TIPS & TRICKS

Faites évoluer vos opérations avec Splunk Cloud grâce à l’application Splunk Content Manager

Le service Splunk Cloud évolue : rationalisation de la gestion des applications et amélioration de l’efficacité opérationnelle

Réussir à gérer efficacement les applications de la Splunkbase sur plusieurs environnements Splunk est un défi de taille. Cela demande beaucoup de temps, des efforts considérables et implique bien souvent des tâches manuelles et laborieuses. Conscients de cette complexité, nous ajoutons progressivement de nouvelles fonctionnalités au service Splunk Cloud afin de rationaliser et de simplifier ces tâches administratives complexes.

Pour rappel, il y a quelques mois, installer une application sur n’importe quelle pile Splunk Cloud vous obligeait à suivre un processus fastidieux. Il fallait tout d’abord créer un ticket d’assistance, ce qui entraînait déjà un long temps d’attente, parfois de plusieurs heures, voire de plusieurs jours avant sa résolution. Aujourd’hui, grâce à l’intégration récente des fonctionnalités ACS (Admin Config Service), ce processus auparavant chronophage ne prend plus que quelques minutes. Cette évolution permet une gestion fluide et efficace de vos piles avec une approche en libre-service. C’est une étape importante dans l’engagement de Splunk Cloud à améliorer l’expérience utilisateur et l’efficacité opérationnelle.
Cependant, il n’existe toujours pas de méthode officiellement intégrée par Splunk pour automatiser ce processus sur plusieurs piles. Jusqu’à présent, les prestataires de services gérés (MSP et MSSP) devaient créer leur propre solution pour combler ce manque.

Découvrez App Content Manager for Splunk

Pour remédier à l’absence de solution simplifiant la gestion des instances Splunk et répondant à l’objectif ultime de Splunk de générer de la valeur à partir des données, j’ai créé App Content Manager for Splunk.
Cette nouvelle application disponible sur Splunkbase permettra à tous nos partenaires et clients utilisant Splunk Cloud de gérer leurs déploiements d’applications à grande échelle. Concrètement, elle simplifie énormément la gestion des applications sur de nombreuses piles Splunk Cloud et l’intégration de Splunk Cloud comme pierre angulaire des opérations des prestataires de services de sécurité gérés (MSSP).

Son objectif est d’éliminer toute la complexité de ce processus et d’offrir une solution intuitive pour faciliter le déploiement de contenu.

App Content Manager for Splunk donne les pleins pouvoirs aux administrateurs : ils peuvent maintenant choisir le contenu (qu’il s’agisse d’applications entières ou de configurations individuelles), décider de la méthode de déploiement (instantanée ou programmée) et d’indiquer la destination du déploiement (une seule ou plusieurs piles) ; ils peuvent même créer des workflows pour réaliser une séquence d’actions ou pousser le contenu vers des pipelines CI/CD dans GitHub.

App Content Manager for Splunk est maintenant disponible en version bêta sur la Splunkbase !

Fonctionnalités et fonctionnement

Cette application dispose de quatre fonctionnalités principales :

Manage Servers (Gérer les serveurs) : cette fonctionnalité facilite la gestion des piles Splunk Cloud. Ajoutez, modifiez, supprimez des piles ou classez-les dans différents groupes. Il suffit d’avoir un jeton d’authentification valide pour pouvoir commencer à communiquer avec la pile Splunk Cloud.

Manage Content (Gérer le contenu) : dans cette vue, l’utilisateur aura la liberté de choisir des configurations Splunk ou des applications complètes, puis de sélectionner l’une des actions prédéfinies pour les traiter.
L’utilisateur peut alors automatiquement effectuer plusieurs actions sur plusieurs applis/configurations puis les déployer sur plusieurs piles.
Grâce à un assistant intuitif, l’utilisateur pourra sélectionner le contenu et les destinations, vérifier chaque étape, puis procéder au déploiement ou le programmer.
Quatre modes sont disponibles :

Export All (basique) : l’utilisateur peut sélectionner les applications puis exporter/déployer toutes les configurations associées à ces applications. C’est une méthode de déploiement simple pour déployer, par exemple, de nombreuses applications sur plusieurs piles Splunk Cloud et masquer toute la complexité de ce processus. Toutes les étapes obligatoires d’inspection des applications avec AppInspect et d’utilisation des points de terminaison ACS seront automatisées et gérées par ACM (App Content Manager).
Il existe trois sources pour sélectionner des applications : celles installées localement sur le serveur Node de gestion, toute application Splunkbase compatible avec Splunk Cloud ou les applications packagées .spl/tgz qui peuvent être uploadées.
Take a Slice (intermédiaire) : l’utilisateur peut sélectionner un ou plusieurs cibles de déploiement Splunk et ACM se chargera de diviser toutes les applications sélectionnées en fragments personnalisés contenant uniquement les configurations spécifiques au rôle sélectionné, l’utilisateur peut ensuite exporter, déployer ou télécharger les applications générées. Exemple de scénario d’utilisation : des administrateurs doivent déployer des TA (extensions techniques) tout en supprimant certaines configurations afin d’optimiser l’application pour le serveur cible. Par exemple, déployer au niveau des search heads pourrait nécessiter la suppression de certains fichiers inputs.conf.

