Use case 5:syslog-ng Store Box (SSB)
在典型的安裝中,syslog-ng™ 從客戶端設備收集所有日誌訊息,但只將其中的一小部分轉發到 Splunk。例如,與身分驗證相關的訊息將被轉發用於安全監控、路由器日誌到另一個 Splunk 模組等。但是,在日常操作中,卻是沒有明確的界限,因為在某種程度上,所有的一切都息息相關。 這就是 syslog-ng Store Box (SSB) 派上用場的地方:它提供了一個易於使用的Web界面來存取所有日誌訊息。雖然不同部門 (例如資安部門) 可以使用Splunk提供的專門報表,但需要存取所有資料的人員可以輕鬆瀏覽任何日誌。 使用 SSB 還具有其他優勢,您不必自己整合組件和手動編輯配置,相反,您可以將完整的日誌生命週期管理整合到一個易於使用的設備中。使用 Web 界面,您還可以輕鬆配置日誌收集、處理、過濾、儲存和日誌保留。 當 SSB 儲存日誌訊息時,同時也會將它們建立索引,這使得搜尋效率更高。對數十 GB 的日誌訊息使用簡單的 grep 命令需要花費大量時間和資源。對索引的日誌訊息進行相同的搜索只需幾分之一秒 (這意味著您可以非常快速地將搜索範圍縮小到相關的日誌訊息)。 您可以透過多種方式將日誌從 SSB 轉發到 Splunk。如果您的訊息速率非常低,您可以使用 syslog 協定將日誌從 SSB 發送到 Splunk。但是,這種方法不是特別推薦。 SSB 還可以透過 SMB 和 NFS 協定匯出日誌。在這種情況下,一台機器安裝這些目錄,在上面運行的 Splunk 轉發器會讀取日誌訊息並將它們發送到 Splunk。 另一種選擇是將日誌從 SSB 轉發到運行 syslog-ng™ 的機器,將日誌保存到 Splunk 轉發器所期望的目錄結構中,或者直接將訊息轉發到 Splunk HTTP 事件收集器。 | 
