SlideShare una empresa de Scribd logo

SplunkLive! München - Flughafen München

Splunk
Splunk

Customer use case presentation

Tecnología
1 de 27
splunk > live 2017 Flughafen München Einführung einer zentralen Logfile Management Lösung
Gut. Besser. Ausgezeichnet Flughafen München GmbH, Splunk Live Munich 20172 Der Flughafen München ist der erste Fünf-Sterne-Flughafen Europas. Bereits zum zehnten Mal wählten ihn die Passagiere zum besten Flughafen Europas (World Airport Awards). Erster Fünf-Sterne- Flughafen Europas Bester Flughafen Europas und drittbester der Welt Bester Arbeitgeber der Branche Verkehr und Logistik 2
Flughafen München GmbH Flughafen München GmbH, Splunk Live Munich 20173
Flughafen München GmbH Flughafen München GmbH, Splunk Live Munich 20174
Faszination Flughafen 5 42 Mio. Passagiere 1.600 Hektar Gesamtfläche 35.000 Mitarbeiter am Campus Illustration nicht maßstabs- und lagegetreu 550 Betriebe am Campus 400.000 Starts & Landungen 335.000 Tonnen Luftfracht Der Flughafen München – eine Stadt zum Abheben. Flughafen München GmbH, Splunk Live Munich 2017
Ausgangssituation: Erkenntnisse vor dem Projekt „zentrale Log-Management-Lösung“ • Es existieren Fragestellungen, die eine spezialisierte Person/ Programm zur Beantwortung benötigen. • Nur in jedem Gewerk einzeln und nicht übergreifend möglich. • Innerhalb von Gewerken wird u.U. nicht zentral geloggt. • Übergreifende Beantwortung schwierig – im Wesentlichen aber langwierig und schwer wiederholbar • Die notwendige Transparenz unser eigenen digitalen Welt ist nicht gegeben. • Wir haben Defizite, die Schätze der digitalen Welt für die Zukunft zu heben. Flughafen München GmbH, Splunk Live Munich 20176
Projekt-Historie • 2012 - Erste Splunk-Tests im Umfeld Remote Access und Firewall • Tests vielversprechend, keine Beschaffung • 2013/14 – erste Ideen zur Einführung einer SIEM-Lösung • Definition erster konzeptioneller Punkte • 2015 – Projektauftrag „zentrale Log-Management-Lösung für LAN/WLAN/Security“ • Technische Voraussetzung für SIEM geschaffen • 2016 - Umsetzung zentrales Log-Management mit Splunk Enterprise • Toolauswahl / Proof of Concept. Erste Schätzung des Datenvolumens: ~ 45 GByte / Tag • Einbindung Datenschutz und Betriebsrat • Beschaffung: HW & SW ( Lizenz: 150 GByte / Tag) • 2017 – Nutzung durch Betrieb und Engineering • Momentanes Datenvolumen: ~110 Gbyte / Tag Flughafen München GmbH, Splunk Live Munich 20177
Architektur: Produktauswahl - Warum Splunk ? Arbeits- erleichterun g Ablösung von Scripten durch übersichtliche Tabellen Zeitersparnis Automatisierung von textuellen Analysen Korrelation von mehreren Datenquelle n Security Vorfälle können entdeckt werden Alarmierung bei Störungen Einfache Bedienung Suchsprache ist auch für komplexe Fragestellungen geeignet Flughafen München GmbH, Splunk Live Munich 20178
Architektur: Überblick Zentralsystem Flughafen München GmbH, Splunk Live Munich 20179
Zahlen, Daten, Fakten Flughafen München GmbH, Splunk Live Munich 201710
3 Use Cases – Anforderungen aus dem IT Betrieb (Beispiele) Proxy Systeme • Mehrere geclusterte Systeme • Jedes System loggt für sich • Web Interface lädt das komplette Log  Welches System bedient den Request des Kunden (und mit welchem Ergebnis)? Unbekanntes LAN Objekt (ULO) • NAC-Lösung im MPLS/VPN-Umfeld • Zuordnung Ereignis/System zu örtlicher Lokation  Wo und wie oft tritt ein solcher Vorfall auf? Email • Mehrere geclusterte Systeme • Unterschiedliche Softwarekomponenten • Keine einheitlichen Logs für Mail, AV, SPAM-Erkennung Warum wurden Emails nicht zugestellt? 11 Flughafen München GmbH, Splunk Live Munich 2017
UseCase: zentrales Logging von Proxy Systemen • Setup der FMG: • zweistufiges Proxy System (interner + externer Cluster) • Pro Cluster jeweils zwei leistungsstarke Server für Produktion • Pro Cluster jeweils ein adäquates Testsystem • System schreibt die Logs erstmal nur lokal. • Aufgrund der Größe wird das Log stündlich rotiert und komprimiert. • Betriebseinheit besitzt Zugriff auf die Proxy Logs nur über Webschnittstelle (Logansicht = Download), sollen aber im Rahmen von Störbehebung ggf. telefonisch schnell Auskunft geben können. Flughafen München GmbH, Splunk Live Munich 201712
UseCase: Proxy Systeme • Installation des Splunk Universal Forwarder auf das System • Einfaches Splunk Dashboard für den Betrieb: • Suche in nahezu Echtzeit möglich – über mehrere Server / Logfiles hinweg – auch ältere Events können gefunden werden – incl. Drilldown zu weiteren Informationen. Flughafen München GmbH, Splunk Live Munich 201713
UseCase: Proxy Systeme • Proxy Logs können schnell auf Probleme hinweisen • Lastverteilung OK? • Ausreißer in der Nutzung der Proxies? • „misbehaving“ Clients Flughafen München GmbH, Splunk Live Munich 201714
UseCase: ULO – unbekannte LAN Objekte Flughafen München GmbH, Splunk Live Munich 201715 • ULO: eigenentwickelte NAC-Lösung im MPLS/VPN-Umfeld • Vergleicht sichtbare MAC Adressen an Switchports mit bekannten MAC Adressen aus der CMDB • deaktiviert den Switchport bei Diskrepanzen • Der Ort des betroffenen Switches / Port ist nicht identisch mit der physikalischen Lokation der LAN Dose an dem das ULO aufgetreten ist. • Logdatei für ULO: Text (csv Datei) • Information über physikalische Lokationen ist im Kabelmanagement Tool vorhanden. Backend ist eine Oracle Datenbank.  Korrelation des Ulo Events  Kabelweg  Gebäude/Raum/Dose
UseCase: ULO – unbekannte LAN Objekte Flughafen München GmbH, Splunk Live Munich 201716 • Backend ist eine Oracle DB: • Eine singuläre Abfrage benötigt ~ 20 min um aus Switch + Port die entsprechende Lokation der Dose zu bekommen. • Die Abfrage aller Switch / Port Kombis zu den angeschlossenen Dosen benötigt ebenfalls ~20 min • Applikations Admin merkt an, daß dieser Anwendungsfall nicht wirklich unterstützt ist, ggf. könnten DB Admins eine “materialized view“ einrichten. • DB Administration schlägt vor, die genutzten Views / Queries vom Hersteller optimieren zu lassen (  Zeit / Kosten ). Splunk Admin zieht sich die Daten täglich mittels Splunk DB Connect ab und speichert sie in einer CSV Datei als lookup ab: | dbxquery connection=… query="SELECT …" shortnames=t output=csv wrap=f maxrows=1000000 | outputcsv switch-port2bauteil-ebene-raum
UseCase: ULO – unbekannte LAN Objekte Flughafen München GmbH, Splunk Live Munich 201717 • ULO Daten können angemessen gefiltert und dargestellt werden:
UseCase: ULO – unbekannte LAN Objekte Flughafen München GmbH, Splunk Live Munich 201718 • Auch die Historie ist erkennbar:
UseCase: ULO – unbekannte LAN Objekte Flughafen München GmbH, Splunk Live Munich 201719
UseCase: Ablauf einer Email durch verschiedene Sicherheitssysteme • Setup der FMG: • mehrstufiges System • Unterschiedliche Produkte für MTA, Spam, AV, Crypto im Einsatz • Aus Redundanzgründen sind die einzelnen Komponenten mindestens doppelt vorhanden. • Logdaten zu einer Email der einzelnen Komponenten nur schwierig untereinander korrelierbar. • Eine Email kann durch unterschiedliche Software Instanzen auf dem gleichen oder unterschiedlichen Servern geschleust werden. Flughafen München GmbH, Splunk Live Munich 201720
UseCase: Ablauf einer Email durch verschiedene Sicherheitssysteme • Anforderung aus dem Betrieb: • Es soll eine einfache Lösung zur Nachverfolgung durch die verschiedenen Email Instanzen soll etabliert werden. • Herausforderungen bei der Umsetzung: Eine Email kann bei der FMG durch 7 unterschiedliche Software Instanzen laufen, bevor sie ausgeliefert wird. Die Korrelation der entsprechenden Events über die ‚queue_id‘ ist nicht eindeutig. Fallback: ‚message_id‘. Auch die message_id ist nicht eindeutig. AV Systeme können diese ggf. verändern. Die Kombination ist für uns jedoch ausreichend. Der aktuelle Status einer Email ist nicht in einer singulären Logzeile hinterlegt. Es müssen immer mehrere Logzeilen miteinander verknüpft werden („queue_id“). Probleme siehe oben. Flughafen München GmbH, Splunk Live Munich 201721
UseCase: Ablauf einer Email durch verschiedene Sicherheitssysteme • Umsetzung: • Annahme durch FMG Mailserver durch rote oder grüne Markierung dargestellt.  eine erste Aussage sofort möglich. • Komplexere Fälle (z.B. multiple Adressaten) müssen über eine andere Suche erkannt werden. „transaction queue_id endswith=removed startswith=client ...“ Flughafen München GmbH, Splunk Live Munich 201722
UseCase: Ablauf einer Email durch verschiedene Sicherheitssysteme • Umsetzung: • Drilldown ergibt detaillierte Aussage über den Weg einer Email durch die FMG Systeme: Flughafen München GmbH, Splunk Live Munich 201723
UseCase: Ablauf einer Email durch verschiedene Sicherheitssysteme • Umsetzung: • Ebenso ist der AV Status sofort an der grünen bzw. roten Markierung erkennbar. • Das komplette Ergebnis ist als ein singuläres Dashboard realisiert. Flughafen München GmbH, Splunk Live Munich 201724
Weitere Nutzungsbeispiele • Internetauftritt www.munich-airport.de & Passengr-App: • Logfiles der Web & Application Server geben sofort Auskunft über evtl. auftretende Probleme im Betrieb oder auch beim deployment einer neuen Version in der Testumgebung. • Auswirkungsanalyse • Switch „xyz“ wird im Rahmen normaler Tätigkeiten gebootet  Welche Systeme sind davon betroffen? • Analysen weiterer Logquellen / Daten: • Security Systeme: Firewall, Remote Access Systeme, Vuln. & APT-Scans. • WLAN und Radius. • Remote Desktop Strategie • Messung und Vergleich der Benutzbarkeit von virtuellen zu physikalischen Endnutzer Systemen (Terminalserver vs. Thin Client). Flughafen München GmbH, Splunk Live Munich 201725
Ideen / Ausblick • Vorher-/Nachher Analyse im Netzwerk im Rahmen von Changes: • Im Rahmen des PoC von Splunk mit einfachen Mitteln (zählen von Routing Tabellen, getrunkten VLANs, etc. ) erfolgreich angegangen. Vielversprechender erscheint uns die Möglichkeit entsprechende Parameter durch Machine Learning auswerten zu lassen. • Security Incident und Event Management System. • Erweiterung der Nutzung von Splunk auf die gesamte IT-Landschaft, sowie die Validierung weiterer Use Cases im Umfeld Technik, Marketing usw. Die initial erkannten Anwendungsfälle sind nur der Startpunkt für alle weiteren Aktivitäten. Nahezu jedes Logfile enthält, auch für den erfahrenen Administrator, Überraschungen. Fragestellungen verändern sich, da sich die Kenntnisse zu einzelnen Gewerken vertiefen. Weg von: „zähle X“, hin zu „vergleiche X mit Y, visualisiere, erkenne den Grund für X“. Entscheidungen werden nicht mehr aufgrund einzelner Parameter, sondern aufgrund größerer Zusammenhänge getroffen. Flughafen München GmbH, Splunk Live Munich 201726
Vielen Dank

