-chart-blog-splunk-integration.png

因为启用了此 Splunk 集成,这些日志现在已经出现在 Elastic 中了:

4-integration-chart-blog-splunk-integration.png

Splunk + Elastic Common Schema

现在来到了最棒的一部分,通过 Splunk 采集的所有数据都会自动映射至 Elastic Common Schema (ECS)。这意味着您可以立即开始使用诸如 Elastic 安全和 Elastic 可观测性等 Elastic 解决方案,而无需操心需要手动将您的数据从 Splunk 的 Common Information Model 映射至 ECS。 

分析内容(例如 Machine Learning 作业、检测规则和可视化)都能正常运行!举个例子,下面是一个 Zeek 仪表板,其中完全填充了通过 Splunk 所采集的 Zeek 数据:

5-integration-chart-blog-splunk-integration.png

我们希望试用 Elastic 的所有用户都能受益于这一集成。我们的目的是确保您花较少的时间来配置将数据采集至 Elastic 的过程,并允许您快速从我们的解决方案中收获价值。您可以在此处查看与该集成相关的文档。

我们十分热切地希望听到您有关这个 Splunk 集成的反馈。请在 Elastic Discuss 论坛上或者在 Elastic Slack 工作空间内告诉我们您的想法。而且如果您一直在期待着像这样的集成但还没有试用 Elastic,现在就是试用的绝佳机会:开始 14 天免费试用(无需信用卡),或免费下载我们的产品,用于您的本地部署。充分利用我们的快速入门培训,为您的成功保驾护航。