تتحرك من المتوسط - splunk

سبلونك: عقدت دول مختلفة من المسألة سبلونك اجتماع المحلل السنوي وبعضها قدم صورة غامضة فيما يتعلق نمو الإيرادات. وقد واجهت الشركة صعوبة في التنبؤ بالوقت - لم تتمكن من التنبؤ بتوقيت الصفقات الكبيرة، وبالتالي فقد تحققت بطريقة دراماتيكية. كانت الشركة تمر بمرحلة انتقالية إلى السحابة التي أثرت على الهوامش الإجمالية، وربما تأخر نمو الإيرادات - على الرغم من أن الأرقام الأولية تبقى رائعة. حالات الاستخدام لبيانات الجهاز - أساسا ما تفعله هذه الشركة - تواصل التوسع بشكل مضاعف. وتستمر الشركة في الحد بشكل كبير من المنافسة على أساس جميع أشكال الدراسات الاستقصائية في مساحة بيانات الجهاز. سبلونك - الحالة السادسة من المسألة يعني المستثمرين بحاجة إلى بطاقة الأداء لفك التوقعات لم تكن الفيزياء واحدة من تلك الموضوعات التي فتنت لي في خلال مهنتي التعليمية. ذهبت إلى كل من المدرسة الثانوية ثم جامعة حيث الفيزياء كان مجالا مطلوبا من الدراسة ولكن المعرفة لا تبقى لا تزال. فمن أكثر من نصف قرن على وكل ما أتذكره هي تلك العربات الصلب الصغيرة مع كرات الصلب المتداول أسفل المنحدر وشريك مختبر شديد الخطورة الذي رفض محاولاتي ميسبيغوتن في الفكاهة حول مدى سرعة تسارع عربات صغيرة. لذلك، عند القيام قليلا من البحوث الخلفية لهذه المادة، اكتشفت أن سبلونك هي الدولة السادسة من المسألة، والبعض الآخر يجري الصلبة والسائلة والغاز والبلازما والبيانات. لم أكن أعرف أبدا أن هناك ست ولايات أو ما اسم سبلونك (نسداق: سبلك) يعني. سبلونك يشير إلى شيء يرى وفهرسة جميع البيانات. و سبلونك هو محرك البيانات التي تعمل دون المناطق الرمادية، دون الظلال وبدون الغيوم. هذا ليس تعريف سيئ من وظائف الشركة وتعويذة لها. وهو تعريف أقل بكثير عن أداء أسهمها وعدد المراقبين الذين ينظرون إلى الشركة. وقد أسهم سهم سبلونكس قليلا جدا بالنسبة للجزء الأفضل من سنة، بل انخفضت بنسبة 16 من ارتفاع وصلت في أغسطس الماضي. وشملت القضايا التي عرقلت األسهم مخاوف بشأن الربحية واحتمال تباطؤ النمو. أنا أقل قلقا بشأن بعض الانخفاض الكبير في معدل نمو الشركة من أنا في إيقاع طريقها إلى الربحية. بسبب نمو الشركة والضعف الأخير سعر السهم، وصلت الأسهم الآن تقييم جذابة نسبيا. وأعتقد أنه من المرجح أن نرى أداء أفضل بكثير لأسعار الأسهم والألفا الإيجابية بعد التقرير الفصلي في فبراير يظهر أنه لا يرى أي تباطؤ في النمو المادي. وفي الآونة الأخيرة، كان هناك مراقبون، بمن فيهم مراقبون في هذا الموقع. الذي اعتقد أن اجتماع المحللين الأخير الذي عقدته الشركة منذ أسبوعين كان وسيلة محجبة للحد من التوجيهات للسنة المالية المقبلة. من الصعب إنكار أن الشركة تتوقع إيرادات للسنة المالية المقبلة عند 1.175 مليار والتي ستكون أقل بكثير من نمو هذا العام. وفي الواقع، ستبلغ العائدات 1.175 مليار دولار 26 نمو في الإيرادات من التوقعات الحالية للإيرادات التوافقية للعام المالي 2017، والتي ستنتهي مطلع الأسبوع المقبل. فإن هذا النوع من النمو لن يكون في استقبال جيد من قبل المساهمين أو المساهمين المحتملين القادمة بعد عام من 40 النمو. ولكن نظرا لسجل حافل هذه الشركة لديها من حيث التوجيه، وأعتقد أنني لن تستخدم الأرقام التي تقدم تقديرات خطيرة. أتوقع أن تتغلب الشركة على تقديرات الربع الحالي وسترفع التوجيهات للسنة المالية 2018 (تنتهي في 131). وأعتقد أن النمو في النسبة المئوية يتراجع قليلا حيث تعبر الشركة العتبة السنوية البالغة مليار دولار. ولكن السؤال هو كم هو النمو معتدلة. وتخميني، ليس كثيرا وليس في أي مكان على مقربة من ما هو في التوقعات المقدمة قبل بضعة أسابيع. ربما كان أهم قضية استثمارية لهذه الشركة هو نمو الأسهم القائمة على أساس والتي كانت في الأساس خارج السيطرة على العامين الماضيين. وتحدثت الأرقام عن نفسها - فقد بلغت الأسهم القائمة أكثر من 131 مليون كما ذكر، وسوف تكون أعلى عندما لا تزال النتائج في نهاية العام تم الإبلاغ عنها بسبب ربحية الشركة غير مبادئ المحاسبة المقبولة عموما للعام بأكمله - قال المدير المالي لنموذج ل 140 مليون سهم القائمة . هذا هو زيادة 40 زائد في أربع سنوات ويجعل التقدم ينظر من حيث الهامش غير مبادئ المحاسبة المقبولة عموما أقل إثارة للإعجاب بكثير. وقد أقرت الشركة بأن المسار الواقعي لقيم المساهمين على المدى الطويل يشمل إدارة وتقليل المصاريف على أساس المخزون إلى المستويات التي لا تنتج مثل هذا التخفيف المستمر والاسع. ولكن حتى الآن، فإن الاعتراف بهذه القضية والعمل على تقليص منح الأسهم كان أمرين مختلفين، وأفضل ما يمكن قوله هو أن نمو الأسهم القائمة على الأسهم بدأ ينمو بمعدلات أقل من الزيادة في عائدات سبلونكس كما ذكر، فإن أسهم سبلونك وهو ما يقدر بنحو 12 في السنة الماضية أو نحو ذلك، وانخفض بمقدار 16 منذ أن وصل إلى أعلى مستوى له في آب / أغسطس. وأظن أن ضعف الأداء خلال الأشهر العديدة الأخيرة يتعلق بالتخفيف الكبير من مصاريف الشركات القائمة على الأسهم ومخاوف المستثمرين من أن الشركة ليست حقا على طريق تعزيز هوامشها إلى مستويات معقولة. وقد ارتفعت أسهم سبلونك بنسبة 7.60 اليوم في سياق كتابي هذه المقالة. هذا التقدير هو في الأساس عامل قراءة من خلال التقييم الذي تدفعه شركة سيسكو (نسداق: كسكو) ل أبديناميكش (في انتظار: أبد). سبلونك لديها القيمة السوقية 7.6 مليار وقيمة المؤسسة 6.6 مليار. واستنادا إلى الإجماع الحالي لإيرادات السنة المالية التي تبدأ في أقل من أسبوع، و إيفس هو 5.6X، وربما نصف التقييم سيسكو تدفع ل أبديناميكش. شخصيا، وأعتقد أن فرصة النمو في مساحات إيم سيم (وظيفة أساسية من سبلونك) هو أكبر بكثير من الفرصة في اختبار التطبيق (أعمال أبديناميكش). ولكن بعد ذلك لا يمكن للمرء أن يعرف على وجه التحديد ما ينشط عمليات الاستحواذ المحددة. ومن المرجح الآن أن ينظر العديد من المتداولين إلى أسهم سبلونك كهدف محتمل للاستحواذ على التقييمات أعلى بكثير من تلك التي باعتها الأسهم مؤخرا. ربما لا يكون ذلك تكهنات غير معقولة، على الرغم من أنني بالتأكيد ليس لديها معرفة مباشرة عن متى أو ما إذا كان يمكن الحصول على سبلونك. أسهم سبلونك لها تقييم إيجابي أول مكالمة. الهدف السعر المستهدف هو 71، أكثر من 30 فوق السعر الحالي. وأعتقد أن الشركة سوف تضطر إلى البدء في تحقيق بعض إدارة النفقات الحقيقية حتى في وسط محورها لمصادر الإيرادات سحابة. (مناقشة انتقال الشركة إلى السحابة هي مناقشة منفصلة ليست ذات صلة في هذه المقالة، والانتقال ليس بنفس القدر من الدراماتيكية كما كان بالنسبة للشركات الأخرى، وبسبب طبيعة ما يفعله سبلنك، وسيكون دائما وهو نموذج سحابة هجين، وقد خسر بالفعل حوالي 500 نقطة أساس من هامش الربح الإجمالي بسبب الانتقال، في نهاية المطاف سوف ترتفع الهوامش الإجمالية إلى مستويات ما قبل السحابة) وأعتقد أن الشركة تقترب من نهاية السنة المالية 2017 2017 مع ومن المرجح أن يتم الإبلاغ عن النتائج قبل نهاية الشهر المقبل. ويبدو من الملائم أن ننظر إلى محركات نمو الشركة ونرى ما إذا كان هناك سبب للاعتقاد بأنها قد تنحسر أو إذا كانت المخاوف التي يولدها اجتماع المحلل صحيحة. شهدت السنة املالية 2016) أساسا سنة 2015 (زيادة في إيرادات السنوات الكاملة بنسبة 48، وأن النمو كان ثابتا على مدار العام مع 49 نموا في الربع الرابع. في بداية هذه السنة المالية، قدمت الشركة توجيهات ل 880 مليون في الإيرادات والتي تمثل نموا من 32. وتوقعت الشركة أيضا أن هامش غير مبادئ المحاسبة المقبولة عموما سيكون حوالي 5 لهذا العام. في نهاية العام، فإن الإجماع الحالي من المحللين ال 40 الذين ينشرون