{"id":1385,"date":"2023-11-17T12:34:22","date_gmt":"2023-11-17T09:34:22","guid":{"rendered":"https:\/\/testblogbh.com\/blog\/splunk-%d0%bd%d0%b5%d0%b2%d1%96%d0%b4%d0%be%d0%bc%d0%b5-%d0%b7%d0%b2%d1%96%d1%80%d1%8f%d1%82%d0%ba%d0%be-%d1%96-%d0%b4%d0%b5-%d0%b2%d0%be%d0%bd%d0%be-%d0%bc%d0%b5%d1%88%d0%ba%d0%b0%d1%94\/"},"modified":"2025-09-24T14:47:14","modified_gmt":"2025-09-24T11:47:14","slug":"splunk-the-animal-is-unknown-and-where-it-lives","status":"publish","type":"post","link":"https:\/\/blog.bithide.io\/uk\/knowledge-base\/splunk-the-animal-is-unknown-and-where-it-lives\/","title":{"rendered":"SPLUNK \u2013 \u043d\u0435\u0432\u0456\u0434\u043e\u043c\u0435 \u0437\u0432\u0456\u0440\u044f\u0442\u043a\u043e \u0456 \u0434\u0435 \u0432\u043e\u043d\u043e \u043c\u0435\u0448\u043a\u0430\u0454"},"content":{"rendered":"

При централізованому управлінні розподілених систем виникає питання моніторингу цих систем, причому бажано як реального часу, з можливістю оперативного втручання у разі настання інциденту.<\/p>\n\n\n\n

Ефективно вирішити таке завдання дозволяє централізація збору, зберігання та обробки журналів систем, що спостерігаються. Також централізоване зберігання ліг дозволяє відновити хід подій навіть у разі повного знищення цільової системи, включаючи журнали подій.<\/p>\n\n\n\n

Сьогодні розповімо про підключення OS на базі Linux систем простими (сподіваюся) словами.<\/p>\n\n\n\n

За основу комплексу взято Splunk-сервер актуальної версії 9.0.5, який успішно приймає дані від Windows та інших систем. При встановленні сервера призначено окремий порт 39801, на якому сервіс-listener і прийматиме у нас усі дані від агентів.<\/p>\n\n\n\n

Перед початком підключення слід визначитися: яким саме способом збирати дані з серверів, і як Ви потім їх оброблятимете. Побудуйте собі ланцюжок від події, яка може гіпотетично відбутися на сервері, який Ви хочете відстежити, і до реакції на цю подію.<\/p>\n\n\n\n

Візьмемо як приклад нескладний інцидент: підвищення (або спроба підвищення) прав користувача від «звичайного» рівня root в OS LINUX. Ланцюжок буде такий:<\/p>\n\n\n\n

    \n
  1. Користувач<\/a> успішно (або неуспішно) підвищив собі права до root ввівши команду sudo<\/strong>-i<\/strong>.<\/li>\n\n\n\n
  2. Подія зафіксувалося в логах сервера (клієнта – по відношенню до сервера Splunk)<\/li>\n\n\n\n
  3. Подія передається з клієнта на сервер<\/a> Splunk<\/li>\n\n\n\n
  4. На сервері Splunk подія потрапляє до певного індексу, де оброблятиметься і головне – зберігатиметься для ретроспективного аналізу.<\/li>\n<\/ol>\n\n\n\n

    Додатково, для деяких подій їх можна нормалізувати ще на стороні клієнта, але краще, щоб вони потрапляли на сервер<\/a> у чистому, незамутненому вигляді. Особливо критичні.<\/p>\n\n\n\n

    Отже, подія відбулася, і вона має бути відображена у логах клієнта. Два основні методи – збір «рідних» ліг LINUX і збір демоном auditd. Обидва способи мають свої відмінності у налаштуванні та обробці.<\/p>\n\n\n\n

      \n
    1. Штатно, логи збираються у папці \/var\/log\/. Можливо, цього буде цілком достатньо, але це залежить від того, які у Вас послуги та каталоги повинні моніторитися. Намагатимемося моніторити всю папку і подивимося, які дані потраплять в індекс автоматично. <\/li>\n\n\n\n
    2. Можна встановити auditd<\/strong> – цей демон збиратиме всі події в один файл. Auditd має свій власний конфігураційний файл, і можна вказувати що і яким чином він буде збирати. Мінусом auditd можна вважати зайве навантаження на систему, але це регулюється або його тонкими налаштуваннями або збільшенням обсягу пам’яті. За промовчанням файл створюється за адресою \/var\/log\/audit\/audit.log
      Врахуйте цей момент, якщо налаштовуватимете одночасно моніторинг папки \/var\/log\/ та журналу демона auditd, щоб у Вас не дублювалися записи подій.<\/li>\n<\/ol>\n\n\n\n

      Визначившись з тим, що і як ми збиратимемо, можна переходити до етапу передачі цієї інформації на сервер<\/a>. Для цього використовуватимемо універсальний сервіс від Splunk – Splunk Forwarder. Для різних систем його можна завантажити за посиланням: https:\/\/www.splunk.com\/en_us\/download\/universal-forwarder.html#tabs\/linux<\/a> (потрібна реєстрація).<\/p>\n\n\n\n

