참고 : http://splunk-korea.co.kr/xe/
SPLUNK는
응용 프로그램 운영 시 어디서 언제 에러가 발생하였는지 원인분석하기가 매우 어렵습니다. 또한 보안사고시 역 추적과 원인 분석에 애를 먹는 경우가 비일비재합니다. 서버나 네트웍 장비의 특정 성능이나 기능을 모니터링 하는데 어려움도 많이 겪게 됩니다. 이러한 IT 애로사항을 해결하는데 매우 유용한 솔루션이 "SPLUNK"입니다
-스플렁크는 IT인프라의 모든 데이터를 실시간으로 한 장소에서 인덱싱 하여 검색하고 분석하는 소프트웨어입니다. 이를 통해 응용프로그램 에러의 원인분석과 모니터링, 보안사고의 역 추적과 모니터링, 서버나 네트웍 장비의 모니터링, 대쉬 보드와 서비스 데스크 기능을 제공합니다.
- 즉, 스플렁크는 모든 IT데이터를 실시간으로 검색하여 응용프로그램의 정지 시 문제점을 해결하고 보안사고 발생시 수분내로 추적조사를 수행하며 보안감사를 증명하는 솔루션입니다. 또한 특정 조건을 주어 그 문제점이 발생하는지 지속 모니터링 합니다.
- 스플렁크는 수 분 안에 설치하고 바로 사용할 수 있으며 제품데모가 용이합니다.
- 스플렁크는 수 테라 또는 수십 테라 바이트의 데이터를 수초, 수분 안에 검색하여 제공합니다.
- 별도의 에이전트 모듈이나 DBMS가 필요 없습니다.
- 기존의 트러블 슈팅 시간과 MTTR을 획기적으로 줄여 줍니다.
- 스크립트 기능을 통해 예약 검색과 서버 재 시작 등의 기능을 제공합니다.
- 원격에 있는 인프라의 데이터도 검색이 가능하며 사용자에 따라 롤을 지정할 수 있습니다.
- IT관련한 서로 다른 팀에서 검색한 결과를 공유하여 지식관리를 하게 합니다.
- 스플렁크는 많은 데이터를 관리해야 하거나 인터넷 서비스를 하는 고객에게는 필수적인 툴입니다.
- 온라인 비지니스나 웹 서비스를 실시하는 공공, 금융, 대학, 기업, 인터넷 기업 등의 애플리케이션 모니터링에 필수적인 IT 데이터 검색과 필터링을 통한 장애관리와 성능관리를 제공합니다.
- 스플렁크는 야후, 옥션, 아마존, 비자카드, 블룸버그, 인텔, 시스코, 소니, 폭스 티비, AT&T, AOL, 페덱스, UPS등에서 필수적인 툴로 활용되고 있습니다.
- 스플렁크는 지난 2008년 인터럽 쇼의 IT 관리 분야에서 1위를 한 솔루션입니다.
SPLUNK 활용사례
[응용프로그램 분야]
오늘날의 전산환경에서 응용 프로그램 관리는 그 어느 때보다 더 복잡합니다.
클라이언트 / 서버, 레거시 개편, 애플리케이션, 자바 EE와. NET, SOA기반 등의
다양한 환경 기술로 구성되어 있습니다. 문제를 진단하고 해결하는 데이터가 여러 사일로에 걸쳐 흩어져 있고 필요한 팀들 사이에서 데이터를 공유하거나 일관된 능력을 제공하는 툴이 없습니다. 거기에 가상화 환경 안에서 운영되는 애플리케이션이나 클라우드 접근 제한을 1명의 헬프 데스크 직원이나 개발자가 문제를 진단하고 해결하는 것은 거의 불가능합니다.
이에 스플렁크는 새로운 방법을 제시합니다.