Recomendados

Hw09 Large Scale Transaction Analysis
Hw09 Large Scale Transaction AnalysisHw09 Large Scale Transaction Analysis
Hw09 Large Scale Transaction AnalysisCloudera, Inc.
 
Evolution from EDA to Data Mesh: Data in Motion
Evolution from EDA to Data Mesh: Data in MotionEvolution from EDA to Data Mesh: Data in Motion
Evolution from EDA to Data Mesh: Data in Motionconfluent
 
News And Development Update Of The CloudStack Tungsten Fabric SDN Plug-in
News And Development Update Of The CloudStack Tungsten Fabric SDN Plug-inNews And Development Update Of The CloudStack Tungsten Fabric SDN Plug-in
News And Development Update Of The CloudStack Tungsten Fabric SDN Plug-inShapeBlue
 
Rethink business with OpenText Core applications and services
Rethink business with OpenText Core applications and servicesRethink business with OpenText Core applications and services
Rethink business with OpenText Core applications and servicesOpenText
 
Apache Kafka® and API Management
Apache Kafka® and API ManagementApache Kafka® and API Management
Apache Kafka® and API Managementconfluent
 
Keynote: Elastic Observability evolution and vision
Keynote: Elastic Observability evolution and visionKeynote: Elastic Observability evolution and vision
Keynote: Elastic Observability evolution and visionElasticsearch
 
Effective AIOps with Open Source Software in a Week
Effective AIOps with Open Source Software in a WeekEffective AIOps with Open Source Software in a Week
Effective AIOps with Open Source Software in a WeekDatabricks
 
Comment l’architecture événementielle révolutionne la communication dans le S...
Comment l’architecture événementielle révolutionne la communication dans le S...Comment l’architecture événementielle révolutionne la communication dans le S...
Comment l’architecture événementielle révolutionne la communication dans le S...Vincent Lepot
 

Recomendados

Hw09 Large Scale Transaction Analysis
Hw09 Large Scale Transaction AnalysisHw09 Large Scale Transaction Analysis
Hw09 Large Scale Transaction AnalysisCloudera, Inc.
 
