Я использую Splunk Enterprise для целей безопасности ...Использование Splunk: Как ограничить объем данных, отправленных универсальным отправителем на сервер Splunk для обработки?
Но на данный момент в моем Splunk есть много посторонних данных. Просматривая панели, я нахожу много данных о производительности и рабочем состоянии, которые мне не нужны. Проблема в том, что моя лицензия на всплеск позволяет мне анализировать 2 гб данных за 24 часа. Я бы сказал, что в настоящий момент 70% данных, которые проходят через систему, не связаны с безопасностью, и система была закуплена в качестве системы мониторинга безопасности.
Я хотел бы найти способ уменьшить количество данных, которые «форвардеры» отправляют обратно на задний конец Splunk для обработки. т.е. исключить из анализа все эксплуатационные и эксплуатационные данные.
Я намерен использовать эту освобожденную пропускную способность, чтобы выталкивать журналы антивируса и брандмауэра, а не данные производительности сервера.
Я действительно очень благодарен за помощь в этом. Я искал предыдущие вопросы, но не могу найти ответ. Однако, если есть на страницу, которую вы знаете, где я могу найти ответ, пожалуйста, пришлите мне ссылку :)
Kind Regards
Вера