      Завдання форвардера – передати інформацію з точки А до точки Б, де точкою А виступає лог-файл, а точною Б – сервер<\/a> Splunk. Крім цього, форвардер може передавати дані по ланцюжку: наприклад, з декількох серверів в одному сегменті мережі, які не мають прямого доступу до сервера Splunk, клієнтські форвардери передають дані на консолідуючий форвардер, а він у свою чергу передає на сервер<\/a> окремо, спеціально для нього виділеного каналу, в іншу підмережу.<\/p>\n\n\n\n

      Встановлення форвардера на сервер<\/a>, що спостерігається, починається зі створення індивідуального користувача і групи, під яким форвардер і буде запускатися. За замовчуванням це користувач<\/a> splunk<\/em><\/strong> <\/em>та група splunk<\/em><\/strong>.<\/p>\n\n\n\n

      Створіть користувача та групу:<\/p>\n\n\n\n

      #useradd -m splunk<\/p>\n\n\n\n

      #groupadd splunk<\/p>\n\n\n\n

      Створіть домашню директорію для форвардера:<\/p>\n\n\n\n

      #export SPLUNK_HOME=”\/opt\/splunkforwarder”<\/p>\n\n\n\n

      #mkdir $SPLUNK_HOME<\/p>\n\n\n\n

      Завантажений дистрибутив в архіві .tgz розпакуйте в папку \/opt\/splunkforwarder\/ і призначте власником нового користувача:<\/p>\n\n\n\n

      #chown -R splunk:splunk $SPLUNK_HOME<\/p>\n\n\n\n

      Перейдіть на нового користувача splunk<\/em> або будь-якого іншого непривілейованого користувача і зайдіть в папку \/opt\/splunkforwarder\/bin\/ і знайдіть скрипт splunk.<\/p>\n\n\n\n

      Виконайте перший запуск скрипта, при якому він установить необхідні компоненти<\/p>\n\n\n\n

      $sudo $SPLUNK_HOME\/bin\/splunk start –accept-license<\/p>\n\n\n\n

      Надалі цей скрипт знадобиться для перезапуску форвардера, інші налаштування вказуються лише у файлах конфігурації.<\/p>\n\n\n\n

      .\/splunk stop – зупинка сервісу<\/p>\n\n\n\n

      .\/splunk start – запуск сервісу<\/p>\n\n\n\n

      .\/splunk status – перевірка поточного статусу<\/p>\n\n\n\n

      Після інсталяції в папці \/opt\/splunkforwarder\/etc\/system\/ з’являться три цікаві для нас папки з налаштуваннями<\/p>\n\n\n\n

      \/default – у цій папці є всі конфігураційні файли, які діють за замовчуванням. Змінювати їх не можна.<\/p>\n\n\n\n

      \/README – докладний опис кожного параметра в кожному файлі.<\/p>\n\n\n\n

      \/local – цікава для нас папка. Усі конфігураційні файли, розміщені в цій папці, мають пріоритет над дефолтними налаштуваннями.<\/p>\n\n\n\n

      Для простої передачі даних з клієнта на сервер<\/a> Splunk нам знадобиться два файли, що визначають “що” збирати, і “куди” відправляти.<\/p>\n\n\n\n

      outputs.conf – вказує адресу цільового сервера чи вузлового форвардера.<\/p>\n\n\n\n

      Для одного сервера достатньо наступної конфігурації:<\/p>\n\n\n\n

      \"\"<\/figure>\n\n\n\n

      [tcpout]<\/p>\n\n\n\n

      defaultGroup = default-autolb-group<\/p>\n\n\n\n

      [tcpout:default-autolb-group]<\/p>\n\n\n\n

      server = 10.10.10.5: 39801<\/p>\n\n\n\n

      Незважаючи на те, що сервер<\/a> і клієнт один, потрібно вказати групу за замовчуванням, в яку буде входити клієнт. Коли клієнтів буде кілька, потрібно вказувати ту саму групу.<\/p>\n\n\n\n

      Обов’язково перевірте, чи вказаний вами порт з клієнтської машини (наприклад, за допомогою команди: $ telnet 10.10.10.5 39801).<\/p>\n\n\n\n

      Inputs.conf – перераховує що саме збирати і до якого індексу відправляти.<\/p>\n\n\n\n

      \"\"<\/figure>\n\n\n\n

      На початку вкажемо конфігурацію, яка вважатиметься за умовчанням<\/p>\n\n\n\n

      [default]<\/p>\n\n\n\n

      index = linux-debian – індекс, куди потраплятимуть дані, якщо не зазначено інше.<\/p>\n\n\n\n

      host = $decideOnStartup – ім’я даного сервера, як він буде відображатися в логах спланка. Важливий момент – якщо залишити значення $decideOnStartup, буде взято ім’я сервера, яке він отримав при інсталяції. Але у випадку віртуалізованих серверів, і якщо вони створювалися клонуванням, Ви отримаєте однакові імена хостів, які змішаються в індексі. Також не слід прив’язуватися до IP-адреси машини – багато подій не мають прив’язки до адреси і ніяк її не відображають. Набагато надійніше буде вручну вказати ім’я сервера, як Ви хочете бачити його логах спланування.<\/p>\n\n\n\n

