Splunk beschreibt den Prozess der maschinendatenbasierten Analyse, bei dem Log-, Ereignis- und Metrikdaten aus IT-Systemen gesammelt, indiziert und durchsuchbar gemacht werden. Als führende Plattform für Security Information and Event Management (SIEM) und IT-Operations-Analytik ermöglicht Splunk die Korrelation großer Datenmengen in Echtzeit. Die Beherrschung der Splunk Processing Language (SPL), der Datenaufnahme und der Dashboard-Erstellung bildet den Kern der Splunk-Kompetenz.

Kursinhalt
1. Splunk-Architektur und Datenaufnahme
  • Komponenten: Indexer, Search Head, Forwarder
  • Datenquellen anbinden: Syslog, Dateien, APIs, Modular Inputs
  • Index-Konfiguration und Datenpersistenz

2. Suche und Abfragesprache SPL
  • Grundstruktur von SPL-Abfragen: Search, Pipe, Commands
  • Häufige Commands: stats, eval, rex, table, chart
  • Feldextraktion und Lookup-Tabellen

3. Dashboards, Visualisierungen und Reports
  • Panels erstellen und konfigurieren
  • Berichte planen und exportieren
  • Alerts und Scheduled Searches

4. Security-Analyse und Compliance mit Splunk
  • Korrelationssuchabfragen für Sicherheitsevents
  • Splunk Enterprise Security (ES) Grundlagen
  • Compliance-Reports und Audit-Trailing

Berufliche Relevanz
  • Splunk-Kenntnisse werden in Security Operations Centers (SOC) und IT-Operations-Teams eingesetzt
  • Ermöglicht die schnelle Ursachenanalyse bei IT-Vorfällen
  • Grundlage für Splunk-Zertifizierungen (Core Certified User, Power User)