Splunk Enterprise 9.4 发布,新增功能概览
Splunk Enterprise 9.4.0 (macOS, Linux, Windows) - 机器数据管理和分析
安全信息和事件管理 (SIEM)、全面的日志管理和分析平台
请访问原文链接:https://sysin.org/blog/splunk-9/ 查看最新版。原创作品,转载请保留出处。
作者主页:sysin.org
混合世界的数据平台
快速、大规模地从可见性转向行动,以实现安全性、可观察性等目标。
Splunk 9.4 中的新增功能
Splunk Enterprise 9.4 于 2024 年 12 月 16 日发布。
Deployment Server 版本 9.4Deployment Server 提供了一个集中位置和用户界面,用于管理、维护和排除所有类型的 Splunk 代理程序(如 Universal Forwarder 和 Heavy Forwarder)的故障。Deployment Server 9.4.0 提供了以下新功能: 代理的运行状况和状态概述 加载时间更短、用户体验更新的新 UI 符合 A11y 标准
Stats V1 移除
stats
命令的版本 1 已被删除,并替换为stats
命令的版本 2。foreach
命令的增强功能添加了新的auto_collections
模式,即foreach
命令。auto_collections
模式根据搜索中存在的元素动态迭代 JSON 数组或多值字段。请参阅 搜索参考 中的 foreach。适用于 Splunk 的联合搜索:现在支持将指标索引作为联合搜索的新数据集类型在此版本中,Federated Search for Splunk 为标准模式联合搜索添加了一种新的数据集类型:指标索引。您现在可以对指标索引数据集运行联合搜索。添加了其他错误处理,以确保您将事件生成命令应用于事件索引数据集,并将指标生成命令应用于指标索引数据集。这是对以前指标索引的联合搜索的重大更改 (sysin)。如果要从以前版本的 Splunk 平台升级,则必须为指标索引数据集定义新的联合索引。有关定义映射到指标索引数据集的联合索引的更多信息,请参阅在 联合搜索 中 将联合索引映射到远程 Splunk 数据集。有关为指标索引数据集编写联合搜索的更多信息,请参阅在 联合搜索 中 通过远程 Splunk 平台部署运行联合搜索。
Splunk 的联合搜索:支持跨标准和透明模式的
eventcount
。Federated Search for Splunk 现在支持eventcount
命令。此支持包括让eventcount
返回指定为联合提供商的远程 Splunk 平台部署上的索引的事件计数的选项。eventcount
搜索结果现在包括一个provider
列,用于标识列出的索引所属的联合提供程序。有关更多信息,请参阅 搜索参考 中的 eventcount。Splunk 的联合搜索:
mcatalog
命令的标准模式联合搜索支持。现在,标准模式联合搜索支持mcatalog
命令。有关更多信息,请参阅以下主题:在 Federated Search 中,通过远程 Splunk 平台部署运行联合搜索。mcatalog 的 Search Reference 中。将 KV store 服务器版本从 4.2 升级到 7.0Splunk Enterprise 9.4 要求您升级到 KV store 服务器版本 7.0。在升级到 Splunk Enterprise 9.4 期间,您的部署会自动升级您的 KV 存储 (sysin)。此新服务器版本包括安全增强功能,并提高了 KV 存储的性能。请参阅 管理员 手册中的 升级 KV store 服务器版本 以规划升级。
内部库设置 Internal Library Settings 页面已删除。已弃用的库和不受支持的热链接导入受到限制,并且 Splunk Cloud Platform 不再提供使用它们的自助服务选项。有关内部库设置的详细信息,请参阅 jQuery Upgrade Readiness 手册中的 控制对 jQuery 和其他内部库 的访问。
Dashboard Studio 增强功能请参阅 Dashboard Studio 中的新增功能。
