Log kayıtları, sistemde yaşanan herhangi bir aksaklıkta bizlere sorunun kaynağını bulmamızda ve sistemde gerçekleşen olaylar ile ilgili fikir sahibi olmamızda oldukça büyük katkı sağlar. Log kayıtlarını manuel olarak toplamak, analiz etmek, merkezileştirmek neredeyse imkansızdır. Günümüzde birçok log yönetimi araçları tüm bu işlemleri gerçekleşirken analiz ve yönetim konusunda sistem yöneticilerine kolaylık sağlar. Risklerin azaltılmasının yanı sıra sistemin daha verimli çalışmasını da sağlar.
Log yönetimi yazılımlarından beğenmiş olduğunuz herhangi birini tercih etmeniz; güvenlik etkinlikleri, ağınızda gerçekleşen hareketler, gerçek zamanlı işlemler vb. birçok görevde kolaylık sağlar.
Splunk nedir ?
Splunk, birçok farklı kaynaktan gelen bilgileri gerçek zamanlı olarak analiz edip, key-value şeklinde indeksleyen ve daha sonra içerisinde arama yapmaya, dashboardlar, uyarılar ve raporlar oluşturmaya yarayan uygulamadır.
Önde gelen log yönetim sistemlerinden biri olan Splunk; macOS, Linux ve Windows’u kapsayan piyasa da oldukça bilinen yardımcı programlardan biridir. Splunk yazılımının ücretsiz versiyonu günlük 500 MB ile sınırlıdır.
Splunk hakkında detaylı bilgi için https://www.splunk.com/ adresini ziyaret edebilirsiniz.
Arayüz İncelemesi
Splunk arayüzü basit ve kullanışlıdır. Aşağıdaki ekran görüntüsü üzerinden numaralandırılmış kısımların anlatımlarını yapacağım.
1 Menü bar; Arama bölümüne, Data kümelerine, Raporlara, Uyarılara ve Dashboardlara ulaşmanızı sağlar.
2 Arama kutusu. Splunk’ın temelinde SPL(Search Processing Language) vardır. SPL, herhangi bir veriyi aramanıza, ilişkilendirmenize, analiz etmenize ve görselleştirmenize olanak sağlayan 140’ın üzerinde komut sunan öğrenmesi kolay ve yetenekli bir dildir. SQL diline benzerliği vardır buna ek olarak Unix pipe ( | ) özelliğini de bünyesine katarak genelden özele sorgu sonuçlarını daraltarak iç içe sorgular yazabilirsiniz.
3 Tarihsel kısıtlamaları yapmanızı sağlar. Bu sayede sonuçları daraltmış olursunuz.
4 Aramanın döndürdüğü veri miktarını veya türünü kontrol ederek arama performansınızı optimize eden mod ayarıdır. Arama modunun üç ayarı vardır :
Fast Mode : Varsayılan metadata alanları (timestamp, source, sourcetype, host) dışında alan keşfi yapılmaz. Bu sayede hızlı sonuç getirmektedir. Tam olarak hangi alanlara ihtiyacınız olduğunu biliyorsanız ve bunları arama sorgusunda belirtebiliyorsanız kullanın.
Smart Mode : Varsayılan ayar olan akıllı mod. Yapılan arama için en iyi sonuçları döndürür.
Verbose Mode : Tüm metadata alanları keşfeder. Hangi alanları kullanacağınıdan emin değilseniz kullanın.
5 Splunk dokümantasyonuna ve eğitici örneklere erişebilirsiniz. https://docs.splunk.com/Documentation
6 Bu panelde şu zamana kadar indekslenen data sayısı, en eski data tarihi ve en yeni data tarihi bulunmaktadır. “Data Summary” butonu ile de içerideki bulunan metadataların değerlerine bakabilirsiniz bu sayede sorgularınızı daha spesifik hale getirebilirsiniz.
7 Bu kısımda ise daha önce yapılan sorguları ve sorgulama tarihini görebilirsiniz. “Add to Search” diyerek sorgularınızı tekrar kullanabilirsiniz.
Splunk serisinde bir sonraki yazıda Splunk sorgularının nasıl yazıldığını ve dashboard tasarımlarının yapımından bahsedeceğim.
Faydalı bir yazı olmuş elinize sağlık , splunk için türkçe aramalarda ilk sıralarda çıkan güzel bir giriş yazısı 🙂
Devamı gelecek @mervişşşş 😉