      Вкажемо чорний список файлів, їх розташування, які не потрібно моніторити<\/p>\n\n\n\n

      [blacklist:$SPLUNK_HOME\/etc\/auth]<\/p>\n\n\n\n

      [blacklist:$SPLUNK_HOME\/etc\/passwd]<\/p>\n\n\n\n

      Вказуємо, що потрібно моніторити і куди складати, в який індекс:<\/p>\n\n\n\n

      [monitor:\/\/var\/log\/audit\/audit .log] – це файл, який створює демон auditd.<\/p>\n\n\n\n

      index = linux_auditd – зверніть увагу, для нього створено окремий індекс на сервері. Якщо цей параметр не вказати, буде вибрано індекс linux-debian, вказаний у блоці [default] на початку файлу.<\/p>\n\n\n\n

      [monitor:\/\/var\/log \/] – цей пункт показує, що моніторити необхідно всю папку \/var\/log\/. Оскільки не вказано додатковий параметр index, дані потраплять за замовчуванням до index = linux-debian<\/p>\n\n\n\n

      Звертаємо увагу – у такій конфігурації буде повторно моніторитися файл \/var\/log\/audit\/audit.log, і інформація з нього “попадатиме” у два індекси: і linux-debian, і linux_auditd<\/p>\n\n\n\n

      Не забуваємо про моніторинг самого форвардера, адже у разі його відключення ми перестанемо отримувати логі системи:<\/p>\n\n\n\n

      [monitor:\/\/$SPLUNK_HOME\/var\/log\/splunk]<\/p>\n\n\n\n

      index = linux-debian<\/p>\n\n\n\n

      sourcetype = splunk<\/p>\n\n\n\n

      [monitor:\/\/$SPLUNK_HOME\/var\/log\/watchdog\/watchdog .log]<\/p>\n\n\n\n

      index = linux-debian<\/p>\n\n\n\n

      sourcetype = splunk<\/p>\n\n\n\n

      [monitor:\/\/$SPLUNK_HOME\/var\/log\/splunk\/license_usage_summary .log]<\/p>\n\n\n\n

      index = linux-debian<\/p>\n\n\n\n

      sourcetype = splunk<\/p>\n\n\n\n

      [monitor:\/\/$SPLUNK_HOME\/var\/log\/splunk\/splunk_instrumentation_cloud .log*]<\/p>\n\n\n\n

      index = linux-debian<\/p>\n\n\n\n

      sourcetype = splunk<\/p>\n\n\n\n

      sourcetype = splunk_cloud_telemetry<\/p>\n\n\n\n

      [monitor:\/\/$SPLUNK_HOME\/var\/log\/splunk\/configuration_change .log]<\/p>\n\n\n\n

      index = linux-debian<\/p>\n\n\n\n

      sourcetype = splunk<\/p>\n\n\n\n

      В даному випадку, при додаванні змінної sourcetype = splunk інформація про роботу форвардера буде потрапляти до загального індексу, але тип даних буде вказаний як splunk. Це буде корисно для подальшого аналізу даних та побудові запитів.<\/p>\n\n\n\n

      Рекомендується моніторити такі директорії та джерела:<\/p>\n\n\n\n

      \/etc<\/p>\n\n\n\n

      \/var\/log<\/p>\n\n\n\n

      \/home\/*\/.bash_history<\/p>\n\n\n\n

      \/root\/.bash_history<\/p>\n\n\n\n

      \/var\/adm<\/p>\n\n\n\n

      \/Library\/Logs<\/p>\n\n\n\n

      Після внесення змін у будь-які файли конфігурації необхідно перезапустити форвардер, щоб вони набули чинності<\/p>\n\n\n\n

      .\/splunk stop – зупинка сервісу<\/p>\n\n\n\n

      .\/splunk start – запуск сервісу<\/p>\n\n\n\n

      У процесі налаштування рекомендується включити на сервер<\/a> запит index=”linux-debian” або index=”linux_auditd” а період часу поставити REAL-TIME – 5 minute window. Ви відразу ж побачите дані, що надійшли до індексу після перезапуску форвардера – або їх зміна, або що вони взагалі почали надходити на сервер<\/a>.<\/p>\n\n\n\n

      Якщо все було зроблено правильно, то після остаточного старту сервісу forwareder у самому сервері Splunk побачимо нові індекси, що «ожили»:<\/p>\n\n\n\n

      \"\"<\/figure>\n\n\n\n

      І тепер можна залучати весь потенціал продукту Splunk для побудови системи моніторингу подій та виявлення інцидентів.<\/p>\n\n\n\n

