Ingestão fácil de dados no Elastic via Splunk
Quando as organizações migram de fornecedores existentes para a Elastic, a integração rápida dos dados de log da solução atual ao Elastic é uma das primeiras tarefas da lista. A integração de dados geralmente envolve a necessidade de ajustar a arquitetura de ingestão e implementar alterações de configuração nas fontes de dados. Queremos garantir que os usuários que estão avaliando ou migrando para a Elastic possam inserir seus dados rapidamente para começar a ver o poder das soluções da Elastic o mais rápido possível. É por isso que construímos uma integração que mapeia automaticamente os dados ingeridos pelo Splunk para o Elastic Common Schema (ECS).
Neste post, mostraremos esta integração experimental do Splunk, lançada na versão 7.12 do Elastic Stack. Esta integração permite que você mantenha seus encaminhadores universais e outras tecnologias de ingestão da Splunk em funcionamento e utilize a API da Splunk para transferir os dados para o Elastic. A integração atualmente oferece suporte para a ingestão de logs do Apache, AWS Cloudtrail, NGINX, canais de eventos do Windows e Zeek, mas temos planos de expandir significativamente as fontes de dados compatíveis.
Como funciona a integração?
A integração aproveita a entrada HTTP JSON no Elastic Agent para executar uma busca do Splunk por meio da REST API do Splunk e, em seguida, extrai os eventos brutos dos resultados. Os eventos brutos são então processados por meio do Elastic Agent e das integrações da Elastic existentes.
Configurando a integração
Para este post do blog, configuraremos a integração do Zeek para recuperar eventos existentes do Splunk.
Nosso primeiro passo será instalar o Elastic Agent. Ele é fácil de implantar e oferece suporte para todos os sistemas operacionais comuns. Você pode ver as etapas para instalar o Elastic Agent e se inscrever no Fleet aqui.
A seguir, criaremos uma política e adicionaremos a integração do Zeek. Configure a “entrada da REST API de terceiros”. Você precisará do URL do seu Splunk Enterprise Server e das credenciais para acessar a API. A busca do Splunk é customizável, assim como o intervalo de busca. Tags também podem ser adicionadas para indicar que os logs foram encaminhados via Splunk.
Como podemos ver na captura de tela abaixo, temos logs do Zeek sendo transmitidos para o Splunk:
Com a integração do Splunk habilitada, estes logs agora estão disponíveis no Elastic:
Splunk + Elastic Common Schema
E agora a melhor parte: todos os dados ingeridos via Splunk serão automaticamente mapeados para o Elastic Common Schema (ECS). Isso significa que você pode começar a utilizar soluções da Elastic como o Elastic Security e o Elastic Observability imediatamente, sem precisar se preocupar em mapear manualmente seus dados do Common Information Model da Splunk para o ECS.
Conteúdo analítico como trabalhos de machine learning, regras de detecção e visualizações funcionarão tranquilamente. Por exemplo, este é um dashboard do Zeek totalmente preenchido com dados do Zeek ingeridos via Splunk:
Esperamos que os usuários do Splunk que estiverem avaliando o Elastic considerem essa integração benéfica. Nosso objetivo é garantir que você gaste menos tempo configurando a ingestão de dados no Elastic e se concentre em extrair benefícios das nossas soluções rapidamente. Você pode consultar a documentação associada da integração aqui.
Temos muito interesse em receber seu feedback sobre essa integração do Splunk. Conte-nos o que achou no fórum de discussão da Elastic ou no espaço de trabalho da Elastic no Slack. E se você estava esperando uma integração como essa para experimentar o Elastic, a hora é agora: comece sua avaliação gratuita de 14 dias (não é necessário cartão de crédito) ou baixe nossos produtos gratuitamente para sua implantação local. E aproveite o nosso treinamento Quick Start para se preparar para o sucesso.