头图

Splunk Enterprise 9.4.0 (macOS, Linux, Windows) - 机器数据管理和分析

安全信息和事件管理 (SIEM)、全面的日志管理和分析平台

请访问原文链接:https://sysin.org/blog/splunk-9/ 查看最新版。原创作品,转载请保留出处。

作者主页:sysin.org


混合世界的数据平台

快速、大规模地从可见性转向行动,以实现安全性、可观察性等目标。

computer

Splunk 9.4 中的新增功能

Splunk Enterprise 9.4 于 2024 年 12 月 16 日发布。

  • Deployment Server 版本 9.4
    Deployment Server 提供了一个集中位置和用户界面,用于管理、维护和排除所有类型的 Splunk 代理程序(如 Universal Forwarder 和 Heavy Forwarder)的故障。Deployment Server 9.4.0 提供了以下新功能: 代理的运行状况和状态概述 加载时间更短、用户体验更新的新 UI 符合 A11y 标准
  • Stats V1 移除
    stats 命令的版本 1 已被删除,并替换为 stats 命令的版本 2。
  • foreach 命令的增强功能
    添加了新的 auto_collections 模式,即 foreach 命令。auto_collections 模式根据搜索中存在的元素动态迭代 JSON 数组或多值字段。请参阅 搜索参考 中的 foreach
  • 适用于 Splunk 的联合搜索:现在支持将指标索引作为联合搜索的新数据集类型
    在此版本中,Federated Search for Splunk 为标准模式联合搜索添加了一种新的数据集类型:指标索引。您现在可以对指标索引数据集运行联合搜索。添加了其他错误处理,以确保您将事件生成命令应用于事件索引数据集,并将指标生成命令应用于指标索引数据集。这是对以前指标索引的联合搜索的重大更改 (sysin)。如果要从以前版本的 Splunk 平台升级,则必须为指标索引数据集定义新的联合索引。有关定义映射到指标索引数据集的联合索引的更多信息,请参阅在 联合搜索将联合索引映射到远程 Splunk 数据集。有关为指标索引数据集编写联合搜索的更多信息,请参阅在 联合搜索通过远程 Splunk 平台部署运行联合搜索
  • Splunk 的联合搜索:支持跨标准和透明模式的 eventcount
    Federated Search for Splunk 现在支持 eventcount 命令。此支持包括让 eventcount 返回指定为联合提供商的远程 Splunk 平台部署上的索引的事件计数的选项。eventcount 搜索结果现在包括一个 provider 列,用于标识列出的索引所属的联合提供程序。有关更多信息,请参阅 搜索参考 中的 eventcount
  • Splunk 的联合搜索:mcatalog 命令的标准模式联合搜索支持。
    现在,标准模式联合搜索支持 mcatalog 命令。有关更多信息,请参阅以下主题:在 Federated Search 中,通过远程 Splunk 平台部署运行联合搜索mcatalogSearch Reference 中。
  • 将 KV store 服务器版本从 4.2 升级到 7.0
    Splunk Enterprise 9.4 要求您升级到 KV store 服务器版本 7.0。在升级到 Splunk Enterprise 9.4 期间,您的部署会自动升级您的 KV 存储 (sysin)。此新服务器版本包括安全增强功能,并提高了 KV 存储的性能。请参阅 管理员 手册中的 升级 KV store 服务器版本 以规划升级。
  • 内部库设置
    Internal Library Settings 页面已删除。已弃用的库和不受支持的热链接导入受到限制,并且 Splunk Cloud Platform 不再提供使用它们的自助服务选项。有关内部库设置的详细信息,请参阅 jQuery Upgrade Readiness 手册中的 控制对 jQuery 和其他内部库 的访问。
  • Dashboard Studio 增强功能
    请参阅 Dashboard Studio 中的新增功能
  • SPL2 公开测试版
    此版本的 Splunk 将通过 API 支持 SPL2,以帮助管理员创建强大的应用程序以更好地控制其生态系统,同时为开发人员提供他们可以构建的自定义应用程序的巨大灵活性。管理员和开发人员可以发布定义自定义函数、视图、数据类型等的 SPL2 模块文件,以便在其应用程序中为用户管理资源 (sysin)。用户可以通过编写单语句 SPL2 搜索来利用 Splunk 搜索栏中的这些资源来创建控制面板和报告。管理员可以使用 “具有以所有者身份运行权限的 SPL2 视图”。这会对模块应用特殊权限,以便在更高特权的上下文中执行视图,从而允许多个角色访问具有不同级别的自定义数据掩码的敏感数据。
  • 用于数据类型转换和类型测试的 Eval 函数增强功能
    您可以使用以下新的 eval 数据类型转换函数来操作 eval 搜索中的值。