실시간으로 한 장소에서 전체 애플리케이션 인프라 전반에 걸쳐 사용자 정의 및 패키지 애플리케이션 로그, 스택 트레이스, 메시지 대기열, 데이터베이스 감사 추적, 운영 체제와 네트워크의 로그, 상태 및 통계 등의 데이터를 색인, 검색, 경고를 발생하고 모든 IT 데이터의 보고서를 받을 수 있습니다.
스플렁크로 SOA 플랫폼, 엔터프라이즈 애플리케이션, 웹 서비스, 데이터베이스, Microsoft 응용 프로그램의 J2EE 서버, 미들웨어 및 운영 체제를 포함한 대부분의 복잡한 IT 환경과 응용 프로그램의 전체 범위를 관리할 수 있습니다. 몇 시간 또는 며칠이 아니라 몇 분 또는 초안에 정확하게 문제를 해결할 수 있게 됩니다.
1. 인프라의 모든 계층에서 웹 액세스 및 오류 로그, 로그 및 스택 트레이스, J2EE. 닷넷, PHP와 다른 응용 프로그램, 메시지 대기열, 데이터베이스 감사 추적, 운영 체제와 네트워크에 로그, 상태 및 통계 등을 실시간으로 인덱싱 합니다
2. Splunk를 사용하여 성능 문제와 오류를 해결합니다. Splunk를 사용하여 한명이 원천적인 문제를 진단하고, 대부분의 증강을 제거 설정할 수 있습니다.
3. 서비스, 일반적 오류를 인식하고 응답시간 같은 필드를 추출하는 지식을 쌓음으로써 원시 데이터 활용을 향상시킵니다.
4. 검색 결과를 자동화하고 실행하여 성능 임계값를 초과하면 알람을 발생하여 잠재적인 문제점을 모니터링 합니다.
5. 트랜잭션 볼륨, 오류 속도, 성능 및 용량을 모니터하기 위해 리포트와 대쉬 보드를 설정합니다. 매일 IT데이터를 검토하거나 새로이 변형된 코드를 찾아내어 새로운 문제를 조기에 경고합니다.
[보안 분야]
IT 인프라는 점점 더 정교해지는 공격자나 악의적인 내부자를 방어하기 어렵게 되어 가고 있습니다. 보안 팀이 거짓 경보와 압도적인 숫자의 공격을 점점 감지하기가 어렵게 되고 있습니다. 공격에 대한 응답이 매우 느린 매뉴얼과 지루한 과정을 걸쳐서 문제를 해결하게 됩니다. 수십 개의 네트워크 장치 및 시스템의 콘솔에 여러 사일로가 분포되어 있고 심지어는 사건 수사에 필요한 중요한 정보가 부족하기도 합니다. 시간은 촉박해집니다.
서로 다른 콘솔들을 통해 검색해야 하기 때문에 귀사의 위험노출이 연장되거나 사건 수사가 너무 오래 걸리진 않습니까? 현재의 시스템이 사건조사나 평가에 필요한 네트워크 보안 장비, 사용자 지정 응용 프로그램 이벤트 로그와 데이터베이스 같은 데이터를 충분히 제공하고 있다고 생각하십니까? 모든 보안 관련 데이터를 추적할 수 없는 모니터링 시스템 때문에 사건이 지난 훨씬 후에 인지하거나 아예 인지를 못하는 경우가 있진 않습니까? 제로 데이 공격으로 인한 영향을 바로 확인할 순 없을까요? 강제적인 네트웍 공격뿐 아니라 데이터 유출과 응용프로그램 수준의 사기 등의 위험 패턴을 자동으로 모니터하고 있습니까?
1. 어떤 유형의 공격을 조사하거나 모니터하기 위해 필요한 OS, IDS, 방화벽, 네트워크 장치의 DNS, DHCP, 원격 액세스 및 AAA 등급 로그, 프록시, 웹, 사용자 지정 응용 프로그램 로그 등의 데이터를 인덱싱합니다.
