Moving Media Splunk

Splunk: diversi stati della materia Splunk ha tenuto la sua riunione annuale analista e per alcuni è presentato un quadro ambiguo per quanto riguarda la crescita dei ricavi. L'azienda ha avuto un momento difficile previsione - semplicemente è stata in grado di prevedere i tempi di grandi offerte e, quindi, ha un eccesso di conseguito in maniera drammatica. La società ha subito una transizione verso il cloud, che ha avuto un impatto margini lordi ed è probabilmente ritardando la crescita dei ricavi - anche se i numeri grezzi rimangono fantastico. Utilizzare i casi per i dati macchina - in fondo ciò che questa azienda non - continuano ad espandersi in modo esponenziale. L'azienda continua a surclassare notevolmente la concorrenza in base a tutti i tipi di sondaggi del suo spazio di dati della macchina. Splunk - Il sesto stato della materia significa che gli investitori hanno bisogno di una scheda di valutazione per decifrare le aspettative fisica non era uno di quei soggetti che mi ha affascinato nel corso della mia carriera educativa. Sono andato a entrambi un liceo e poi una università dove la fisica è un campo obbligatorio di studio, ma non ha ancora la conoscenza impartita rimangono. Si tratta di più di mezzo secolo e tutto quello che ricordo sono quei piccoli carrelli in acciaio con le sfere di acciaio rotolare giù per la pendenza, con una gravissima partner di laboratorio che hanno respinto i miei tentativi Misbegotten di umorismo circa la velocità dei piccoli carri accelerato. Così, quando si fa un po 'di ricerca di fondo per questo articolo, ho scoperto che Splunk è il sesto stato della materia, gli altri sono solidi, liquidi, gas, plasma e dei dati. Avevo davvero mai conosciuto c'erano sei stati della materia o che cosa il nome Splunk (NASDAQ: SPLK) significa. Splunk si riferisce a qualcosa che vede e gli indici di tutti i dati. E Splunk è un motore di dati che funziona senza zone d'ombra, senza ombre e senza nuvole. Che non è una cattiva definizione della funzionalità companys e il suo mantra. Si tratta di una definizione molto meno apposito per lo svolgimento delle sue azioni e come molti osservatori visualizzare l'azienda. Splunks azioni hanno fatto molto poco per la parte migliore di un anno e in effetti sono in calo del 16 dal picco raggiunto lo scorso agosto. Questioni che sono vincolate le azioni sono incluse le preoccupazioni circa la redditività e il potenziale di rallentamento della crescita. Sono molto meno preoccupato per qualche drastica riduzione del tasso di crescita companys di me nella cadenza del suo percorso alla redditività. A causa della crescita della società e recente debolezza prezzo delle azioni, le azioni sono ormai raggiunto una stima relativamente attraenti. E penso che sia probabile che per vedere un gran lunga migliore andamento del titolo e alfa positivo dopo la relazione trimestrale a febbraio mostra che la sua non vedere davvero alcun rallentamento della crescita materiale. Recentemente ci sono stati osservatori, tra cui uno su questo sito. che ha creduto che il recente incontro con gli analisti companys ha tenuto un paio di settimane fa era un modo velato per ridurre guida per il prossimo anno fiscale. Difficile negare che la società prevede ricavi per il prossimo anno fiscale a 1175 milioni che sarebbe materialmente inferiore a questo anni di crescita. Infatti 1,175 miliardi di ricavi sarebbero 26 crescita dei ricavi dalla proiezione del reddito attuale consenso per l'anno fiscale 2017, che termina all'inizio della prossima settimana. quel tipo di crescita non sarebbe ben accolto da parte dei soci o potenziali azionisti provenienti dopo un anno di 40 crescita. Ma dato il record della pista questa azienda ha in termini di guida, penso che non vorrei usare i numeri che si presenta come gravi stime. Mi aspetto che la società sarà battere le stime per il trimestre in corso e solleverà la guida per l'anno fiscale 2018 (termina 131). Io credo che la crescita percentuale sta moderando un po 'come la società attraversa la soglia annuale di 1 miliardo. Ma la domanda è quanto è la crescita dei moderatori. E la mia ipotesi, non è molto e non da nessuna parte vicino a quello che è nella previsione ha presentato un paio di settimane fa. Probabilmente il problema investimento più significativo per questa azienda è stata la crescita dei comp basato magazzino che è stato sostanzialmente fuori controllo negli ultimi due anni. I numeri parlano da soli - le azioni in circolazione hanno raggiunto più di 131 milioni, come riportato e sarà più alto ancora quando i risultati di fine esercizio sono riportati a causa della companys intero esercizio la redditività non-GAAP - il CFO ha detto a modello per 140 milioni di azioni in circolazione . Questo è un aumento di 40-plus in quattro anni e fa i progressi visti in termini di margini non-GAAP molto meno impressionanti. L'azienda ha riconosciuto che un percorso realistico per i valori degli azionisti di lungo periodo comprende la gestione e riducendo basato magazzino spese comp a livelli che non producono tale diluizione costante e massiccia. Ma finora, riconoscendo il problema e agire per limitare sovvenzioni azionari sono stati due cose diverse e circa il meglio che si può dire è che le azioni di crescita bozzetto basato sta cominciando a crescere a tassi inferiori a quello del Splunks ricavi aumenta Come accennato, le azioni Splunk hanno apprezzato di circa il 12 nel corso dell'ultimo anno o giù di lì e sono diminuiti del 16 dal raggiungimento di un alto indietro nel mese di agosto. Ho il sospetto che la sotto-performance degli ultimi mesi si riferisce alla diluizione significativa dalla base di magazzino spese bozzetto e la preoccupazione degli investitori che la società non è in realtà su un percorso per migliorare i suoi margini a livelli ragionevoli. azioni Splunk sono apprezzati da 7,60 oggi nel corso della mia scrittura di questo articolo. L'apprezzamento è fondamentalmente un fattore di lettura attraverso dalla valutazione che Cisco (NASDAQ: CSCO) sta pagando per AppDynamics (in attesa: APPD). Splunk ha una capitalizzazione di mercato di 7,6 miliardi e di un enterprise value di 6,6 miliardi. Sulla base del consenso attuale dei ricavi per l'anno fiscale che inizia in meno di una settimana, l'SVE è 5.6X, forse la metà della valutazione Cisco sta pagando per AppDynamics. Personalmente, penso che opportunità di crescita negli spazi SIEM Itsy (le funzionalità di base di Splunk) è significativamente superiore alla possibilità di testing delle applicazioni (l'attività di AppDynamics). Ma allora si può mai sapere esattamente ciò che anima acquisizioni specifiche. azioni Splunk ora sono probabilità di essere visto da molti operatori come un potenziale obiettivo di acquisizione a valutazioni di gran lunga superiori a quelli in cui le azioni hanno venduto di recente. Questo probabilmente non è una speculazione irragionevole, anche se certamente non ho conoscenza di prima mano in merito a quando, o se Splunk potrebbe essere acquisita. azioni Splunk avere un primo voto ragionevolmente positivo chiamata. Il target di prezzo consenso è 71, più di 30 al di sopra del prezzo corrente. Credo che l'azienda sta andando ad avere per iniziare a ottenere qualche reale gestione delle spese, anche nel bel mezzo di suo perno al cloud fonti di reddito. (La discussione della transizione companys al cloud è un discorso a parte, che non è rilevante in