على المكالمة الأولى هو أن الشركة سوف تحقق 39 نموا لهذا العام، والتي سوف تنخفض بعد ذلك إلى 27 العام المقبل. الربع الأخير، حققت الشركة 41 النمو. وخلال تسعة أشهر، بلغ نمو الإيرادات 43.5. تخميني هو أن نتائج الربع الرابع سوف تنتج عائدات مرة أخرى أكبر بكثير من توجيه الشركة والإجماع المنشورة حاليا. إن الإجماع الحالي على 31 نموا للربع الحالي هو فقط ما توقعات الإدارة خلال الإفراج عن الأرباح الأخيرة. ولكن عندما توقعت الشركة نتائج الربع الثالث على التوالي، كان من المفترض أن تكون الإيرادات 229 مليون. وتبين أن 245 مليونا. على مستوى واحد، يمكن أن أوقف هنا. أنا لن تأخذ أي توقعات أن سبلونك يوفر أفضل تقدير لها ما هي الإيرادات قد تكون. أود أن أقترح أن التوقعات تمثل شيئا مثل الحد الأدنى من الإيرادات الملتزم بها التي يتم التعهد بها تعاقديا. حاليا تتوقع الشركة أن الإيرادات سوف تنخفض بالتتابع. هل هذا يبدو محتملا بشكل رهيب فقط للسجل، في العام الماضي كان النمو من Q3 إلى Q4 46 مليون أو أكثر من 26. ليس هناك أي علامة على أن الطلب قد تفككت أو أن الشركة تتحول إلى بعض التروس أقل من النمو أو تنفيذ المبيعات. وبدون معرفة أي شيء أكثر عن أعمال الشركة، قد يشير تسلسل التوقعات والأداء إلى أن المستثمرين والمراقبين سيكونون أفضل بكثير من خلال النظر في مؤامرة من الاثنين واستخدام تحليل الاتجاهات. وسوف تحصل بالتأكيد نتائج أكثر دقة. أوه بالمناسبة، فإن الشركة سوف تغلب على 5 الهامش التشغيلي هامش غير متوقع أيضا. ومن المتوقع الآن 6 لهذا المقياس. ويتباطأ نمو عائدات السقوط، ولكن بفعل إيقاع أقل بكثير وأقل إزعاجا من قلق بعض المراقبين. معظم التباطؤ هو حقا وظيفة المزيد من العائدات تتحرك إلى السحابة التي مع مرور الوقت سوف تسهم في الواقع في نمو الشركة. ما هي محركات الطلب على حلول سبلونكس ومن يفعل ذلك أن يضرب للبقاء في وضع النمو كما ذكر سابقا، السوق الذي سبلونك تبيع برامجها يسمى سيم. وقد صنفت سبلونك الرائدة في الفضاء لعدة سنوات الآن من قبل غارتنر في تحليل ماجيك كوادرانت لها. وتشمل أقرب المنافسين شركة عب (نيس: عب) و لوغرهيثم و هيوليت-باكارد إنتربريسس (نيس: هب) و إمك. وكانت الشركة الرائدة في مجال منذ بدأت غارتنر الكتابة على هذا القطاع - أربع سنوات كما يحدث. و كانت هناك تغييرات كبيرة على قمة المجلس. السوق المجاورة التي أصبحت سبلونك راسخة يسمى إيتسي-إيت خدمة الاستخبارات. وقد وضعت الشركة وحدات لتكنولوجيا الأساسية التي تهدف إلى ضمان أن خدمات تكنولوجيا المعلومات يتم تسليمها دون انقطاع وأن الشذوذ الموسومة قبل أن يسبب مشاكل. تماما مثل تحديد موقع السرطان قبل أن تكون هناك أي أعراض واضحة. في وقت سابق من هذا الشهر، تصنيف إدك سبلونك رقم 1 في جميع أنحاء العالم تحليلات عمليات تكنولوجيا المعلومات للسنة الثانية على التوالي. حصص السوق سبلونكس في الفضاء هو 28.5. لا يوجد دليل على أن موقف سوق سبلونكس آخذ في التدهور. إذا كانت الشركة سوف تشهد تباطؤا ماديا في النمو سيكون ذلك لأن الأسواق التي تبيعها تباطأ ولأن الشركة غير قادرة على تطوير حالات استخدام إضافية لبرامجها. وقد سبلونك تطوير حالات استخدام إضافية لبرنامج الرصد سجل لها لأنها كانت شركة عامة وربما قبل ذلك. وهو جزء من الطريقة التي تعمل بها الشركة. في الآونة الأخيرة وضعت الشركة سلسلة من المنتجات التي أن تطوير المعلومات حول الشذوذ في استخدام البيانات ومصممة لتكون جزءا من النسيج الأمن. الشركة لديها مجموعة واسعة من الأدوات التي تحاول استخراج قيمة من جميع البيانات الجهاز التي يتم إنشاؤها. الشركة لديها حلول في هذه الأيام التي توفر تحليلات ل هادوب. والشركة لديها الأدوات التي تسمح للمستخدمين لجعل القرارات التسويقية والترويجية في الوقت الحقيقي. ويمكن أن يوفر تحليل البيانات التي يتم استقبالها من خلال مصادر إنترنت الأشياء. لا تزال حلول سبلونكس تستخدم لتشخيص القضايا التشغيلية من خلال الارتباطات ويوفر تحذيرات استباقية من خلال الكشف عن الأنماط والشذوذ. سيكون أمرا مثيرا، أعتقد، حتى في محاولة لوصف كل من حالات الاستخدام وقد وضعت سبلونك في السنوات القليلة الماضية. ولكنني أعتقد أن الاستنتاج الذي يمكن للمرء أن يرسمه هو أن بيئة الطلب لم تتدهور، ومن غير المحتمل أن تتدهور، وأن مخاوف بعض المستثمرين بشأن هذا الموضوع مبالغة بشكل كبير. ومن المرجح أن يستمر نمو الإيرادات فوق 30 لمدة عدة سنوات قادمة، على ما أعتقد. وأعتقد أن النمو ل سبلونك هو حقا وظيفة من قدرة المنظمة على إدارة الحجم المطلق للأعمال التجارية والبدء في تحقيق بعض الاقتصادات على نطاق واسع. الربحية والتدفقات النقدية - الأسباب التي تجعل الشركات في مجال الأعمال التجارية سبلونك لديها طريق طويل جدا للذهاب من أجل أن تصبح شركة مربحة على أساس المعايير غاب، على الرغم من أنه لا يولد تدفق نقدي إيجابي. في الربع الأخير، قام بتحويل هامش الخسارة التشغيلية غاب من 37 إلى الربح غير مبادئ المحاسبة المقبولة عموما الربح من 7. وكان معظم هذا الاختلاف من خلال استبعاد حساب على أساس الأسهم. هذا ليس المنتدى المناسب لمناقشة هذه الممارسة - هو اعتقادي أن من وجهة نظر تقييم الأسهم هذه الشركة قد تجاوزت حدود ما يجد معظم المستثمرين مقبولة. أكبر مجال من الأسهم القائمة على كومبليت هو في قطاع البحث والتطوير النفقات. في هذا الصدد، في حين أن مستوى سبلونكس من الأسهم القائمة ربما يكون إلى حد ما من الخارج، فقد أصبح استراتيجية نموذجية في هذه الأيام تعكس ظروف العمل للشركات التي تحاول زيادة قدراتها الإنمائية. وتدعو استراتيجية العفاريت إلى التوسع السريع لمجموعاتها من الحلول، ولتحقيق ذلك تحتاج إلى زيادة قدرتها الإنمائية إلى حد كبير. فإنه لن يكون من السهل السيطرة على المخزون القائم على حساب الشركة التي ستكون ضرورية لجذب المطورين في ما هو ضيق جدا سوق العمل. في الربع الثالث، بلغت نسبة مصروفات الشركة في مجال البحث والتطوير 35 من إيراداتها في مجال البحث والتطوير، مقارنة مع 32 من الإيرادات في العام السابق. وكانت الشركة القائمة على الأسهم في الواقع 52 من الإنفاق غاب على البحث والتطوير. ويبدو أن هناك تعليقا واضحا يشير إلى أن سبلونك سوف تضطر إلى إصلاح إدارتها المالية في المدى القريب من أجل البدء في طريق الربحية التي قبلها معظم المستثمرين. ومن المثير للاهتمام أنه لم يتم توجيه سؤال واحد بشأن المكالمة الجماعية إلى هذا الموضوع. وفي الربع الأخير، أنفقت الشركة 167 مليونا أو 68 من الإيرادات المسجلة على نفقات المبيعات والتسويق. وكان ذلك أفضل من مقياس العام السابق عندما كان الإنفاق على المبيعات والتسويق 74 عائدا، ولكن لا أحد يتصور أن شركة في عالم تكنولوجيا المعلومات - أو في الواقع أي عالم آخر - يمكن أن تنفق ما يتجاوز بكثير 30-40 من الإيرادات في المبيعات والتسويق و جعل أرباح غاب. لماذا شركة في هذه المرحلة من النمو تنفق مثل هذا الجزء لا يصدق من الإيرادات في المبيعات والتسويق انها بسيطة جدا حقا. في حين ركز بعض المحللين على توقعات الشركة المالية لعام 2018 الإيرادات، شريحة أفضل للنظر في أن يكون واحد الذي قدمت الشركة تحليل أترابية لعملائها. وبعد خمس سنوات من الشراء الأولي، زاد عدد المستخدمين في السنة المالية 2011 والفئة المالية 2012 من حجوزاتهم بنسبة 5X وزادوا استخدام بياناتهم 8X. تحمل رسوم استخدام البيانات بشكل واضح 100 أساسا هوامش الربح الإجمالية. مع 87 من حجوزات الترخيص القادمة من العملاء الحاليين، تواجه الإدارة معضلة في محاولة لتحقيق التوازن بين فرص النمو والربحية، وحتى الآن قد انخفض إلى جانب النمو. وبالنظر إلى مدى زيادة العملاء بشكل كبير