Evolution from EDA to Data Mesh: Data in Motion
Evolution from EDA to Data Mesh: Data in MotionEvolution from EDA to Data Mesh: Data in Motion
Evolution from EDA to Data Mesh: Data in Motionconfluent
 
News And Development Update Of The CloudStack Tungsten Fabric SDN Plug-in
News And Development Update Of The CloudStack Tungsten Fabric SDN Plug-inNews And Development Update Of The CloudStack Tungsten Fabric SDN Plug-in
News And Development Update Of The CloudStack Tungsten Fabric SDN Plug-inShapeBlue
 
Rethink business with OpenText Core applications and services
Rethink business with OpenText Core applications and servicesRethink business with OpenText Core applications and services
Rethink business with OpenText Core applications and servicesOpenText
 
Apache Kafka® and API Management
Apache Kafka® and API ManagementApache Kafka® and API Management
Apache Kafka® and API Managementconfluent
 
Keynote: Elastic Observability evolution and vision
Keynote: Elastic Observability evolution and visionKeynote: Elastic Observability evolution and vision
Keynote: Elastic Observability evolution and visionElasticsearch
 
Effective AIOps with Open Source Software in a Week
Effective AIOps with Open Source Software in a WeekEffective AIOps with Open Source Software in a Week
Effective AIOps with Open Source Software in a WeekDatabricks
 
Comment l’architecture événementielle révolutionne la communication dans le S...
Comment l’architecture événementielle révolutionne la communication dans le S...Comment l’architecture événementielle révolutionne la communication dans le S...
Comment l’architecture événementielle révolutionne la communication dans le S...Vincent Lepot
 
Apache kafka
Apache kafkaApache kafka
Apache kafkaJemin Patel
 
Confluent Startup Webinar Series
Confluent Startup Webinar Series Confluent Startup Webinar Series
Confluent Startup Webinar Seriesconfluent
 
create auto scale jboss cluster with openshift
create auto scale jboss cluster with openshiftcreate auto scale jboss cluster with openshift
create auto scale jboss cluster with openshiftYusuf Hadiwinata Sutandar
 
Introduction to Kong API Gateway
Introduction to Kong API GatewayIntroduction to Kong API Gateway
Introduction to Kong API GatewayYohann Ciurlik
 
How Zillow Unlocked Kafka to 50 Teams in 8 months | Shahar Cizer Kobrinsky, Z...
How Zillow Unlocked Kafka to 50 Teams in 8 months | Shahar Cizer Kobrinsky, Z...How Zillow Unlocked Kafka to 50 Teams in 8 months | Shahar Cizer Kobrinsky, Z...
How Zillow Unlocked Kafka to 50 Teams in 8 months | Shahar Cizer Kobrinsky, Z...HostedbyConfluent
 
kafka
kafkakafka
kafkaAmikam Snir
 
elk_stack_alexander_szalonnas
elk_stack_alexander_szalonnaselk_stack_alexander_szalonnas
elk_stack_alexander_szalonnasAlexander Szalonnas
 
Kafka presentation
Kafka presentationKafka presentation
Kafka presentationMohammed Fazuluddin
 
IBM Integration Bus & WebSphere MQ - High Availability & Disaster Recovery
IBM Integration Bus & WebSphere MQ - High Availability & Disaster RecoveryIBM Integration Bus & WebSphere MQ - High Availability & Disaster Recovery
IBM Integration Bus & WebSphere MQ - High Availability & Disaster RecoveryRob Convery
 
Splunk Overview
Splunk OverviewSplunk Overview
Splunk OverviewSplunk
 
Open shift 4 infra deep dive
Open shift 4 infra deep diveOpen shift 4 infra deep dive
Open shift 4 infra deep diveWinton Winton
 
Scaling Apache Pulsar to 10 PB/day
Scaling Apache Pulsar to 10 PB/dayScaling Apache Pulsar to 10 PB/day
Scaling Apache Pulsar to 10 PB/dayKarthik Ramasamy
 
Log management with ELK
Log management with ELKLog management with ELK
Log management with ELKGeert Pante
 
SRE & Kubernetes
SRE & KubernetesSRE & Kubernetes
SRE & KubernetesAfkham Azeez
 
Centralized Logging System Using ELK Stack
Centralized Logging System Using ELK StackCentralized Logging System Using ELK Stack
Centralized Logging System Using ELK StackRohit Sharma
 
CNCF Meetup - OpenShift Overview
CNCF Meetup - OpenShift OverviewCNCF Meetup - OpenShift Overview
CNCF Meetup - OpenShift OverviewSumit Shatwara
 
Using Kafka Streams to Analyze Live Trading Activity for Crypto Exchanges (Lu...
Using Kafka Streams to Analyze Live Trading Activity for Crypto Exchanges (Lu...Using Kafka Streams to Analyze Live Trading Activity for Crypto Exchanges (Lu...
Using Kafka Streams to Analyze Live Trading Activity for Crypto Exchanges (Lu...confluent
 
Mule Runtime: Performance Tuning
Mule Runtime: Performance Tuning Mule Runtime: Performance Tuning
Mule Runtime: Performance Tuning MuleSoft
 
Kafka internals
Kafka internalsKafka internals
Kafka internalsDavid Groozman
 
Do You Really Need to Evolve From Monitoring to Observability?
Do You Really Need to Evolve From Monitoring to Observability?Do You Really Need to Evolve From Monitoring to Observability?
Do You Really Need to Evolve From Monitoring to Observability?Splunk
 
Apache Kafka
Apache KafkaApache Kafka
Apache Kafkagedoplan
 
Continuous Delivery für Cloud-native Anwendungen auf Cloud-nativer Infrastruktur
Continuous Delivery für Cloud-native Anwendungen auf Cloud-nativer InfrastrukturContinuous Delivery für Cloud-native Anwendungen auf Cloud-nativer Infrastruktur
Continuous Delivery für Cloud-native Anwendungen auf Cloud-nativer InfrastrukturQAware GmbH
 

Más contenido relacionado

La actualidad más candente

Confluent Startup Webinar Series
Confluent Startup Webinar Series Confluent Startup Webinar Series
Confluent Startup Webinar Seriesconfluent
 
create auto scale jboss cluster with openshift
create auto scale jboss cluster with openshiftcreate auto scale jboss cluster with openshift
create auto scale jboss cluster with openshiftYusuf Hadiwinata Sutandar
 
Introduction to Kong API Gateway
Introduction to Kong API GatewayIntroduction to Kong API Gateway
Introduction to Kong API GatewayYohann Ciurlik
 
How Zillow Unlocked Kafka to 50 Teams in 8 months | Shahar Cizer Kobrinsky, Z...
How Zillow Unlocked Kafka to 50 Teams in 8 months | Shahar Cizer Kobrinsky, Z...How Zillow Unlocked Kafka to 50 Teams in 8 months | Shahar Cizer Kobrinsky, Z...
How Zillow Unlocked Kafka to 50 Teams in 8 months | Shahar Cizer Kobrinsky, Z...HostedbyConfluent
 
IBM Integration Bus & WebSphere MQ - High Availability & Disaster Recovery
IBM Integration Bus & WebSphere MQ - High Availability & Disaster RecoveryIBM Integration Bus & WebSphere MQ - High Availability & Disaster Recovery
IBM Integration Bus & WebSphere MQ - High Availability & Disaster RecoveryRob Convery
 
Splunk Overview
Splunk OverviewSplunk Overview
Splunk OverviewSplunk
 
Open shift 4 infra deep dive
Open shift 4 infra deep diveOpen shift 4 infra deep dive
Open shift 4 infra deep diveWinton Winton
 
Scaling Apache Pulsar to 10 PB/day
Scaling Apache Pulsar to 10 PB/dayScaling Apache Pulsar to 10 PB/day
Scaling Apache Pulsar to 10 PB/dayKarthik Ramasamy
 
Log management with ELK
Log management with ELKLog management with ELK
Log management with ELKGeert Pante
 
Centralized Logging System Using ELK Stack
Centralized Logging System Using ELK StackCentralized Logging System Using ELK Stack
Centralized Logging System Using ELK StackRohit Sharma
 
CNCF Meetup - OpenShift Overview
CNCF Meetup - OpenShift OverviewCNCF Meetup - OpenShift Overview
CNCF Meetup - OpenShift OverviewSumit Shatwara
 
