Splunk (von Splunk, Inc splunk.com ) ist ein ganz hervorragendes Tool um alle möglichen strukturierten und unstrukturierten Daten in einer Zeitleiste zu sammeln und auszuwerten. Dabei ist die Verknüfpung verschiedenster Ereignisse auf der Zeitliste eine sehr zielführende Methode, um Fehlern auf die Spur zu kommen, Surf- und Kaufverhalten zu analysieren oder Ereignisse zu korrelieren.

Insbesondere für die Auswertung von Log Dateien vieler verschiedener Server wird so erheblich erleichtert. Splunk erledigt seine Aufgabe dabei so gut, dass schnell der Wunsch aufkommt, über die Log Datei Analyse hinaus noch weitere Datenströme durch Splunk verarbeiten zu lassen. Sei es, weil sie für weitergehende Analysezwecke benötigt werden oder weil sie schlicht Bestandteil des firmen-internen Reportings sind und das Reporting mit Splunk so wunderschön einfach und schnell vonstatten geht. So weit, so bekannt.

Und spätestens an diesem Punkt wird ein vorher durchdachtes Betriebskonzept wichtig. Denn Splunk Lizenzen sind volumenabhängig und teuer. Bei überschreiten des Limits warnt Splunk Benutzer und Administratoren. Und das ggf. mehrere Tage lang. Bei sehr großen Überschreitungen kann es auch sein, dass Splunk nahezu vollständig blockiert ist. Wer dann nicht schnell reagiert hat gleich 2 Probleme: Zum einen funktionieren evtl. wichtige Reports und Dashboards nicht mehr, zum anderen werden keine neuen Daten mehr aufgenommen / indiziert. Dies kann zu Datenverlust oder zumindest Datenstau führen, den abzubauen mit zunehmender Zeit immer schwieriger und langwieriger wird und ggf. weitere Lizenzprobleme auslösen kann.

Betrachten wir als Beispiel die Idee, Scan Resultate der regelmäßigen Netzwerk Scans, angefertigt mit Tenable's Nessus, in Splunk mit aufzunehmen. Dies kann schnell und einfach mit einem entsprechenden Splunk Add-on für Nessus erledigt werden und ist daher sehr verführerisch. Die mit der Überwachung betrauten Mitarbeiter und besonders die Mitarbeiter der Cyber Security Abteilung werden diese Option sehr schätzen.

Allerdings kann bereits ein einzelner, sehr schnell aber wiederholte Scan Reports so umfangreich werden, dass die unkontrollierte Datenübermittlung per App an Splunk das Lizenzlimit sprengt. Aufgrund der immensen Bedeutung gerade von Scan Reports für die gesamte Informationssicherheit eines Unternehmens ist dieses Szenario so wünschenswert, wie problematisch. Denn im Falle eines Stillstands von Splunk sind gerade die wichtigsten Daten zumindest vorübergehend nicht auswertbar. Wodurch evtl. eine gerade bestehende Bedrohungslage nicht rechtzeitig erkannt und/oder bekämpft werden kann.

An diesem Punkt wird spätestens klar, dass für den zufrieden stellenden und sicheren Einsatz von Splunk als zentralem Auswertungswerkzeug ein durchdachtes Betriebskonzept erforderlich ist. Bei Ausarbeitung, Einführung und Betriebsübergabe dieses Konzepts will ich Sie gerne unterstützen. Sprechen Sie mich bitte an, wenn Sie an diesem Punkt sind.