Build your application (avancé) : l’utilisateur peut sélectionner n’importe quelle configuration d’une application ou TA existante pour créer une nouvelle application personnalisée.
Exemple de scénario d’utilisation : au sein de l’environnement Splunk, les utilisateurs peuvent créer des objets de connaissance ou des configurations utilisant l’interface utilisateur de Splunk, et ceux-ci peuvent appartenir à différentes applications de Splunk (par ex. l'application Search, etc.). Cette fonctionnalité permet aux administrateurs de collecter ces configurations et de les regrouper/packager aisément.
Patch Mode (expert) : déployez sans peine des configurations individuelles sur Splunk Cloud à l’aide d’API REST ou de fonctionnalités ACS. Les administrateurs pourront conserver les ACL (listes de contrôle d’accès) d’origine, personnaliser les autorisations. Exemple de scénario d’utilisation : mettre à jour ou créer des recherches de corrélation sur plusieurs instances en poussant des configurations de recherches vers des points de terminaison REST.

Check and compare stack’s content (Vérifier et comparer le contenu des piles) : cette fonctionnalité permet aux administrateurs de lister toutes les applications installées sur les piles Splunk Cloud, de vérifier leurs versions et d’être prévenu en cas de version plus récente des applications Splunkbase.

Le mode de comparaison s’active lorsque deux piles au moins sont sélectionnées. Il affiche les applications communes (pour vérifier si une appli est installée sur toutes les piles sélectionnées) et permet de s’assurer que les versions sont cohérentes entre les piles sélectionnées.
De plus, les administrateurs peuvent utiliser cette fonctionnalité pour comparer les configurations de n’importe quelle application issue de piles différentes dans une vue comparative côté à côte. Ils peuvent ainsi détecter les incohérences.

Manage Workflows (Gérer les workflows) : un workflow représente un ensemble d’actions prédéfinies que les utilisateurs/administrateurs peuvent créer et personnaliser. Les utilisateurs peuvent créer de nouveaux workflows en sélectionnant des actions parmi une bibliothèque d’actions prédéfinies :
- Deploy : déployer des packages ou des configurations vers une/des pile(s) Splunk Cloud
- Inspect : inspecter des packages d’applis avec AppInspect
- Save to Disk : enregistrer les packages générés sur le disque
- Push : pousser vers un pipeline CI/CD.

Principaux scénarios d’utilisation :

déployer une ou plusieurs applications Splunk publiques/privées vers une ou plusieurs piles Splunk Cloud ;
déployer une partie (par ex. les recherches enregistrées) d’une ou plusieurs applications Splunk publiques/privées vers une ou plusieurs piles Splunk Cloud ;
comparer les versions d’une ou plusieurs applications Splunk publiques/privées entre une ou plusieurs piles Splunk Cloud ;
configurer les actions d’un workflow pour permettre aux administrateurs d’effectuer une séquence d’activités lors du déploiement d’applications Splunk (Deploy, Inspect, Save to Disk puis Push vers GitHub).
J’ai caché un petit Easter egg dans cette appli. Si vous le trouvez, n’hésitez pas à me le dire !

Liens utiles :

Télécharger ACMS : https://splunkbase.splunk.com/app/7062
Annonce d’ACS par Splunk : https://www.splunk.com/en_us/blog/platform/splunk-cloud-self-service-announcing-the-new-admin-config-service-api.html
ACS Helper for Splunk : https://www.splunk.com/fr_fr/blog/tips-and-tricks/administrer-plus-facilement-vos-instances-splunk-cloud-avec-acs-helper-for-splunk.html
Splunk Cloud MSP Blueprint : https://partners.splunk.com/prm/English/s/assets?id=472277&q=msp sp

January 22, 2024

Posted by

Atef Kouki

Après une riche expérience de 4 ans en tant que consultant professional services, j'ai rejoint récemment les équipes avant-ventes France pour un nouveau défi.
Intrigué par le Big Data, poussé par le "Design Thinking" et animé par ma passion de créer et relever de nouveaux challengex, je me suis totalement impliqué dans tous les projets que j'ai entrepris tout au long de ma vie professionnelle.
L'expérience Splunk reste et de loin la plus enrichissante, la plus stimulante et surtout la plus passionnante !