Using Kafka Streams to Analyze Live Trading Activity for Crypto Exchanges (Lu...
Using Kafka Streams to Analyze Live Trading Activity for Crypto Exchanges (Lu...Using Kafka Streams to Analyze Live Trading Activity for Crypto Exchanges (Lu...
Using Kafka Streams to Analyze Live Trading Activity for Crypto Exchanges (Lu...confluent
 
Mule Runtime: Performance Tuning
Mule Runtime: Performance Tuning Mule Runtime: Performance Tuning
Mule Runtime: Performance Tuning MuleSoft
 
Do You Really Need to Evolve From Monitoring to Observability?
Do You Really Need to Evolve From Monitoring to Observability?Do You Really Need to Evolve From Monitoring to Observability?
Do You Really Need to Evolve From Monitoring to Observability?Splunk
 

La actualidad más candente (20)

Apache kafka
Apache kafkaApache kafka
Apache kafka
 
Confluent Startup Webinar Series
Confluent Startup Webinar Series Confluent Startup Webinar Series
Confluent Startup Webinar Series
 
create auto scale jboss cluster with openshift
create auto scale jboss cluster with openshiftcreate auto scale jboss cluster with openshift
create auto scale jboss cluster with openshift
 
Introduction to Kong API Gateway
Introduction to Kong API GatewayIntroduction to Kong API Gateway
Introduction to Kong API Gateway
 
How Zillow Unlocked Kafka to 50 Teams in 8 months | Shahar Cizer Kobrinsky, Z...
How Zillow Unlocked Kafka to 50 Teams in 8 months | Shahar Cizer Kobrinsky, Z...How Zillow Unlocked Kafka to 50 Teams in 8 months | Shahar Cizer Kobrinsky, Z...
How Zillow Unlocked Kafka to 50 Teams in 8 months | Shahar Cizer Kobrinsky, Z...
 
kafka
kafkakafka
kafka
 
elk_stack_alexander_szalonnas
elk_stack_alexander_szalonnaselk_stack_alexander_szalonnas
elk_stack_alexander_szalonnas
 
Kafka presentation
Kafka presentationKafka presentation
Kafka presentation
 
IBM Integration Bus & WebSphere MQ - High Availability & Disaster Recovery
IBM Integration Bus & WebSphere MQ - High Availability & Disaster RecoveryIBM Integration Bus & WebSphere MQ - High Availability & Disaster Recovery
IBM Integration Bus & WebSphere MQ - High Availability & Disaster Recovery
 
Splunk Overview
Splunk OverviewSplunk Overview
Splunk Overview
 
Open shift 4 infra deep dive
Open shift 4 infra deep diveOpen shift 4 infra deep dive
Open shift 4 infra deep dive
 
Scaling Apache Pulsar to 10 PB/day
Scaling Apache Pulsar to 10 PB/dayScaling Apache Pulsar to 10 PB/day
Scaling Apache Pulsar to 10 PB/day
 
Log management with ELK
Log management with ELKLog management with ELK
Log management with ELK
 
SRE & Kubernetes
SRE & KubernetesSRE & Kubernetes
SRE & Kubernetes
 
Centralized Logging System Using ELK Stack
Centralized Logging System Using ELK StackCentralized Logging System Using ELK Stack
Centralized Logging System Using ELK Stack
 
CNCF Meetup - OpenShift Overview
CNCF Meetup - OpenShift OverviewCNCF Meetup - OpenShift Overview
CNCF Meetup - OpenShift Overview
 
Using Kafka Streams to Analyze Live Trading Activity for Crypto Exchanges (Lu...
Using Kafka Streams to Analyze Live Trading Activity for Crypto Exchanges (Lu...Using Kafka Streams to Analyze Live Trading Activity for Crypto Exchanges (Lu...
Using Kafka Streams to Analyze Live Trading Activity for Crypto Exchanges (Lu...
 
Mule Runtime: Performance Tuning
Mule Runtime: Performance Tuning Mule Runtime: Performance Tuning
Mule Runtime: Performance Tuning
 
Kafka internals
Kafka internalsKafka internals
Kafka internals
 
Do You Really Need to Evolve From Monitoring to Observability?
Do You Really Need to Evolve From Monitoring to Observability?Do You Really Need to Evolve From Monitoring to Observability?
Do You Really Need to Evolve From Monitoring to Observability?
 

Similar a SplunkLive! München - Flughafen München

Apache Kafka
Apache KafkaApache Kafka
Apache Kafkagedoplan
 
Continuous Delivery für Cloud-native Anwendungen auf Cloud-nativer Infrastruktur
Continuous Delivery für Cloud-native Anwendungen auf Cloud-nativer InfrastrukturContinuous Delivery für Cloud-native Anwendungen auf Cloud-nativer Infrastruktur
Continuous Delivery für Cloud-native Anwendungen auf Cloud-nativer InfrastrukturQAware GmbH
 
Python, Plone und Zope in der Luft- und Raumfahrtforschung
Python, Plone und Zope in der Luft- und RaumfahrtforschungPython, Plone und Zope in der Luft- und Raumfahrtforschung
Python, Plone und Zope in der Luft- und RaumfahrtforschungAndreas Schreiber
 
Python in der Luft- und Raumfahrt
Python in der Luft- und RaumfahrtPython in der Luft- und Raumfahrt
Python in der Luft- und RaumfahrtAndreas Schreiber
 
Nagios Conference 2007 | Vmware Monitoring by Ingo Latschner
Nagios Conference 2007 | Vmware Monitoring by Ingo LatschnerNagios Conference 2007 | Vmware Monitoring by Ingo Latschner
Nagios Conference 2007 | Vmware Monitoring by Ingo LatschnerNETWAYS
 
Splunk Webinar: Splunk for Microsoft Exchange
Splunk Webinar: Splunk for Microsoft ExchangeSplunk Webinar: Splunk for Microsoft Exchange
Splunk Webinar: Splunk for Microsoft ExchangeGeorg Knon
 
TCToolbox Airline Edition - Sicher in die Luft gehen
TCToolbox Airline Edition - Sicher in die Luft gehenTCToolbox Airline Edition - Sicher in die Luft gehen
TCToolbox Airline Edition - Sicher in die Luft gehenOvidius GmbH
 
SplunkLive! Zürich 2016 - Use Case Helvetia
SplunkLive! Zürich 2016 - Use Case HelvetiaSplunkLive! Zürich 2016 - Use Case Helvetia
SplunkLive! Zürich 2016 - Use Case HelvetiaGeorg Knon
 
SplunkLive! Frankfurt 2016 - Helvetia Use Case
SplunkLive! Frankfurt 2016 - Helvetia Use CaseSplunkLive! Frankfurt 2016 - Helvetia Use Case
SplunkLive! Frankfurt 2016 - Helvetia Use CaseSplunk
 
SplunkLive! Zürich 2016 - Use Case Helvetia
SplunkLive! Zürich 2016 - Use Case HelvetiaSplunkLive! Zürich 2016 - Use Case Helvetia
SplunkLive! Zürich 2016 - Use Case HelvetiaSplunk
 
Camunda Community Day_Wiener BPM Offensive
Camunda Community Day_Wiener BPM OffensiveCamunda Community Day_Wiener BPM Offensive
Camunda Community Day_Wiener BPM Offensivecamunda services GmbH
 
Wie baue ich eine KI, die besser als jeder Mensch ein Problem und dessen Ursa...
Wie baue ich eine KI, die besser als jeder Mensch ein Problem und dessen Ursa...Wie baue ich eine KI, die besser als jeder Mensch ein Problem und dessen Ursa...
Wie baue ich eine KI, die besser als jeder Mensch ein Problem und dessen Ursa...OPITZ CONSULTING Deutschland
 
