Splunk How-to, или Как и где научиться Splunk

[box4]

У меня несколько вопросов

1. Какие права нужны для того что форвардер работал с минимальными привилегиями.
2. Наверное при внедрении уже разработали лучшие шаги, методологию которая увеличивает вероятность успешности проекта, можете поделиться своим опытом.
3. Можете написать сколько понадобиться времени если будет внедрять один человек ?

[AlexKulakov]

Какие права нужны для того что форвардер работал с минимальными привилегиями.

— Права на чтение логов, которые он должен мониторить. Если вы хотите запускать скрипты, то права на их запуск соответсвенно (это если мы говорим про Linux). В случае с Windows Splunk рекомендует устанавливать от Local System.

Наверное при внедрении уже разработали лучшие шаги, методологию которая увеличивает вероятность успешности проекта, можете поделиться своим опытом.

— Перед началом проекта четко поставьте себе цель, что вы хотите сделать. Она должна быть выполнимой и небольшой, расширять можно потом. Определите критерии успеха (загрузка логов, построение 5 дашбордов, запуск 4 алертов и тд). Далее по шагам: установка, загрузка логов, проверка на правильность загрузки, написание запросов для визуализации или установка готовых приложений.

Можете написать сколько понадобиться времени если будет внедрять один человек?

— Все зависит от целей которые вы перед собой поставите, а также от объемов логов и их разновидностей. Можно и за неделю одному внедрить, а можно целой командой за год не управиться.