Offrir une vision et une visibilité plus approfondies pour BIG-IP avec Splunk

« C’est une erreur capitale de théoriser avant d’avoir des données. » – Sherlock Holmes

Le personnage légendaire d'Arthur Conan Doyle avait raison sur beaucoup de points. (Son avis sur l’importance de prendre en compte les données dans cette évaluation.) Mais imaginez un instant si ce détective privé du ^XIXe siècle était soudainement transporté en 2020, où l’information est non seulement omniprésente, mais peut souvent être écrasante. Se plaindrait-il encore du manque de données s’il devait résoudre une énigme de sécurité ?

En allant plus loin, que se passerait-il s’il était chargé de donner un sens aux données de sécurité, aux journaux d’événements et aux entrées des nombreux appareils et services différents qui composent un réseau d’entreprise ?

Même la célèbre soif de données d’Holmes serait étanchée dans ce déluge (lire : il se noierait certainement ).

Heureusement, ceux dont le travail consiste à comprendre les informations du réseau d’entreprise (et à agir en conséquence) n’ont pas besoin de s’appuyer sur des détectives fictifs de l’Angleterre victorienne. Il existe des solutions qui font le gros du travail, comme Splunk .

La solution de gestion des informations et des événements de sécurité (SIEM) de Splunk est utilisée par des organisations du monde entier pour ingérer et assimiler un flux constant de données réseau non organisées, non structurées et multi-sources dans des tableaux de bord significatifs, consommables et corrélés, contribuant ainsi à prendre des décisions et des stratégies éclairées.

Splunk et F5

Certes, l’un des appareils les plus « bavards » dans de nombreux réseaux d’entreprise est le F5 BIG-IP . Parce que BIG-IP excelle dans l’inspection, l’analyse, le filtrage et la création de rapports sur le trafic réseau, il crée de nombreuses données très utiles. Cependant, analyser et extraire des informations de ce flux n’est pas une mince affaire. Ce fut l’un des principaux moteurs du développement du module complémentaire Splunk pour F5 BIG-IP . Ce module complémentaire entièrement pris en charge par Splunk permet aux administrateurs Splunk d'extraire des données de trafic réseau, des journaux système, des paramètres système, des mesures de performances et des statistiques de trafic à partir de leurs BIG-IP à l'aide de syslogs, d'iRules et de l' API REST iControl.

Amélioration du module complémentaire

Bien que cette intégration ait apporté une valeur ajoutée considérable aux utilisateurs de F5 et de Splunk, les deux sociétés croient également qu'il faut faire de bonnes choses de grandes choses. L’un des moyens d’y parvenir consiste à exploiter la chaîne d’outils d’automatisation déclarative et prise en charge par F5 , en particulier le streaming de télémétrie , pour améliorer la façon dont BIG-IP et Splunk communiquent. Au lieu de devoir saisir un ensemble de commandes impératives (un processus qui nécessite une expertise en la matière F5), Telemetry Streaming n'a besoin que d'une seule déclaration JSON, ce qui signifie que vous lui indiquez l'état final que vous souhaitez et il agrégera, normalisera et transmettra les statistiques BIG-IP à Splunk.

Outre la simplification globale via des interfaces déclaratives, l'utilisation de Telemetry Streaming comme mécanisme sous-jacent pour l'intégration de BIG-IP et Splunk signifie que les données seront poussées de BIG-IP vers Splunk plutôt que tirées, contribuant ainsi à créer des flux de travail plus automatisés. Cette nouvelle approche pour le module complémentaire Splunk pour BIG-IP :

• Simplifie le processus d'obtention des données de BIG-IP dans Splunk
• Ajoute plus de détails au tableau de bord des rapports
• Aide à pérenniser l'intégration alors que F5 continue d'investir dans des interfaces déclaratives pour ses produits et intégrations
• Reste entièrement pris en charge par F5 (Telemetry Streaming) et Splunk (Add-on pour BIG-IP)

La dernière version du module complémentaire pour BIG-IP est désormais disponible pour les clients Splunk. Vous pouvez le trouver sur Splunkbase .