BLOG IT

Siempre que realizamos una implementación de Splunk , u otro producto, una de las cosas que debemos cuidar es el tuning y aplicar las mejores practicas recomendadas por el fabricante. A continuación os pongo unas configuraciones básicas que siempre realizo al desplegar/montar un sistema Splunk Ulimits https://answers.splunk.com/answers/13313/how-to-tune-ulimit-on-my-server.html https://docs.splunk.com/Documentation/Splunk/7.2.6/Troubleshooting/ulimitErrors HTTP thread https://docs.splunk.com/Documentation/Splunk/7.2.6/Troubleshooting/HTTPthreadlimitissues Transparent huge memory https://docs.splunk.com/Documentation/Splunk/7.2.6/ReleaseNotes/SplunkandTHP Aquí se explican algunas consideraciones básicas

Uno de los puntos mas importante en despliegues de Splunk , y algo que debería ser una costumbre en todos los primeros pasos de despliegues, es la instalación y configuración de certificados. En toda instalación de Splunk, podríamos distinguir tres puntos donde instalar certificados: Web: He llamado así al certificado que publicaremos para acceso de nuestros usuarios, es decir, para que la información entre el navegadores de los usuarios y nuestro SH este cifrada. Este certificado lo configuramos en nuestro web.conf y server.conf . Aquí os dejo unos enlaces donde explica como hacerlo: https://docs.splunk.com/Documentation/Splunk/7.2.6/Security/AboutsecuringauthenticationtoSplunkWeb https://answers.splunk.com/answers/506572/installing-a-ssl-certificate-in-splunk.html Envío de datos al IDX : Por defecto, al información que mandamos a nuestro indexador no va cifrada, para ello tenemos que habilitar en nuestros forwarder y Searh Head que este envío se haga de forma cifrada,