使用 Splunk 为 BIG-IP 提供更深入的洞察和可视性

“在掌握数据之前就进行理论推理是一个重大错误。”——夏洛克·福尔摩斯

阿瑟·柯南·道尔笔下的传奇人物有很多正确之处。 （他对将数据纳入该评估的重要性的看法。） 但想象一下，如果这位¹⁹世纪的侦探突然被送到了 2020 年——那时的信息不仅无处不在，而且常常让人应接不暇。 如果他需要解决一个安全难题，他还会抱怨数据不足吗？

更进一步说，如果他负责解读企业网络的许多不同设备和服务的安全数据、事件日志和输入，情况会怎样？

甚至连福尔摩斯那著名的对数据的渴求也会在那场洪水中被满足（读作：他肯定会被淹死）。

幸运的是，那些负责理解企业网络信息（并据此采取行动）的人不必依赖维多利亚时代英国的虚构侦探。 有一些解决方案可以完成这些繁重的工作，例如Splunk 。

世界各地的组织都使用 Splunk 的安全信息和事件管理 (SIEM) 解决方案来提取和吸收源源不断的无组织、非结构化、多源网络数据，并将其转化为有意义、可消费、相关的仪表板，从而帮助推动明智的决策和战略。

Splunk 和 F5

不可否认，许多企业网络中“最活跃”的设备之一是 F5 BIG-IP 。 由于 BIG-IP 擅长检查、分析、过滤和报告网络流量，因此它创建了大量非常有用的数据。 然而，从这些信息流中解析并提取见解绝非易事。 这是开发F5 BIG-IP 的 Splunk 插件的主要驱动因素之一。 这个完全由 Splunk 支持的插件使 Splunk 管理员能够使用 syslogs、 iRules和iControl REST API 从他们的 BIG-IP 中提取网络流量数据、系统日志、系统设置、性能指标和流量统计数据。

改进附加组件

虽然这种集成为 F5 和 Splunk 用户提供了巨大的价值，但两家公司也相信可以将好的事情变得更好。 实现这一目标的方法之一是利用声明性和 F5 支持的自动化工具链（特别是遥测流）来改善 BIG-IP 和 Splunk 的通信方式。 遥测流只需要一个 JSON 声明，而不需要输入一组命令（该过程需要 F5 主题专业知识），这意味着您告诉它您想要的最终状态，它就会聚合、规范化并将 BIG-IP 统计数据转发给 Splunk。

除了通过声明性接口进行整体简化之外，利用遥测流作为 BIG-IP 和 Splunk 集成的底层机制意味着数据将从 BIG-IP 推送到 Splunk 而不是拉取，从而有助于构建更加自动化的工作流程。 BIG-IP 的 Splunk 插件采用以下新方法：

• 简化从 BIG-IP 导入 Splunk 的数据流程
• 向报告仪表板添加更多详细信息
• 随着 F5 继续投资于其产品和集成的声明式接口，有助于确保集成具有面向未来的特性
• 仍然完全受 F5（遥测流）和 Splunk（BIG-IP 附加组件）支持

BIG-IP 附加组件的最新版本现已可供 Splunk 客户使用。 您可以在 Splunkbase 上找到它。