C/ C++ for Notes & Domino Developers
C/ C++ for Notes & Domino DevelopersC/ C++ for Notes & Domino Developers
C/ C++ for Notes & Domino DevelopersUlrich Krause
 
OSMC 2013 | 10 Jahre Monitoring mit Open Source Software bei der DB Systel by...
OSMC 2013 | 10 Jahre Monitoring mit Open Source Software bei der DB Systel by...OSMC 2013 | 10 Jahre Monitoring mit Open Source Software bei der DB Systel by...
OSMC 2013 | 10 Jahre Monitoring mit Open Source Software bei der DB Systel by...NETWAYS
 
SplunkLive! Frankfurt 2019: Splunk at Generali Insurance
SplunkLive! Frankfurt 2019: Splunk at Generali Insurance SplunkLive! Frankfurt 2019: Splunk at Generali Insurance
SplunkLive! Frankfurt 2019: Splunk at Generali Insurance Splunk
 
OSMC 2013 | Enterprise Platforms Monitoring at s IT Solutions AT by Johannes ...
OSMC 2013 | Enterprise Platforms Monitoring at s IT Solutions AT by Johannes ...OSMC 2013 | Enterprise Platforms Monitoring at s IT Solutions AT by Johannes ...
OSMC 2013 | Enterprise Platforms Monitoring at s IT Solutions AT by Johannes ...NETWAYS
 
OSMC 2016: Open Monitoring Distribution 2016+ by Gerhard Laußer
OSMC 2016: Open Monitoring Distribution 2016+ by Gerhard Laußer OSMC 2016: Open Monitoring Distribution 2016+ by Gerhard Laußer
OSMC 2016: Open Monitoring Distribution 2016+ by Gerhard Laußer NETWAYS
 

Similar a SplunkLive! München - Flughafen München (20)

Apache Kafka
Apache KafkaApache Kafka
Apache Kafka
 
Continuous Delivery für Cloud-native Anwendungen auf Cloud-nativer Infrastruktur
Continuous Delivery für Cloud-native Anwendungen auf Cloud-nativer InfrastrukturContinuous Delivery für Cloud-native Anwendungen auf Cloud-nativer Infrastruktur
Continuous Delivery für Cloud-native Anwendungen auf Cloud-nativer Infrastruktur
 
Python, Plone und Zope in der Luft- und Raumfahrtforschung
Python, Plone und Zope in der Luft- und RaumfahrtforschungPython, Plone und Zope in der Luft- und Raumfahrtforschung
Python, Plone und Zope in der Luft- und Raumfahrtforschung
 
openHAB @ rheinJUG Düsseldorf
openHAB @ rheinJUG DüsseldorfopenHAB @ rheinJUG Düsseldorf
openHAB @ rheinJUG Düsseldorf
 
Python in der Luft- und Raumfahrt
Python in der Luft- und RaumfahrtPython in der Luft- und Raumfahrt
Python in der Luft- und Raumfahrt
 
Nagios Conference 2007 | Vmware Monitoring by Ingo Latschner
Nagios Conference 2007 | Vmware Monitoring by Ingo LatschnerNagios Conference 2007 | Vmware Monitoring by Ingo Latschner
Nagios Conference 2007 | Vmware Monitoring by Ingo Latschner
 
Splunk Webinar: Splunk for Microsoft Exchange
Splunk Webinar: Splunk for Microsoft ExchangeSplunk Webinar: Splunk for Microsoft Exchange
Splunk Webinar: Splunk for Microsoft Exchange
 
NETCONF & YANG
NETCONF & YANGNETCONF & YANG
NETCONF & YANG
 
TCToolbox Airline Edition - Sicher in die Luft gehen
TCToolbox Airline Edition - Sicher in die Luft gehenTCToolbox Airline Edition - Sicher in die Luft gehen
TCToolbox Airline Edition - Sicher in die Luft gehen
 
SplunkLive! Zürich 2016 - Use Case Helvetia
SplunkLive! Zürich 2016 - Use Case HelvetiaSplunkLive! Zürich 2016 - Use Case Helvetia
SplunkLive! Zürich 2016 - Use Case Helvetia
 
SplunkLive! Frankfurt 2016 - Helvetia Use Case
SplunkLive! Frankfurt 2016 - Helvetia Use CaseSplunkLive! Frankfurt 2016 - Helvetia Use Case
SplunkLive! Frankfurt 2016 - Helvetia Use Case
 
SplunkLive! Zürich 2016 - Use Case Helvetia
SplunkLive! Zürich 2016 - Use Case HelvetiaSplunkLive! Zürich 2016 - Use Case Helvetia
SplunkLive! Zürich 2016 - Use Case Helvetia
 
Camunda Community Day_Wiener BPM Offensive
Camunda Community Day_Wiener BPM OffensiveCamunda Community Day_Wiener BPM Offensive
Camunda Community Day_Wiener BPM Offensive
 
Wie baue ich eine KI, die besser als jeder Mensch ein Problem und dessen Ursa...
Wie baue ich eine KI, die besser als jeder Mensch ein Problem und dessen Ursa...Wie baue ich eine KI, die besser als jeder Mensch ein Problem und dessen Ursa...
Wie baue ich eine KI, die besser als jeder Mensch ein Problem und dessen Ursa...
 
C/ C++ for Notes & Domino Developers
C/ C++ for Notes & Domino DevelopersC/ C++ for Notes & Domino Developers
C/ C++ for Notes & Domino Developers
 
OSMC 2013 | 10 Jahre Monitoring mit Open Source Software bei der DB Systel by...
OSMC 2013 | 10 Jahre Monitoring mit Open Source Software bei der DB Systel by...OSMC 2013 | 10 Jahre Monitoring mit Open Source Software bei der DB Systel by...
OSMC 2013 | 10 Jahre Monitoring mit Open Source Software bei der DB Systel by...
 
Grundlagen nmap
Grundlagen nmapGrundlagen nmap
Grundlagen nmap
 
SplunkLive! Frankfurt 2019: Splunk at Generali Insurance
SplunkLive! Frankfurt 2019: Splunk at Generali Insurance SplunkLive! Frankfurt 2019: Splunk at Generali Insurance
SplunkLive! Frankfurt 2019: Splunk at Generali Insurance
 
OSMC 2013 | Enterprise Platforms Monitoring at s IT Solutions AT by Johannes ...
OSMC 2013 | Enterprise Platforms Monitoring at s IT Solutions AT by Johannes ...OSMC 2013 | Enterprise Platforms Monitoring at s IT Solutions AT by Johannes ...
OSMC 2013 | Enterprise Platforms Monitoring at s IT Solutions AT by Johannes ...
 
