Nieuwe feature in Splunk 9.0

logging van configuratie wijzigingen

Splunk 9.0 is uit en met deze nieuwe versie komt een fijne nieuwe feature voor het traceren van configuratie wijzigingen. In het verleden moest je nogal wat moeite doen om te achterhalen welke wijzigingen er waren uitgevoerd en wanneer deze hadden plaatsgevonden (bijvoorbeeld door het interpreteren van de weblogs). Dit was onoverzichtelijk en niet altijd even makkelijk boven tafel te krijgen. Splunk heeft hier nu een feature voor ontwikkelt.

Alle wijzigingen zijn vanaf nu gemakkelijk inzichtelijk te maken. Hiervoor worden ze weggeschreven naar een separate logfile: configuration_change.log. Bij de installatie van Splunk 9.0 zal naast deze logfile ook een nieuwe index worden gecreëerd: _configtracker. De logfile wordt weggeschreven in de standaard Splunk log directory: $SPLUNK_HOME/var/log/splunk en daarnaast ook automatisch weggeschreven in deze nieuwe index.

Showtime: De nieuwe Splunk index

Hoe gaat het in z’n werk? Ik licht het je hierbij toe zodat je er direct mee aan de slag kunt in jouw Splunk 9.0 omgeving. Allereerst maak je een tag (indexers) aan in Splunkweb:

Als je vervolgens deze configuratiewijziging wil opzoeken, kan je de volgende query uitvoeren:

index="_configtracker" sourcetype=splunk_configuration_change

Met als resultaat:

Je ziet dat de tag is toegevoegd (action: add) en de daarbij bijbehorende stanza is aangemaakt.

De index slaat alle wijzigingen op, van het bewerken van tags tot (bijvoorbeeld) toevoegen van een aantal hosts aan deze tag (zie boven). Iedere actie (action: update) kan nu eenvoudig worden teruggevonden in de eerdergenoemde index.

Zoals je ziet is het event keurig terug te vinden (action: update) en de verschillende hosts zijn toegevoegd aan de tag.

Leuk en aardig, hoor ik de Splunk administrator denken, maar wij doen de meeste aanpassingen in configuratie files en niet in de GUI. Gelukkig heeft Splunk hier ook aan gedacht met het uitbrengen van deze feature. Ook de wijzigingen in configuratiefiles komen, wanneer Splunk een herstart krijgt, in deze index terecht. Gelijktijdig met het activeren van de wijziging dus.

In onderstaande schermafdruk zie je dat, via de configuratie file op het filesystem, het field value pair host=umbrio-indexer5 van de tag indexers disabled is.

Ook deze wijziging is weer netjes terug te vinden in de _configtracker index, waar de tag van enabled (old value) naar disabled (new_value) is gegaan.

Deze handige nieuwe feature in Splunk 9.0 gaat je enorm helpen tijdens het troubleshooten, bijvoorbeeld door het correleren van performance problemen en configuratiewijzigingen.

Ben jij ook zo blij met deze, of een andere, nieuwe feature in Splunk 9.0? Of denk je er helemaal anders over? Ik hoor het graag!

Over Erik Grasman

Erik is Senior Data Consultant en Splunk specialist bij UMBRiO en verantwoordelijk voor analytics en development. Als data consultant helpt hij organisaties -al meer dan 15 jaar- bij het ontsluiten van bedrijfskritische data om deze te analyseren en correleren om te komen tot inzichten die direct leiden tot uitvoerbare acties. Dat kan op het gebied van beleids- of beslissingsondersteuning, veiligheid (SIEM, threat hunting, forensic analyses), processen, applicatie en ondersteunende infrastructuur. Dit doet hij zowel voor het UMBRiO dataplatform- waar klanten in de vorm van dataplatform-as-a-service- voor al hun IT en business data op vertrouwen als ook voor klanten die deze dienstverlening niet afnemen. Erik ziet overal data en past deze zowel zakelijk als privé toe, wat dan kan leiden tot Tesla en Parkmobile datacombinaties in Splunk.