写点什么

Splunk Enterprise 10.0.0 发布,新增功能简介

作者:sysin
  • 2025-08-03
    北京
  • 本文字数:3188 字

    阅读完需:约 10 分钟

Splunk Enterprise 10.0.0 发布,新增功能简介

Splunk Enterprise 10.0.0 发布,新增功能简介


Splunk Enterprise 10.0.0 (macOS, Linux, Windows) - 搜索、分析和可视化,数据全面洞察平台


Search, analysis, and visualization for actionable insights from all of your data


请访问原文链接:https://sysin.org/blog/splunk-10/ 查看最新版。原创作品,转载请保留出处。


作者主页:sysin.org




Splunk Enterprise


对所有数据进行搜索、分析和可视化,获得可执行的洞察。


Splunk Enterprise 10.0.0 新增功能

发布日期:2025-07-28



Edge Processor 服务


Edge Processor 解决方案是托管在您的 Splunk Enterprise 部署中的一项服务,旨在帮助您管理网络边界内的数据摄取。使用 Edge Processor 解决方案可以在数据源附近对数据进行过滤、掩码和转换,然后将处理后的数据路由到外部环境。


联邦信息处理标准 (FIPS) 支持更新


Splunk Enterprise 现已更新支持 FIPS 140-2 模块,并新增对 FIPS 140-3 模块的支持。这些模块使您能够以 FIPS 模式运行 Splunk Enterprise,从而符合相关指南。随 Splunk Enterprise 10.0 附带的 FIPS 140-2 模块有效期至 2026 年 3 月,升级到 10 版后,您有时间迁移至新的 FIPS 140-3 模块。


支持基于相互传输层安全(mTLS)的加密


Splunk Enterprise 现支持配置 mTLS,用于加密 Splunk Enterprise 实例和服务之间的网络连接。


支持 OpenSSL 3.0 版本


Splunk Enterprise 10.0 支持 OpenSSL 3.0,替代已弃用的 OpenSSL 1.0.2 版本。此外,软件绑定 Python 3.9 运行环境,用于安全连接服务和 API。


对搜索知识对象的细粒度访问控制


Splunk 管理员现在拥有更灵活的权限分配选项,可以为角色分配访问知识对象的权限。新增三种能力取代了之前唯一的 admin_all_objects 能力,赋予管理员更高的灵活性。


Sidecars(旁车进程)


Sidecars 是伴随 splunkd 进程运行、完成特定功能的进程。它们支持在 Splunk 平台中引入新功能,例如部分 sidecar 支持本地环境的增强数据管理。Sidecars 会在您的 Splunk Enterprise 环境中引入多个旁车进程,且其进程名不包含 splunk 前缀。


仪表板可信域列表


管理员可以通过“仪表板可信域列表”页面添加或删除域。访问路径为:Splunk 顶部导航栏选择 Settings > Server settings > Dashboards Trusted Domains List。


审计跟踪应用中的仪表板


使用审计跟踪(Audit Trail)应用,您可以快速了解 Splunk 平台实例的安全性、合规性和运行情况。仪表板基于审计索引(index=_audit)实时监控用户活动及知识对象的变更 (sysin)。若需排查或调查活动,可通过审计日志获取详细信息。建议从审计跟踪仪表板开始审计 Splunk 平台活动。


标准模式联邦搜索中支持 savedsearch 命令


现可使用 savedsearch 命令在标准模式联邦提供者上针对远程已保存搜索数据集执行联邦搜索。还支持使用 savedsearch 的字符串替换语法替换远程已保存搜索中的特定字符串(如 $replace_me$)。


扩展标准模式联邦搜索的 SPL 支持


标准模式联邦搜索新增对以下命令的支持:mcollectsendalertsendemail。这些命令现在可以在联邦搜索头节点本地运行。


电子邮件域设置增强


Splunk Web 下的“服务器设置”中新增电子邮件域配置选项,管理员可以指定允许或拒绝所有电子邮件域,或使用逗号分隔的电子邮件域列表 (sysin)。该设置限制警报邮件发送的目标域,防止用户将搜索结果通过邮件发送至不安全的域。


邮件服务器身份验证支持 OAuth 2.0


Splunk Enterprise 现支持 SMTP 服务器的 OAuth 2.0 身份验证,本次发布增加对 Microsoft Exchange Server 的支持。对于 Gmail SMTP 服务器,可使用 Google 应用密码替代账户密码进行简单身份验证(用户名/密码)。


