写点什么

Splunk Enterprise 9.4 发布,新增功能概览

作者:sysin
  • 2024-12-18
    北京
  • 本文字数:2843 字

    阅读完需:约 9 分钟

Splunk Enterprise 9.4 发布,新增功能概览

Splunk Enterprise 9.4.0 (macOS, Linux, Windows) - 机器数据管理和分析


安全信息和事件管理 (SIEM)、全面的日志管理和分析平台


请访问原文链接:https://sysin.org/blog/splunk-9/ 查看最新版。原创作品,转载请保留出处。


作者主页:sysin.org




混合世界的数据平台


快速、大规模地从可见性转向行动,以实现安全性、可观察性等目标。


Splunk 9.4 中的新增功能

Splunk Enterprise 9.4 于 2024 年 12 月 16 日发布。


  • Deployment Server 版本 9.4Deployment Server 提供了一个集中位置和用户界面,用于管理、维护和排除所有类型的 Splunk 代理程序(如 Universal Forwarder 和 Heavy Forwarder)的故障。Deployment Server 9.4.0 提供了以下新功能: 代理的运行状况和状态概述 加载时间更短、用户体验更新的新 UI 符合 A11y 标准

  • Stats V1 移除stats 命令的版本 1 已被删除,并替换为 stats 命令的版本 2。

  • foreach 命令的增强功能添加了新的 auto_collections 模式,即 foreach 命令。auto_collections 模式根据搜索中存在的元素动态迭代 JSON 数组或多值字段。请参阅 搜索参考 中的 foreach

  • 适用于 Splunk 的联合搜索:现在支持将指标索引作为联合搜索的新数据集类型在此版本中,Federated Search for Splunk 为标准模式联合搜索添加了一种新的数据集类型:指标索引。您现在可以对指标索引数据集运行联合搜索。添加了其他错误处理,以确保您将事件生成命令应用于事件索引数据集,并将指标生成命令应用于指标索引数据集。这是对以前指标索引的联合搜索的重大更改 (sysin)。如果要从以前版本的 Splunk 平台升级,则必须为指标索引数据集定义新的联合索引。有关定义映射到指标索引数据集的联合索引的更多信息,请参阅在 联合搜索将联合索引映射到远程 Splunk 数据集。有关为指标索引数据集编写联合搜索的更多信息,请参阅在 联合搜索通过远程 Splunk 平台部署运行联合搜索

  • Splunk 的联合搜索:支持跨标准和透明模式的 eventcountFederated Search for Splunk 现在支持 eventcount 命令。此支持包括让 eventcount 返回指定为联合提供商的远程 Splunk 平台部署上的索引的事件计数的选项。eventcount 搜索结果现在包括一个 provider 列,用于标识列出的索引所属的联合提供程序。有关更多信息,请参阅 搜索参考 中的 eventcount

  • Splunk 的联合搜索:mcatalog 命令的标准模式联合搜索支持。现在,标准模式联合搜索支持 mcatalog 命令。有关更多信息,请参阅以下主题:在 Federated Search 中,通过远程 Splunk 平台部署运行联合搜索mcatalogSearch Reference 中。

  • 将 KV store 服务器版本从 4.2 升级到 7.0Splunk Enterprise 9.4 要求您升级到 KV store 服务器版本 7.0。在升级到 Splunk Enterprise 9.4 期间,您的部署会自动升级您的 KV 存储 (sysin)。此新服务器版本包括安全增强功能,并提高了 KV 存储的性能。请参阅 管理员 手册中的 升级 KV store 服务器版本 以规划升级。

  • 内部库设置 Internal Library Settings 页面已删除。已弃用的库和不受支持的热链接导入受到限制,并且 Splunk Cloud Platform 不再提供使用它们的自助服务选项。有关内部库设置的详细信息,请参阅 jQuery Upgrade Readiness 手册中的 控制对 jQuery 和其他内部库 的访问。

