Splunk Enterprise 9.4.0 (macOS, Linux, Windows) - 机器数据管理和分析
安全信息和事件管理 (SIEM)、全面的日志管理和分析平台
请访问原文链接:https://sysin.org/blog/splunk-9/ 查看最新版。原创作品,转载请保留出处。
作者主页:sysin.org
混合世界的数据平台
快速、大规模地从可见性转向行动,以实现安全性、可观察性等目标。
Splunk 9.4 中的新增功能
Splunk Enterprise 9.4 于 2024 年 12 月 16 日发布。
- Deployment Server 版本 9.4
Deployment Server 提供了一个集中位置和用户界面,用于管理、维护和排除所有类型的 Splunk 代理程序(如 Universal Forwarder 和 Heavy Forwarder)的故障。Deployment Server 9.4.0 提供了以下新功能: 代理的运行状况和状态概述 加载时间更短、用户体验更新的新 UI 符合 A11y 标准 - Stats V1 移除
stats
命令的版本 1 已被删除,并替换为stats
命令的版本 2。 foreach
命令的增强功能
添加了新的auto_collections
模式,即foreach
命令。auto_collections
模式根据搜索中存在的元素动态迭代 JSON 数组或多值字段。请参阅 搜索参考 中的 foreach。- 适用于 Splunk 的联合搜索:现在支持将指标索引作为联合搜索的新数据集类型
在此版本中,Federated Search for Splunk 为标准模式联合搜索添加了一种新的数据集类型:指标索引。您现在可以对指标索引数据集运行联合搜索。添加了其他错误处理,以确保您将事件生成命令应用于事件索引数据集,并将指标生成命令应用于指标索引数据集。这是对以前指标索引的联合搜索的重大更改 (sysin)。如果要从以前版本的 Splunk 平台升级,则必须为指标索引数据集定义新的联合索引。有关定义映射到指标索引数据集的联合索引的更多信息,请参阅在 联合搜索 中 将联合索引映射到远程 Splunk 数据集。有关为指标索引数据集编写联合搜索的更多信息,请参阅在 联合搜索 中 通过远程 Splunk 平台部署运行联合搜索。 - Splunk 的联合搜索:支持跨标准和透明模式的
eventcount
。
Federated Search for Splunk 现在支持eventcount
命令。此支持包括让eventcount
返回指定为联合提供商的远程 Splunk 平台部署上的索引的事件计数的选项。eventcount
搜索结果现在包括一个provider
列,用于标识列出的索引所属的联合提供程序。有关更多信息,请参阅 搜索参考 中的 eventcount。 - Splunk 的联合搜索:
mcatalog
命令的标准模式联合搜索支持。
现在,标准模式联合搜索支持mcatalog
命令。有关更多信息,请参阅以下主题:在 Federated Search 中,通过远程 Splunk 平台部署运行联合搜索。mcatalog 的 Search Reference 中。 - 将 KV store 服务器版本从 4.2 升级到 7.0
Splunk Enterprise 9.4 要求您升级到 KV store 服务器版本 7.0。在升级到 Splunk Enterprise 9.4 期间,您的部署会自动升级您的 KV 存储 (sysin)。此新服务器版本包括安全增强功能,并提高了 KV 存储的性能。请参阅 管理员 手册中的 升级 KV store 服务器版本 以规划升级。 - 内部库设置
Internal Library Settings 页面已删除。已弃用的库和不受支持的热链接导入受到限制,并且 Splunk Cloud Platform 不再提供使用它们的自助服务选项。有关内部库设置的详细信息,请参阅 jQuery Upgrade Readiness 手册中的 控制对 jQuery 和其他内部库 的访问。 - Dashboard Studio 增强功能
请参阅 Dashboard Studio 中的新增功能。 - SPL2 公开测试版
