Engineering

Einfaches Ingestieren von Daten in Elastic über Splunk

Von
Jamie Hynds

Eine der ersten Aufgaben für Organisationen, die von ihren bisherigen Anbietern zu Elastic migrieren, besteht darin, schnellstens die Logdaten aus ihrer aktuellen Lösung in Elastic zu importieren. Das Onboarding von Daten umfasst häufig das Anpassen der Ingestionsarchitektur und das Implementieren von Konfigurationsänderungen für alle Datenquellen. Wir möchten dafür sorgen, dass Nutzer:innen, die Elastic ausprobieren oder zu Elastic migrieren, ihre Daten schnell ingestiert bekommen, damit sie das Potenzial der Elastic-Lösungen schnellstmöglich nutzen können. Aus diesem Grund haben wir eine Integration entwickelt, die über Splunk ingestierte Daten automatisch Elastic Common Schema (ECS) zuordnet.

In diesem Blogpost zeigen wir Ihnen diese experimentelle Splunk-Integration, die in Version 7.12 des Elastic Stack veröffentlicht wurde. Mit ihrer Hilfe können Sie Ihre Splunk Universal Forwarder und andere Splunk-Methoden zum Ingestieren beibehalten und dann die Splunk-API nutzen, um Daten in Elastic zu importieren. Aktuell unterstützt die Integration das Ingestieren von Apache-, AWS Cloudtrail-, NGINX-, Windows Event Channels- und Zeek-Logdaten; wir haben vor, zukünftig noch viel mehr Datenquellen zu unterstützen.

Wie funktioniert die Integration?

1-integration-chart-blog-splunk-integration.png

Die Integration nutzt die HTTP JSON-Eingabe in Elastic Agent, um über die Splunk-REST-API eine Splunk-Suche auszuführen, und extrahiert dann aus den Suchergebnissen die Rohereignisse. Anschließend werden die Rohereignisse über den Elastic Agent und vorhandene Elastic-Integrationen verarbeitet.

Konfigurieren der Integration

Für die Zwecke dieses Blogposts konfigurieren wir die Zeek-Integration so, dass vorhandene Ereignisse aus Splunk abgerufen werden.

Dazu müssen wir als Erstes Elastic Agent installieren. Das geht einfach und der Agent unterstützt alle gängigen Betriebssysteme. Die Schritte zum Installieren von Elastic Agent und zum Registrieren in Fleet finden Sie hier.

Als Nächstes erstellen wir eine Richtlinie und fügen die Zeek-Integration hinzu. Als Eingabemethode aktivieren wir „Collect logs from third-party REST API (experimental)“. An dieser Stelle benötigen Sie für den Zugriff auf die API die URL Ihres Splunk-Enterprise-Servers und die Anmeldedaten. Die Splunk-Suche sowie das Suchintervall sind anpassbar. Es können auch Tags hinzugefügt werden, um anzugeben, dass die Logdaten über Splunk weitergeleitet wurden (Tag „forwarded“).

2-integration-chart-blog-splunk-integration.png

Wie Sie im folgenden Screenshot sehen, werden jetzt Zeek-Logdaten in Splunk gestreamt:

3-integration-chart-blog-splunk-integration.png

Bei aktivierter Splunk-Integration sind diese Logdaten nun in Elastic verfügbar:

4-integration-chart-blog-splunk-integration.png

Splunk + Elastic Common Schema

Und jetzt kommt das Beste: Alle über Splunk ingestierten Daten werden automatisch Elastic Common Schema (ECS) zugeordnet. Das bedeutet: Sie können sofort damit beginnen, Elastic-Lösungen wie Elastic Security und Elastic Observability zu nutzen, ohne ECS zuvor manuell Daten aus dem Common Information Model von Splunk zuordnen zu müssen. 

Analytics-Inhalte, wie Machine-Learning-Jobs, Erkennungsregeln und Visualisierungen, funktionieren einfach! Hier ein Beispiel für ein Zeek-Dashboard, das über Splunk vollständig mit Zeek-Daten befüllt wurde:

5-integration-chart-blog-splunk-integration.png

Wir hoffen, dass alle, die Splunk nutzen und dabei sind, Elastic auszuprobieren, diese Integration als hilfreich empfinden. Wir wollen dafür sorgen, dass Sie weniger Zeit mit dem Konfigurieren der Dateningestion in Elastic verbringen müssen und sich stattdessen darauf konzentrieren können, schnell von unseren Lösungen zu profitieren. Die entsprechende Dokumentation für die Integration finden Sie hier.

Wir sind auch sehr auf Ihr Feedback zu dieser Splunk-Integration gespannt. Lassen Sie uns im Elastic-Diskussionsforum oder im Elastic-Slack-Arbeitsbereich wissen, was Sie darüber denken. Und sollten Sie schon länger auf eine Integration wie diese gewartet haben, bevor Elastic infrage kommt, ist das jetzt Ihre Chance: Probieren Sie Elastic Cloud 14 Tage lang kostenlos aus (keine Kreditkarte erforderlich) oder, wenn Sie Ihr Deployment selbst verwalten möchten, laden Sie unsere Produkte kostenlos herunter. Hilfreiche Tipps für einen erfolgreichen Start finden Sie in unserer Quick-Start-Schulung.