questo articolo. La transizione non è così drammatica come lo è stato per altre aziende e per la natura di ciò che fa Splunk. Sarà sempre un modello di cloud ibrido. E 'già passato attraverso la perdita di circa 500 bps di margine lordo a causa della transizione. in definitiva il margine lordo salirà di nuovo ai livelli pre-cloud, credo.) la società si sta avvicinando alla fine della sua fiscale 2017 anni con risultati che possono essere comunicate entro la fine del prossimo mese. Sembra opportuno guardare ai fattori di crescita della società e vedere se vi è ragione di credere che essi possano essere in calo o se le preoccupazioni generate dalla incontro con gli analisti sono validi. Fiscale 2016 (essenzialmente 2015 anno) sega anni interi ricavi aumentano di 48 e che la crescita è stata costante per tutto l'anno con 49 una crescita nel 4 ° trimestre. All'inizio di questo anno fiscale, la società ha fornito linee guida per 880 milioni di fatturato e che la crescita rappresentati del 32. La società prevede anche che i margini non-GAAP sarebbero circa il 5 per l'anno. Entrando nel fine dell'anno, l'attuale consenso dei 40 analisti che pubblicano su First Call è che la società raggiungerà 39 crescita per l'anno, che sarà poi scendere a 27 il prossimo anno. Ultimo quarto, l'azienda ha raggiunto 41 la crescita. Attraverso nove mesi, la crescita dei ricavi è stata del 43,5. La mia ipotesi è che i risultati di Q4 produrranno ricavi che ancora una volta sono sostanzialmente maggiore azienda di orientamento e il consenso attualmente pubblicato. Il consenso attuale di 31 crescita per il trimestre in corso è proprio quello previsione gestione durante la sua ultima release guadagni. Ma quando l'azienda prevede i risultati Q3 prospettico, i ricavi avrebbero dovuto essere 229 milioni. Si è rivelato essere 245 milioni. A un certo livello, ho potuto fermare proprio qui. Io andrei prendo ogni previsione che Splunk fornisce come la sua migliore stima di ciò che potrebbero essere entrate. Vorrei suggerire che la previsione rappresenta qualcosa come i ricavi minimi impegnati che sono impegnati contrattualmente. Attualmente l'azienda è la previsione che i ricavi stanno andando a diminuire in modo sequenziale. Ti sembra terribilmente probabile Solo per la cronaca, l'anno scorso la Q3 Q4 alla crescita è stato di 46 milioni o più di 26. Non vi è alcun segno che la domanda è rotto o che la società si sta spostando a qualche marcia inferiore della crescita o di vendita di esecuzione. Senza sapere qualcosa di più sul business Companys, la sequenza di meteorologiche e prestazioni potrebbe suggerire che gli investitori e gli osservatori sarebbe molto meglio serviti, cercando in un terreno di due e con una analisi delle tendenze. Essi saranno sicuramente ottenere risultati più accurati. Oh, a proposito, l'azienda sta andando a battere le previsioni del margine operativo non-GAAP 5 pure. Si prevede attualmente 6 per tale metrica. Splunks crescita del fatturato sta rallentando, ma con una cadenza molto più bassa e meno fastidioso che riguardano alcuni osservatori. La maggior parte del rallentamento è davvero una funzione di più ricavi spostano verso il cloud che nel tempo effettivamente contribuire alla crescita della società. Quali sono i driver della domanda per le soluzioni Splunks e che ha a battere per rimanere in una modalità di crescita Come accennato in precedenza, il mercato in cui Splunk vende il suo software si chiama SIEM. Splunk è stato valutato il leader nello spazio per diversi anni da Gartner nella sua analisi Magic Quadrant. I suoi concorrenti più vicini includono IBM (NYSE: IBM), LogRhythm, Hewlett-Packard imprese (NYSE: HPE) e EMC. La società è leader nello spazio da quando Gartner ha iniziato a scrivere sul settore - quattro anni come accade. E ci hanno né ricontattato grandi cambiamenti in cima alla classifica. Un mercato adiacente, in cui Splunk è diventato radicata è chiamato ITSI-IT Service Intelligence. L'azienda ha costruito i moduli per la sua tecnologia di base che sono orientate ad assicurare che i servizi IT vengono forniti senza interruzioni e che le anomalie vengono contrassegnati prima che possano causare problemi. Proprio come l'individuazione di un cancro prima ci sono sintomi visibili. All'inizio di questo mese, IDC valutato splunk n ° 1 in tutto il mondo operazioni IT di analisi per il secondo anno di fila. Splunks quota di mercato nello spazio è 28,5. Non ci sono prove che la posizione di mercato Splunks si sta deteriorando. Se la società ha intenzione di sperimentare materialmente il rallentamento della crescita sarà perché i mercati in cui vende stanno rallentando e perché la società non è in grado di sviluppare i casi d'uso aggiuntive per il suo software. Splunk ha sviluppato casi d'uso aggiuntive per il suo software di controllo di registro dal momento che è stata una società pubblica e, probabilmente, prima. Fa parte del modo in cui la società opera. Più di recente l'azienda ha sviluppato una serie di prodotti che che si sviluppano le informazioni relative anomalie nell'uso dei dati e sono progettati per essere parte di un tessuto di sicurezza. L'azienda ha una vasta gamma di strumenti che cercano di estrarre valore da tutti i dati della macchina in fase di creazione. L'azienda dispone di soluzioni in questi giorni che forniscono analisi per Hadoop. L'azienda dispone di strumenti che consentono agli utenti di prendere decisioni di marketing e promozionali in tempo reale. Può fornire analisi dei dati che viene ricevuto tramite fonti IoT. soluzioni Splunks continuano ad essere utilizzati per diagnosticare problemi operativi attraverso correlazioni e fornisce avvisi proattivi rilevando i modelli e anomalie. Sarebbe faticoso, credo, per cercare anche di descrivere tutti i casi di utilizzo Splunk ha sviluppato negli ultimi anni. Ma credo che la conclusione che si può facilmente trarre è che il hasnt ambiente domanda deteriorato, si mangia probabilmente destinata a peggiorare e che le preoccupazioni da parte di alcuni investitori su tale argomento sono drammaticamente esagerate. Splunk è probabile che continui a crescere i ricavi superiore al 30 per molti anni a venire, credo. Credo che la crescita per Splunk è una funzione della capacità dell'organizzazione di gestire la dimensione assoluta del business e cominciare a realizzare alcune economie in scala. Redditività e flusso di cassa - i motivi per cui le aziende sono in attività Splunk ha una lunga strada da percorrere per diventare una società redditizia basata su standard GAAP, anche se lo fa generare flusso di cassa positivo. Ultimo quarto, ha convertito un GAAP margine di perdita operativa di 37 a un non-GAAP ha registrato un utile di 7. La maggior parte di questa differenza era attraverso l'esclusione di base magazzino spesa comp. Questo non è la sede appropriata per discutere la pratica - è mia convinzione che da una prospettiva di valutazione quota di questa azienda è andata oltre i limiti di ciò che la maggior parte degli investitori trovano accettabile. La più grande area di comp base dell'azione è nel segmento spese di ricerca e sviluppo. A tal riguardo, mentre bozzetto livello Splunks di magazzino base è forse un po 'di un outlier, è diventata una strategia tipica di questi giorni che riflettono le condizioni di lavoro per le aziende che stanno cercando di aumentare le loro capacità di sviluppo. strategia Splunks prevede una rapida estensione dei