      Наприклад, із чого, власне, починалася стаття – подія отримання користувачем root прав. Для цього пишемо простий запит з урахуванням того індексу, куди ми заливаємо дані.<\/p>\n\n\n\n

      index=”linux_auditd” acct=root audit_description=”User session start”| table UID host<\/p>\n\n\n\n

      Цей запит поверне всі події початку сесії з правами root та виведе в табличку ім’я користувача та ім’я хоста, на якому це сталося. Цей запит зберігаємо як алерт, назвемо, наприклад «ROOT на серверах» Вкажемо тип алерту “Real-time” і тривалість 365 днів (так, тут пам’ятаймо, що за рік він відключитися). Додамо дію, яку потрібно виконати у разі виникнення події – відправлятимемо повідомлення<\/a> в телеграм. У полі повідомлення<\/a> введемо «Увага! На сервері $result.host$ користувач<\/a> $result.UID$ отримав ROOT права! – це сформує нам необхідне повідомлення<\/a> з полів.<\/p>\n\n\n\n

      \"\"<\/figure>\n\n\n\n

      Якщо все правильно, то в телеграм повинні надходити повідомлення<\/a> із затримкою приблизно 5-8 секунд.<\/p>\n\n\n\n

      \"\"<\/figure>\n\n\n\n

      За аналогією, можна зробити інший алерт, який спрацьовуватиме не тоді, коли користувач<\/a> успішно отримає права, а коли він не зміг їх отримати, хоч і намагався. Для цього зробимо такий запит:<\/p>\n\n\n\n

      index=”linux_auditd” action=failure type=USER_AUTH | table UID host addr<\/p>\n\n\n\n

      Цей запит дасть нам помилки під час авторизації користувача. Зробимо з нього алерт, але з тією відмінністю від попереднього, що спрацьовуватиме він не за одноразовою подією (може просто адмін не з першого разу по клавіатурі потрапив), а при виникненні 10 таких подій у період 5 хвилин. Також врахуємо, що після спрацьовування алерту він повинен тимчасово відключитися на 6 хвилин, щоб не перераховувати значення за останні 5 хвилин, які вже порахував.<\/p>\n\n\n\n

      \"\"<\/figure>\n\n\n\n

      У такому разі Ви отримаєте таке повідомлення<\/a> у телеграмі:<\/p>\n\n\n\n

      \"\"<\/figure>\n\n\n\n

      У цьому прикладі ми враховуємо кількість повторень протягом 5 хвилин значення поля UID, але можна настроїти алерт просто на кількість помилок, якщо припустити, що підбір пароля здійснюється не для одного облікового запису, а для різних обліків, хоча найчастіше підбирають пароль до користувача root або іншому, наперед відомому, користувачеві.<\/p>\n\n\n\n

      Також можна налаштовувати й інші реакції. Наприклад, при 1000 помилках протягом 5 хвилин виконати скрипт, який додасть або включить на фаєрфолі правило, ізолююче атакуючий хост. IP цього хоста нам поверне змінна addr із нашого запиту.<\/p>\n\n\n\n

      Таким чином, шановні читачі, ми з Вами розібралися, що програмне рішення Splunk – це дуже потужний інструмент для централізованого збирання, зберігання та обробки журналів OS LINUX. <\/p>\n\n\n\n

      Вивчили, як проводиться інсталяція, конфігурування та керування Splunk’om. <\/p>\n\n\n\n

      На прикладі LINUX-daemon’a auditd навчилися постачати події в індекс Splunk, і поспостерігали, як здійснюється налаштування та відправлення оповіщень Splunk’a у зовнішній канал (Telegram).<\/p>\n\n\n\n