SPL2 公开测试版此版本的 Splunk 将通过 API 支持 SPL2,以帮助管理员创建强大的应用程序以更好地控制其生态系统,同时为开发人员提供他们可以构建的自定义应用程序的巨大灵活性。管理员和开发人员可以发布定义自定义函数、视图、数据类型等的 SPL2 模块文件,以便在其应用程序中为用户管理资源 (sysin)。用户可以通过编写单语句 SPL2 搜索来利用 Splunk 搜索栏中的这些资源来创建控制面板和报告。管理员可以使用 “具有以所有者身份运行权限的 SPL2 视图”。这会对模块应用特殊权限,以便在更高特权的上下文中执行视图,从而允许多个角色访问具有不同级别的自定义数据掩码的敏感数据。
用于数据类型转换和类型测试的 Eval 函数增强功能您可以使用以下新的
eval
数据类型转换函数来操作eval
搜索中的值。toarray
将值转换为数组值。tobool
将值转换为布尔值。todouble
将值转换为 double 值。toint
将值转换为整数值。tomv
将值转换为多值。toobject
将值转换为字段的等效对象值(如果有)。json_entries
将值转换为具有key
和value
字段的 JSON 对象数组。您可以使用以下新的eval
函数返回有关eval
搜索中值的信息。isarray
来测试值是否为数组值。isdouble
来测试一个值是否为 double 值。ismv
来测试值是否为多值。isObject
来测试值是否为对象。json_has_key_exact
测试 JSON key 是否在 JSON 对象中。有关更多信息,请参阅 Splunk Enterprise Search Reference 中的 常见 eval 函数。消除 SHC 不同步问题搜索头群集(SHC)复制已得到改进,以减少不同步错误。以前,超过 5GB 文件大小限制的大型 CSV 查找文件可能会阻止复制并导致集群成员不同步,通常需要 “破坏性重新同步” 来修复。现在,如果 CSV 查找超过查找文件大小限制,集群会自动隔离生成该查找的搜索头上的查找,而不会阻止其他对象的复制 (sysin)。splunkd 运行状况报告显示隔离的查找数量,管理员可以运行搜索以获取有关这些查找的详细信息以进行修复。有关更多信息,请参阅《Knowledge Manager 手册》中的 在搜索头群集中隔离大型 CSV 查找文件。
工作负载管理 - 支持 cgroups 版本 2 工作负载管理现在支持使用 cgroups 版本 2 的 Linux 操作系统。默认情况下,Splunk Enterprise 9.4 处于启用状态,可以检测并自动切换到 cgroups v2。
systemd 托管的 Splunk Enterprise 实例上的自动滚动升级您可以创建一个控制挂钩,splunk-rolling-upgrade 应用程序使用该控制挂钩在执行自动滚动升级之前停止 Splunk Enterprise 实例,并在执行自动滚动升级后启动该实例。使用控制钩子,您可以升级由 systemd 管理的 Splunk Enterprise 实例上的搜索头集群和索引器集群。有关更多信息,请参阅创建用于升级搜索头集群 的自定义控制钩 子和创建用于升级索引器集群的 自定义控制钩 子。
支持使用 Splunk 到 Splunk (S2S) 协议的输出队列的持久队列。能够利用输出队列上的持久队列,在目标或网络故障时自动回退到磁盘并进行恢复。用例用于远程 Splunk 部署(间歇性连接或需要在长时间网络中断中幸存下来)和 / 或通过 S2S 协议将数据克隆到一个或多个 Splunk 目标的收集目的,而不会丢失数据,并且在目标不可用时的影响最小。
下载地址
Splunk Enterprise 9.4.0 for macOS, Linux, Windows
for macOS x64 (dmg):https://sysin.org/blog/splunk-9/
for Linux x64 (rpm, deb, tgz): https://sysin.org/blog/splunk-9/
for Windows x64 (msi): https://sysin.org/blog/splunk-9/
Splunk Universal Forwarder 9.4.0 for Unix, Linux, Windows
相关参考:Gartner Magic Quadrant for Security Information and Event Management 2024
更多:HTTP 协议与安全
版权声明: 本文为 InfoQ 作者【sysin】的原创文章。
原文链接:【http://xie.infoq.cn/article/470f9e7079ed5b0ebf7d73cd5】。
本文遵守【CC-BY 4.0】协议,转载请保留原文出处及本版权声明。
评论