2. 보안 분석 및 사고 대응 팀이 IDS, SIEM 경고들과 민감한 데이터에 액세스, 그리고 표시된 사용자의 활동을 조사하는데 스플렁크를 적용합니다.
3. 사용자 이름을 추출하거나 로그인 성공 같은 이벤트를 인지하는 데이터들을 정규화 하여 중요한 이벤트를 정리함으로써 원시 데이터를 충분히 활용하게 됩니다.
4. 자동으로 알려진 이벤트에 대한 모니터링 및 검색을 통해 복잡한 상관 관계를 사용하여 알려진 위험 패턴과 같은 무력 공격, 데이터 유출, 심지어는 애플리케이션 수준의 사기를 찾을 수 있습니다.
5. 보안관리자는 방화벽 보고서, IDS규칙위반, 로그활동 같은 관련 이벤트들을 매우 예리한 관점에서 스플렁크의 보고서를 활용하게 될 것입니다. Splunk는 새로운 제로 데이 공격에 대응하기 위한 공격의 흔적을 검색하고 로그인 리뷰나 밝혀지지 않는 의심 패턴과 알려지지 않는 공격을 찾는데 매우 유용합니다.
[IT 운영 분야]
-변경 관리
스플렁크는 파일시스템의 변경 이벤트, 신규 또는 변경된 구성 파일 및 스크립트, 쿼리 데이터베이스 감사 로그, CMDBs, 소스 관리, 서비스 데스크와 통합 / 시스템 및 변경 데이터의 다른 소스 발권, 기타 모든 로그, 오류 및 IT 관련 데이터를 모니터 합니다. 시스템 관리자 및 개발자는 서비스 문제를 조사 하는 데이터와 근본 원인 변경 이벤트를 검색할 수 있습니다.
모든 구성 파일, 레지스트리, 액티브 디렉토리, 데이터베이스, 그리고 더 많은 IT 인프라 전반에 걸쳐 변화를 모니터링하여 잠재적인 보안 위협을 감지합니다.
-네트웍 관리
모든 네트워크 장치 로그 즉 방화벽 및 라우터, DHCP 임대 , VoIP 및 무선 인프라 등을 모니터하고 네트워크 구성 및 변경 사항을 캡처 합니다. OPSEC LEA 같은 이벤트 API에 연결합니다. SNMP 트랩을 받습니다. 심지어 PCAP, TCPdump 및 Netflow를 통해 네트워크 트래픽을 캡처합니다. 스플렁크는 실시간 색인을 생성합니다.
-서버 관리
거의 모든 호스트 운영 체제에 의해 생성된 - 이벤트 로그, 성능 모니터, 레지스트리 변경 및 WMI, ps의 최고의 같은 시스템 통계 및 파일 시스템 변경 , 유닉스와 리눅스 시스템 로그 구성 파일의 색인을 생성합니다. 전체가 실시간으로 검색됩니다. 시스템 관리자가 즉시 여러 대의 서버로 수동으로 로깅하거나 로그 파일을 grepping하고, 스크립트 실행하는 등의 행동을 하지 않고 서버에 관련된 문제를 스플렁크를 이용하여 즉시 조사할 수 있습니다.
-가상화 관리
하이퍼 바이저, VMware ESX, 젠과 다른 API, 게스트 OS 및 응용 프로그램등의 색인 통계, 구성, 상태 및 로그와 다른 데이터를 통해 파워 다운, 컴플라이언스 등 중요 상태를 모니터합니다.
-서비스 데스크
데이터 계층 지원 담당자가 문제를 초기에 해결하는 데 필요한 직접적이고 안전한 액세스를 제공함으로써 서비스 데스크 기능을 제공합니다.
