امنیتشبکهمقالات

چند توصیه برای استفاده از Splunk SIEM

چند توصیه برای استفاده از Splunk SIEM

 

درباره Splunk SIEM چند توصیه تجربی رو برای دوستانی که با Splunk آشنایی ندارن عرض می کنم:

???? از نصب و استفاده Splunk روی سیستم عامل ویندوز پرهیز کنید چون با حجم کمی لاگ به شدت کند میشه و کارایی لازم رو نداره ، نسخه RPM روی سیستم عامل RedHat عملکرد خیلی بهتری داره

???? برای کارایی بهتر Indexer و SearchHead روی دو سرور مجرا نصب کنید.

???? برای Indexer هاردهای SSD و RAM بیشتری در نظر بگیرید و برای SearchHead از توان پردازشی CPU بیشتری استفاده کنید.

???? در صورت امکان از Indexer های مختلفی به صورت distributed استفاده کنید تا در حجم های بالاتر با کندی کمتری مواجه بشید.

???? در صورت استفاده از لایسنس کرکی این نکته رو مد نظر داشته باشید که ممکنه نسخه های بعدی نرم افزار این لایسنس رو قبول نکنه و قابلیت به روز رسانی نرم افزار رو تا ارائه کرک نسخه جدید نداشته باشید.

???? به منظور نوشتن Add-On برای نرم افزارهای سفارشی که Splunk فرمت لاگ آنها رو پشتیبانی نمیکنه ساده ترین راه استفاده از نوعی مهندسی معکوس روی Add-On های موجود هستش تا هرچه کمتر درگیر مسائل کد نویسی و برنامه نویسی بشید.

???? مهندس امیر علوی

سازن هاست ارائه دهنده خدمات ثبت دامنه و هاست وردپرس در ایران

برچسب ها
نمایش بیشتر

نوشته های مشابه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

همچنین ببینید

بستن
دکمه بازگشت به بالا
بستن
بستن