Proporcionando mayor información y visibilidad para BIG-IP con Splunk

“Es un error capital teorizar antes de tener datos.” – Sherlock Holmes

El legendario personaje de Arthur Conan Doyle acertó en muchas cosas. (Su opinión sobre la importancia de que los datos se incluyan en esa evaluación.) Pero imaginemos por un momento si este detective del siglo ^XIX fuera transportado de repente a 2020, donde la información no solo es omnipresente sino que a menudo puede ser abrumadora. ¿Aún se quejaría de la falta de datos si necesitara resolver un problema de seguridad?

Yendo un paso más allá, ¿qué sucedería si se le encomendara la tarea de dar sentido a los datos de seguridad, los registros de eventos y las entradas de los distintos dispositivos y servicios que componen una red empresarial?

Incluso la famosa sed de datos de Holmes quedaría saciada en ese diluvio (léase: definitivamente se ahogaría).

Afortunadamente, aquellos cuyo trabajo es dar sentido a la información de la red empresarial (y tomar medidas basadas en ella) no tienen que depender de detectives ficticios de la Inglaterra victoriana. Existen soluciones que hacen el trabajo pesado, como Splunk .

Organizaciones de todo el mundo utilizan la solución de gestión de eventos e información de seguridad (SIEM) de Splunk para ingerir y asimilar un flujo constante de datos de red no organizados, no estructurados y de múltiples fuentes en paneles de control significativos, consumibles y correlacionados, lo que ayuda a impulsar decisiones y estrategias informadas.

Splunk y F5

Es cierto que uno de los dispositivos “más comunicativos” en muchas redes empresariales es F5 BIG-IP . Debido a que BIG-IP se destaca en la inspección, el análisis, el filtrado y la generación de informes sobre el tráfico de red, crea una gran cantidad de datos muy útiles. Sin embargo, analizar y extraer información de este flujo de información no es tarea fácil. Este fue uno de los impulsores principales del desarrollo del complemento Splunk para F5 BIG-IP . Este complemento totalmente compatible con Splunk permite a los administradores de Splunk extraer datos de tráfico de red, registros del sistema, configuraciones del sistema, métricas de rendimiento y estadísticas de tráfico de sus BIG-IP mediante syslogs, iRules y la API REST iControl.

Mejorando el complemento

Si bien esta integración proporcionó un gran valor para los usuarios de F5 y Splunk, ambas empresas también creen en hacer que las cosas buenas sean excelentes. Una de las maneras de lograr esto es aprovechando la cadena de herramientas de automatización declarativa y compatible con F5 (específicamente Telemetry Streaming ) para mejorar la forma en que BIG-IP y Splunk se comunican. En lugar de tener que ingresar un conjunto de comandos imperativos (un proceso que requiere experiencia en la materia de F5), Telemetry Streaming solo necesita una única declaración JSON, lo que significa que usted le indica el estado final que desea y agregará, normalizará y enviará las estadísticas de BIG-IP a Splunk.

Además de la simplificación general a través de interfaces declarativas, aprovechar la transmisión de telemetría como mecanismo subyacente para la integración de BIG-IP y Splunk significa que los datos se enviarán desde BIG-IP a Splunk en lugar de extraerse, lo que ayudará a crear flujos de trabajo más automatizados. Este nuevo enfoque para el complemento Splunk para BIG-IP:

• Simplifica el proceso de obtención de datos de BIG-IP en Splunk
• Agrega más detalles al panel de informes.
• Ayuda a garantizar la integración a futuro, ya que F5 continúa invirtiendo en interfaces declarativas para sus productos e integraciones.
• Sigue siendo totalmente compatible con F5 (transmisión de telemetría) y Splunk (complemento para BIG-IP)

La última versión del complemento para BIG-IP ya está disponible para los clientes de Splunk. Puedes encontrarlo en Splunkbase .