      Далі буде!<\/p>\n","protected":false},"excerpt":{"rendered":"","protected":false},"author":4,"featured_media":1817,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[84,48,93],"tags":[],"class_list":["post-1385","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-knowledge-base","category-all","category-all-posts"],"yoast_head":"\nSPLUNK \u2013 \u043d\u0435\u0432\u0456\u0434\u043e\u043c\u0435 \u0437\u0432\u0456\u0440\u044f\u0442\u043a\u043e \u0456 \u0434\u0435 \u0432\u043e\u043d\u043e \u043c\u0435\u0448\u043a\u0430\u0454 –<\/title>\n<meta name=\"description\" content=\"\u0414\u043e\u0441\u043b\u0456\u0434\u0436\u0443\u0439\u0442\u0435 SPLUNK \u2013 \u0437\u0430\u0433\u0430\u0434\u043a\u043e\u0432\u0435 \u0437\u0432\u0456\u0440\u044f\u0442\u043a\u043e, \u0439\u043e\u0433\u043e \u0443\u043d\u0456\u043a\u0430\u043b\u044c\u043d\u0456 \u0445\u0430\u0440\u0430\u043a\u0442\u0435\u0440\u0438\u0441\u0442\u0438\u043a\u0438 \u0442\u0430 \u043c\u0456\u0441\u0446\u044f \u043f\u0440\u043e\u0436\u0438\u0432\u0430\u043d\u043d\u044f. \u0414\u0456\u0437\u043d\u0430\u0439\u0442\u0435\u0441\u044f, \u0447\u043e\u043c\u0443 \u0446\u0435 \u0441\u0442\u0432\u043e\u0440\u0456\u043d\u043d\u044f \u0441\u0442\u0430\u043b\u043e \u0442\u0430\u043a\u0438\u043c \u043f\u043e\u043f\u0443\u043b\u044f\u0440\u043d\u0438\u043c \u0443 \u0441\u0432\u0456\u0442\u0456 \u0442\u0435\u0445\u043d\u043e\u043b\u043e\u0433\u0456\u0439!\" \/>\n<meta name=\"robots\" content=\"noindex, nofollow\" \/>\n<meta property=\"og:locale\" content=\"en_US\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"SPLUNK \u2013 \u043d\u0435\u0432\u0456\u0434\u043e\u043c\u0435 \u0437\u0432\u0456\u0440\u044f\u0442\u043a\u043e \u0456 \u0434\u0435 \u0432\u043e\u043d\u043e \u043c\u0435\u0448\u043a\u0430\u0454 –\" \/>\n<meta property=\"og:description\" content=\"\u0414\u043e\u0441\u043b\u0456\u0434\u0436\u0443\u0439\u0442\u0435 SPLUNK \u2013 \u0437\u0430\u0433\u0430\u0434\u043a\u043e\u0432\u0435 \u0437\u0432\u0456\u0440\u044f\u0442\u043a\u043e, \u0439\u043e\u0433\u043e \u0443\u043d\u0456\u043a\u0430\u043b\u044c\u043d\u0456 \u0445\u0430\u0440\u0430\u043a\u0442\u0435\u0440\u0438\u0441\u0442\u0438\u043a\u0438 \u0442\u0430 \u043c\u0456\u0441\u0446\u044f \u043f\u0440\u043e\u0436\u0438\u0432\u0430\u043d\u043d\u044f. \u0414\u0456\u0437\u043d\u0430\u0439\u0442\u0435\u0441\u044f, \u0447\u043e\u043c\u0443 \u0446\u0435 \u0441\u0442\u0432\u043e\u0440\u0456\u043d\u043d\u044f \u0441\u0442\u0430\u043b\u043e \u0442\u0430\u043a\u0438\u043c \u043f\u043e\u043f\u0443\u043b\u044f\u0440\u043d\u0438\u043c \u0443 \u0441\u0432\u0456\u0442\u0456 \u0442\u0435\u0445\u043d\u043e\u043b\u043e\u0433\u0456\u0439!\" \/>\n<meta property=\"og:url\" content=\"https:\/\/blog.bithide.io\/uk\/knowledge-base\/splunk-the-animal-is-unknown-and-where-it-lives\/\" \/>\n<meta property=\"article:published_time\" content=\"2023-11-17T09:34:22+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2025-09-24T11:47:14+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/blog.bithide.io\/wp-content\/uploads\/2023\/11\/Splunk-System.png\" \/>\n\t<meta property=\"og:image:width\" content=\"736\" \/>\n\t<meta property=\"og:image:height\" content=\"502\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/png\" \/>\n<meta name=\"author\" content=\"BitHide Team\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:label1\" content=\"Written by\" \/>\n\t<meta name=\"twitter:data1\" content=\"BitHide Team\" \/>\n\t<meta name=\"twitter:label2\" content=\"Est. reading time\" \/>\n\t<meta name=\"twitter:data2\" content=\"11 minutes\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\/\/schema.org\",\"@graph\":[{\"@type\":\"WebPage\",\"@id\":\"https:\/\/blog.bithide.io\/uk\/knowledge-base\/splunk-the-animal-is-unknown-and-where-it-lives\/\",\"url\":\"https:\/\/blog.bithide.io\/uk\/knowledge-base\/splunk-the-animal-is-unknown-and-where-it-lives\/\",\"name\":\"SPLUNK \u2013 \u043d\u0435\u0432\u0456\u0434\u043e\u043c\u0435 \u0437\u0432\u0456\u0440\u044f\u0442\u043a\u043e \u0456 \u0434\u0435 \u0432\u043e\u043d\u043e \u043c\u0435\u0448\u043a\u0430\u0454 –\",\"isPartOf\":{\"@id\":\"https:\/\/blog.bithide.io\/uk\/#website\"},\"primaryImageOfPage\":{\"@id\":\"https:\/\/blog.bithide.io\/uk\/knowledge-base\/splunk-the-animal-is-unknown-and-where-it-lives\/#primaryimage\"},\"image\":{\"@id\":\"https:\/\/blog.bithide.io\/uk\/knowledge-base\/splunk-the-animal-is-unknown-and-where-it-lives\/#primaryimage\"},\"thumbnailUrl\":\"https:\/\/blog.bithide.io\/wp-content\/uploads\/2023\/11\/Splunk-System.png\",\"datePublished\":\"2023-11-17T09:34:22+00:00\",\"dateModified\":\"2025-09-24T11:47:14+00:00\",\"author\":{\"@id\":\"https:\/\/blog.bithide.io\/uk\/#\/schema\/person\/63c7564eded72c3c9f0818c0049988a6\"},\"description\":\"\u0414\u043e\u0441\u043b\u0456\u0434\u0436\u0443\u0439\u0442\u0435 SPLUNK \u2013 \u0437\u0430\u0433\u0430\u0434\u043a\u043e\u0432\u0435 \u0437\u0432\u0456\u0440\u044f\u0442\u043a\u043e, \u0439\u043e\u0433\u043e \u0443\u043d\u0456\u043a\u0430\u043b\u044c\u043d\u0456 \u0445\u0430\u0440\u0430\u043a\u0442\u0435\u0440\u0438\u0441\u0442\u0438\u043a\u0438 \u0442\u0430 \u043c\u0456\u0441\u0446\u044f \u043f\u0440\u043e\u0436\u0438\u0432\u0430\u043d\u043d\u044f. \u0414\u0456\u0437\u043d\u0430\u0439\u0442\u0435\u0441\u044f, \u0447\u043e\u043c\u0443 \u0446\u0435 \u0441\u0442\u0432\u043e\u0440\u0456\u043d\u043d\u044f \u0441\u0442\u0430\u043b\u043e \u0442\u0430\u043a\u0438\u043c \u043f\u043e\u043f\u0443\u043b\u044f\u0440\u043d\u0438\u043c \u0443 \u0441\u0432\u0456\u0442\u0456 \u0442\u0435\u0445\u043d\u043e\u043b\u043e\u0433\u0456\u0439!\",\"breadcrumb\":{\"@id\":\"https:\/\/blog.bithide.io\/uk\/knowledge-base\/splunk-the-animal-is-unknown-and-where-it-lives\/#breadcrumb\"},\"inLanguage\":\"uk-UK\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\/\/blog.bithide.io\/uk\/knowledge-base\/splunk-the-animal-is-unknown-and-where-it-lives\/\"]}]},{\"@type\":\"ImageObject\",\"inLanguage\":\"uk-UK\",\"@id\":\"https:\/\/blog.bithide.io\/uk\/knowledge-base\/splunk-the-animal-is-unknown-and-where-it-lives\/#primaryimage\",\"url\":\"https:\/\/blog.bithide.io\/wp-content\/uploads\/2023\/11\/Splunk-System.png\",\"contentUrl\":\"https:\/\/blog.bithide.io\/wp-content\/uploads\/2023\/11\/Splunk-System.png\",\"width\":736,\"height\":502},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\/\/blog.bithide.io\/uk\/knowledge-base\/splunk-the-animal-is-unknown-and-where-it-lives\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Home\",\"item\":\"https:\/\/blog.bithide.io\/uk\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"SPLUNK \u2013 \u043d\u0435\u0432\u0456\u0434\u043e\u043c\u0435 \u0437\u0432\u0456\u0440\u044f\u0442\u043a\u043e \u0456 \u0434\u0435 \u0432\u043e\u043d\u043e \u043c\u0435\u0448\u043a\u0430\u0454\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\/\/blog.bithide.io\/uk\/#website\",\"url\":\"https:\/\/blog.bithide.io\/uk\/\",\"name\":\"BitHide\",\"description\":\"\",\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\/\/blog.bithide.io\/uk\/?s={search_term_string}\"},\"query-input\":{\"@type\":\"PropertyValueSpecification\",\"valueRequired\":true,\"valueName\":\"search_term_string\"}}],\"inLanguage\":\"uk-UK\"},{\"@type\":\"Person\",\"@id\":\"https:\/\/blog.bithide.io\/uk\/#\/schema\/person\/63c7564eded72c3c9f0818c0049988a6\",\"name\":\"BitHide Team\",\"image\":{\"@type\":\"ImageObject\",\"inLanguage\":\"uk-UK\",\"@id\":\"https:\/\/blog.bithide.io\/uk\/#\/schema\/person\/image\/\",\"url\":\"https:\/\/secure.gravatar.com\/avatar\/bf4da9362065932074415dc332983a17a56bcc3875f35873f7681f15fe6fc2d2?s=96&d=mm&r=g\",\"contentUrl\":\"https:\/\/secure.gravatar.com\/avatar\/bf4da9362065932074415dc332983a17a56bcc3875f35873f7681f15fe6fc2d2?s=96&d=mm&r=g\",\"caption\":\"BitHide