من استهلاكهم من سبلونك على مر السنين، فإنه ليس كل ما يثير الدهشة أن الشركة قد اختارت أن تنفق مبلغا استثنائيا للحصول على العملاء وإلى حلول إضافية للتنمية التي لجذب المستخدمين المحتملين. من وجهة نظر المستثمرين، سبلونك هو اتخاذ قرار لتعظيم العائدات المحتملة على المدى الطويل في الفضاء المزدهر. سيؤدي ذلك إلى تأخير وإطالة مسار الربحية المقبولة عموما لعدة سنوات. عندما الأرض وتوسيع الأعمال، وأنها تعمل في البستوني ل سبلونك، والاستراتيجية المنطقية للتوظيف هو إنفاق الكثير من المال على الهبوط. كما يحدث، متوسط ​​حجم النظام لهذه الشركة هو فقط 50-60،000. جذب العملاء من هذا الحجم سيكون مكلفا نسبيا، وسوف يستغرق وقتا طويلا قبل العملاء القبض على سوف تتحول إلى الحيتان. وهي معضلة تواجهها كل من هذه الشركة والمراقبين ولكن ذلك هو سبب لماذا الطريق إلى الربحية على أساس غير مبادئ المحاسبة المقبولة عموما سيكون طويلا وشاقا. وبشكل عام، بلغت المصروفات التشغيلية للمبادئ المحاسبية المقبولة عموما 117 من الإيرادات في الربع الثالث من العام المالي مقارنة ب 124 من الإيرادات في الفترة نفسها من العام السابق، و 122 من الإيرادات خلال الأشهر التسعة الأولى من السنة المالية. هناك تقدم، وليس مجرد تقدم كبير أو نوع من التقدم الذي سيؤدي إلى أرباح كبيرة غاب في أي وقت قريب. وعلى الرغم من الخسائر، فإن هذه الشركة لديها ومن المرجح أن تستمر في توليد مستوى ذي مغزى من التدفق النقدي ولكن لا أحد من المرجح أن يشتري الأسهم بسبب عائدات التدفق النقدي الحر. أكثر من كل من التدفقات النقدية هو نتاج من الأسهم القائمة على الرغم من أن بعض مبلغ التدفق النقدي هو نتاج الزيادة في الإيرادات المؤجلة. وبما أن الشركة محورية لتلقي المزيد من العائدات من مصادر موثوقة مثل السحابة، يبدو من المرجح أن الإيرادات المؤجلة سوف ترتفع بسرعة أكبر من تلك التي كانت عليه حتى الآن ولكن نمو التدفقات النقدية بشكل عام يجب أن يكون مدفوعا بالأرباح - ليس هناك مصدر خفي للتدفقات النقدية و بسبب تسعير الشركة. ولن تكون اإليرادات المؤجلة كبيرة نسبيا بالنسبة إلجمالي إيرادات اإليرادات. كيف سوف سبلونك التعامل مع معضله وأعتقد أن الجزء الأكبر من سبلونك سوف تستمر في التجارة قبالة أداء الهامش لنمو الإيرادات. خلال يوم المحلل، وتوقع أنه سوف ينمو 25-30 على مدى السنوات الثلاث المقبلة، وأن الهوامش غير مبادئ المحاسبة المقبولة عموما هوامش سوف تصل إلى 12-14. هذه الأرقام هي في الواقع أفضل نوعا ما مما قد يبدو. على مدى السنوات القليلة المقبلة، فإن الشركة سوف تنتقل أكثر من عائداتها إلى سحابة وعلى الأقل في البداية جلبت سحابة أسفل الهوامش الإجمالية بنسبة 400-600 نقطة أساس، وربما ربما سقط بضع نقاط على النمو المبلغ عنها - على الرغم من المفارقة كل من سحابة والنمو الدائم للترخيص خلال الربع الأخير من العام الماضي. وأعتقد أن ببساطة من خلال إعادة سرد مجالات الحل التي سبلونك يخلق قيمة تشير إلى أنه يقع في علاقة نمو قوية أنه إذا كان أي شيء هو الحصول على أقوى. وأعتقد أن الشركة يبدو أن لها مركزا تنافسيا مهيمنا ضمن المساحات المستهدفة. الجواب الأساسي هنا هو أن الشركة ترى تام لها 55 مليار، وأنها على وشك أن تعلن عن السنة من 1 مليار في الفواتير. لن يضحي بأرجحته في تلك السوق لتحقيق ربحية أفضل - وليس هذا العام، في العام المقبل أو في أي وقت قريب. أفترض أن التخفيف سيتباطأ من 6-7 سنوات إلى معدل أكثر تواضعا مع مرور الوقت، لكنه سيكون عاملا لبعض النتائج بسبب كيفية نمو هذه الشركة. في معظم الأحيان كان نمو العملاء الجدد متواضعا نسبيا. لذلك، فإن الاستراتيجية يجب أن تكون لبيع عملاء جدد الكثير من المنتجات أكثر مما اشترى في البداية، وبطبيعة الحال للاستمتاع الإيرادات التي تأتي أكثر أو أقل تلقائيا بسبب زيادة استخدام البيانات في جميع العملاء تقريبا. ويجب أن تكون الاستراتيجية هي بيع أوامر أولية أكبر ولتحقيق زيادة في عدد الأطراف المتعاقدة. ولا يمكن تحقيق ذلك إلا بتوسيع حالات استخدام بيانات الماكينة، وهذا يعني أن الزيادات في الإنفاق على البحث والتطوير لا يرجح أن تخفف كثيرا في المستقبل القريب. ومن غير المرجح أن يكون هامش هامش الربح المقبول عموما، وهوامش التدفق النقدي الحر الكبير، دليلا كبيرا على هذه الشركة قبل عام 2020 أو ما بعده. المستثمرون الذين يبحثون عن مقاييس التقييم الكلاسيكية لن يجدوها هنا. وأعتقد أن الشركة سوف تنمو بشكل أسرع أو تطوير عنصر سحابة أعلى من الإيرادات مما هو متوقع. ولكنها لن تكون قادرة على القيام بذلك وتحقيق نوع من الربحية الكبيرة التي يتوقعها بعض القراء والمستثمرين. كما أن هناك عدة حالات مختلفة من المادة، وهناك أنواع مختلفة من الاستثمار. سبلنك هي واحدة من تلك الأنواع المختلفة من الاستثمار حيث الربحية سوف تستمر في اتخاذ مقعد الخلفي للنمو. الإفصاح: ليس لدى إيوي أي موقف في أي أسهم مذكورة، ولا توجد خطط لبدء أي مناصب خلال ال 72 ساعة القادمة. كتبت هذه المقالة بنفسي، وتعبر عن آرائي الخاصة. أنا لا أتلقى تعويض عن ذلك (بخلاف البحث عن ألفا). ليس لدي أي علاقة تجارية مع أي شركة تم ذكر أسهمها في هذه المقالة. حول هذا المقال: هاك بوريفوندز أيس الأمن السيبراني إتف الاشتراك للحصول على برو لفتح البيانات تسجيل ريالتي ملخص التقييم يعطي الجدول المجاور للمستثمرين تصنيف الوقت الفعلي لل هاك على عدة مقاييس مختلفة، بما في ذلك السيولة والنفقات والأداء والتقلبات وتوزيعات الأرباح والتركيز من الحيازات باإلضافة إلى تصنيف إجمالي. ويظهر حقل إتف المعياري المقدر، المتاح لأعضاء إتفدب برو، إتف في أسهم التكنولوجيا مع أعلى تقييم متري الحقيقي لكل حقل على حدة. لعرض كل هذه البيانات، اشترك للحصول على نسخة تجريبية مجانية لمدة 14 يوما ل إتفدب برو. لعرض معلومات حول كيفية عمل إتفدب ريالتيمي راتينغس، انقر هنا. هاك التقييم العام الفعلي: A تقييم شامل إتف: تيشنيكالز 20 يوم ما: 29.02 60 يوم ما: 27.83 ماسد 15 الفترة: 0.10 ماسد 100 الفترة: 1.94 ويليامز رانج 10 داي: 64.56 ويليامز رانج 20 داي: 23.39 رسي 10 داي: 59 رسي 20 اليوم: 62 مؤشر القوة النسبية 30 يوم: 61 مذبذب في نهاية المطاف: 61 بولينجر الماركات أقل بولينجر (10 يوم): 29.11 وبر بولينجر (10 يوم): 29.79 بولينجر السفلى (20 يوم): 27.89 وبر بولينجر (20 يوم): 30.08 بولينجر السفلى اليوم): 27.34 العلوي بولينجر (30 يوم): 29.98 دعم دعم المقاومة المستوى 1: 29.19 مستوى الدعم 2: 29.00 مستوى المقاومة 1: 29.48 مستوى المقاومة 2: 29.58 مؤشر ستوكاستيك العشوائي D (يوم واحد): 59.63 مؤشر ستوكاستيك D ): 56.15 ستوكاستيك أوزيلاتور K (يوم واحد): 57.72 ستوكاستيك أوزيلاتور K (5 يوم): 69.66 أفضل الممارسات أفضل سبلنك أفضل الطوبولوجيا المشتركة سبونك هذه العمارة لديها العديد من المكونات الرئيسية مثل: طبقة فهرسة مع تجميع الفهرس. يحسن نظراء البحث المتفاوتون (الفهرسون) الأداء أثناء كل من عملية البحث عن البيانات والبحث. هذه الاستراتيجية يقلل من وقت البحث ويوفر بعض التكرار من البيانات-توافر وتوافر في حالة فشل خادم واحد واحد أو أكثر من رؤساء البحث منفصلة. سيعمل هذا النظام المنفصل على توزيع أي طلب بحث عبر جميع نظرائهم الذين تمت تهيئتهم على البحث لتحسين أداء البحث. يتم عرض رئيس بحث منفصل هنا لدعم Splunk8217s المؤسسة الأمن (إس) تطبيق خادم النشر. ويمكن تجميع هذا النظام مع خدمات سبلونك الأخرى، أو قائمة بذاتها. بالنسبة إلى عمليات النشر الكبيرة، يعتبر النظام المستقل أمرا مهما. يعمل هذا النظام عادة بمثابة ماستر الترخيص. عقدة رئيسية. وعادة ما يكون هذا النظام مشتركا