Splunk 三大核心

• Forwarder:任務是收集資料傳送至 Splunk ，資源占用極低。
• Indexer:負責處理與儲存資料的核心元件。功能有:
  • 從 Forwarder 接收資料
  • 資料標準化、索引化並轉成事件（events）儲存起來
• Search Head:讓使用者查詢資料、建立儀表板與報告。
  • 支援 SPL（Splunk Search Processing Language）進行強大查詢。
  • 提供圖形化介面來視覺化資料。

Splunk 作為SIEM平台的功能

• 使用 SPL 查詢特定條件的事件、行為或異常
• 將搜尋結果轉換成圖表（長條圖、圓餅圖、折線圖等），方便理解
• 偵測特定事件或行為異常，發出警告通知
• 結合不同資料來源的事件，找出攻擊活動的線索與模式
• 建立與追蹤事件時間軸
• 協助遵循規範如 ISO 27001，輸出稽核報告如記錄使用者行為、權限變更、登入歷史等

Splunk上傳資料的流程：

1. Select Source:選擇要上傳的日誌來源檔案。
2. Select Source Type:指定所上傳的是哪種類型的日誌（例如 VPN、Syslog 等）。
3. Input Settings:選擇要將這些日誌存入哪個 Index，並指定與日誌相關的主機名稱
4. Review:檢查上面所有設定是否正確（通常會提供預覽）。
5. Done:完成上傳流程，資料成功上傳並可供分析使用。

Splunk 的缺點

• 需要一定學習成本（尤其是 SPL）
• 大量資料時成本較高（按資料量計費）
• 部署與維護需技術人員