    • toarray 将值转换为数组值。tobool 将值转换为布尔值。
    • todouble 将值转换为 double 值。toint 将值转换为整数值。
    • tomv 将值转换为多值。toobject 将值转换为字段的等效对象值(如果有)。
    • json_entries 将值转换为具有 keyvalue 字段的 JSON 对象数组。
      您可以使用以下新的 eval 函数返回有关 eval 搜索中值的信息。
    • isarray 来测试值是否为数组值。
    • isdouble 来测试一个值是否为 double 值。
    • ismv 来测试值是否为多值。
    • isObject 来测试值是否为对象。
    • json_has_key_exact 测试 JSON key 是否在 JSON 对象中。
      有关更多信息,请参阅 Splunk Enterprise Search Reference 中的 常见 eval 函数
  • 消除 SHC 不同步问题
    搜索头群集(SHC)复制已得到改进,以减少不同步错误。以前,超过 5GB 文件大小限制的大型 CSV 查找文件可能会阻止复制并导致集群成员不同步,通常需要 “破坏性重新同步” 来修复。现在,如果 CSV 查找超过查找文件大小限制,集群会自动隔离生成该查找的搜索头上的查找,而不会阻止其他对象的复制 (sysin)。splunkd 运行状况报告显示隔离的查找数量,管理员可以运行搜索以获取有关这些查找的详细信息以进行修复。有关更多信息,请参阅《Knowledge Manager 手册》中的 在搜索头群集中隔离大型 CSV 查找文件
  • 工作负载管理 - 支持 cgroups 版本 2
    工作负载管理现在支持使用 cgroups 版本 2 的 Linux 操作系统。默认情况下,Splunk Enterprise 9.4 处于启用状态,可以检测并自动切换到 cgroups v2。
  • systemd 托管的 Splunk Enterprise 实例上的自动滚动升级
    您可以创建一个控制挂钩,splunk-rolling-upgrade 应用程序使用该控制挂钩在执行自动滚动升级之前停止 Splunk Enterprise 实例,并在执行自动滚动升级后启动该实例。使用控制钩子,您可以升级由 systemd 管理的 Splunk Enterprise 实例上的搜索头集群和索引器集群。有关更多信息,请参阅创建用于升级搜索头集群 的自定义控制钩 子和创建用于升级索引器集群的 自定义控制钩 子。
  • 支持使用 Splunk 到 Splunk (S2S) 协议的输出队列的持久队列。
    能够利用输出队列上的持久队列,在目标或网络故障时自动回退到磁盘并进行恢复。用例用于远程 Splunk 部署(间歇性连接或需要在长时间网络中断中幸存下来)和 / 或通过 S2S 协议将数据克隆到一个或多个 Splunk 目标的收集目的,而不会丢失数据,并且在目标不可用时的影响最小。

下载地址

Splunk Enterprise 9.4.0 for macOS, Linux, Windows

Splunk Universal Forwarder 9.4.0 for Unix, Linux, Windows

相关参考:Gartner Magic Quadrant for Security Information and Event Management 2024

更多:HTTP 协议与安全


sysin
1 声望6 粉丝

引用和评论

0 条评论