suoi gruppi di soluzione e di farlo ha bisogno di aumentare la sua capacità di sviluppo in modo sostanziale. Non sarà facile da controllare magazzino spese bozzetto based che sarà necessario per attrarre gli sviluppatori in quanto è un mercato del lavoro molto stretto. Nel 3 ° trimestre, il rapporto spesa GAAP companys di ricerca e sviluppo ha raggiunto il 35 dei ricavi in ​​ricerca e sviluppo, rispetto ai 32 dei ricavi dell'anno precedente. comp base della realtà era 52 della spesa GAAP in ricerca e sviluppo. Sembra un commento ovvio che suggeriscono che Splunk dovrà riformare la sua gestione finanziaria nel breve termine al fine di avviare un percorso di redditività accettata dalla maggior parte degli investitori. È interessante notare, non una sola domanda sulla conference call è stata indirizzata a tale soggetto. Ultimo quarto l'azienda ha investito 167 milioni o 68 dei ricavi riportati sulle vendite e spese di marketing. Questo è stato migliore rispetto all'anno precedente metrica quando le vendite e le spese di marketing era 74 delle entrate, ma nessuno immagina che una società nel mondo IT - o realmente qualsiasi altro mondo - può spendere molto al di là di 30-40 dei ricavi sulle vendite e marketing e fare profitti GAAP. Perché una società in questa fase della crescita spendere una tale porzione incredibile di ricavi sulle vendite e marketing E 'abbastanza semplice, in realtà. Mentre alcuni analisti focalizzati su questo Companys fiscale 2018 entrate previste, una diapositiva meglio guardare sarebbe stato quello in cui l'azienda ha fornito un'analisi di coorte dei suoi clienti. Cinque anni dopo l'acquisto iniziale, gli utenti nelle fiscale 2011 e fiscali 2012 coorti avevano aumentato le loro prenotazioni da 5X e aumentato il loro uso di dati 8X. I upcharges utilizzo dei dati portano chiaramente essenzialmente 100 margini lordi. Con 87 delle prenotazioni di licenze provenienti da clienti esistenti, la gestione deve affrontare un enigma nel tentativo di bilanciare le opportunità di crescita e di redditività e finora è sceso dal lato della crescita. Dato quanto sostanzialmente i clienti ad aumentare il loro consumo di Splunk nel corso degli anni, che non è poi così sorprendente che l'azienda ha scelto di trascorrere una straordinaria quantità di acquisire clienti e allo sviluppo di soluzioni aggiuntive con cui attrarre potenziali utenti. Dal punto di vista degli investitori, Splunk sta facendo una decisione di massimizzare i rendimenti potenziali più lungo termine in uno spazio fiorente. In questo modo è andare a ritardare e allungare il percorso di GAAP redditività per diversi anni. Quando la terra ed espandere le opere, e funziona a palate per Splunk, la strategia logica di impiegare è quello di spendere un sacco di soldi al momento dello sbarco. Si dà il caso, la dimensione media degli ordini per questa azienda è soltanto 50-60.000. Catturare i clienti di queste dimensioni sta per essere relativamente costosi e ci vorrà del tempo prima che i clienti acquisiti si trasformano in balene. Si tratta di un enigma affrontato sia da questa società e da osservatori ma è una ragione per cui il percorso di redditività su base non-GAAP sarà lunga e difficile. Nel complesso, le spese operative GAAP sono stati 117 dei ricavi nel 3 ° trimestre fiscale rispetto ai 124 dei ricavi nel periodo dell'anno precedente e ai 122 dei ricavi nei primi nove mesi dell'anno fiscale. Non vi è progresso, non solo drammatico progresso o il tipo di progresso che sta per portare a significativi guadagni GAAP in qualunque momento presto. Nonostante le perdite, questa azienda ha e rischia di continuare a generare un livello significativo di flusso di cassa, ma nessuno si è propensi ad acquistare le azioni a causa della loro libera rendimento dei flussi di cassa. Più di tutto il flusso di cassa è un prodotto a base di bozzetto, anche se una certa quantità di flusso di cassa è il prodotto della crescita dei ricavi differiti. Come l'azienda ruota a ricevere maggiori entrate da fonti ratable, come la nuvola, sembra probabile che i ricavi differiti aumenterà più rapidamente di quanto finora ma nel complesso una crescita significativa dei flussi di cassa è di essere guidato da profitti - non vi è alcuna fonte nascosta di flusso di cassa e a causa della tariffazione della società. I ricavi differiti non saranno mai sostanziale relativo alla produzione totale dei ricavi. Come sarà affare Splunk con il suo enigma Penso che per la maggior parte Splunk continuerà a trade off prestazioni margine di crescita dei ricavi. Durante il giorno analista, è previsto che sarebbe crescerà 25-30 per i prossimi tre anni e che i margini margini non-GAAP raggiungerà 12-14. Questi numeri sono in realtà un po 'meglio di quello che potrebbe sembrare. Nel corso dei prossimi anni, l'azienda passerà più delle sue entrate al cloud e, almeno inizialmente, la nube ha portato giù i margini lordi da 400-600 bps ed è probabilmente lopped alcuni punti sulla crescita riferito - anche se ironicamente sia la nube e la crescita licenza perpetua over-eseguito nell'ultimo trimestre. Credo che semplicemente attraverso raccontando le aree di soluzioni in cui Splunk crea valore suggerisce che si trova in un forte nesso di crescita che se qualcosa è sempre più forte. E penso che la società sembra avere una posizione competitiva dominante ai suoi spazi di destinazione. La risposta di base è che la società vede il suo TAM come 55 miliardi ed è in procinto di annunciare un anno di 1 miliardo di fatturato. E non ha intenzione di sacrificare la sua oscillazione in quel mercato per ottenere una migliore redditività - non quest'anno, il prossimo anno o in qualunque momento presto. Suppongo che la diluizione rallenterà dal 6-7year a qualcosa di più modesta col passare del tempo, ma che sta per essere un fattore di qualche conseguenza a causa di come questa azienda cresce. Per la maggior parte della nuova crescita cliente è stato relativamente modesto. Quindi, la strategia deve essere quello di vendere i nuovi clienti molto altro ancora prodotti di quello che inizialmente acquistato e, naturalmente, per godere delle entrate che vengono più o meno automaticamente a causa della crescente uso di dati in quasi tutti i clienti. E la strategia deve essere quello di vendere gli ordini iniziali più grandi e per ottenere l'aumento ASP. Ciò può essere fatto solo espandendo i casi d'uso per i dati della macchina e ciò significa che gli aumenti di ricerca e trascorrere sviluppo è improbabile a diminuire in modo significativo nel prossimo futuro. la crescita del margine GAAP e sostanziali margini di free cash flow non sono suscettibili di essere molto in evidenza per questa società prima al 2020 o oltre. Gli investitori alla ricerca di parametri di valutazione classici non li troverete qui. Credo che l'azienda crescerà più velocemente o sviluppare un componente nuvola più alta dei ricavi di quello che sta prevedendo. Ma non sarà in grado di farlo e raggiungere il tipo di redditività sostanziale che alcuni lettori e investitori anticipano. Così come ci sono diversi stati della materia, ci sono diversi tipi di investimento. Splunk è uno di quei tipi di investimento in cui la redditività è destinata a continuare a prendere un sedile posteriore alla crescita. Disclosure: Iwe non ci sono posizioni in qualsiasi stock menzionati, e non prevede di avviare le posizioni entro le prossime 72 ore. Ho scritto io stesso questo