OSMC 2016: Open Monitoring Distribution 2016+ by Gerhard Laußer
OSMC 2016: Open Monitoring Distribution 2016+ by Gerhard Laußer OSMC 2016: Open Monitoring Distribution 2016+ by Gerhard Laußer
OSMC 2016: Open Monitoring Distribution 2016+ by Gerhard Laußer
 

Más de Splunk

.conf Go 2023 - Data analysis as a routine
.conf Go 2023 - Data analysis as a routine.conf Go 2023 - Data analysis as a routine
.conf Go 2023 - Data analysis as a routineSplunk
 
.conf Go 2023 - How KPN drives Customer Satisfaction on IPTV
.conf Go 2023 - How KPN drives Customer Satisfaction on IPTV.conf Go 2023 - How KPN drives Customer Satisfaction on IPTV
.conf Go 2023 - How KPN drives Customer Satisfaction on IPTVSplunk
 
.conf Go 2023 - Navegando la normativa SOX (Telefónica)
.conf Go 2023 - Navegando la normativa SOX (Telefónica).conf Go 2023 - Navegando la normativa SOX (Telefónica)
.conf Go 2023 - Navegando la normativa SOX (Telefónica)Splunk
 
.conf Go 2023 - Raiffeisen Bank International
.conf Go 2023 - Raiffeisen Bank International.conf Go 2023 - Raiffeisen Bank International
.conf Go 2023 - Raiffeisen Bank InternationalSplunk
 
.conf Go 2023 - På liv og død Om sikkerhetsarbeid i Norsk helsenett
.conf Go 2023 - På liv og død Om sikkerhetsarbeid i Norsk helsenett .conf Go 2023 - På liv og død Om sikkerhetsarbeid i Norsk helsenett
.conf Go 2023 - På liv og død Om sikkerhetsarbeid i Norsk helsenett Splunk
 
.conf Go 2023 - Many roads lead to Rome - this was our journey (Julius Bär)
.conf Go 2023 - Many roads lead to Rome - this was our journey (Julius Bär).conf Go 2023 - Many roads lead to Rome - this was our journey (Julius Bär)
.conf Go 2023 - Many roads lead to Rome - this was our journey (Julius Bär)Splunk
 
.conf Go 2023 - Das passende Rezept für die digitale (Security) Revolution zu...
.conf Go 2023 - Das passende Rezept für die digitale (Security) Revolution zu....conf Go 2023 - Das passende Rezept für die digitale (Security) Revolution zu...
.conf Go 2023 - Das passende Rezept für die digitale (Security) Revolution zu...Splunk
 
.conf go 2023 - Cyber Resilienz – Herausforderungen und Ansatz für Energiever...
.conf go 2023 - Cyber Resilienz – Herausforderungen und Ansatz für Energiever....conf go 2023 - Cyber Resilienz – Herausforderungen und Ansatz für Energiever...
.conf go 2023 - Cyber Resilienz – Herausforderungen und Ansatz für Energiever...Splunk
 
.conf go 2023 - De NOC a CSIRT (Cellnex)
.conf go 2023 - De NOC a CSIRT (Cellnex).conf go 2023 - De NOC a CSIRT (Cellnex)
.conf go 2023 - De NOC a CSIRT (Cellnex)Splunk
 
conf go 2023 - El camino hacia la ciberseguridad (ABANCA)
conf go 2023 - El camino hacia la ciberseguridad (ABANCA)conf go 2023 - El camino hacia la ciberseguridad (ABANCA)
conf go 2023 - El camino hacia la ciberseguridad (ABANCA)Splunk
 
Splunk - BMW connects business and IT with data driven operations SRE and O11y
Splunk - BMW connects business and IT with data driven operations SRE and O11ySplunk - BMW connects business and IT with data driven operations SRE and O11y
Splunk - BMW connects business and IT with data driven operations SRE and O11ySplunk
 
Splunk x Freenet - .conf Go Köln
Splunk x Freenet - .conf Go KölnSplunk x Freenet - .conf Go Köln
Splunk x Freenet - .conf Go KölnSplunk
 
Splunk Security Session - .conf Go Köln
Splunk Security Session - .conf Go KölnSplunk Security Session - .conf Go Köln
Splunk Security Session - .conf Go KölnSplunk
 
Data foundations building success, at city scale – Imperial College London
Data foundations building success, at city scale – Imperial College London Data foundations building success, at city scale – Imperial College London
Data foundations building success, at city scale – Imperial College LondonSplunk
 
Splunk: How Vodafone established Operational Analytics in a Hybrid Environmen...
Splunk: How Vodafone established Operational Analytics in a Hybrid Environmen...Splunk: How Vodafone established Operational Analytics in a Hybrid Environmen...
Splunk: How Vodafone established Operational Analytics in a Hybrid Environmen...Splunk
 
SOC, Amore Mio! | Security Webinar
SOC, Amore Mio! | Security WebinarSOC, Amore Mio! | Security Webinar
SOC, Amore Mio! | Security WebinarSplunk
 
.conf Go 2022 - Observability Session
.conf Go 2022 - Observability Session.conf Go 2022 - Observability Session
.conf Go 2022 - Observability SessionSplunk
 
.conf Go Zurich 2022 - Keynote
.conf Go Zurich 2022 - Keynote.conf Go Zurich 2022 - Keynote
.conf Go Zurich 2022 - KeynoteSplunk
 
.conf Go Zurich 2022 - Platform Session
.conf Go Zurich 2022 - Platform Session.conf Go Zurich 2022 - Platform Session
.conf Go Zurich 2022 - Platform SessionSplunk
 
.conf Go Zurich 2022 - Security Session
.conf Go Zurich 2022 - Security Session.conf Go Zurich 2022 - Security Session
.conf Go Zurich 2022 - Security SessionSplunk
 

Más de Splunk (20)

.conf Go 2023 - Data analysis as a routine
.conf Go 2023 - Data analysis as a routine.conf Go 2023 - Data analysis as a routine
.conf Go 2023 - Data analysis as a routine
 
.conf Go 2023 - How KPN drives Customer Satisfaction on IPTV
.conf Go 2023 - How KPN drives Customer Satisfaction on IPTV.conf Go 2023 - How KPN drives Customer Satisfaction on IPTV
.conf Go 2023 - How KPN drives Customer Satisfaction on IPTV
 
.conf Go 2023 - Navegando la normativa SOX (Telefónica)
.conf Go 2023 - Navegando la normativa SOX (Telefónica).conf Go 2023 - Navegando la normativa SOX (Telefónica)
.conf Go 2023 - Navegando la normativa SOX (Telefónica)
 
.conf Go 2023 - Raiffeisen Bank International
.conf Go 2023 - Raiffeisen Bank International.conf Go 2023 - Raiffeisen Bank International
.conf Go 2023 - Raiffeisen Bank International
 
.conf Go 2023 - På liv og død Om sikkerhetsarbeid i Norsk helsenett
.conf Go 2023 - På liv og død Om sikkerhetsarbeid i Norsk helsenett .conf Go 2023 - På liv og død Om sikkerhetsarbeid i Norsk helsenett
.conf Go 2023 - På liv og død Om sikkerhetsarbeid i Norsk helsenett
 
.conf Go 2023 - Many roads lead to Rome - this was our journey (Julius Bär)
.conf Go 2023 - Many roads lead to Rome - this was our journey (Julius Bär).conf Go 2023 - Many roads lead to Rome - this was our journey (Julius Bär)
.conf Go 2023 - Many roads lead to Rome - this was our journey (Julius Bär)
 
.conf Go 2023 - Das passende Rezept für die digitale (Security) Revolution zu...
.conf Go 2023 - Das passende Rezept für die digitale (Security) Revolution zu....conf Go 2023 - Das passende Rezept für die digitale (Security) Revolution zu...
.conf Go 2023 - Das passende Rezept für die digitale (Security) Revolution zu...
 
.conf go 2023 - Cyber Resilienz – Herausforderungen und Ansatz für Energiever...
.conf go 2023 - Cyber Resilienz – Herausforderungen und Ansatz für Energiever....conf go 2023 - Cyber Resilienz – Herausforderungen und Ansatz für Energiever...
.conf go 2023 - Cyber Resilienz – Herausforderungen und Ansatz für Energiever...
 