مع خادم النشر. بالنسبة إلى عمليات النشر الكبيرة، يعتبر النظام المستقل أمرا مهما. الهندسة المعمارية وتصميم خطط المؤشرات و سورسيتيبس. وسيكون من الصعب تغيير هذين الأمرين لاحقا. تساعد الفهارس و سورسيتيبس في إدارة البيانات. راجع حقول ديفولتفيلد والفهرسة. استخدام سورسيتيبس لمجموعة البيانات عن طريق تشابهها. إذا تم إنشاء الأحداث من نفس الجهاز وتكون في نفس الشكل، يجب أن تكون على الأرجح واحدة سورسيتيب. انظر هذا بلوق وظيفة كبيرة على تسمية سورسيتيب. محاولة لجمع الأحداث أقرب (من حيث الجغرافيا وموقع الشبكة) ممكن. ويمكن جمع هذه الأحداث مع وكيل سبلونك العالمي. ومن ثم إرسالها إلى الفهرسين التي قد تكون موقعا مركزيا. حاول إبقاء رؤوس البحث أقرب إلى الفهرسين. وهذا من شأنه تحسين سرعة البحث head8217s في الوصول إلى الأحداث. استخدم عناوين إب منفصلة كلما أمكن ذلك. مثل: إدارة، وجمع سجل، رئيس ويب إيزيرتش واستخدام عناوين إب منفصلة لمختلف سورسيتيبس الرئيسية. كل هذا يجعل نشر سبلونك الخاص بك أكثر توسعا، ويوفر أفضل خيارات التحكم في الوصول، ويسمح لتحري الخلل وإصلاحه غرامة الحبيبات. استخدم نظام تسمية متسق على رؤوس بحث سبونك. فهرس للتأكد من الدقة وتقليل وقت استكشاف الأخطاء وإصلاحها. خطط بعناية لنشر مجموعة أحداث ويندوز (سجلات الأحداث وبيانات الأداء) لضمان النجاح. العديد من أدوات جمع الحدث ويندوز لديها قيود مختلفة مثل اقتطاع الأحداث في 512 أو 1024 بايت. و سبلونك ونيفرزال فورواردر don8217t لديها هذه القيود، ويمكن استخدامها بشكل موثوق وكفاءة جمع أحداث ويندوز من مؤسسة كبيرة موزعة. ونحن نوصي بشدة باستخدام سبلونكتاويندوز. لعمق جدا في تسجيل على الأنظمة الحرجة، والنظر في استخدام الملحق سبلونك لمايكروسوفت سيسمون بالإضافة إلى سبلونكتاويندوز. المساءلة فريق واحد. يجب أن يكون فريق واحد مسؤولا عن سبلونك بدلا من وجود هذا الانقسام عبر أقسام أو أقسام أو كيانات متعددة. بالإضافة إلى ذلك، فإن الكثير من نشر سبلونك يتطلب فهم حميم للاستخدام المقصود، ولذلك فمن المستحسن أن الفريق الذي سيكون المستخدم الرئيسي ل سبلونك يجب أيضا إدارة نشرها. وهذا يعادل عموما تنفيذ أكثر نجاحا. استخدام سبونك ماستر ماستر للسيطرة على الترخيص من الفهرسين الخاص بك و don8217t ننسى أن تشمل لك رؤساء البحث وأي وكلاء هثيفول في هذا الترخيص. إذا كنت في نشر موزع، مع رؤوس البحث سبلونك متعددة و وكلاء، النظر بقوة باستخدام "ملقم النشر". استخدام خادم النشر يمكن أن تساعد في الحفاظ على تكوين متسقة عبر أنظمة سبلونك، وجعل التغييرات التكوين أسهل بكثير (لا وجود لمس كل نظام). عند نشر الفهرسين، ضع في اعتبارك تجميع الفهرس. حتى عند البدء مع فهرس واحد، بدءا من عقدة رئيسية لإدارة تكوينات على أن فهرسة ضمان توسيع إلى إعداد فهرس متعددة غير مؤلم. بعناية واستمرار استخدام Splunk8217s منافذ الاستماع، والتي ترتبط بعمليات محددة الخلفية. يتم الإشارة إلى بعض هذه عندما يبدأ سبلونك. عموما هنا هي المنافذ القياسية، إذا لم يتم تغييرها. tcp8089 8211 سبلونكد 8211 Splunk8217s منفذ الخفي المستخدمة في البحث الموزعة ونشر الخادم. tcp8000 8211 سبلونكوب 8211 Splunk8217s منفذ ويب تستخدم للوصول إلى واجهة المستخدم على شبكة الإنترنت. tcp8191 كفستور Splunk8217s مخزن قيمة المفتاح. tcp9887 8211 النسخ المتماثل الكتلة الفهرس 8211 منفذ تستخدم عادة لتكرار البيانات سبونك في بيئات تجميع الفهرس. ملاحظة: هذا يمكن أن يكون أي منفذ يجوز، 9887 هو مجرد مثال. tcp9997 8211 سبلونكتب المستمع 8211 ميناء يشيع استخدامها لإرسال الأحداث من وكيل سبلونك إلى مستمع سبلونك (المفهرس أو وكيل آخر). ملاحظة: هذا يمكن أن يكون أي منفذ يجوز، 9997 هو مجرد مثال. tcp9998 8211 سبلونكتكب سل مستمع 8211 ميناء يشيع استخدامها لإرسال الأحداث من وكيل سبلونك إلى مستمع سبلونك (فهرس أو وكيل آخر) باستخدام التشفير. ملاحظة: يمكن أن يكون هذا أي منفذ مسموح به، 9998 مجرد مثال. إجراء عمليات التحقق من السلامة. سبلونك هو دقيق بشكل لا يصدق في كيفية جمع ويمثل البيانات الخاصة بك ومع ذلك، إذا كنت إرساله وهمية أو بيانات مكررة فهرسة هذا أيضا. قم أحيانا بمراجعة المدخلات والتأكد من دقة بياناتك، وأختام الوقت جيدة، ولا توجد أخطاء مثل الأحداث غير الصحيحة أو المكررة. هناك تطبيق أونبواردينغ البيانات على سبلونكباس التي يمكن أن تساعد في فحص الفهارس، سورسيتيبس، المضيفين، ونماذج البيانات للتأكد من أن البيانات الخاصة بك يجري على متنها بشكل صحيح. بالنسبة إلى أمان المؤسسة، هناك تطبيق للتحقق من صحة سبلونكباس للتحقق من سلامة تنفيذ أمان المؤسسة. دمج أد للمصادقة. سبلونك يدمج بشكل جيد إلى حد ما مع أكتيف ديركتوري لمصادقة المستخدمين. هذا التكوين يسمح لك لتعيين مستخدم إلى مجموعة في أد ثم تعيين هذه المجموعة إلى دور في سبلونك. عندما يقوم هذا المستخدم بتسجيل الدخول إلى سبلونك، يتم منحهم قدراتهم المحددة وحقوق معينة من قبل الدور. هذا هو رباك الحبيبية (التحكم في الوصول إلى الدور). أداة مس أد adsiedit. msc كبيرة لتصفح نطاق أد للعناصر القيمة اللازمة لإعداد مصادقة أد على سبلونك. يتم تثبيت هذه الأداة بشكل افتراضي على أنظمة 2008 م، ولكن تحتاج إلى تثبيت يدويا كجزء من حزمة رسات على إصدارات أخرى من ويندوز. استخدام وحدة تنظيمية منفصلة لتكامل أكتيف ديركتوري. عند تكوين أد، يمكنك تحديد قائمة واحدة أو أكثر بيندغروبدن ل سبلونك للبحث عن المجموعات في أد. إذا كنت مجرد إعطاء دير الجذر من جميع المجموعات ثم سبلونك يمكن أن تعود موندرسثوساندس من المجموعات. بالإضافة إلى ذلك، إذا الاستفادة من المجموعات الموجودة هناك يمكن أن يكون العديد من المستخدمين الآخرين في تلك المجموعة التي don8217t تريد أن يكون الوصول إلى سبلونك. إذا قمت بإنشاء باسو جديد (على سبيل المثال، أوسبلونكروبس) في أد، فأنشئ مجموعات الوصول الخاصة بك تحت هذا، على سبيل المثال. (أوونيكسادمينز، أوسبلونكغروبس، ونيتوركادمينز، أوسبلونكغروبس)، ثم يمكنك تعيين بيندغرودن إلى سبلونكروبس لتقليل المجموعات التي تم إرجاعها وكذلك المستخدمين الذين لديهم إمكانية الوصول إلى سبلونك. ترحيل بيانات الفهرس. هذا يمكن أن يكون صعبا جدا وتحتاج إلى توخي الحذر لأنك يمكن أن تدمر وتعطيل البيانات الخاصة بك. وينصح أن تتصل دعم سبلونك أو لديك بس مساعدتك. إذا كان يجب عليك القيام بذلك يدويا، وقراءة وفهم المستندات وكيف يعمل هيكل دلو، ويمكنك إلقاء نظرة على هذه الإجابة آخر على هذا الموضوع. النظر في الآثار المترتبة على تحليل البيانات مباشرة على الفهرس الخاص بك أو باستخدام وسطاء الثقيلة المتوسطة. في سبلونك 6.2، كان هناك عدد من التحسينات على ما يتطلب إعادة تشغيل على الفهرسين. بشكل عام، يتم تثبيط وكلاء الشحن الثقيل. الانتقال بعيدا عن وكلاء الشحن الثقيل يقلل من كمية الأنظمة لإدارة. لا وكلاء الشحن الثقيلة يعني أنك تعرف دائما حيث يتم تحليل البيانات الخاصة بك (المفهرس). في حالات استخدام محددة جدا، يمكن أن لا تزال تقدم وكلاء الشحن الثقيلة القيمة. عند القيام بكمية متطرفة من عمليات تحليل الوقت على البيانات، مثل كمية كبيرة من الفهرس، المضيف و سورسيتيب إعادة تسمية، يمكن استخدام وكيل الثقيلة للحد من تحميل وحدة المعالجة المركزية على الفهرسين. بشكل عام هذا ليس مطلوبا، ويعقد فقط عمليات النشر. في الحالات التي تكون فيها المكاتب البعيدة عرض النطاق الترددي محدودة أو قد يكون لها اتصالات شبكة غير موثوق بها، فكر في استخدام عامل توجيه عام وسيط. وهذا سوف يقلل من عدد الاتصالات على وصلة محدودة عرض النطاق الترددي، وكذلك إعطاء أفضل السيطرة على