  • Dashboard Studio 增强功能请参阅 Dashboard Studio 中的新增功能

  • SPL2 公开测试版此版本的 Splunk 将通过 API 支持 SPL2,以帮助管理员创建强大的应用程序以更好地控制其生态系统,同时为开发人员提供他们可以构建的自定义应用程序的巨大灵活性。管理员和开发人员可以发布定义自定义函数、视图、数据类型等的 SPL2 模块文件,以便在其应用程序中为用户管理资源 (sysin)。用户可以通过编写单语句 SPL2 搜索来利用 Splunk 搜索栏中的这些资源来创建控制面板和报告。管理员可以使用 “具有以所有者身份运行权限的 SPL2 视图”。这会对模块应用特殊权限,以便在更高特权的上下文中执行视图,从而允许多个角色访问具有不同级别的自定义数据掩码的敏感数据。

  • 用于数据类型转换和类型测试的 Eval 函数增强功能您可以使用以下新的 eval 数据类型转换函数来操作 eval 搜索中的值。

  • toarray 将值转换为数组值。tobool 将值转换为布尔值。

  • todouble 将值转换为 double 值。toint 将值转换为整数值。

  • tomv 将值转换为多值。toobject 将值转换为字段的等效对象值(如果有)。

  • json_entries 将值转换为具有 keyvalue 字段的 JSON 对象数组。您可以使用以下新的 eval 函数返回有关 eval 搜索中值的信息。

  • isarray 来测试值是否为数组值。

  • isdouble 来测试一个值是否为 double 值。

  • ismv 来测试值是否为多值。

  • isObject 来测试值是否为对象。

  • json_has_key_exact 测试 JSON key 是否在 JSON 对象中。有关更多信息,请参阅 Splunk Enterprise Search Reference 中的 常见 eval 函数

  • 消除 SHC 不同步问题搜索头群集(SHC)复制已得到改进,以减少不同步错误。以前,超过 5GB 文件大小限制的大型 CSV 查找文件可能会阻止复制并导致集群成员不同步,通常需要 “破坏性重新同步” 来修复。现在,如果 CSV 查找超过查找文件大小限制,集群会自动隔离生成该查找的搜索头上的查找,而不会阻止其他对象的复制 (sysin)。splunkd 运行状况报告显示隔离的查找数量,管理员可以运行搜索以获取有关这些查找的详细信息以进行修复。有关更多信息,请参阅《Knowledge Manager 手册》中的 在搜索头群集中隔离大型 CSV 查找文件

  • 工作负载管理 - 支持 cgroups 版本 2 工作负载管理现在支持使用 cgroups 版本 2 的 Linux 操作系统。默认情况下,Splunk Enterprise 9.4 处于启用状态,可以检测并自动切换到 cgroups v2。

  • systemd 托管的 Splunk Enterprise 实例上的自动滚动升级您可以创建一个控制挂钩,splunk-rolling-upgrade 应用程序使用该控制挂钩在执行自动滚动升级之前停止 Splunk Enterprise 实例,并在执行自动滚动升级后启动该实例。使用控制钩子,您可以升级由 systemd 管理的 Splunk Enterprise 实例上的搜索头集群和索引器集群。有关更多信息,请参阅创建用于升级搜索头集群 的自定义控制钩 子和创建用于升级索引器集群的 自定义控制钩 子。

  • 支持使用 Splunk 到 Splunk (S2S) 协议的输出队列的持久队列。能够利用输出队列上的持久队列,在目标或网络故障时自动回退到磁盘并进行恢复。用例用于远程 Splunk 部署(间歇性连接或需要在长时间网络中断中幸存下来)和 / 或通过 S2S 协议将数据克隆到一个或多个 Splunk 目标的收集目的,而不会丢失数据,并且在目标不可用时的影响最小。

下载地址

Splunk Enterprise 9.4.0 for macOS, Linux, Windows



Splunk Universal Forwarder 9.4.0 for Unix, Linux, Windows


相关参考:Gartner Magic Quadrant for Security Information and Event Management 2024


更多:HTTP 协议与安全

发布于: 刚刚阅读数: 5
用户头像

sysin

关注

还未添加个人签名 2018-08-30 加入

还未添加个人简介

评论

发布
暂无评论
Splunk Enterprise 9.4 发布,新增功能概览_Splunk Enterprise_sysin_InfoQ写作社区