.conf go 2023 - De NOC a CSIRT (Cellnex)
.conf go 2023 - De NOC a CSIRT (Cellnex).conf go 2023 - De NOC a CSIRT (Cellnex)
.conf go 2023 - De NOC a CSIRT (Cellnex)
 
conf go 2023 - El camino hacia la ciberseguridad (ABANCA)
conf go 2023 - El camino hacia la ciberseguridad (ABANCA)conf go 2023 - El camino hacia la ciberseguridad (ABANCA)
conf go 2023 - El camino hacia la ciberseguridad (ABANCA)
 
Splunk - BMW connects business and IT with data driven operations SRE and O11y
Splunk - BMW connects business and IT with data driven operations SRE and O11ySplunk - BMW connects business and IT with data driven operations SRE and O11y
Splunk - BMW connects business and IT with data driven operations SRE and O11y
 
Splunk x Freenet - .conf Go Köln
Splunk x Freenet - .conf Go KölnSplunk x Freenet - .conf Go Köln
Splunk x Freenet - .conf Go Köln
 
Splunk Security Session - .conf Go Köln
Splunk Security Session - .conf Go KölnSplunk Security Session - .conf Go Köln
Splunk Security Session - .conf Go Köln
 
Data foundations building success, at city scale – Imperial College London
Data foundations building success, at city scale – Imperial College London Data foundations building success, at city scale – Imperial College London
Data foundations building success, at city scale – Imperial College London
 
Splunk: How Vodafone established Operational Analytics in a Hybrid Environmen...
Splunk: How Vodafone established Operational Analytics in a Hybrid Environmen...Splunk: How Vodafone established Operational Analytics in a Hybrid Environmen...
Splunk: How Vodafone established Operational Analytics in a Hybrid Environmen...
 
SOC, Amore Mio! | Security Webinar
SOC, Amore Mio! | Security WebinarSOC, Amore Mio! | Security Webinar
SOC, Amore Mio! | Security Webinar
 
.conf Go 2022 - Observability Session
.conf Go 2022 - Observability Session.conf Go 2022 - Observability Session
.conf Go 2022 - Observability Session
 
.conf Go Zurich 2022 - Keynote
.conf Go Zurich 2022 - Keynote.conf Go Zurich 2022 - Keynote
.conf Go Zurich 2022 - Keynote
 
.conf Go Zurich 2022 - Platform Session
.conf Go Zurich 2022 - Platform Session.conf Go Zurich 2022 - Platform Session
.conf Go Zurich 2022 - Platform Session
 
.conf Go Zurich 2022 - Security Session
.conf Go Zurich 2022 - Security Session.conf Go Zurich 2022 - Security Session
.conf Go Zurich 2022 - Security Session
 