Team\"}}]}<\/script>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"SPLUNK \u2013 \u043d\u0435\u0432\u0456\u0434\u043e\u043c\u0435 \u0437\u0432\u0456\u0440\u044f\u0442\u043a\u043e \u0456 \u0434\u0435 \u0432\u043e\u043d\u043e \u043c\u0435\u0448\u043a\u0430\u0454 –","description":"\u0414\u043e\u0441\u043b\u0456\u0434\u0436\u0443\u0439\u0442\u0435 SPLUNK \u2013 \u0437\u0430\u0433\u0430\u0434\u043a\u043e\u0432\u0435 \u0437\u0432\u0456\u0440\u044f\u0442\u043a\u043e, \u0439\u043e\u0433\u043e \u0443\u043d\u0456\u043a\u0430\u043b\u044c\u043d\u0456 \u0445\u0430\u0440\u0430\u043a\u0442\u0435\u0440\u0438\u0441\u0442\u0438\u043a\u0438 \u0442\u0430 \u043c\u0456\u0441\u0446\u044f \u043f\u0440\u043e\u0436\u0438\u0432\u0430\u043d\u043d\u044f. \u0414\u0456\u0437\u043d\u0430\u0439\u0442\u0435\u0441\u044f, \u0447\u043e\u043c\u0443 \u0446\u0435 \u0441\u0442\u0432\u043e\u0440\u0456\u043d\u043d\u044f \u0441\u0442\u0430\u043b\u043e \u0442\u0430\u043a\u0438\u043c \u043f\u043e\u043f\u0443\u043b\u044f\u0440\u043d\u0438\u043c \u0443 \u0441\u0432\u0456\u0442\u0456 \u0442\u0435\u0445\u043d\u043e\u043b\u043e\u0433\u0456\u0439!","robots":{"index":"noindex","follow":"nofollow"},"og_locale":"en_US","og_type":"article","og_title":"SPLUNK \u2013 \u043d\u0435\u0432\u0456\u0434\u043e\u043c\u0435 \u0437\u0432\u0456\u0440\u044f\u0442\u043a\u043e \u0456 \u0434\u0435 \u0432\u043e\u043d\u043e \u043c\u0435\u0448\u043a\u0430\u0454 –","og_description":"\u0414\u043e\u0441\u043b\u0456\u0434\u0436\u0443\u0439\u0442\u0435 SPLUNK \u2013 \u0437\u0430\u0433\u0430\u0434\u043a\u043e\u0432\u0435 \u0437\u0432\u0456\u0440\u044f\u0442\u043a\u043e, \u0439\u043e\u0433\u043e \u0443\u043d\u0456\u043a\u0430\u043b\u044c\u043d\u0456 \u0445\u0430\u0440\u0430\u043a\u0442\u0435\u0440\u0438\u0441\u0442\u0438\u043a\u0438 \u0442\u0430 \u043c\u0456\u0441\u0446\u044f \u043f\u0440\u043e\u0436\u0438\u0432\u0430\u043d\u043d\u044f. \u0414\u0456\u0437\u043d\u0430\u0439\u0442\u0435\u0441\u044f, \u0447\u043e\u043c\u0443 \u0446\u0435 \u0441\u0442\u0432\u043e\u0440\u0456\u043d\u043d\u044f \u0441\u0442\u0430\u043b\u043e \u0442\u0430\u043a\u0438\u043c \u043f\u043e\u043f\u0443\u043b\u044f\u0440\u043d\u0438\u043c \u0443 \u0441\u0432\u0456\u0442\u0456 \u0442\u0435\u0445\u043d\u043e\u043b\u043e\u0433\u0456\u0439!","og_url":"https:\/\/blog.bithide.io\/uk\/knowledge-base\/splunk-the-animal-is-unknown-and-where-it-lives\/","article_published_time":"2023-11-17T09:34:22+00:00","article_modified_time":"2025-09-24T11:47:14+00:00","og_image":[{"width":736,"height":502,"url":"https:\/\/blog.bithide.io\/wp-content\/uploads\/2023\/11\/Splunk-System.png","type":"image\/png"}],"author":"BitHide Team","twitter_card":"summary_large_image","twitter_misc":{"Written by":"BitHide Team","Est. reading time":"11 minutes"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"WebPage","@id":"https:\/\/blog.bithide.io\/uk\/knowledge-base\/splunk-the-animal-is-unknown-and-where-it-lives\/","url":"https:\/\/blog.bithide.io\/uk\/knowledge-base\/splunk-the-animal-is-unknown-and-where-it-lives\/","name":"SPLUNK \u2013 \u043d\u0435\u0432\u0456\u0434\u043e\u043c\u0435 \u0437\u0432\u0456\u0440\u044f\u0442\u043a\u043e \u0456 \u0434\u0435 \u0432\u043e\u043d\u043e \u043c\u0435\u0448\u043a\u0430\u0454 –","isPartOf":{"@id":"https:\/\/blog.bithide.io\/uk\/#website"},"primaryImageOfPage":{"@id":"https:\/\/blog.bithide.io\/uk\/knowledge-base\/splunk-the-animal-is-unknown-and-where-it-lives\/#primaryimage"},"image":{"@id":"https:\/\/blog.bithide.io\/uk\/knowledge-base\/splunk-the-animal-is-unknown-and-where-it-lives\/#primaryimage"},"thumbnailUrl":"https:\/\/blog.bithide.io\/wp-content\/uploads\/2023\/11\/Splunk-System.png","datePublished":"2023-11-17T09:34:22+00:00","dateModified":"2025-09-24T11:47:14+00:00","author":{"@id":"https:\/\/blog.bithide.io\/uk\/#\/schema\/person\/63c7564eded72c3c9f0818c0049988a6"},"description":"\u0414\u043e\u0441\u043b\u0456\u0434\u0436\u0443\u0439\u0442\u0435 