articolo, ed esprime le mie opinioni. Non si ricevono una compensazione per esso (diverso da Seeking Alpha). Non ho alcun rapporto d'affari con una società le cui azioni sono citati nel presente articolo. A proposito di questo articolo: HACK PureFunds ISE Cyber ​​Security ETF Registrati per Pro per sbloccare dati Registrazione Realtime Valutazione Sintesi La tabella adiacente offre agli investitori un individuo Valutazione in tempo reale per HACK su diversi parametri diversi, tra cui la liquidità, le spese, le prestazioni, la volatilità, dividendi, la concentrazione delle aziende, oltre a una valutazione. Il campo ETF nominale una metrica, a disposizione di ETFdb Pro membri, mostra l'ETF nella tecnologia Azioni con il più alto metrica in tempo reale valutazione per ogni singolo campo. Per visualizzare tutti questi dati, registrarsi per una prova gratuita di 14 giorni per ETFdb Pro. Per visualizzare le informazioni sul modo in cui ETFdb in tempo reale valutazioni funzionano, fare clic qui. HACK tempo reale complessivo ospiti: Un ETF nominale complessiva: TECNICI 20 giorni MA: 29.02 60 giorni MA: 27.83 MACD 15 Periodo: 0.10 MACD 100 Periodo: 1,94 Williams Gamma 10 Giorno: 64.56 Williams Gamma 20 Giorno: 23.39 RSI 10 Giorno: 59 RSI 20 giorno: 62 RSI 30 giorni: 61 Ultimate Oscillator: 61 Bollinger Brands Lower Bollinger (10 giorni): 29.11 superiore Bollinger (10 giorni): 29.79 Lower Bollinger (20 giorni): 27.89 superiore Bollinger (20 giorni): 30.08 Lower Bollinger (30 giorno): 27.34 superiore Bollinger (30 giorni): 29.98 Resistenza Supporto Livello 1: 29.19 Supporto Livello 2: 29.00 Resistenza Livello 1: 29.48 Resistenza Livello 2: 29.58 stocastico oscillatore stocastico D (1 giorno): 59.63 oscillatore stocastico D (5 giorno ): 56.15 oscillatore stocastico K (1 giorno): 57.72 oscillatore stocastico K (5 giorni): 69.66Splunk Best Practices Splunk Best Practices comune Splunk Topology Questa architettura ha diverse componenti chiave come: Un livello indicizzatore con indicizzatore di clustering. Più in cluster di ricerca-peer (indicizzatori) migliora le prestazioni sia in fase di data-ingest e di ricerca. Questa strategia riduce i tempi di ricerca e fornisce una certa ridondanza dei dati-ingest e disponibilità dovrebbe un singolo server mancare una o più teste di ricerca separati. Questo sistema separato distribuirà qualsiasi richiesta di ricerca in tutti configurati ricerca-peer migliorare le prestazioni di ricerca. Una testa ricerca separata è mostrato qui per sostenere Splunk8217s Enterprise Security Deployment Server (ES) applicazione. Questo sistema può essere collocato con altri servizi Splunk, o stand-alone. Per le grandi installazioni, un sistema stand-alone è importante. Questo sistema agisce in genere come il Maestro di licenza. Maestro Node. Questo sistema è in genere co-location con il server di distribuzione. Per le grandi installazioni, un sistema stand-alone è importante. Architettura e indici piano di progettazione e sourcetypes. Queste due cose saranno difficili da cambiare in seguito. Indici e sourcetypes assistono nella gestione dei dati. Vedere Defaultfield e indicizzato campi. Utilizzare sourcetypes per raggruppare i dati per la loro somiglianza. Se gli eventi sono generati dallo stesso dispositivo e sono nello stesso formato, dovrebbero probabilmente essere uno SourceType. Vedere questo grande blog-post sul SourceType denominazione. Cercare di raccogliere gli eventi come vicino (in termini di geografia e percorso di rete) il più possibile. Questi eventi possono essere raccolti con un Splunk Universale spedizioniere. e quindi inviato al indicizzatori che può essere una posizione centrale. Cercate di mantenere la testa di ricerca come vicino a indicizzatori possibile. Ciò permetterà di migliorare la ricerca della velocità head8217s di accesso agli eventi. Utilizzare indirizzi IP separati quando possibile. Come ad esempio: la gestione, raccolta registri, testa UIsearch web e utilizzare indirizzi IP distinti per diverse importanti sourcetypes. Tutto questo rende la distribuzione Splunk più estensibile, offre migliori opzioni di controllo di accesso, e consente la risoluzione dei problemi e l'analisi a grana fine. Utilizzare uno schema di denominazione coerente sulle Splunk ricerca Heads. Indicizzatori per assicurare l'accuratezza e riducono i tempi di risoluzione dei problemi. pianificare con attenzione la distribuzione di raccolta eventi di Windows (registri eventi e Rendimento) per garantire il successo. Molti strumenti di raccolta eventi di Windows hanno varie limitazioni, come il troncamento di eventi a 512 o 1024 byte. Il doesn8217t Splunk universale inoltro hanno queste limitazioni e può essere utilizzato per affidabile ed efficiente di raccolta di Windows gli eventi da una grande impresa distribuita. Si consiglia vivamente di utilizzare SplunkTAWindows. Per molto in registrazione approfondita su sistemi critici, è possibile utilizzare l'addon Splunk per Microsoft Sysmon in aggiunta a SplunkTAWindows. la responsabilità singola squadra. Una sola squadra dovrebbe essere responsabile per Splunk invece di avere questa scissione in più reparti, divisioni, o entità. Inoltre, gran parte della distribuzione di Splunk richiede una comprensione intima della sua destinazione d'uso e, pertanto, si raccomanda che la squadra che sarà il principale utilizzatore di Splunk deve anche gestire la sua distribuzione. Ciò equivale in genere a una implementazione più successo. Utilizzare una licenza Maestro Splunk per il controllo della licenza del vostro indicizzatori e don8217t dimenticare di includere si cerca teste e le eventuali spedizionieri heavyfull in tale licenza. Se ci si trova in una distribuzione distribuita, con più teste di ricerca Splunk e spedizionieri, considerare vivamente di utilizzare Deployment Server. Utilizzando server di distribuzione può aiutare a mantenere la configurazione coerente in tutti i sistemi di Splunk, e apportare modifiche alla configurazione molto più facile (senza dover toccare ogni sistema). Durante la distribuzione indicizzatori, prendere in seria considerazione indicizzatore di clustering. Anche quando si inizia con un indicizzatore, a partire da un nodo master per gestire le configurazioni su quel indicizzatore garantirà l'espansione di una configurazione multipla indicizzatore è indolore. Accuratamente e costantemente utilizzare Splunk8217s porte in ascolto, che si legano a specifici processi di back-end. Alcuni di questi sono indicati quando si avvia Splunk. In generale qui sono le porte standard, se non sono stati modificati. tcp8089 8211 splunkd 8211 Splunk8217s porta demone usato per la ricerca distribuita e server di distribuzione. tcp8000 8211 splunkweb 8211 Splunk8217s porta web utilizzato per l'accesso web UI. tcp8191 kvstore Splunk8217s negozio valore della chiave. tcp9887 8211 di replica dell'indice di cluster 8211 Port comunemente utilizzato per replicare i dati in ambienti Splunk indice di clustering. Nota: Questo può essere qualsiasi porta ammissibile, 9887 è solo un esempio. tcp9997 8211 splunktcp ascoltatore 8211 Port comunemente utilizzato per inviare gli eventi da uno spedizioniere Splunk ad un ascoltatore Splunk (indicizzatore o un altro spedizioniere). Nota: Questo può essere qualsiasi porta ammissibile, 9997 è solo un esempio. tcp9998 8211 splunktcp SSL ascoltatore 8211 Port comunemente utilizzato per inviare gli eventi da uno spedizioniere Splunk ad un ascoltatore