SplunkLive! München - Flughafen München

  • 1. splunk > live 2017 Flughafen München Einführung einer zentralen Logfile Management Lösung
  • 2. Gut. Besser. Ausgezeichnet Flughafen München GmbH, Splunk Live Munich 20172 Der Flughafen München ist der erste Fünf-Sterne-Flughafen Europas. Bereits zum zehnten Mal wählten ihn die Passagiere zum besten Flughafen Europas (World Airport Awards). Erster Fünf-Sterne- Flughafen Europas Bester Flughafen Europas und drittbester der Welt Bester Arbeitgeber der Branche Verkehr und Logistik 2
  • 3. Flughafen München GmbH Flughafen München GmbH, Splunk Live Munich 20173
  • 4. Flughafen München GmbH Flughafen München GmbH, Splunk Live Munich 20174
  • 5. Faszination Flughafen 5 42 Mio. Passagiere 1.600 Hektar Gesamtfläche 35.000 Mitarbeiter am Campus Illustration nicht maßstabs- und lagegetreu 550 Betriebe am Campus 400.000 Starts & Landungen 335.000 Tonnen Luftfracht Der Flughafen München – eine Stadt zum Abheben. Flughafen München GmbH, Splunk Live Munich 2017
  • 6. Ausgangssituation: Erkenntnisse vor dem Projekt „zentrale Log-Management-Lösung“ • Es existieren Fragestellungen, die eine spezialisierte Person/ Programm zur Beantwortung benötigen. • Nur in jedem Gewerk einzeln und nicht übergreifend möglich. • Innerhalb von Gewerken wird u.U. nicht zentral geloggt. • Übergreifende Beantwortung schwierig – im Wesentlichen aber langwierig und schwer wiederholbar • Die notwendige Transparenz unser eigenen digitalen Welt ist nicht gegeben. • Wir haben Defizite, die Schätze der digitalen Welt für die Zukunft zu heben. Flughafen München GmbH, Splunk Live Munich 20176
  • 7. Projekt-Historie • 2012 - Erste Splunk-Tests im Umfeld Remote Access und Firewall • Tests vielversprechend, keine Beschaffung • 2013/14 – erste Ideen zur Einführung einer SIEM-Lösung • Definition erster konzeptioneller Punkte • 2015 – Projektauftrag „zentrale Log-Management-Lösung für LAN/WLAN/Security“ • Technische Voraussetzung für SIEM geschaffen • 2016 - Umsetzung zentrales Log-Management mit Splunk Enterprise • Toolauswahl / Proof of Concept. Erste Schätzung des Datenvolumens: ~ 45 GByte / Tag • Einbindung Datenschutz und Betriebsrat • Beschaffung: HW & SW ( Lizenz: 150 GByte / Tag) • 2017 – Nutzung durch Betrieb und Engineering • Momentanes Datenvolumen: ~110 Gbyte / Tag Flughafen München GmbH, Splunk Live Munich 20177
  • 8. Architektur: Produktauswahl - Warum Splunk ? Arbeits- erleichterun g Ablösung von Scripten durch übersichtliche Tabellen Zeitersparnis Automatisierung von textuellen Analysen Korrelation von mehreren Datenquelle n Security Vorfälle können entdeckt werden Alarmierung bei Störungen Einfache Bedienung Suchsprache ist auch für komplexe Fragestellungen geeignet Flughafen München GmbH, Splunk Live Munich 20178
  • 9. Architektur: Überblick Zentralsystem Flughafen München GmbH, Splunk Live Munich 20179
  • 10. Zahlen, Daten, Fakten Flughafen München GmbH, Splunk Live Munich 201710
  • 11. 3 Use Cases – Anforderungen aus dem IT Betrieb (Beispiele) Proxy Systeme • Mehrere geclusterte Systeme • Jedes System loggt für sich • Web Interface lädt das komplette Log  Welches System bedient den Request des Kunden (und mit welchem Ergebnis)? Unbekanntes LAN Objekt (ULO) • NAC-Lösung im MPLS/VPN-Umfeld • Zuordnung Ereignis/System zu örtlicher Lokation  Wo und wie oft tritt ein solcher Vorfall auf? Email • Mehrere geclusterte Systeme • Unterschiedliche Softwarekomponenten • Keine einheitlichen Logs für Mail, AV, SPAM-Erkennung Warum wurden Emails nicht zugestellt? 11 Flughafen München GmbH, Splunk Live Munich 2017
  • 12. UseCase: zentrales Logging von Proxy Systemen • Setup der FMG: • zweistufiges Proxy System (interner + externer Cluster) • Pro Cluster jeweils zwei leistungsstarke Server für Produktion • Pro Cluster jeweils ein adäquates Testsystem • System schreibt die Logs erstmal nur lokal. • Aufgrund der Größe wird das Log stündlich rotiert und komprimiert. • Betriebseinheit besitzt Zugriff auf die Proxy Logs nur über Webschnittstelle (Logansicht = Download), sollen aber im Rahmen von Störbehebung ggf. telefonisch schnell Auskunft geben können. Flughafen München GmbH, Splunk Live Munich 201712
  • 13. UseCase: Proxy Systeme • Installation des Splunk Universal Forwarder auf das System • Einfaches Splunk Dashboard für den Betrieb: • Suche in nahezu Echtzeit möglich – über mehrere Server / Logfiles hinweg – auch ältere Events können gefunden werden – incl. Drilldown zu weiteren Informationen. Flughafen München GmbH, Splunk Live Munich 201713
  • 14. UseCase: Proxy Systeme • Proxy Logs können schnell auf Probleme hinweisen • Lastverteilung OK? • Ausreißer in der Nutzung der Proxies? • „misbehaving“ Clients Flughafen München GmbH, Splunk Live Munich 201714
  • 15. UseCase: ULO – unbekannte LAN Objekte Flughafen München GmbH, Splunk Live Munich 201715 • ULO: eigenentwickelte NAC-Lösung im MPLS/VPN-Umfeld • Vergleicht sichtbare MAC Adressen an Switchports mit bekannten MAC Adressen aus der CMDB • deaktiviert den Switchport bei Diskrepanzen • Der Ort des betroffenen Switches / Port ist nicht identisch mit der physikalischen Lokation der LAN Dose an dem das ULO aufgetreten ist. • Logdatei für ULO: Text (csv Datei) • Information über physikalische Lokationen ist im Kabelmanagement Tool vorhanden. Backend ist eine Oracle Datenbank.  Korrelation des Ulo Events  Kabelweg  Gebäude/Raum/Dose
  • 16. UseCase: ULO – unbekannte LAN Objekte Flughafen München GmbH, Splunk Live Munich 201716 • Backend ist eine Oracle DB: • Eine singuläre Abfrage benötigt ~ 20 min um aus Switch + Port die entsprechende Lokation der Dose zu bekommen. • Die Abfrage aller Switch / Port Kombis zu den angeschlossenen Dosen benötigt ebenfalls ~20 min • Applikations Admin merkt an, daß dieser Anwendungsfall nicht wirklich unterstützt ist, ggf. könnten DB Admins eine “materialized view“ einrichten. • DB Administration schlägt vor, die genutzten Views / Queries vom Hersteller optimieren zu lassen (  Zeit / Kosten ). Splunk Admin zieht sich die Daten täglich mittels Splunk DB Connect ab und speichert sie in einer CSV Datei als lookup ab: | dbxquery connection=… query="SELECT …" shortnames=t output=csv wrap=f maxrows=1000000 | outputcsv switch-port2bauteil-ebene-raum
  • 17. UseCase: ULO – unbekannte LAN Objekte Flughafen München GmbH, Splunk Live Munich 201717 • ULO Daten können angemessen gefiltert und dargestellt werden:
  • 18. UseCase: ULO – unbekannte LAN Objekte Flughafen München GmbH, Splunk Live Munich 201718 • Auch die Historie ist erkennbar:
  • 19. UseCase: ULO – unbekannte LAN Objekte Flughafen München GmbH, Splunk Live Munich 201719
  • 20. UseCase: Ablauf einer Email durch verschiedene Sicherheitssysteme • Setup der FMG: • mehrstufiges System • Unterschiedliche Produkte für MTA, Spam, AV, Crypto im Einsatz • Aus Redundanzgründen sind die einzelnen Komponenten mindestens doppelt vorhanden. • Logdaten zu einer Email der einzelnen Komponenten nur schwierig untereinander korrelierbar. • Eine Email kann durch unterschiedliche Software Instanzen auf dem gleichen oder unterschiedlichen Servern geschleust werden. Flughafen München GmbH, Splunk Live Munich 201720
  • 21. UseCase: Ablauf einer Email durch verschiedene Sicherheitssysteme • Anforderung aus dem Betrieb: • Es soll eine einfache Lösung zur Nachverfolgung durch die verschiedenen Email Instanzen soll etabliert werden. • Herausforderungen bei der Umsetzung: Eine Email kann bei der FMG durch 7 unterschiedliche Software Instanzen laufen, bevor sie ausgeliefert wird. Die Korrelation der entsprechenden Events über die ‚queue_id‘ ist nicht eindeutig. Fallback: ‚message_id‘. Auch die message_id ist nicht eindeutig. AV Systeme können diese ggf. verändern. Die Kombination ist für uns jedoch ausreichend. Der aktuelle Status einer Email ist nicht in einer singulären Logzeile hinterlegt. Es müssen immer mehrere Logzeilen miteinander verknüpft werden („queue_id“). Probleme siehe oben. Flughafen München GmbH, Splunk Live Munich 201721
  • 22. UseCase: Ablauf einer Email durch verschiedene Sicherheitssysteme • Umsetzung: • Annahme durch FMG Mailserver durch rote oder grüne Markierung dargestellt.  eine erste Aussage sofort möglich. • Komplexere Fälle (z.B. multiple Adressaten) müssen über eine andere Suche erkannt werden. „transaction queue_id endswith=removed startswith=client ...“ Flughafen München GmbH, Splunk Live Munich 201722
  • 23. UseCase: Ablauf einer Email durch verschiedene Sicherheitssysteme • Umsetzung: • Drilldown ergibt detaillierte Aussage über den Weg einer Email durch die FMG Systeme: Flughafen München GmbH, Splunk Live Munich 201723
  • 24. UseCase: Ablauf einer Email durch verschiedene Sicherheitssysteme • Umsetzung: • Ebenso ist der AV Status sofort an der grünen bzw. roten Markierung erkennbar. • Das komplette Ergebnis ist als ein singuläres Dashboard realisiert. Flughafen München GmbH, Splunk Live Munich 201724
  • 25. Weitere Nutzungsbeispiele • Internetauftritt www.munich-airport.de & Passengr-App: • Logfiles der Web & Application Server geben sofort Auskunft über evtl. auftretende Probleme im Betrieb oder auch beim deployment einer neuen Version in der Testumgebung. • Auswirkungsanalyse • Switch „xyz“ wird im Rahmen normaler Tätigkeiten gebootet  Welche Systeme sind davon betroffen? • Analysen weiterer Logquellen / Daten: • Security Systeme: Firewall, Remote Access Systeme, Vuln. & APT-Scans. • WLAN und Radius. • Remote Desktop Strategie • Messung und Vergleich der Benutzbarkeit von virtuellen zu physikalischen Endnutzer Systemen (Terminalserver vs. Thin Client). Flughafen München GmbH, Splunk Live Munich 201725
  • 26. Ideen / Ausblick • Vorher-/Nachher Analyse im Netzwerk im Rahmen von Changes: • Im Rahmen des PoC von Splunk mit einfachen Mitteln (zählen von Routing Tabellen, getrunkten VLANs, etc. ) erfolgreich angegangen. Vielversprechender erscheint uns die Möglichkeit entsprechende Parameter durch Machine Learning auswerten zu lassen. • Security Incident und Event Management System. • Erweiterung der Nutzung von Splunk auf die gesamte IT-Landschaft, sowie die Validierung weiterer Use Cases im Umfeld Technik, Marketing usw. Die initial erkannten Anwendungsfälle sind nur der Startpunkt für alle weiteren Aktivitäten. Nahezu jedes Logfile enthält, auch für den erfahrenen Administrator, Überraschungen. Fragestellungen verändern sich, da sich die Kenntnisse zu einzelnen Gewerken vertiefen. Weg von: „zähle X“, hin zu „vergleiche X mit Y, visualisiere, erkenne den Grund für X“. Entscheidungen werden nicht mehr aufgrund einzelner Parameter, sondern aufgrund größerer Zusammenhänge getroffen. Flughafen München GmbH, Splunk Live Munich 201726