SPLUNK \u2013 \u0437\u0430\u0433\u0430\u0434\u043a\u043e\u0432\u0435 \u0437\u0432\u0456\u0440\u044f\u0442\u043a\u043e, \u0439\u043e\u0433\u043e \u0443\u043d\u0456\u043a\u0430\u043b\u044c\u043d\u0456 \u0445\u0430\u0440\u0430\u043a\u0442\u0435\u0440\u0438\u0441\u0442\u0438\u043a\u0438 \u0442\u0430 \u043c\u0456\u0441\u0446\u044f \u043f\u0440\u043e\u0436\u0438\u0432\u0430\u043d\u043d\u044f. \u0414\u0456\u0437\u043d\u0430\u0439\u0442\u0435\u0441\u044f, \u0447\u043e\u043c\u0443 \u0446\u0435 \u0441\u0442\u0432\u043e\u0440\u0456\u043d\u043d\u044f \u0441\u0442\u0430\u043b\u043e \u0442\u0430\u043a\u0438\u043c \u043f\u043e\u043f\u0443\u043b\u044f\u0440\u043d\u0438\u043c \u0443 \u0441\u0432\u0456\u0442\u0456 \u0442\u0435\u0445\u043d\u043e\u043b\u043e\u0433\u0456\u0439!","breadcrumb":{"@id":"https:\/\/blog.bithide.io\/uk\/knowledge-base\/splunk-the-animal-is-unknown-and-where-it-lives\/#breadcrumb"},"inLanguage":"uk-UK","potentialAction":[{"@type":"ReadAction","target":["https:\/\/blog.bithide.io\/uk\/knowledge-base\/splunk-the-animal-is-unknown-and-where-it-lives\/"]}]},{"@type":"ImageObject","inLanguage":"uk-UK","@id":"https:\/\/blog.bithide.io\/uk\/knowledge-base\/splunk-the-animal-is-unknown-and-where-it-lives\/#primaryimage","url":"https:\/\/blog.bithide.io\/wp-content\/uploads\/2023\/11\/Splunk-System.png","contentUrl":"https:\/\/blog.bithide.io\/wp-content\/uploads\/2023\/11\/Splunk-System.png","width":736,"height":502},{"@type":"BreadcrumbList","@id":"https:\/\/blog.bithide.io\/uk\/knowledge-base\/splunk-the-animal-is-unknown-and-where-it-lives\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/blog.bithide.io\/uk\/"},{"@type":"ListItem","position":2,"name":"SPLUNK \u2013 \u043d\u0435\u0432\u0456\u0434\u043e\u043c\u0435 \u0437\u0432\u0456\u0440\u044f\u0442\u043a\u043e \u0456 \u0434\u0435 \u0432\u043e\u043d\u043e \u043c\u0435\u0448\u043a\u0430\u0454"}]},{"@type":"WebSite","@id":"https:\/\/blog.bithide.io\/uk\/#website","url":"https:\/\/blog.bithide.io\/uk\/","name":"BitHide","description":"","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/blog.bithide.io\/uk\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"uk-UK"},{"@type":"Person","@id":"https:\/\/blog.bithide.io\/uk\/#\/schema\/person\/63c7564eded72c3c9f0818c0049988a6","name":"BitHide Team","image":{"@type":"ImageObject","inLanguage":"uk-UK","@id":"https:\/\/blog.bithide.io\/uk\/#\/schema\/person\/image\/","url":"https:\/\/secure.gravatar.com\/avatar\/bf4da9362065932074415dc332983a17a56bcc3875f35873f7681f15fe6fc2d2?s=96&d=mm&r=g","contentUrl":"https:\/\/secure.gravatar.com\/avatar\/bf4da9362065932074415dc332983a17a56bcc3875f35873f7681f15fe6fc2d2?s=96&d=mm&r=g","caption":"BitHide Team"}}]}},"_links":{"self":[{"href":"https:\/\/blog.bithide.io\/uk\/wp-json\/wp\/v2\/posts\/1385","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.bithide.io\/uk\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.bithide.io\/uk\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.bithide.io\/uk\/wp-json\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.bithide.io\/uk\/wp-json\/wp\/v2\/comments?post=1385"}],"version-history":[{"count":11,"href":"https:\/\/blog.bithide.io\/uk\/wp-json\/wp\/v2\/posts\/1385\/revisions"}],"predecessor-version":[{"id":9175,"href":"https:\/\/blog.bithide.io\/uk\/wp-json\/wp\/v2\/posts\/1385\/revisions\/9175"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/blog.bithide.io\/uk\/wp-json\/wp\/v2\/media\/1817"}],"wp:attachment":[{"href":"https:\/\/blog.bithide.io\/uk\/wp-json\/wp\/v2\/media?parent=1385"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.bithide.io\/uk\/wp-json\/wp\/v2\/categories?post=1385"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.bithide.io\/uk\/wp-json\/wp\/v2\/tags?post=1385"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}