Splunken met Grote Splunk

Search queries

Het zal je al wel opgvallen zijn: Splunk kan heel veel en de learning curve mag er wel zijn. Dit is alvast geen programma dat je even snel installeert en op een uur goed zet.

Een simpele search met "captmarvel", 1 van mijn domain admins geeft me al enorm veel resultaten

Splunk doet wel zijn best om je al een beetje bij te staan door al een standaard filter te suggereren bij de zoekresultaten, zoals in mijn zoekresultaat:

Ik kan het gewoon copy pasten en geeft me meteen resultaat:

host = dc source = WinEventLog:Security sourcetype = WinEventLog:Security

Apps

Apps kunnen misschien wel een redding brengen voor de modale IT-operations persoon. Deze kant-en-klare config files, dashboards of andere utilities zijn beschikbaar op de splunk website. Ik test er alvast 2 uit:

• Windows Event Logs Analysis

• Splunk App for Windows Infrastructure. Deze heeft 2 dependencies nodig.

  • Splunk Supporting Add-on for Active Directory

  • Splunk Add-on for Microsoft Windows

Nadat je de apps gedownload hebt, moet je gewoon de gecompresseerde bestanden uploaden via de webinterface.

Install app from fle

Uploaden maar!

En na een restart zou de eerste app moeten zichtbaar zijn.

De Windows Event Logs Analysis-app geeft alleszins al een mooi overzicht.