Splunk Enterprise 采用 Python 3.9


Splunk Enterprise 10.0 及更高版本已移除 Python 3.7,仅支持 Python 3.9 解释器。请确保所有应用和插件均更新至兼容 Python 3.9 的版本,否则可能导致应用无法正常运行。


Dashboard Studio 功能增强


详见 "Dashboard Studio 新功能":https://help.splunk.com/en/?resourceId=Splunk_DashStudio_WhatNew


预览功能:字段过滤器现支持 typeaheadwalklex 命令


之前版本中,字段过滤器默认禁用 typeaheadwalklex 命令,因为它们是受限命令。从本版本开始,这些命令不再受限。注意:是否在组织中部署字段过滤器需谨慎。字段过滤器适合保护敏感字段,但若组织使用 Splunk Enterprise Security 或频繁依赖被字段过滤器默认限制的命令(如 mpreviewmstatststats),建议在充分规划绕过方案后再生产环境使用。


预览功能:字段过滤器成为搜索时序列中首个操作


字段过滤器已从原先的第四位移动至搜索时的第一位操作,这会影响后续操作。因为字段过滤器先于其他操作处理,被过滤的字段可能导致依赖其值的后续操作失败。


定时搜索动态限制


Splunk Enterprise 10.0 引入 dynamic_max_searches_perc 设置,允许搜索调度器基于即时和定时搜索负载自动调整定时搜索并发限制 (max_searches_perc),减少搜索延迟和跳过搜索,提升资源利用效率。


有效配置查看功能


该功能允许您查看转发器上实际生效的配置,无需登录机器或使用 btool,避免依赖其他团队获取配置细节。您可以查看所有 .conf 文件的参数更改,下载实际配置文件进行编辑和分析。


批量数据迁移


批量数据迁移功能允许用户根据搜索条件高效地重组索引间的数据,精准回收存储并管理敏感信息,避免完全删除索引带来的不便。该功能仅适用于独立部署(单实例)。


OpenTelemetry 采集器管理


该功能帮助您集中查看管理的 OTel 采集器信息,监控代理状态。您可以在表格视图中看到注册的 OTel 采集器列表,并选择具体代理查看关键属性。此为只读功能,提升对数据采集组件运行状况的可见性。


Dashboard Studio 中的可观测性指标


您可以在 Dashboard Studio 创建基于可观测性指标的图表,或导入已有的 Splunk Observability Cloud 图表。支持按维度过滤指标,实现更细粒度的数据观察。


Search 应用中预览可观测性数据


在新的“相关内容”面板中,您可以预览与当前搜索事件相关的 Splunk Observability Cloud 数据和上下文,方便调查。


Dashboard Studio 仪表板中查看可观测性服务拓扑图


您可以将 Splunk Observability Cloud 监控的服务拓扑图添加至 Dashboard Studio 仪表板,直观展示 APM 中的服务依赖与连接,便于同时识别性能瓶颈和错误传播。


SPL2 模块权限管理


创建模块时,您将自动获得该模块的 executereadwrite 权限。此前只有 admin 和 power 角色用户能拥有这些权限 (sysin)。模块所有者权限不可被撤销,您可以通过 REST API 端点授予或撤销所创建模块的权限。


Search API 1.0 版本端点默认停用


部分 Search API 1.0 版本端点已被弃用并停用,未来版本将彻底移除。客户和开发者应升级至 Search API 2.0 版本,后者采用语义版本化的 REST API 端点,提升平台契约和更新兼容性。若业务关键应用仍需使用旧端点,可临时开启作为过渡方案。


Upgrade Readiness 应用退役


Splunk 正式结束对 Upgrade Readiness 应用的支持,该应用将不再更新,并已从本版本 Splunk Enterprise 中移除。


更新的警报页面


警报页面在易用性和无障碍性方面进行了改进。注意:若自定义警报操作中包含 HTML,请确保 HTML 不含不支持或格式错误的元素。请更新 HTML 以符合 Splunk Web 支持的自定义元素。


收藏的知识对象


用户现在可以添加或移除报告收藏。收藏功能使得发现和访问知识对象(如报告)更加便捷快速。

下载地址

Splunk Enterprise 10.0.0 for macOS, Linux, Windows (2025-07-28)



Splunk Universal Forwarder 10.0.0 for Unix, Linux, Windows



相关参考:Gartner Magic Quadrant for Security Information and Event Management 2024


更多:HTTP 协议与安全

发布于: 刚刚阅读数: 2
用户头像

sysin

关注

还未添加个人签名 2018-08-30 加入

还未添加个人简介

评论

发布
暂无评论
Splunk Enterprise 10.0.0 发布,新增功能简介_Splunk Enterprise_sysin_InfoQ写作社区