Splunk - Géneralités

Splunk vient de “spelunking” en anglais signifiant spéléologie, “To splunk” consiste donc à explorer des grottes d’informations et à extraire des données.

Splunk permet de prévenir les problèmes majeurs sur un systèmes, identifier les principaux risques, détecter les menaces grâce et restaurer les services critiques.

Quelles données peuvent être monitorées ?

Les types de données pouvant être monitorées :

• Files and directories
• Network events
• Windows sources
• HTTP Event Collector (HEC)
• Metrics

Fichiers de configuration

Global configuration files

La liste des fichiers de configuration globale, le détail et les sources se trouvent ici:

admon.conf
authentication.conf
authorize.conf
crawl.conf
deploymentclient.conf
distsearch.conf
indexes.conf
inputs.conf
limits.conf, except for indexed_realtime_use_by_default
outputs.conf
pdf_server.conf
procmonfilters.conf
props.conf -- global and app/user context
pubsub.conf
regmonfilters.conf
report_server.conf
restmap.conf
searchbnf.conf
segmenters.conf
server.conf
serverclass.conf
serverclass.seed.xml.conf
source-classifier.conf
sourcetypes.conf
sysmon.conf
tenants.conf
transforms.conf  -- global and app/user context
user-seed.conf -- special case: Must be located in /system/default
web.conf
wmi.conf

App/user configuration files

La liste des fichiers de configuration pour les utilisateurs et les applications, le détail et les sources se trouvent ici :

alert_actions.conf
app.conf
audit.conf
commands.conf
eventdiscoverer.conf
event_renderers.conf
eventtypes.conf
fields.conf
literals.conf
macros.conf
multikv.conf
props.conf -- global and app/user context
savedsearches.conf
tags.conf
times.conf
transactiontypes.conf
transforms.conf  -- global and app/user context
user-prefs.conf
workflow_actions.conf

Documentation

https://docs.splunk.com/Documentation/Splunk/9.1.1/Admin/Wheretofindtheconfigurationfiles
https://docs.splunk.com/Documentation/Splunk/9.1.1/Admin/Listofconfigurationfiles