此版本的 Splunk 将通过 API 支持 SPL2,以帮助管理员创建强大的应用程序以更好地控制其生态系统,同时为开发人员提供他们可以构建的自定义应用程序的巨大灵活性。管理员和开发人员可以发布定义自定义函数、视图、数据类型等的 SPL2 模块文件,以便在其应用程序中为用户管理资源 (sysin)。用户可以通过编写单语句 SPL2 搜索来利用 Splunk 搜索栏中的这些资源来创建控制面板和报告。管理员可以使用 “具有以所有者身份运行权限的 SPL2 视图”。这会对模块应用特殊权限,以便在更高特权的上下文中执行视图,从而允许多个角色访问具有不同级别的自定义数据掩码的敏感数据。 用于数据类型转换和类型测试的 Eval 函数增强功能
您可以使用以下新的eval
数据类型转换函数来操作eval
搜索中的值。toarray
将值转换为数组值。tobool
将值转换为布尔值。todouble
将值转换为 double 值。toint
将值转换为整数值。tomv
将值转换为多值。toobject
将值转换为字段的等效对象值(如果有)。json_entries
将值转换为具有key
和value
字段的 JSON 对象数组。
您可以使用以下新的eval
函数返回有关eval
搜索中值的信息。isarray
来测试值是否为数组值。isdouble
来测试一个值是否为 double 值。ismv
来测试值是否为多值。isObject
来测试值是否为对象。json_has_key_exact
测试 JSON key 是否在 JSON 对象中。
有关更多信息,请参阅 Splunk Enterprise Search Reference 中的 常见 eval 函数。
- 消除 SHC 不同步问题
搜索头群集(SHC)复制已得到改进,以减少不同步错误。以前,超过 5GB 文件大小限制的大型 CSV 查找文件可能会阻止复制并导致集群成员不同步,通常需要 “破坏性重新同步” 来修复。现在,如果 CSV 查找超过查找文件大小限制,集群会自动隔离生成该查找的搜索头上的查找,而不会阻止其他对象的复制 (sysin)。splunkd 运行状况报告显示隔离的查找数量,管理员可以运行搜索以获取有关这些查找的详细信息以进行修复。有关更多信息,请参阅《Knowledge Manager 手册》中的 在搜索头群集中隔离大型 CSV 查找文件。 - 工作负载管理 - 支持 cgroups 版本 2
工作负载管理现在支持使用 cgroups 版本 2 的 Linux 操作系统。默认情况下,Splunk Enterprise 9.4 处于启用状态,可以检测并自动切换到 cgroups v2。 - systemd 托管的 Splunk Enterprise 实例上的自动滚动升级
您可以创建一个控制挂钩,splunk-rolling-upgrade 应用程序使用该控制挂钩在执行自动滚动升级之前停止 Splunk Enterprise 实例,并在执行自动滚动升级后启动该实例。使用控制钩子,您可以升级由 systemd 管理的 Splunk Enterprise 实例上的搜索头集群和索引器集群。有关更多信息,请参阅创建用于升级搜索头集群 的自定义控制钩 子和创建用于升级索引器集群的 自定义控制钩 子。 - 支持使用 Splunk 到 Splunk (S2S) 协议的输出队列的持久队列。
能够利用输出队列上的持久队列,在目标或网络故障时自动回退到磁盘并进行恢复。用例用于远程 Splunk 部署(间歇性连接或需要在长时间网络中断中幸存下来)和 / 或通过 S2S 协议将数据克隆到一个或多个 Splunk 目标的收集目的,而不会丢失数据,并且在目标不可用时的影响最小。
下载地址
Splunk Enterprise 9.4.0 for macOS, Linux, Windows
- for macOS x64 (dmg):https://sysin.org/blog/splunk-9/
- for Linux x64 (rpm, deb, tgz): https://sysin.org/blog/splunk-9/
- for Windows x64 (msi): https://sysin.org/blog/splunk-9/
Splunk Universal Forwarder 9.4.0 for Unix, Linux, Windows
相关参考:Gartner Magic Quadrant for Security Information and Event Management 2024
更多:HTTP 协议与安全
**粗体** _斜体_ [链接](http://example.com) `代码` - 列表 > 引用
。你还可以使用@
来通知其他用户。