Splunk (indicizzatore o un altro spedizioniere) utilizzando la crittografia. Nota: Questo può essere qualsiasi porta ammissibile, 9998 è solo un esempio. Eseguire controlli di integrità. Splunk è incredibilmente preciso nel modo in cui raccoglie e rappresenta i dati tuttavia, se lo si invia falsi o duplicare i dati Può indice anche questo. rivedere di tanto in tanto gli ingressi e garantire la precisione dei dati, data e ora sono buone, e non ci sono errori come eventi non corretti o duplicati. C'è un'applicazione dati Onboarding su Splunkbase che può aiutare a esaminare indici, sourcetypes, host e modelli di dati per garantire che i dati è in corso on-imbarcato in modo corretto. Per Enterprise Security, vi è una applicazione convalida Splunkbase per verificare l'integrità della vostra implementazione Enterprise Security. Integrare AD per l'autenticazione. Splunk si integra abbastanza bene con Active Directory per l'autenticazione degli utenti. Questa configurazione consente di assegnare un utente a un gruppo in AD mappare questo gruppo per un ruolo in Splunk. Quando l'utente accede al Splunk, sono dati loro capacità e diritti assegnati dal ruolo specifico. Questo è granulari RBAC (Role Based controlli di accesso). La MS strumento AD adsiedit. msc è grande per sfogliare un dominio AD per oggetti di valore necessarie per l'installazione di AD autenticazione su Splunk. Questo strumento è installato di default sui sistemi 2008 AD, ma avrebbe bisogno di essere installato manualmente come parte del pacchetto RSAT sulle altre versioni di Windows. Utilizzare un OU separata per l'integrazione di Active Directory. Quando si configura AD, è possibile specificare un elenco di uno o più bindgroupDN per Splunk per cercare i gruppi in AD. Se basta dare il dir radice di tutti i gruppi poi Splunk potrebbe tornare hundredsthousands dei Gruppi. Inoltre, se sfruttando i gruppi esistenti ci potrebbero essere molti altri utenti di quel gruppo che si don8217t desidera avere accesso a Splunk. Se è stato creato un nuovo baseou (ad esempio OUsplunkgroups) in AD, quindi creare i gruppi di accesso ai sensi della presente, ad esempio (OUunixadmins, OUsplunkgroups, OUnetworkadmins, OUsplunkgroups), allora è possibile impostare il bindgroupDN per splunkgroups per ridurre al minimo i gruppi restituiti così come gli utenti che hanno accesso a Splunk. Migrazione dei dati Index. Questo può essere molto difficile e bisogna stare attenti poiché si potrebbe distruggere e disattivare i dati. Si consiglia di chiamare il supporto Splunk o hanno PS aiuto. Se è necessario farlo manualmente, leggere e capire la documentazione e come funziona la struttura secchio, e si può dare un'occhiata a questo risponde post sull'argomento. Considerate le implicazioni di analisi dei dati direttamente sul vostro indicizzatori o utilizzando intermedi pesanti inoltro. In Splunk 6.2, ci sono stati una serie di miglioramenti per ciò che sarà necessario un riavvio sulle indicizzatori. In generale, Heavy spedizionieri sono scoraggiati. Allontanandosi da pesanti Spedizionieri riduce la quantità di sistemi da gestire. Nessun Spedizionieri pesanti significa che sempre sapere dove viene analizzato i dati (l'indicizzatore). In molto specifici casi d'uso, pesanti Spedizionieri può ancora fornire un valore. Quando si effettua una quantità estrema di operazioni fase di analisi sui dati, come ad esempio grandi quantità di Index, host e SourceType ridenominazione, uno spedizioniere pesante può essere utilizzato per ridurre il carico della CPU su indicizzatori. In generale, questo non è richiesto e complica solo le implementazioni. In situazioni in cui gli uffici remoti sono larghezza di banda limitata o possono avere connessioni di rete non-affidabili, considerare l'utilizzo di un intermedio universale inoltro. Questo riduce il numero di connessioni su un collegamento a banda limitata, così come dare un migliore controllo limitante se desiderato. Informazione . Per spec fuori hardware con Splunk richiede più di una semplice breve resoconto, ma l'elenco che segue può aiutare a iniziare. Questo non è destinato a sostituire una discussione scoping con un Splunk vendite ingegnere, ma piuttosto di aiutare un cliente in preparazione per un impegno di servizi professionali. Splunk progettazione hardware. Rispondere a queste tre domande sarà sufficiente per la distribuzione media, ma non tutte le distribuzioni. Splunk progettazione hardware. Sapere che cosa il sizescope della distribuzione è. È necessario conoscere l'importo che si prevede di indexday. Inoltre, si dovrebbe avere una vaga idea di quanti utenti Splunk non ci sarà, e quale sia il loro intensityusage sarà. Infine, è necessario comprendere le origini dati e sia loro loadvolume o la complessità necessario per raccogliere i dati da loro. Splunk progettazione hardware. Determinare quali componenti avete bisogno. Leggi componenti Splunk per capire meglio ciò che esiste. In generale, la maggior parte delle distribuzioni potrebbero beneficiare di avere i seguenti: (1) Ricerca Teste (2) indicizzatori (1) Progettazione hardware Deployment Server master Nodo Splunk. Determinare il numero di indicizzatori. Secondo Splunk8217s documentazione. a single indexer can accommodate up to about 300GBday. If you are processing 100GBday of data volume for use with Enterprise Security, you will need approximately 340GB more space available across all of the indexers to allow for up to 1 year of data model retention and source retention. An indexer, when used in an ES deployment, can accommodate up to 100GBday. Also note that newer versions of ES (starting with 3.0) no longer store summary data in TSIDX file on search head, Please see Splunk8217s deployment planning documentation for updates to these numbers as they can vary at times. These numbers should be considered the absolute maximum an Indexer can do under ideal circumstances. Adding search load or app load to a distributed Splunk install will dramatically reduce the amount of indexed data per data that can be searched effectively. Recommended Splunk Enterprise sizing: 150GBday per Indexer. Add Indexers when volume reaches 200GBdayIndexer Recommended Splunk Enterprise Security sizing: 60GBday per Indexer. Add indexers when volume reaches 80GBdayIndexer Splunk doesn8217t prescribe exactly what hardware you must purchase however, you should read through the following documentation to better understand their minimum specs: High-Level System Requirements Hardware Capacity Planning Reference Hardware CPU Spec. CPU is somewhat varied depending on what component you are talking about. For indexers, the current sweet spot for servers has been 12-16 core machines (I. e. dual socket six or eight core CPUs). Splunk can work with either AMD or Intel architecture on x86 systems, but is typically run on Intel hardware. Memory Spec. Memory is somewhat varied depending on what component you are talking about. Generally speaking indexers do particularly well with 16 GB of memory, meanwhile other components might require less. Enterprise Security8217s search load can apply more memory pressure. With that in mind, 24GB of memory on Indexers running ES is recommended. Splunk takes advantage of file system caching provided with most modern Linux distributions, so adding memory can provide a great benefit. Scale by adding more Indexers. In a well-configured distributed Splunk environment, you can scale simply by adding