Splunk Enterprise 自建 SIEM

Splunk 的自托管版本。你自己买服务器(或在自己的云上)部署 Splunk,数据完全在自己控制下。

跟 Splunk Cloud 区别

参见 Splunk Cloud。简单说:Cloud 是 SaaS,Enterprise 是 on-prem。

谁会选自建

强监管行业 —— 银行、政府、医疗,数据不能出本地或本国
大数据量长保留 —— 自己存比 Splunk Cloud 便宜
深度定制 —— 自建可以装第三方插件、改底层配置
已有数据中心 —— 顺手

实际用法

不是只看告警面板,数据工程师写 SPL(Search Processing Language)查询查日志:

index=auth failed_login | stats count by user | where count > 5

这条查”哪些用户登录失败超过 5 次”。 SPL 是 Splunk 学习曲线的核心,熟练的工程师能从海量日志里秒挖出 IOC。