معدل الحد إذا رغبت في ذلك. المعلومات. لتحديد الأجهزة مع سبلونك يتطلب أكثر من مجرد دليل سريع، ولكن القائمة التالية قد تساعدك على البدء. وليس المقصود من هذا أن يحل محل مناقشة تحديد النطاق مع مهندس المبيعات سبلونك، وإنما لمساعدة العملاء في التحضير للمشاركة في الخدمات المهنية. تخطيط الأجهزة سبلونك. الإجابة عن هذه الأسئلة الثلاثة تكفي لنشر متوسط، ولكن ليس كل عمليات النشر. تخطيط الأجهزة سبلونك. تعرف ما هو سيزيسكوب من النشر الخاص بك هو. يجب أن تعرف المبلغ الذي تتوقعه إندكسداي. بالإضافة إلى ذلك، يجب أن يكون لديك فكرة تقريبية عن كيفية العديد من المستخدمين سبونك سيكون هناك، وما شدة بهم سيكون. وأخيرا، يجب أن تفهم مصادر البيانات الخاصة بك وإما لوادفولوم أو تعقيد المطلوبة لجمع البيانات منها. تخطيط الأجهزة سبلونك. حدد العناصر التي تحتاج إليها. اقرأ عن المكونات سبلونك لفهم أفضل ما هو موجود. بشكل عام، فإن معظم عمليات النشر سوف تستفيد من وجود ما يلي: (1) رؤساء البحث (2) الفهرسين (1) خادم النشر العقدة الرئيسية تخطيط الأجهزة سفلونك. حدد عدد الفهرسين. وفقا ل Splunk8217s الوثائق. يمكن للمؤشر واحد تستوعب ما يصل إلى حوالي 300GBday. If you are processing 100GBday of data volume for use with Enterprise Security, you will need approximately 340GB more space available across all of the indexers to allow for up to 1 year of data model retention and source retention. An indexer, when used in an ES deployment, can accommodate up to 100GBday. Also note that newer versions of ES (starting with 3.0) no longer store summary data in TSIDX file on search head, Please see Splunk8217s deployment planning documentation for updates to these numbers as they can vary at times. These numbers should be considered the absolute maximum an Indexer can do under ideal circumstances. Adding search load or app load to a distributed Splunk install will dramatically reduce the amount of indexed data per data that can be searched effectively. Recommended Splunk Enterprise sizing: 150GBday per Indexer. Add Indexers when volume reaches 200GBdayIndexer Recommended Splunk Enterprise Security sizing: 60GBday per Indexer. Add indexers when volume reaches 80GBdayIndexer Splunk doesn8217t prescribe exactly what hardware you must purchase however, you should read through the following documentation to better understand their minimum specs: High-Level System Requirements Hardware Capacity Planning Reference Hardware CPU Spec. CPU is somewhat varied depending on what component you are talking about. For indexers, the current sweet spot for servers has been 12-16 core machines (I. e. dual socket six or eight core CPUs). Splunk can work with either AMD or Intel architecture on x86 systems, but is typically run on Intel hardware. Memory Spec. Memory is somewhat varied depending on what component you are talking about. Generally speaking indexers do particularly well with 16 GB of memory, meanwhile other components might require less. Enterprise Security8217s search load can apply more memory pressure. With that in mind, 24GB of memory on Indexers running ES is recommended. Splunk takes advantage of file system caching provided with most modern Linux distributions, so adding memory can provide a great benefit. Scale by adding more Indexers. In a well-configured distributed Splunk environment, you can scale simply by adding more indexers. The Universal Forwarders can forward data to the new indexer, and your search heads will request data from the new indexer. Generally speaking, this scales linearly resulting in a situation where double the indexers will cut search time in half. Methodically plan storage needs for a new deployment, prior to implementation. A useful Splunk sizing site . Splunk8217s documentation on sizing . Storage Hardware. Drive speed makes a difference. Splunk has informally documented that an increase in drive-speed will have a dramatic improvement on performance. Solid state drives can result in a massive speedup in very specific use cases. Be aware of the cost per GB tradeoffs for the speed. Solid state drives provide the largest speedups in the needle in a hay stack use case. Solid state drives do not provide much performance in dense searches (high event counts). Consider the trade off of having less total hot storage that is faster versus more total hot storage that is slower in some uses cases. What will your typical search period be Your hot volume should cover that, with a little bit of breathing room. Distributed Architecture. Carefully plan Splunk Distributed Architecture to ensure the most accurate and efficient processing . Storage Needs. Methodically plan storage needs for a new deployment, prior to implementation. RAID Level. Use RAID10 whenever possible for the Splunk datastore. Little impact will be seen at low volumes however, at higher data volumes you will see performance improvement with RAID10 over RAID 5 or 6. Benchmark storage. Splunk recommends 800 IOPS (InputOutputs Per Second) or better on your storage tier. This should be considered the minimum. Splunk will benefit greatly from increased disk performance above the 800 IOPs minimum. To get this performance, you will need to be using fast drives in an optimal RAID configuration served by an efficient controller (either internal, DAS, or SAN). There are various ways to test your storage to benchmark your current values, but the mostly commonly used method is via the venerable tool bonnie found in the repository of every major Linux distribution. There are many online guides (even on Splunk8217s site) for how to run this tool however, below is the gist: Ensure the target drive to be tested (e. g. splunkhot) is mounted and relatively not in use (meaning stop Splunk if it is running). You want to not use it in order to get an accurate reading from bonnie without competing for resources with it. Next, run the bonnie command against the target drive, with a - s option equal to 3-10x the amount of RAM you have in MB bonnie - d splunkhot - s 264000 - u root:root - fb If you choose to, you can pipe the above to one of these two commands (both come with bonnie): boncsv2html, boncsv2txt In the output, Random Seeks IOPs Architecture type. Splunk should be run on 64 bit platforms. Although it is compatible with 32 bit platforms, it is strongly discouraged. Universal Forwarders on 32 bit systems is perfectly acceptable. Data Routing Information: Data routing allows the Splunk administrator to selectively determine what incoming data gets ingested, what gets