Ingestar datos con facilidad en Elastic a través de Splunk
A medida que las organizaciones migran a Elastic desde sus presentes proveedores, incorporar con rapidez a Elastic los datos de logs desde su solución actual es uno de los primeros asuntos a tratar. La incorporación de datos suele involucrar el ajuste de la arquitectura de ingesta y la implementación de cambios en la configuración en todas las fuentes de datos. Queremos asegurarnos de que los usuarios que prueban Elastic o migran a él puedan obtener los datos rápido para comenzar a ver el poder de las soluciones de Elastic lo antes posible. Por eso creamos una integración que mapea automáticamente los datos ingestados por Splunk a Elastic Common Schema (ECS).
En este blog, te mostraremos esta integración experimental a Splunk, lanzada en la versión 7.12 del Elastic Stack. Esta integración te permite mantener los reenviadores universales de Splunk y otras tecnologías de ingesta de Splunk, y luego aprovechar la API de Splunk para ingresar los datos en Elastic. La integración actualmente brinda soporte para la ingesta de logs de Apache, AWS Cloudtrail, NGINX, Windows Event Channels y Zeek, pero planeamos ampliar en gran medida las fuentes de datos compatibles.
¿Cómo funciona la integración?
La integración aprovecha la entrada JSON HTTP en Elastic Agent para ejecutar una búsqueda en Splunk a través de la API REST de Splunk y luego extrae los eventos sin procesar de los resultados. Estos eventos luego se procesan a través de Elastic Agent y las integraciones de Elastic existentes.
Configuración de la integración
En este blog, configuraremos la integración de Zeek para recuperar eventos existentes de Splunk.
El primer paso que tendremos que dar será la instalación de Elastic Agent. Es fácil de desplegar y brinda soporte para todos los sistemas operativos comunes. Puedes ver los pasos para instalar Elastic Agent e inscribirte en Fleet aquí.
A continuación, crearemos una política y agregaremos la integración de Zeek. Configuraremos la "entrada API REST de terceros". Necesitarás la URL de tu Splunk Enterprise Server y credenciales para acceder a la API. La búsqueda de Splunk es personalizable, al igual que el intervalo de búsqueda. También se pueden agregar etiquetas para indicar que los logs se reenviaron a través de Splunk.
Como puedes ver en la captura de pantalla siguiente, los logs de Zeek ingresan en Splunk:
Gracias a que la integración de Splunk está habilitada, estos logs ahora están disponibles en Elastic:
Splunk + Elastic Common Schema
Lo mejor de todo: todos los datos ingestados a través de Splunk se asignarán automáticamente a Elastic Common Schema (ECS). Esto significa que puedes comenzar a aprovechar las soluciones de Elastic, como Elastic Security y Elastic Observability, de inmediato, sin tener que preocuparte por asignar manualmente tus datos del Common Information Model de Splunk a ECS.
El contenido de analíticas, como trabajos de machine learning, reglas de detección y visualizaciones, simplemente funciona. A modo de ejemplo, este es un dashboard de Zeek completado en su totalidad con datos de Zeek ingestados a través de Splunk:
Esperamos que todo usuario de Splunk que pruebe Elastic encuentre que esta integración sea beneficiosa. Nuestro objetivo es asegurarnos de que pases menos tiempo configurando la ingesta de datos en Elastic y permitirte enfocarte en obtener valor rápido gracias a nuestras soluciones. Puedes ver la documentación asociada relacionada con la integración aquí.
Ansiamos recibir tus comentarios sobre esta integración a Splunk. Cuéntanos tu opinión en el foro de debate de Elastic o en el espacio de trabajo de Elastic Slack. Si estabas esperando una integración como esta antes de probar Elastic, este es tu momento: comienza tu prueba gratuita de 14 días (no se requiere tarjeta de crédito) o descarga nuestros productos, gratis, para tu implementación en las instalaciones. Y aprovecha nuestra capacitación de Inicio rápido para prepararte para tener éxito.