more indexers. The Universal Forwarders can forward data to the new indexer, and your search heads will request data from the new indexer. Generally speaking, this scales linearly resulting in a situation where double the indexers will cut search time in half. Methodically plan storage needs for a new deployment, prior to implementation. A useful Splunk sizing site . Splunk8217s documentation on sizing . Storage Hardware. Drive speed makes a difference. Splunk has informally documented that an increase in drive-speed will have a dramatic improvement on performance. Solid state drives can result in a massive speedup in very specific use cases. Be aware of the cost per GB tradeoffs for the speed. Solid state drives provide the largest speedups in the needle in a hay stack use case. Solid state drives do not provide much performance in dense searches (high event counts). Consider the trade off of having less total hot storage that is faster versus more total hot storage that is slower in some uses cases. What will your typical search period be Your hot volume should cover that, with a little bit of breathing room. Distributed Architecture. Carefully plan Splunk Distributed Architecture to ensure the most accurate and efficient processing . Storage Needs. Methodically plan storage needs for a new deployment, prior to implementation. RAID Level. Use RAID10 whenever possible for the Splunk datastore. Little impact will be seen at low volumes however, at higher data volumes you will see performance improvement with RAID10 over RAID 5 or 6. Benchmark storage. Splunk recommends 800 IOPS (InputOutputs Per Second) or better on your storage tier. This should be considered the minimum. Splunk will benefit greatly from increased disk performance above the 800 IOPs minimum. To get this performance, you will need to be using fast drives in an optimal RAID configuration served by an efficient controller (either internal, DAS, or SAN). There are various ways to test your storage to benchmark your current values, but the mostly commonly used method is via the venerable tool bonnie found in the repository of every major Linux distribution. There are many online guides (even on Splunk8217s site) for how to run this tool however, below is the gist: Ensure the target drive to be tested (e. g. splunkhot) is mounted and relatively not in use (meaning stop Splunk if it is running). You want to not use it in order to get an accurate reading from bonnie without competing for resources with it. Next, run the bonnie command against the target drive, with a - s option equal to 3-10x the amount of RAM you have in MB bonnie - d splunkhot - s 264000 - u root:root - fb If you choose to, you can pipe the above to one of these two commands (both come with bonnie): boncsv2html, boncsv2txt In the output, Random Seeks IOPs Architecture type. Splunk should be run on 64 bit platforms. Although it is compatible with 32 bit platforms, it is strongly discouraged. Universal Forwarders on 32 bit systems is perfectly acceptable. Data Routing Information: Data routing allows the Splunk administrator to selectively determine what incoming data gets ingested, what gets forwarded, and what gets dropped. Drop incoming data with the nullQueue. Beware not to go nullQueue - happy and drop too much. Many events while insignificant by themselves provide useful information when trended or otherwise analyzed. Data is often not considered security relevant at first, until there is a security incident related to the data. Consider this before dropping any data that could be useful in the future. Forward to a Splunk system whenever possible, but if there is a Use Case to send to an external system, following these instructions to Forward data to third party systems. Beware there are some caveats of doing this. Use Splunk AutoLB (Load Balancing ) to distribute data to multiple indexersforwarders. Much of this configuration must be done with the outputs. conf file. Ensure all critical systems have consistent time configuration. Systems generating events should have the proper time to ensure the events they create will be able to be correlated when analyzed. Consider NTP use throughout the enterprise as well as frequent time audits of the most critical systems to ensure accuracy. Consider doing regular time-audits. This is where you evaluate the time of your most critical systems to ensure they are consistent. If the data is in Splunk, then this task might just take a few minutes every month or so and is well worth it. The data onboarding app mentioned above provides dashboards to assist with this. Explicitly configure Splunk to read time stamp information from incoming events. Splunk8217s reads the time stamp from incoming events, which it then associates to the event in the index and the underlying buckets. It is imperative that time stamps and timezone offsets be parsed and set correctly both for usability and efficiency purposes. Test new inputs. When new inputs will be created, test the data first by ingesting some of it and determine if it requires adjustments such as for time stamps. event-processing (such as breaking). Syslog before Splunk. Traditional syslog technologies (syslogd, syslog-ng, rsyslogd) are simple and featureless compared to Splunk, but this is their advantage. Since these packages rarely change and require a small amount of resources, they are perfect for being the initial recipient of syslog data on the network. When network devices send syslog messages, this data is frequently UDP (connectionless) and therefore vulnerable in-transit. Even TCP syslog can be lost if the receiving host is unreachable. Place a syslog application (e. g. syslog-ng) on the network to receive the syslog feeds and configure the application to write the data out to files. Ideally, have the files be application-specific (e. g. firewall. log, router. log, maillog. log, etc.). Splunk can be installed as a forwarder on the same host to read these files and forward them on. If Splunk requires a restart or is otherwise unavailable (i. e. during an upgrade), it can pick up where it left off reading the files on disk. Please see other recommendations for managing these files. Too many files. Ensure a single instance of Splunk does not monitor more than a few hundred active files. If there are more than this, consider implementing a process (i. e. cron) to move the previous day8217s (or week perhaps) syslog directory out of the monitored directory-structure to an archive location. You know you have a problem with too many files if the Splunk instance involved has something like this in its logs: File descriptor cache is full . You might also benefit here by increasing the ulimit (see Adjust ulimit in this document). Avoid overwriting or hard-coding the 8220source8221 field in the data. Doing so can make troubleshooting problematic inputs more difficult. A useful resource on Data onboarding is the 2014 Splunk. Conf talk. Both the slides and a recording are available. Syslog Input Strip priority out of TCP inputs. In accordance with RFC3164 a Syslog priority message is prepended to each syslog event. By default, Splunk will strip this out on incoming UDP see inputs. conf documentation regarding the noprioritystripping directive. The problem is, that many devices still prepend this priority when sending events via TCP . Splunk expects the events to be RFC-compliant and not contain the priority