forwarded, and what gets dropped. Drop incoming data with the nullQueue. Beware not to go nullQueue - happy and drop too much. Many events while insignificant by themselves provide useful information when trended or otherwise analyzed. Data is often not considered security relevant at first, until there is a security incident related to the data. Consider this before dropping any data that could be useful in the future. Forward to a Splunk system whenever possible, but if there is a Use Case to send to an external system, following these instructions to Forward data to third party systems. Beware there are some caveats of doing this. Use Splunk AutoLB (Load Balancing ) to distribute data to multiple indexersforwarders. Much of this configuration must be done with the outputs. conf file. Ensure all critical systems have consistent time configuration. Systems generating events should have the proper time to ensure the events they create will be able to be correlated when analyzed. Consider NTP use throughout the enterprise as well as frequent time audits of the most critical systems to ensure accuracy. Consider doing regular time-audits. This is where you evaluate the time of your most critical systems to ensure they are consistent. If the data is in Splunk, then this task might just take a few minutes every month or so and is well worth it. The data onboarding app mentioned above provides dashboards to assist with this. Explicitly configure Splunk to read time stamp information from incoming events. Splunk8217s reads the time stamp from incoming events, which it then associates to the event in the index and the underlying buckets. It is imperative that time stamps and timezone offsets be parsed and set correctly both for usability and efficiency purposes. Test new inputs. When new inputs will be created, test the data first by ingesting some of it and determine if it requires adjustments such as for time stamps. event-processing (such as breaking). Syslog before Splunk. Traditional syslog technologies (syslogd, syslog-ng, rsyslogd) are simple and featureless compared to Splunk, but this is their advantage. Since these packages rarely change and require a small amount of resources, they are perfect for being the initial recipient of syslog data on the network. When network devices send syslog messages, this data is frequently UDP (connectionless) and therefore vulnerable in-transit. Even TCP syslog can be lost if the receiving host is unreachable. Place a syslog application (e. g. syslog-ng) on the network to receive the syslog feeds and configure the application to write the data out to files. Ideally, have the files be application-specific (e. g. firewall. log, router. log, maillog. log, etc.). Splunk can be installed as a forwarder on the same host to read these files and forward them on. If Splunk requires a restart or is otherwise unavailable (i. e. during an upgrade), it can pick up where it left off reading the files on disk. Please see other recommendations for managing these files. Too many files. Ensure a single instance of Splunk does not monitor more than a few hundred active files. If there are more than this, consider implementing a process (i. e. cron) to move the previous day8217s (or week perhaps) syslog directory out of the monitored directory-structure to an archive location. You know you have a problem with too many files if the Splunk instance involved has something like this in its logs: File descriptor cache is full . You might also benefit here by increasing the ulimit (see Adjust ulimit in this document). Avoid overwriting or hard-coding the 8220source8221 field in the data. Doing so can make troubleshooting problematic inputs more difficult. A useful resource on Data onboarding is the 2014 Splunk. Conf talk. Both the slides and a recording are available. Syslog Input Strip priority out of TCP inputs. In accordance with RFC3164 a Syslog priority message is prepended to each syslog event. By default, Splunk will strip this out on incoming UDP see inputs. conf documentation regarding the noprioritystripping directive. The problem is, that many devices still prepend this priority when sending events via TCP . Splunk expects the events to be RFC-compliant and not contain the priority so does not know to remove it. Here is an example of what an event looks like: To strip this out, add the following to the appropriate stanza of the props. conf for the target sourcetype: Watch out for chained syslog time stamps. If an event is relayed through multiple syslog servers (for example the local syslog on a Linux system sending events to a remote syslog server), there may be two time stamps at the start of the event. Carefully configure your Splunk props. conf to ensure the correct time stamp is extracted for the event. High Performance Syslog The Linux UDP input buffer has a fixed amount of memory allocated to it. When the amount of incoming data exceeds this buffer, packets are dropped. On a very busy server, this could happen frequently or in some cases continually. The memory allocated to the UDP input buffer is distribution-specific. This means, that depending on your flavorversion of Linux, this buffer size can vary. Be sure to understand what it is, and how it operates. Syslog systems should be tested and tuned to perform as needed. Information . Calculate Capacity by Messages Imagine a device that generates messages that are 250-450 bytes with most being over 350. If we average conservatively that the messages are 400 bytes big, how many EPS could be processed before saturating half the link such as in the Syslog-NG Example below A 100mbs link is capable of 100000000812500000 bytessec Half of this is 6250000 (what the Syslog-ng folks could do) Divide this by 400 (average bytesmessage) and you get 15625 which is the total amount of messages we could possibly receive if optimally configured with tcp given the parameters. Syslog-NG Example The syslog-ng developers have a blog where they discuss possible volumes with the 2.0 OSE: 100mbs net TCP messages 44000 messagessec all 150 bytes long This means they are processing 440001506600000 bytes per second Multiply 66000008 to get bandwidth: 52,800,000 So syslog-ng optimally configured (by its developer) can use about half of the 100mbs Ethernet connection without dropping packets Information . Calculate Capacity by License