Durée : 4 jours
Code : SEC156
Prochaines dates programmées :
Formation #SEC156
Formation Collecte et Analyse des Logs avec Splunk
Email
Partager
Partager
Partager
Partager
Partager
Objectifs
- S'approprier les principes de fonctionnement et l'architecture de Splunk
- Apprendre à installer Splunk
- Savoir collecter, analyser et générer des rapports sur plusieurs types de données
- Comprendre et mettre en pratique la recherche avec le langage SPL (Search Processing Language)
- Savoir appliquer les différentes techniques de visualisation de données en utilisant les graphes et tableaux de bord
- Construire des modèles de données et conduire des recherches basées sur le Pivot
- Exploiter la puissance de la plateforme pour mettre en œuvre des recherches avancées et enrichir des ensembles de données
- Créer des alertes en temps réel et être en mesure de réagir efficacement à différents événements
Programme
Public Cible
Dates
1/ Introduction
Approche Pédagogique
- Retour sur quelques concepts Big Data
- Vue d'ensemble de Splunk
- L'utilité de Splunk. Cas d'usage
- Vue d’ensemble des produits de la galaxie Splunk : Splunk Enterprise, Splunk Cloud, Splunk Light, Hunk…
- Atouts et limites de la plateforme
- Les principaux composants : CLI, interface Web, daemon et data store
- L’architecture fonctionnelle de Splunk : Search Heads, Indexers et Forwarders
- Produits concurrents : ELK, Graylog, Sumo Logic…
- Installer Splunk sous Windows
- Créer un compte
- Indexer fichiers et dossiers
- Installer et commencer à utiliser l’Universal Forwarder
- Gestion des Indexes
- Durée de rétention des données
- Les différents types d’entrées
- Effectuer des recherches basiques
- Utiliser la saisie automatique
- Restreindre une recherche avec des plages temporelles
- Utiliser la Timeline
- Une première introduction au langage SPL
- Travailler avec les évènements
- Comprendre et utiliser les champs
- S’approprier les différentes vues pour la recherche
- Sauvegarder des résultats de recherche
- Principes de fonctionnement et langage SPL (Search Processing Language)
- Comprendre la syntaxe SPL et l’anatomie d’une recherche
- Opérateurs booléens, commandes
- Spécifier les index dans une recherche
- Utiliser les commandes tables, rename, fields, dedup, sort…
- Commandes de transformation
- Créer et concaténer des sous-requêtes
- Manipuler et filtrer les résultats
- Recherche à l’aide de plages de temps
- Vue d’ensemble des possibilités de visualisation de données avec Splunk
- Sauvegarder une recherche en tant que rapport
- Modifier et partager des rapports
- Intégrer et mettre en forme des graphiques et tableaux
- Créer et enrichir des tableaux de bord
- Les tableaux de bord et l’intelligence opérationnelle, faire ressortir les données
- Les types de graphes
- Commandes avancées de SPLLookup
- Produire de façon régulière (programmée) des tableaux de bord au format PDF
- Créer une application Splunk à partir de l’interface Web
- Ajouter des tableaux de bord à l’application
- Gérer les permissions
- Ajouter des liens dans les graphiques et créer des tableaux de bord interactifs
- Introduction aux modèles de données et à la commande Pivot
- Définir les attributs d’un modèle de données
- Créer un modèle de données
- Mettre à profit des expressions régulières
- Optimiser la performance de recherche
- Pivoter des données
- Corrélation d’évènements et transactions
- Comparaison de transactions vs. stats
- Mettre à profit plusieurs sources de données
- Identifier les relations entre champs
- Prédire des valeurs futures
- Découvrir des valeurs anormales
- Conditions surveillées
- Déclenchement d’actions suite à alerte avérée
- Devenir proactif avec les alertes
Approche Pédagogique
- Pédagogie très opérationnelle fondée sur l'alternance entre théorie et pratique
- Cas pratiques
- Remise d’outils
- Echanges d’expériences
Personnes Visées
- Administrateurs systèmes et réseaux
Dates
- Du 28 au 31 Mai 2024
- Du 27 au 30 Août 2024
- Du 12 au 15 Nov. 2024