Kurszusammenfassung
Der Kurs Splunk Enterprise Administration eignet sich für Sie mit Splunk On-Prem-Installationen. Dieser Kurs ist ein Paket aus zwei Schlüsselmodulen: Splunk Enterprise System Administration (SESA) und Splunk Enterprise Data Administration (SEDA).
Sie erwerben Fähigkeiten wie:
• Installation, Konfiguration und Wartung von Splunk Enterprise
• Benutzer- und Rollenverwaltung in Splunk
• Optimierung der Datenaufnahme und Indizierung
• Fehlerbehebung bei häufigen Splunk-Problemen
• Implementierung von Hochverfügbarkeits- und Notfallwiederherstellungsstrategien
Modul 1: Splunk-Admin-Grundlagen
• Splunk-Komponenten identifizieren
Modul 2: Lizenzmanagement
• Lizenztypen identifizieren
• Lizenzverletzungen verstehen
Modul 3: Splunk-Konfigurationsdateien
• Beschreiben Sie die Splunk-Konfigurationsverzeichnisstruktur
• Konfigurationsschichtung verstehen
• Konfigurationsprioritäten verstehen
• Verwenden Sie btool, um die Konfigurationseinstellungen zu überprüfen
Modul 4: Splunk-Indizes
• Beschreiben Sie die Indexstruktur
• Listen Sie die Typen von Index-Buckets auf
• Überprüfen Sie die Integrität der Indexdaten
• Beschreiben Sie die Optionen von indexes.conf
• Beschreiben Sie den Fischeimer
• Wenden Sie eine Richtlinie zur Datenaufbewahrung an
Modul 5: Splunk-Benutzerverwaltung
• Beschreiben Sie Benutzerrollen in Splunk
• Erstellen Sie eine benutzerdefinierte Rolle
• Splunk-Benutzer hinzufügen
Modul 6: Splunk-Authentifizierungsverwaltung
• Integrieren Sie Splunk mit LDAP
• Weitere Optionen zur Benutzerauthentifizierung auflisten
• Beschreiben Sie die Schritte zum Aktivieren der Multifaktor-Authentifizierung in Splunk
Modul 7: Dateneingabe
• Beschreiben Sie die Grundeinstellungen für einen Eingang
• Splunk-Forwarder-Typen auflisten
• Konfigurieren Sie den Forwarder
• Fügen Sie mithilfe der CLI einen Eingang zu UF hinzu
Modul 8: Verteilte Suche
• Beschreiben Sie, wie die verteilte Suche funktioniert
• Erklären Sie die Rollen des Suchleiters und der Suchkollegen
• Konfigurieren Sie eine verteilte Suchgruppe
• Skalierungsoptionen für Suchköpfe auflisten
Modul 9: Dateneingabe – Staging
• Listen Sie die drei Phasen des Splunk-Indizierungsprozesses auf
• Splunk-Eingabeoptionen auflisten
Modul 10: Weiterleitungen konfigurieren
• Weiterleitungen konfigurieren
• Identifizieren Sie zusätzliche Forwarder-Optionen
Modul 11: Spediteurmanagement
• Erläutern Sie die Verwendung des Bereitstellungsmanagements
• Beschreiben Sie den Splunk Deployment Server
• Weiterleitungen mithilfe von Bereitstellungs-Apps verwalten
• Konfigurieren von Bereitstellungsclients
• Clientgruppen konfigurieren
• Überwachung der Spediteurmanagementaktivitäten
Modul 12: Monitoreingänge
• Datei- und Verzeichnismonitoreingaben erstellen
• Optionale Einstellungen für Monitoreingänge verwenden
• Bereitstellen eines Remote-Monitor-Eingangs
Modul 13: Netzwerk- und Skripteingaben
• Netzwerk-Eingaben (TCP und UDP) erstellen
• Beschreiben Sie optionale Einstellungen für Netzwerk-Eingänge
• Erstellen Sie eine grundlegende Skripteingabe
Modul 14: Agentenlose Eingaben
• Erstellen von Windows Management Instrumentation (WMI)-Eingaben
• Beschreiben Sie den HTTP-Ereignissammler
Modul 15: Feinabstimmung der Eingaben
• Verstehen Sie die Standardverarbeitung, die während der Eingabephase stattfindet
• Konfigurieren Sie Optionen für die Eingabephase, wie z. B. die Feinabstimmung des Quelltyps und die Zeichensatzkodierung
Modul 16: Analysephase und Daten
• Verstehen Sie die Standardverarbeitung, die während des Parsens stattfindet
• Optimieren und konfigurieren Sie Ereigniszeilenumbrüche
• Erklären Sie, wie Zeitstempel und Zeitzonen extrahiert oder Ereignissen zugewiesen werden
• Verwenden Sie die Datenvorschau, um die Ereigniserstellung während der Analysephase zu validieren
Modul 17: Rohdaten manipulieren
• Erklären Sie, wie Datentransformationen definiert und aufgerufen werden
• Verwenden Sie Transformationen mit props.conf und transforms.conf, um:
• Rohdaten während der Indizierung maskieren oder löschen
• Quelltyp oder Host basierend auf Ereigniswerten überschreiben
• Leiten Sie Ereignisse basierend auf dem Ereignisinhalt an bestimmte Indizes weiter
• Verhindern, dass unerwünschte Ereignisse indiziert werden
• Verwenden Sie SEDCMD, um Rohdaten zu ändern
Andere beliebte Kurse
Executive Cyber Risk-Zertifizierung (ECRC)
- Dauer: 2 Tage
- Sprache: Englisch
- Ebene: Fortgeschrittener
- Prüfung: ECRC
Kommunikations- und Präsentationstechniken meistern …
- Dauer: 4 Tage
- Sprache: Dänisch
- Ebene: Fortgeschrittener
- Prüfung: MCPT
Achtsamkeit der nächsten Generation
- Dauer: 1 Tage
- Sprache: Englisch
- Ebene: Stiftung
- Prüfung: NGM