Size Imagine a 50GB license Divide by seconds per day 86400 to see an average of how much data could be pushed through the network on average: 5000000000086400578703 (bytessecond) Multiply the above by 8 to get bits per bytes (5000000000086400)84629624 (bitssecond) Application or Data Specific SEP Data import. For Symantec Endpoint Protection, you can put the SEP server in a configuration where it will write out temp files that a Splunk Universal Forwarder can read. Here is the Symantec knowledge-base document on how to configure this. While it is possible to configure SEP to send data via syslog, in some cases this data is incomplete, and unreliable. Also be aware that there are significant differences in the event format of SEP events between versions (most notably versions 11 and 12), which may result in failed extraction of fields if your TA or current extractions are expecting a different version. Avoid reading Windows raw EVT(X) files if at all possible. Instead, configure a Splunk Forwarder to access Windows Event Manager directly to ingest Windows Events. If your use case requires direct reads of the Windows EVT(X) binary files then consider the following information: EVT(X) files are the raw binary-format files that Windows uses to store its logs on the file-system. These files are nothing like normal log files and therefore present some challenges to any attempt to reconstitute them back into usable logs (Note: These issues have nothing to do with Splunk): They reference GUIDSIDs in lieu of systemuser names. This means that the EVT(X) File Parsing Host must have access to make AD queries to the Domain Controllers that can provide details and convert the codes referenced by the Logging Host. They reference DLL files that contain the pertinent information instead of placing it in the actual log. This means any DLL referenced by the Logging Host MUST be available on the EVT(X) File Parsing Host in order to interpret the logs. Since the EVT(X) files are a subset of the information they represent, a 99MB EVTX file converts to almost 500MB of indexed data. There are TB of logs stored on the CIFS share. The volume both to the Splunk license, system storage, and ADDC calls should be considered before fully-integrating this. Ingest time is slow since many AD calls are necessary for GUIDSID queries. In our tests, many GUIDs and some DLL references didn8217t convert in the event logs, leaving lots of useless events. This may be a result of either inconsistent AD details or missing DLLs on the Log Parsing Host Splunk on Windows can natively ingest EVT(X) files Splunk Enterprise Security Implementation Adjust VM Swap. Lower the vm. swappiness in 8216sysctl8217 to something like: 8216vm. swappiness108217 Adjust ulimit. Adjust the ulimit if necessary such as: Apply changes to sysctl with sysctl - p Apply changes to limits. conf by logging out and logging in again Administration Manage Assets Lists. Continue to manage your ES Asset List to always get the most value out of your deployment. Manage Identities. Manage your ES Identities to always get the most value out of your deployment. Forwarder Deployment Change the admin password on forwarders. All Splunk systems have a default username of admin and password of changeme and this includes Forwarders (Universal Forwarders and Full Forwarders). Take time to plan your deployment prior to implementation to ensure the most success. Centrally-manage Splunk configurations. Ensure you have a way to consistently and accurately manage configurations across the enterprise, such as with the Splunk deployment server Information . Topologies for Deployment Server Windows Deployment Information . Custom EventLogs on Splunk for Windows are discussed here . Information: Splunk has the ability to use WMI to monitor Eventlogs remotely. WMI is very clunky, and generally should not be used due to network and system performance implications . Scripted deployment for Windows UFs. You can script your deployment of Universal Forwarders for Windows depending on what tools you have available at your disposal. There are a few things to keep in mind though such as: On a version with UAC (User Access Controls) such as Visa, 2008 or Windows 7, you must be in an admin shell to install software Although it is much easier to have the Splunk MSI files in a UNC that you can mountreach from any system, sometimes windows security policy prevents this from working. If msiexec is failing consider copying the MSI installer local and try it again. There are a few things to keep in mind though, specifically that you want to pass the following msiexec arguments: AGREETOLICENSE, INSTALLDIR (since many sites want to install to some drive besides c Below is an example content that you can put in a criptpackage-management and it is based on having a Splunk deployment server in place A complete list of MSIEXEC flags . Linux Deployment Scripted deployment for Linux UFs. You can script your deployment of Universal Forwards for Linux depending on what tools you have available at your disposal. There are a few things to keep in mind though, specifically that you probably want to pass the following Splunk start-time arguments: 8211accept-license, 8211answer-yes, 8211no-prompt Below is an example content that you can put in a scriptpuppetrpm and it is based on having a Splunk deployment server in place. Note: that this hard-codes a download of the Splunk UF RPM at each invocation. It would be much smarter to use a local repo and replace that portion of the script with a call to this location with something simple like: yum install splunkforwarder Performance Lots of things can affect Splunk performance, including: System resources, Splunk architecture, Splunk configurations (e. g. lookups, extractions), and dashboards. Before attempting any performance remedies, first try and determine what may be adversely affecting your deployment8217s performance. UI Performance Remedies Use Summary Indexing for increased reporting efficiency. As you add more data and more users to Splunk, you will benefit from Summary Indexing. As of Splunk 5, it is also possible to use report acceleration. Not all searches qualify for acceleration . As of Splunk 6, it is also possible to use data model acceleration. Any pivot or report generated by that data model will complete much quicker than it would without