출처 : http://www.iteye.co.kr/05_customer/notice_list.php?mode=Read&serial_no=201009030001&com_id=ds0016&menu_cd=11&class_cd=10&item=&find=&product_no=&order_no=&left=&start2=0
SPLUNK는
응용 프로그램 운영 시 어디서 언제 에러가 발생하였는지 원인분석하기가 매우 어렵습니다. 또한 보안사고시 역 추적과 원인 분석에 애를 먹는 경우가 비일비재합니다. 서버나 네트웍 장비의 특정 성능이나 기능을 모니터링 하는데 어려움도 많이 겪게 됩니다. 이러한 IT 애로사항을 해결하는데 매우 유용한 솔루션이 "SPLUNK"입니다
-스플렁크는 IT인프라의 모든 데이터를 실시간으로 한 장소에서 인덱싱 하여 검색하고 분석하는 소프트웨어입니다. 이를 통해 응용프로그램 에러의 원인분석과 모니터링, 보안사고의 역 추적과 모니터링, 서버나 네트웍 장비의 모니터링, 대쉬 보드와 서비스 데스크 기능을 제공합니다.
- 즉, 스플렁크는 모든 IT데이터를 실시간으로 검색하여 응용프로그램의 정지 시 문제점을 해결하고 보안사고 발생시 수분내로 추적조사를 수행하며 보안감사를 증명하는 솔루션입니다. 또한 특정 조건을 주어 그 문제점이 발생하는지 지속 모니터링 합니다.
- 스플렁크는 수 분 안에 설치하고 바로 사용할 수 있으며 제품데모가 용이합니다.
- 스플렁크는 수 테라 또는 수십 테라 바이트의 데이터를 수초, 수분 안에 검색하여 제공합니다.
- 별도의 에이전트 모듈이나 DBMS가 필요 없습니다.
- 기존의 트러블 슈팅 시간과 MTTR을 획기적으로 줄여 줍니다.
- 스크립트 기능을 통해 예약 검색과 서버 재 시작 등의 기능을 제공합니다.
- 원격에 있는 인프라의 데이터도 검색이 가능하며 사용자에 따라 롤을 지정할 수 있습니다.
- IT관련한 서로 다른 팀에서 검색한 결과를 공유하여 지식관리를 하게 합니다.
- 스플렁크는 많은 데이터를 관리해야 하거나 인터넷 서비스를 하는 고객에게는 필수적인 툴입니다.
- 온라인 비지니스나 웹 서비스를 실시하는 공공, 금융, 대학, 기업, 인터넷 기업 등의 애플리케이션 모니터링에 필수적인 IT 데이터 검색과 필터링을 통한 장애관리와 성능관리를 제공합니다.
- 스플렁크는 야후, 옥션, 아마존, 비자카드, 블룸버그, 인텔, 시스코, 소니, 폭스 티비, AT&T, AOL, 페덱스, UPS등에서 필수적인 툴로 활용되고 있습니다.
- 스플렁크는 지난 2008년 인터럽 쇼의 IT 관리 분야에서 1위를 한 솔루션입니다.
SPLUNK 활용사례
[응용프로그램 분야]
오늘날의 전산환경에서 응용 프로그램 관리는 그 어느 때보다 더 복잡합니다.
클라이언트 / 서버, 레거시 개편, 애플리케이션, 자바 EE와. NET, SOA기반 등의
다양한 환경 기술로 구성되어 있습니다. 문제를 진단하고 해결하는 데이터가 여러 사일로에 걸쳐 흩어져 있고 필요한 팀들 사이에서 데이터를 공유하거나 일관된 능력을 제공하는 툴이 없습니다. 거기에 가상화 환경 안에서 운영되는 애플리케이션이나 클라우드 접근 제한을 1명의 헬프 데스크 직원이나 개발자가 문제를 진단하고 해결하는 것은 거의 불가능합니다.
이에 스플렁크는 새로운 방법을 제시합니다.