so does not know to remove it. Here is an example of what an event looks like: To strip this out, add the following to the appropriate stanza of the props. conf for the target sourcetype: Watch out for chained syslog time stamps. If an event is relayed through multiple syslog servers (for example the local syslog on a Linux system sending events to a remote syslog server), there may be two time stamps at the start of the event. Carefully configure your Splunk props. conf to ensure the correct time stamp is extracted for the event. High Performance Syslog The Linux UDP input buffer has a fixed amount of memory allocated to it. When the amount of incoming data exceeds this buffer, packets are dropped. On a very busy server, this could happen frequently or in some cases continually. The memory allocated to the UDP input buffer is distribution-specific. This means, that depending on your flavorversion of Linux, this buffer size can vary. Be sure to understand what it is, and how it operates. Syslog systems should be tested and tuned to perform as needed. Information . Calculate Capacity by Messages Imagine a device that generates messages that are 250-450 bytes with most being over 350. If we average conservatively that the messages are 400 bytes big, how many EPS could be processed before saturating half the link such as in the Syslog-NG Example below A 100mbs link is capable of 100000000812500000 bytessec Half of this is 6250000 (what the Syslog-ng folks could do) Divide this by 400 (average bytesmessage) and you get 15625 which is the total amount of messages we could possibly receive if optimally configured with tcp given the parameters. Syslog-NG Example The syslog-ng developers have a blog where they discuss possible volumes with the 2.0 OSE: 100mbs net TCP messages 44000 messagessec all 150 bytes long This means they are processing 440001506600000 bytes per second Multiply 66000008 to get bandwidth: 52,800,000 So syslog-ng optimally configured (by its developer) can use about half of the 100mbs Ethernet connection without dropping packets Information . Calculate Capacity by License Size Imagine a 50GB license Divide by seconds per day 86400 to see an average of how much data could be pushed through the network on average: 5000000000086400578703 (bytessecond) Multiply the above by 8 to get bits per bytes (5000000000086400)84629624 (bitssecond) Application or Data Specific SEP Data import. For Symantec Endpoint Protection, you can put the SEP server in a configuration where it will write out temp files that a Splunk Universal Forwarder can read. Here is the Symantec knowledge-base document on how to configure this. While it is possible to configure SEP to send data via syslog, in some cases this data is incomplete, and unreliable. Also be aware that there are significant differences in the event format of SEP events between versions (most notably versions 11 and 12), which may result in failed extraction of fields if your TA or current extractions are expecting a different version. Avoid reading Windows raw EVT(X) files if at all possible. Instead, configure a Splunk Forwarder to access Windows Event Manager directly to ingest Windows Events. If your use case requires direct reads of the Windows EVT(X) binary files then consider the following information: EVT(X) files are the raw binary-format files that Windows uses to store its logs on the file-system. These files are nothing like normal log files and therefore present some challenges to any attempt to reconstitute them back into usable logs (Note: These issues have nothing to do with Splunk): They reference GUIDSIDs in lieu of systemuser names. This means that the EVT(X) File Parsing Host must have access to make AD queries to the Domain Controllers that can provide details and convert the codes referenced by the Logging Host. They reference DLL files that contain the pertinent information instead of placing it in the actual log. This means any DLL referenced by the Logging Host MUST be available on the EVT(X) File Parsing Host in order to interpret the logs. Since the EVT(X) files are a subset of the information they represent, a 99MB EVTX file converts to almost 500MB of indexed data. There are TB of logs stored on the CIFS share. The volume both to the Splunk license, system storage, and ADDC calls should be considered before fully-integrating this. Ingest time is slow since many AD calls are necessary for GUIDSID queries. In our tests, many GUIDs and some DLL references didn8217t convert in the event logs, leaving lots of useless events. This may be a result of either inconsistent AD details or missing DLLs on the Log Parsing Host Splunk on Windows can natively ingest EVT(X) files Splunk Enterprise Security Implementation Adjust VM Swap. Lower the vm. swappiness in 8216sysctl8217 to something like: 8216vm. swappiness108217 Adjust ulimit. Adjust the ulimit if necessary such as: Apply changes to sysctl with sysctl - p Apply changes to limits. conf by logging out and logging in again Administration Manage Assets Lists. Continue to manage your ES Asset List to always get the most value out of your deployment. Manage Identities. Manage your ES Identities to always get the most value out of your deployment. Forwarder Deployment Change the admin password on forwarders. All Splunk systems have a default username of admin and password of changeme and this includes Forwarders (Universal Forwarders and Full Forwarders). Take time to plan your deployment prior to implementation to ensure the most success. Centrally-manage Splunk configurations. Ensure you have a way to consistently and accurately manage configurations across the enterprise, such as with the Splunk deployment server Information . Topologies for Deployment Server Windows Deployment Information . Custom EventLogs on Splunk for Windows are discussed here . Information: Splunk has the ability to use WMI to monitor Eventlogs remotely. WMI is very clunky, and generally should not be used due to network and system performance implications . Scripted deployment for Windows UFs. You can script your deployment of Universal Forwarders for Windows depending on what tools you have available at your disposal. There are a few things to keep in mind though such as: On a version with UAC (User Access Controls) such as Visa, 2008 or Windows 7, you must be in an admin shell to install software Although it is much easier to have the Splunk MSI files in a UNC that you can mountreach from any system, sometimes windows security policy prevents this from working. If msiexec is failing consider copying the MSI installer local and try it again. There are a few things to keep in mind though, specifically that you want to pass the following msiexec arguments: AGREETOLICENSE, INSTALLDIR (since many sites want to install to some drive besides c Below is an example content that you can put in a criptpackage-management and it is based on having a Splunk deployment server in place A complete list of MSIEXEC flags . Linux Deployment Scripted deployment for Linux UFs. You can script your deployment of Universal Forwards for Linux depending on what tools you have available at your disposal. There are a few things to keep in mind though, specifically that you probably want to pass the following Splunk start-time arguments: 8211accept-license, 8211answer-yes, 8211no-prompt Below is an example content that you can put in a scriptpuppetrpm and