A l'issue de cette formation, vous serez capable de :

• Utiliser Splunk pour collecter, analyser et générer des rapports sur les données
• Enrichir les données opérationnelles à l'aide de recherches et de flux
• Créer des alertes en temps réel
• Intégrer des graphiques avancés
• Mettre en place les bons réflexes d'exploitation de Splunk
• Améliorer l'exploitation de données avec Splunk
• Expliquer les obligations légales en matière de conservation des données
• Reconnaître la démarche d'une analyse de log
• Interpréter la corrélation et l'analyse avec Splunk.

Jour 1 - Matin

Introduction et mise en place de l'environnement des labs

• Rappel sur les principes du Big Data
• Mise en place d'une méthodologie / stratégie d'exploitation de données
• Principe de vectorisation des données
• Les KPI comme unité de mesure
• Bonnes pratiques de déploiement
• Déploiement avancé
• Sécurité
• Clustering
• Capacity planning
• Modèle en château
• Le Machine Learning et Splunk
• Déploiement de Splunk sous Windows
• Indexer des fichiers et des répertoires :
• Via l'interface Web
• Via le CLI
• Par des fichiers de configuration...
• Remonter les logs et données via des :
• Ports réseau
• Scripts
• Entrées modulaires
• Mise en oeuvre de l'expéditeur universel (Universal Forwarder)
• Capacity Management

Exemples de travaux pratiques (à titre indicatif)

• Configurer Splunk
• Mise en oeuvre de définition d'extractions de champs, de types d'évènements et de labels

Jour 1 - Après-midi

Prise en main de Splunk

• Exécuter des recherches de base
• Créer des rapports
• Créer des tableaux croisés dynamiques
• Les tableaux de bord et l'intelligence opérationnelle
• Les types de graphes

Exemples de travaux pratiques (à titre indicatif)

• Extraire des fichiers de journalisation, les pages Web les plus visitées, le navigateur le plus utilisé, les sites les plus visités
• Générer des rapports des résultats obtenus

Exploration de données

• Requêtes de SPL, opérateurs booléens et commandes
• Recherches à l'aide de plages de temps

Jour 2 - Matin

Exploration de données - Suite

• Corrélation d'évènements

Application Splunk

• Installer une application existante issue de Splunk ou d'un tiers
• Ajouter des tableaux de bord et recherches à une application
• Tableaux de bord interactifs
• Automatisation du reporting
• Développement d'applications Splunk

Exemples de travaux pratiques (à titre indicatif)

• Créer, enrichir un tableau de bord avec des graphes liés aux recherches réalisées
• Créer une nouvelle application Splunk
• Installer une application et visualiser des graphes

Jour 2 - Après-midi

Modèles de données

• Les expressions régulières
• Optimiser la performance de recherche
• Données et notion de Pivot
• Introduction à l'administration des données
• Les catégories d'entrées
• Configuration du Forwarder
• Gestion des Forwarders
• Surveiller les entrées
• Entrées réseaux et scriptées
• Entrées "agentless"
• Métriques
• Manipulation des données brutes
• Prise en charge des objets de connaissance

Exemples de travaux pratiques (à titre indicatif)

• Utiliser la commande pivot, des modèles pour afficher les données
• Mise en pratique de recherches approfondies sur des bases de données

Jour 3 - Matin

Types d'alertes

• Conditions surveillées
• Etude de cas
• Plan de réponses aux alertes
• Méthodologie de priorisation et traitement des alertes
• Splunk pour :
• Les SOC (Security Operation Centers)
• L'analyse de données
• Splunk et Business Analysis

Exemples de travaux pratiques (à titre indicatif)

• Exécuter un script quand se produit l'erreur de serveur Web 503
• Ecrire les détails associés à l'évènement dans un fichier

Jour 3 - Après-midi

Monitoring de l'infrastructure

• Concepts clés
• Setup du monitoring
• Monitoring des services et des hosts
• SignalFlow et analytics

Splunk APM (Application Performance Monitoring)

• Introduction
• Setup
• Analyse de services avec "spans tags" et MetricSets
• Configurer les détecteurs et les alertes
• Monitorer les performances d'une base de données