실시간으로 한 장소에서 전체 애플리케이션 인프라 전반에 걸쳐 사용자 정의 및 패키지 애플리케이션 로그, 스택 트레이스, 메시지 대기열, 데이터베이스 감사 추적, 운영 체제와 네트워크의 로그, 상태 및 통계 등의 데이터를 색인, 검색, 경고를 발생하고 모든 IT 데이터의 보고서를 받을 수 있습니다.
스플렁크로 SOA 플랫폼, 엔터프라이즈 애플리케이션, 웹 서비스, 데이터베이스, Microsoft 응용 프로그램의 J2EE 서버, 미들웨어 및 운영 체제를 포함한 대부분의 복잡한 IT 환경과 응용 프로그램의 전체 범위를 관리할 수 있습니다. 몇 시간 또는 며칠이 아니라 몇 분 또는 초안에 정확하게 문제를 해결할 수 있게 됩니다.
1. 인프라의 모든 계층에서 웹 액세스 및 오류 로그, 로그 및 스택 트레이스, J2EE. 닷넷, PHP와 다른 응용 프로그램, 메시지 대기열, 데이터베이스 감사 추적, 운영 체제와 네트워크에 로그, 상태 및 통계 등을 실시간으로 인덱싱 합니다
2. Splunk를 사용하여 성능 문제와 오류를 해결합니다. Splunk를 사용하여 한명이 원천적인 문제를 진단하고, 대부분의 증강을 제거 설정할 수 있습니다.
3. 서비스, 일반적 오류를 인식하고 응답시간 같은 필드를 추출하는 지식을 쌓음으로써 원시 데이터 활용을 향상시킵니다.
4. 검색 결과를 자동화하고 실행하여 성능 임계값를 초과하면 알람을 발생하여 잠재적인 문제점을 모니터링 합니다.
5. 트랜잭션 볼륨, 오류 속도, 성능 및 용량을 모니터하기 위해 리포트와 대쉬 보드를 설정합니다. 매일 IT데이터를 검토하거나 새로이 변형된 코드를 찾아내어 새로운 문제를 조기에 경고합니다.
[보안 분야]
IT 인프라는 점점 더 정교해지는 공격자나 악의적인 내부자를 방어하기 어렵게 되어 가고 있습니다. 보안 팀이 거짓 경보와 압도적인 숫자의 공격을 점점 감지하기가 어렵게 되고 있습니다. 공격에 대한 응답이 매우 느린 매뉴얼과 지루한 과정을 걸쳐서 문제를 해결하게 됩니다. 수십 개의 네트워크 장치 및 시스템의 콘솔에 여러 사일로가 분포되어 있고 심지어는 사건 수사에 필요한 중요한 정보가 부족하기도 합니다. 시간은 촉박해집니다.
서로 다른 콘솔들을 통해 검색해야 하기 때문에 귀사의 위험노출이 연장되거나 사건 수사가 너무 오래 걸리진 않습니까? 현재의 시스템이 사건조사나 평가에 필요한 네트워크 보안 장비, 사용자 지정 응용 프로그램 이벤트 로그와 데이터베이스 같은 데이터를 충분히 제공하고 있다고 생각하십니까? 모든 보안 관련 데이터를 추적할 수 없는 모니터링 시스템 때문에 사건이 지난 훨씬 후에 인지하거나 아예 인지를 못하는 경우가 있진 않습니까? 제로 데이 공격으로 인한 영향을 바로 확인할 순 없을까요? 강제적인 네트웍 공격뿐 아니라 데이터 유출과 응용프로그램 수준의 사기 등의 위험 패턴을 자동으로 모니터하고 있습니까?
1. 어떤 유형의 공격을 조사하거나 모니터하기 위해 필요한 OS, IDS, 방화벽, 네트워크 장치의 DNS, DHCP, 원격 액세스 및 AAA 등급 로그, 프록시, 웹, 사용자 지정 응용 프로그램 로그 등의 데이터를 인덱싱합니다.
