วันจันทร์ที่ 5 ตุลาคม 2558 เจ้าหน้าที่กลุ่มงานเครือข่ายและการสื่อสาร ได้มีการแลกเปลี่ยนความรู้การใช้ซอฟต์แวร์ Splunk ณ ศูนย์เทเวศร์
ถึงจะเป็นเพียง Software แต่ความสามารถของ Splunk ก็มีหลากหลายไม่แพ้ใครเลยทีเดียว ไม่ใช่แค่สามารถบริหารและเก็บรักษาข้อมูล Log ได้ตามพระราชบัญญัติว่าด้วยการกระทำผิดทางคอมพิวเตอร์พ.ศ.2550 แล้ว แต่ Splunk ยังคงมีจุดเด่นอีกหลายอย่างด้วยกัน ไม่ว่าจะเป็น Index , search , alert , report , share , scale และ secure
ข้อบังคับในการเก็บ ข้อมูลจราจร ( Log ) ตาม พรบ.การกระทำผิดทางคอมพิวเตอร์
- ต้องมีการเก็บข้อมูลจราจร (Log) อย่างน้อยเป็นเวลา 90 วัน
- ต้องเก็บในสื่อที่ปลอดภัย, เชื่อถือได้ และ มีการระบุบุคคลที่สามารถเข้าถึงข้อมูลจราจรได้
- ต้องทำการ Hashing เืพื่อป้องกันการเปลี่ยนแปลงข้อมูลจราจร
- ต้องสามารถระบุรายละเอียดผู้ใช้บริการ (User) เป็นรายบุคคลได้
- ต้องตั้งเวลาของอุปกรณ์ทุกชนิดให้ตรงเวลาอ้างอิงสากล (Stratum 0)
- ต้องจัดให้มีผู้มีหน้าที่ประสานงานและให้ข้อมูลกับพนักงานเจ้าหน้าที่ เพื่อการส่งมอบข้อมูลนั้น เป็นไปด้วยความรวดเร็ว
สิ่งที่ Splunk สามารถช่วยคุณได้ ทั้งในเรื่อง พรบ. และอีกมากมาย
- สามารถจัดเก็บข้อมูล Log ไว้ที่ศูนย์กลาง Centralized Log หรือ Log Archiving
- เก็บข้อมูล Log ไว้ได้อย่างน้อย 90 วันหรือมากกว่า ตามพระราชบัญญัติว่าด้วยการกระทำผิดทางคอมพิวเตอร์ พ.ศ.2550 อย่างแน่นอน
- Splunk ใช้การเก็บข้อมูลแบบ Index IT Data โดยจะไม่สนใจว่า คุณจะมีอุปกรณ์หรือเครื่องแม่ข่ายจำนวนเท่าไหร่
- มีการทำ Hashing MD5 , PKI Signature เพื่อให้แน่ใจว่า ข้อมูล Log สามารถใช้เป็นหลักฐานและไม่สามารถแก้ไขได้จากผู้ที่ดูแลระบบ
- การทำ Report ของ Splunk สามารถทำได้หลายรูปแบบทั้ง Manual report , Schedule Report และ Custom Report เพื่อที่จะได้สามารถเปลี่ยนรูปแบบได้เอง
- การระบบแจ้งเตือน (Alert) ภัยคุกคามต่างๆ หลายรูปแบบ ไม่ว่าจะเป็นทาง E-mail , SNMP , RSS และ Scripts โดยที่สามารถกำหนดได้ด้วยว่าจะ Alert ไปที่ใคร
- สามารถบริหารจัดการผ่าน HTTPS ซึ่งจะทำให้แน่ใจได้เลยว่า ข้อมูลของคุณจะถูกเข้ารหัสแบบ 128 bit
- ด้วยเทคโนโลยี Searching เดียวกับ Google Splunk จึงสามารถค้นหาข้อมูลได้อย่างรวดเร็วและง่ายดาย
ที่มา:https://www.mindterra.com/splunk.html
แลกเปลี่ยนความรู้การใช้งานซอฟต์แวร์ Splunk ณ ศูนย์เทเวศร์