the acceleration, even if the data model represents a significantly large dataset. Implement a central software management system (e. g. RPM repo, Puppet, Satellite Server) to manage packages and configurations to forwarders and other related systems. Managing Splunk instances on these remote systems always has problems and leads to issues such as: Very old (out of date) versions of Splunk throughout the enterprise Forwarders that have not had Splunk configured properly or locked down (e. g. changing the admin password and turning off Splunk web) Inconsistent configurations leading to similar systems setting different metadata on the same type of logs. Architecture type. Splunk works well with both 32 and 64 bit platforms however, there is a considerable performance improvement for 64 bit and this should be selected (both for Hardware and Operating System) whenever possible. Partitions and Volumes Use LVM to manage underlying file-system space. Only allocate storage space to an LVM from a Volume Group as necessary and preserve the extra for emergencies or future use. Make better use of LVM partitioning by creating discrete logical volumes for each major portion of the system such as , var, tmp, optsplunk and maybe even splunkdata Search Help Print the Splunk Cheatsheet (PDF or Manual ) for users. This is a great resource for learning the search language. The Splunk Reference Card PDF is also a great resource, and a laminated version can be purchased from the Splunk Schwag store . Consider taking a Splunk EDU class. Splunk has multiple classes focusing on search and dashboarding. Storage and Data Management New Index. It is almost always appropriate to use multiple indexes and not just maindefault . Create a new index if the answer of any of the following questions is yes . Does the target data require separate retention controls from other data Does the target data require separate access controls from other data Will Splunk users wish to either search the target data by itself or search other data and omit this target data Consider moving your Splunk database ( SPLUNKDB ) to its own volume to ensure clean separation of the binaryconfiguration structure and the data. This is not necessary, but there are advantages in high-volume environments. Data retention. Implement data retention and disk usage controls explicitly and early instead of waiting for a disk to fill. Configure retention in indexes. conf to push older data to remote volumes such as NFS mount for data archive. الحذر . Changes to the retention policy ( indexes. conf ) can be perilous and the effect is not always immediate. Be sure you know what you are changing and have tracked changes and the results appropriately to ensure it has the desired effect. DRPBCP. Configure a Disaster Recovery and Business Continuity Plan for your Splunk deployment. This will include implementing a backup plan. Consider backups for the SPLUNKHOMEetc on each standalone search head (non-pooled) and the cluster node to a remote drive on a frequent interval. If an unmentionable happened, you can copy this directory to a new Splunk instance to restore. (sample script below to put in cron. daily or weekly) Backup the master node, the SPLUNKHOMEetcmaster-apps directory to a remote drive is recommended to quickly build a new master node. (sample script below to put in cron. daily or weekly) Backup the deployment server, the SPLUNKHOMEetcsystemlocalserverclass. conf and the SPLUNKHOMEetcdeployment-apps directory to a remote drive is recommended to quickly build a new deployment server. (sample script below to put in cron. daily or weekly) See the Storage Hardware section in this document for many notes regarding hardware. Deployment Server Deployment Server Selection The DS can be collocated with any other full Splunk instance however, there are also some reasons why it might need to be stand-alone. Since the DS requires so many active TCP sessions (at least one for each connected client), choose a system that already has a limited number of open TCP sessions to other systems, such as a Search Head. Ensure the DS server has plenty of memory. Consider a stand-alone system if the number of deployment-clients will exceed 300-500 Consider one Deployment Server instance for every 2000 polls per minute. Create a DNS host name specific to the DS (e. g. splunk-ds. yourfoo. fqdn) and use this name for all communication from the deployment-clients. This will make it much easier to migrate later, if you choose to. Adjust the polling period on clients to make a single server scale further. Use the clientName directive in the deploymentclient. conf to ease whitelisting and blacklisting in your serverclass. conf Only deploy configuration and parsing apps, such as Technology Addons (TA8217s). There is very little value in deploying dashboard based apps, and in some cases may cause complications. Prepend deployed configuration apps (not TA8217s) with 8220DS-8220. This distinction can help tremendously when troubleshooting problems with deployment clients. App Development Ensure all (if possible) searches call saved searches or use other knowledge-items such as Macros or Eventtypes. Containing all of these knowledge-items helps with manageability of the data across an enterprise deployment. Managing bare searches across apps or called externally via scripts does not scale well and can create a big problem during upgrades, migrations, and other maintenance. When creating fieldseventtypes refer to the Splunk Common Information Model to ensure forward-compatibility with Splunk and Splunkbase built-ins. When developing an app, ensure that any log or pid files are not stored in the app8217s directory. If the app is distributed via deployment server, the files and directory structure in the app will be replaced with those from the deployment server, which would include any log or pid files. Use GetWatchList. GetWatchList is a free Splunk app on Splunkbase that allows users to manage lookup tables on the system without requiring shell or administrative access. These lookups can be used in various ways but the most popular method is as watchlistsOS Configuration or Hardening Enterprise Security has many useful dashboards for various protocols. Consider using apps designed for specific products such as the Cisco Security Suite or the Gigamon Visability app for Splunk .