2. 보안 분석 및 사고 대응 팀이 IDS, SIEM 경고들과 민감한 데이터에 액세스, 그리고 표시된 사용자의 활동을 조사하는데 스플렁크를 적용합니다.
3. 사용자 이름을 추출하거나 로그인 성공 같은 이벤트를 인지하는 데이터들을 정규화 하여 중요한 이벤트를 정리함으로써 원시 데이터를 충분히 활용하게 됩니다.
4. 자동으로 알려진 이벤트에 대한 모니터링 및 검색을 통해 복잡한 상관 관계를 사용하여 알려진 위험 패턴과 같은 무력 공격, 데이터 유출, 심지어는 애플리케이션 수준의 사기를 찾을 수 있습니다.
5. 보안관리자는 방화벽 보고서, IDS규칙위반, 로그활동 같은 관련 이벤트들을 매우 예리한 관점에서 스플렁크의 보고서를 활용하게 될 것입니다. Splunk는 새로운 제로 데이 공격에 대응하기 위한 공격의 흔적을 검색하고 로그인 리뷰나 밝혀지지 않는 의심 패턴과 알려지지 않는 공격을 찾는데 매우 유용합니다.
[IT 운영 분야]
-변경 관리
스플렁크는 파일시스템의 변경 이벤트, 신규 또는 변경된 구성 파일 및 스크립트, 쿼리 데이터베이스 감사 로그, CMDBs, 소스 관리, 서비스 데스크와 통합 / 시스템 및 변경 데이터의 다른 소스 발권, 기타 모든 로그, 오류 및 IT 관련 데이터를 모니터 합니다. 시스템 관리자 및 개발자는 서비스 문제를 조사 하는 데이터와 근본 원인 변경 이벤트를 검색할 수 있습니다.
모든 구성 파일, 레지스트리, 액티브 디렉토리, 데이터베이스, 그리고 더 많은 IT 인프라 전반에 걸쳐 변화를 모니터링하여 잠재적인 보안 위협을 감지합니다.
-네트웍 관리
모든 네트워크 장치 로그 즉 방화벽 및 라우터, DHCP 임대 , VoIP 및 무선 인프라 등을 모니터하고 네트워크 구성 및 변경 사항을 캡처 합니다. OPSEC LEA 같은 이벤트 API에 연결합니다. SNMP 트랩을 받습니다. 심지어 PCAP, TCPdump 및 Netflow를 통해 네트워크 트래픽을 캡처합니다. 스플렁크는 실시간 색인을 생성합니다.
-서버 관리
거의 모든 호스트 운영 체제에 의해 생성된 - 이벤트 로그, 성능 모니터, 레지스트리 변경 및 WMI, ps의 최고의 같은 시스템 통계 및 파일 시스템 변경 , 유닉스와 리눅스 시스템 로그 구성 파일의 색인을 생성합니다. 전체가 실시간으로 검색됩니다. 시스템 관리자가 즉시 여러 대의 서버로 수동으로 로깅하거나 로그 파일을 grepping하고, 스크립트 실행하는 등의 행동을 하지 않고 서버에 관련된 문제를 스플렁크를 이용하여 즉시 조사할 수 있습니다.
-가상화 관리
하이퍼 바이저, VMware ESX, 젠과 다른 API, 게스트 OS 및 응용 프로그램등의 색인 통계, 구성, 상태 및 로그와 다른 데이터를 통해 파워 다운, 컴플라이언스 등 중요 상태를 모니터합니다.
-서비스 데스크
데이터 계층 지원 담당자가 문제를 초기에 해결하는 데 필요한 직접적이고 안전한 액세스를 제공함으로써 서비스 데스크 기능을 제공합니다.
출처 : http://www.iteye.co.kr/05_customer/notice_list.php?mode=Read&serial_no=201009030001&com_id=ds0016&menu_cd=11&class_cd=10&item=&find=&product_no=&order_no=&left=&start2=0