J'ai découvert Splunk à la fin de l'année 2007, et j'ai été séduit par le concept. Il s'agit d'un collecteur de journaux généraliste, qui permet également de faire des recherches puissantes au moyen d'un langage dédié. L'interface est assez jolie, avec du flash ; le code de splunk est quant à lui principalement du Pyhton (quelle idée).
A l'époque, le produit était très orienté Linux, il ne convenait donc que partiellement à mes besoins. La dernière version est plus intéressante : elle tourne sur Windows (ça c'est pas très important), et elle peut collecter les journaux d'évènements de manière native (c'est mieux).
J'ai donc installé et configuré l'engin, version 3.3.1, ce que je décris plus loin.
La comparaison avec EventCentral, et donc dans le cadre limité de la collecte des journaux d'évènements Windows, peut se résumer ainsi :
| EventCentral | Splunk | |
| Installation & configuration |
bosse un peu |
InstallShield |
| Prise en main |
fastoche | bosse fort |
| Découverte automatique des machines |
oui |
non (vérifier quand même le crawler) |
| Période d'acquisition |
24h |
10s par défaut quasi temps-réel, quoi |
| Alertes |
non | oui |
| Liens externes |
oui
(eventid.net, etc.) |
non |
| Acquittement avec commentaires |
oui |
non |
| Interface homme-machine |
argh | cool |
| Recherche dans les journaux |
limitée |
langage puissant intégré |
| Graphes |
bah non | intégré |
| Utilisation de la CPU / RAM |
que dalle |
achète un Cray |
| Collecte des journaux |
psloglist | WMI |
| Collecte d'autres évènements |
non |
oui oui (outil générique) |
| Equipe de développement | 1 | des tas |
| Coût |
gratuit | version entreprise payante |
Installation
Rien de plus simple : télécharger Splunk (après enregistrement sur le site), et l'exécuter sur un serveur Windows, membre d'un Active Directory. Penser à :
- Faire tourner le service Splunk sous un compte disposant des droits d'accès WMI aux machines à collecter (l'administrateur du domaine est un bon candidat).
- Activer WMI.
Configuration
Vérifier que le fichier de configuration C:\Program Files\Splunk\etc\system\inputs.conf contient bien :
[script://$SPLUNK_HOME\bin\scripts\splunk-wmi.py]
disabled=0
C'est ce qui active la collecte par WMI.
Modifier le fichier de configuration C:\Program Files\Splunk\etc\system\wmi.conf comme suit, par exemple :
[WMI:DCEventLog]
server = srv1, srv2
interval = 10
event_log_file = Application, System, Security, Directory Service, DNS server, File Replication Service
disabled = 0
[WMI:RemoteEventLog]
server = srv3
interval = 10
event_log_file = Application, System, Security
disabled = 0
La première rubrique collecte les journaux d'évènements propres aux contrôleurs de domaine (Directory Service, etc.) sur SRV1 et SRV2. La seconde collecte les trois journaux standards de SRV3.
Relancer Splunk via l'interface web (admin/server/control server). C'est fini, et ça marche.
A vous de comparer avec EventCentral, pour déterminer l'outil le mieux adapté à vos besoins.