Technique

Ingérez facilement des données dans Elastic via Splunk

Les organisations commençant à migrer de leurs fournisseurs actuels vers Elastic, la priorité est d'intégrer rapidement les données de log de leur solution actuelle vers Elastic. L'intégration de données implique souvent d'ajuster l'architecture d'ingestion et d'implémenter des modifications de configuration dans les sources de données. Nous souhaitons nous assurer que les utilisateurs qui essaient Elastic ou migrent vers Elastic pourront transférer rapidement leurs données pour se rendre compte aussi vite que possible de la puissance des solutions Elastic. C'est pourquoi nous avons créé une intégration qui mappe automatiquement les données ingérées par Splunk dans Elastic Common Schema (ECS).

Dans cet article de blog, nous vous guiderons dans une intégration Splunk expérimentale, publiée dans la version 7.12 de la Suite Elastic. Cette intégration permet de conserver vos forwarders universels Splunk et autres technologies d'ingestion Splunk, puis de tirer parti de l'API Splunk pour transférer des données dans Elastic. L'intégration prend actuellement en charge l'ingestion de logs Apache, AWS Cloudtrail, NGINX, Windows Event Channels et Zeek, mais nous prévoyons de développer grandement les sources de données prises en charge.

Comment fonctionne l'intégration ?

1-integration-chart-blog-splunk-integration.png

L'intégration tire parti de l'entrée HTTP JSON dans l'agent Elastic pour lancer une recherche Splunk via l'API REST Splunk, puis extraire les événements bruts des résultats. Les événements bruts sont ensuite traités via l'agent Elastic et les intégrations Elastic existantes.

Configuration de l'intégration

Pour cet article de blog, nous configurerons l'intégration Zeek pour récupérer des événements existants dans Splunk.

La première étape consiste à installer l'agent Elastic. Il est facile à déployer et prend en charge tous les systèmes d'exploitation courants. Vous pouvez consulter les étapes d'installation de l'agent Elastic et vous inscrire à Fleet ici.

Nous créerons ensuite une politique et ajouterons l'intégration Zeek. Configurez "l'entrée d'API REST tierce". Pour accéder à l'API, vous aurez besoin de l'URL de votre serveur d'entreprise Splunk et des identifiants. Vous pouvez personnaliser la recherche Splunk, ainsi que l'intervalle de recherche. Vous pouvez également ajouter des tags pour indiquer que les logs ont été transférés via Splunk.

2-integration-chart-blog-splunk-integration.png

Comme vous pouvez le voir dans la capture d'écran ci-dessous, les logs Zeek sont transmis à Splunk :

3-integration-chart-blog-splunk-integration.png

L'intégration Splunk étant activée, ces logs sont désormais disponibles dans Elastic :

4-integration-chart-blog-splunk-integration.png

Splunk + Elastic Common Schema

Et le meilleur pour la fin : toutes les données ingérées via Splunk seront automatiquement mappées sur Elastic Common Schema (ECS). Cela signifie que vous pouvez tout de suite tirer parti des solutions Elastic, comme Elastic Security et Elastic Observability, sans vous soucier de devoir mapper manuellement vos données du Common Information Model de Splunk vers ECS. 

Le contenu analytique, comme les tâches de Machine Learning, les règles de détection et les visualisations fonctionnent, tout simplement ! Voici par exemple un tableau de bord Zeek entièrement rempli avec des données Zeek ingérées via Splunk :

5-integration-chart-blog-splunk-integration.png

Nous espérons que l'utilisateur de Splunk qui essaie Elastic trouvera cette intégration avantageuse. Notre objectif est de nous assurer que vous passerez moins de temps à configurer la gestion des données vers Elastic, pour pouvoir vous concentrer sur l'obtention de valeur rapide grâce à nos solutions. Vous pouvez consulter les documents associés pour l'intégration ici.

Nous avons hâte d'entendre vos commentaires concernant cette intégration Splunk. Merci de nous dire ce que vous en pensez sur le forum de discussion Elastic ou sur l'espace de travail Slack d'Elastic. Et si vous attendiez une intégration comme celle-ci avant d'essayer Elastic, c'est le moment : lancez-vous avec un essai gratuit de 14 jours (sans carte bancaire) ou téléchargez nos produits gratuitement pour votre déploiement sur site, et profitez de nos formations rapides pour être opérationnel rapidement.