it is based on having a Splunk deployment server in place. Note: that this hard-codes a download of the Splunk UF RPM at each invocation. It would be much smarter to use a local repo and replace that portion of the script with a call to this location with something simple like: yum install splunkforwarder Performance Lots of things can affect Splunk performance, including: System resources, Splunk architecture, Splunk configurations (e. g. lookups, extractions), and dashboards. Before attempting any performance remedies, first try and determine what may be adversely affecting your deployment8217s performance. UI Performance Remedies Use Summary Indexing for increased reporting efficiency. As you add more data and more users to Splunk, you will benefit from Summary Indexing. As of Splunk 5, it is also possible to use report acceleration. Not all searches qualify for acceleration . As of Splunk 6, it is also possible to use data model acceleration. Any pivot or report generated by that data model will complete much quicker than it would without the acceleration, even if the data model represents a significantly large dataset. Implement a central software management system (e. g. RPM repo, Puppet, Satellite Server) to manage packages and configurations to forwarders and other related systems. Managing Splunk instances on these remote systems always has problems and leads to issues such as: Very old (out of date) versions of Splunk throughout the enterprise Forwarders that have not had Splunk configured properly or locked down (e. g. changing the admin password and turning off Splunk web) Inconsistent configurations leading to similar systems setting different metadata on the same type of logs. Architecture type. Splunk works well with both 32 and 64 bit platforms however, there is a considerable performance improvement for 64 bit and this should be selected (both for Hardware and Operating System) whenever possible. Partitions and Volumes Use LVM to manage underlying file-system space. Only allocate storage space to an LVM from a Volume Group as necessary and preserve the extra for emergencies or future use. Make better use of LVM partitioning by creating discrete logical volumes for each major portion of the system such as , var, tmp, optsplunk and maybe even splunkdata Search Help Print the Splunk Cheatsheet (PDF or Manual ) for users. This is a great resource for learning the search language. The Splunk Reference Card PDF is also a great resource, and a laminated version can be purchased from the Splunk Schwag store . Consider taking a Splunk EDU class. Splunk has multiple classes focusing on search and dashboarding. Storage and Data Management New Index. It is almost always appropriate to use multiple indexes and not just maindefault . Create a new index if the answer of any of the following questions is yes . Does the target data require separate retention controls from other data Does the target data require separate access controls from other data Will Splunk users wish to either search the target data by itself or search other data and omit this target data Consider moving your Splunk database ( SPLUNKDB ) to its own volume to ensure clean separation of the binaryconfiguration structure and the data. This is not necessary, but there are advantages in high-volume environments. Data retention. Implement data retention and disk usage controls explicitly and early instead of waiting for a disk to fill. Configure retention in indexes. conf to push older data to remote volumes such as NFS mount for data archive. Attenzione . Changes to the retention policy ( indexes. conf ) can be perilous and the effect is not always immediate. Be sure you know what you are changing and have tracked changes and the results appropriately to ensure it has the desired effect. DRPBCP. Configure a Disaster Recovery and Business Continuity Plan for your Splunk deployment. This will include implementing a backup plan. Consider backups for the SPLUNKHOMEetc on each standalone search head (non-pooled) and the cluster node to a remote drive on a frequent interval. If an unmentionable happened, you can copy this directory to a new Splunk instance to restore. (sample script below to put in cron. daily or weekly) Backup the master node, the SPLUNKHOMEetcmaster-apps directory to a remote drive is recommended to quickly build a new master node. (sample script below to put in cron. daily or weekly) Backup the deployment server, the SPLUNKHOMEetcsystemlocalserverclass. conf and the SPLUNKHOMEetcdeployment-apps directory to a remote drive is recommended to quickly build a new deployment server. (sample script below to put in cron. daily or weekly) See the Storage Hardware section in this document for many notes regarding hardware. Deployment Server Deployment Server Selection The DS can be collocated with any other full Splunk instance however, there are also some reasons why it might need to be stand-alone. Since the DS requires so many active TCP sessions (at least one for each connected client), choose a system that already has a limited number of open TCP sessions to other systems, such as a Search Head. Ensure the DS server has plenty of memory. Consider a stand-alone system if the number of deployment-clients will exceed 300-500 Consider one Deployment Server instance for every 2000 polls per minute. Create a DNS host name specific to the DS (e. g. splunk-ds. yourfoo. fqdn) and use this name for all communication from the deployment-clients. This will make it much easier to migrate later, if you choose to. Adjust the polling period on clients to make a single server scale further. Use the clientName directive in the deploymentclient. conf to ease whitelisting and blacklisting in your serverclass. conf Only deploy configuration and parsing apps, such as Technology Addons (TA8217s). There is very little value in deploying dashboard based apps, and in some cases may cause complications. Prepend deployed configuration apps (not TA8217s) with 8220DS-8220. This distinction can help tremendously when troubleshooting problems with deployment clients. App Development Ensure all (if possible) searches call saved searches or use other knowledge-items such as Macros or Eventtypes. Containing all of these knowledge-items helps with manageability of the data across an enterprise deployment. Managing bare searches across apps or called externally via scripts does not scale well and can create a big problem during upgrades, migrations, and other maintenance. When creating fieldseventtypes refer to the Splunk Common Information Model to ensure forward-compatibility with Splunk and Splunkbase built-ins. When developing an app, ensure that any log or pid files are not stored in the app8217s directory. If the app is distributed via deployment server, the files and directory structure in the app will be replaced with those from the deployment server, which would include any log or pid files. Use GetWatchList. GetWatchList is a free Splunk app on Splunkbase that allows users to manage lookup tables on the system without requiring shell or administrative access. These lookups can be used in various ways but the most popular method is as watchlistsOS Configuration or Hardening Enterprise Security has many useful dashboards for various protocols. Consider using apps designed for specific products such as the Cisco Security Suite or the Gigamon Visability app for Splunk .