Moving Gjennomsnittet Splunk

Splunk: Forskjellige saksforhold Splunk holdt sitt årlige analytikermøte og til noen presenterte det et tvetydig bilde med hensyn til omsetningsvekst. Selskapet har hatt en vanskelig tidsprognose - det har rett og slett ikke vært i stand til å prognostisere tidspunktet for store avtaler og har dermed over-oppnådd på dramatisk måte. Selskapet har gjennomgått en overgang til sky som har påvirket bruttomarginene og sannsynligvis forsinker omsetningsveksten - selv om råstallene forblir fantastiske. Bruk saker for maskindata - i utgangspunktet hva dette selskapet gjør - fortsett å ekspansjonelt utvide. Selskapet fortsetter å dramatisk overskride konkurransen basert på alle mulige undersøkelser i maskindataområdet. Splunk - Den sjette tilstanden betyr at investorer trenger et resultatkort for å dechiffrere forventninger. Fysikk var ikke et av de fagene som fascinerte meg i løpet av min pedagogiske karriere. Jeg gikk til både en videregående skole og deretter et universitet der fysikk var et obligatorisk fagområde, men kunnskapen som ble gitt var ikke igjen. Det er mer enn et halvt århundre på, og alt jeg husker er de små stålvogner med stålballene som ruller nedover skråningene og en veldig seriøs laboratoriepartner som fjernet mine misforståtte forsøk på humor om hvor raskt de små vognene akselererte. Så, når jeg gjorde litt bakgrunnsforskning for denne artikkelen, oppdaget jeg at Splunk er den sjette tilstanden av materie, de andre er faste, flytende, gass, plasma og data. Jeg hadde egentlig aldri visst at det var seks tilstander av materie eller hva navnet Splunk (NASDAQ: SPLK) betyr. Splunk refererer til noe som ser og indekserer all data. Og Splunk er en datamotor som opererer uten grå områder, uten skygger og uten skyer. Det er ikke en dårlig definisjon av selskapets funksjonalitet og dens mantra. Det er en langt mindre tilhørende definisjon av hvordan aksjene er utført og hvor mange observatører som ser på selskapet. Splunks-aksjene har gjort svært lite for en bedre del av et år, og er faktisk ned med 16 fra den høye som ble nådd i august i fjor. Problemer som har begrenset aksjene har medført bekymringer om lønnsomhet og potensialet for å bremse veksten. Jeg er langt mindre opptatt av noen dramatisk nedgang i selskapets vekstrate enn jeg er i kadens av sin vei til lønnsomhet. På grunn av selskapets vekst og den siste aksjekurs sviktet har aksjene nå nådd en relativt attraktiv verdivurdering. Og jeg tror det er sannsynlig at vi vil se en langt bedre aksjekursutvikling og positiv alfa etter kvartalsrapporten i februar, viser at det ikke ser noen vesentlig vekstdemping. Nylig har det vært observatører, inkludert en på dette nettstedet. som trodde at selskapets siste analytikermøte holdt for noen uker siden, var en sløret måte å redusere veiledning for det kommende regnskapsåret. Vanskelig å nekte at selskapet prognostiserer inntekter for det kommende regnskapsåret på 1,175 milliarder kroner, noe som vil være vesentlig mindre enn årets vekst. Faktisk vil 1,175 milliarder kroner i omsetning være 26 omsetningsvekst fra dagens konsensusinntekter for 2017, som slutter tidlig neste uke. den slags vekst vil ikke bli godt møtt av aksjonærer eller potensielle aksjonærer som kommer etter et år med 40 vekst. Men med tanke på sporet dette selskapet har i form av veiledning, tror jeg at jeg ikke ville bruke tallene som det presenterer som seriøse anslag. Jeg regner med at selskapet vil slå estimater for inneværende kvartal og vil øke veiledningen for regnskapsåret 2018 (slutter 131). Jeg tror at prosentvis vekst er moderat litt da selskapet krysser 1 milliard årlig terskel. Men spørsmålet er hvor mye veksten modererer. Og min gjetning, er ikke mye og ikke noe sted nær det som er i prognosen, presenterte et par uker siden. Sannsynligvis den mest betydningsfulle investeringsproblemet for dette selskapet har vært veksten av aksjebasert comp som i hovedsak har vært ute av kontroll de siste par årene. Tallene taler for seg selv - utestående aksjer har nådd mer enn 131 millioner som rapportert og vil bli høyere fortsatt når årsskiftet er rapportert på grunn av selskapets helårs ikke-GAAP lønnsomhet - CFO sa til modell for 140 millioner utestående aksjer . Det er en 40-pluss økning på fire år og gjør fremgangen sett i form av ikke-GAAP-marginer langt mindre imponerende. Selskapet har innrømmet at en realistisk vei til langsiktige aksjonærverdier inkluderer styring og reduksjon av lagerbasert kompensasjon til nivåer som ikke produserer en slik kontinuerlig og massiv fortynning. Men så langt, erkjennelsen av problemet og handler for å redusere aksje tilskudd har vært to forskjellige ting, og om det beste som kan sies er at aksjebasert comp-vekst begynner å vokse til priser under Splunks inntektsøkninger. Som nevnt har Splunks aksjer verdsatt av om lag 12 i løpet av det siste året eller så, og har gått ned med 16 siden å nå en høy rygg i august. Jeg mistenker at under-ytelsen de siste flere månedene er relatert til den betydelige utvanningen fra lagerbasert kompensasjon og investor bekymring for at selskapet ikke egentlig er på vei for å øke marginer til rimelige nivåer. Splunk aksjer har verdsatt 7,60 i dag i løpet av min skriving denne artikkelen. Verdsettelsen er i utgangspunktet en faktor for å lese gjennom fra verdsettelsen som Cisco (NASDAQ: CSCO) betaler for AppDynamics (Venter: APPD). Splunk har en markedsverdi på 7,6 milliarder kroner og en virksomhetsverdi på 6,6 milliarder kroner. Basert på nåværende konsensus for inntekter for regnskapsåret som starter på mindre enn en uke, er EVS 5,6X, kanskje halvparten av verdsettelsen Cisco betaler for AppDynamics. Personlig tror jeg at vekstmuligheter i SIEM ITSY mellomrom (kjernevirksomheten til Splunk) er vesentlig større enn muligheten for applikasjonstesting (AppDynamics virksomhet). Men da kan man aldri vite nøyaktig hva som animerer bestemte oppkjøp. Splunk-aksjer er nå sannsynlig å bli sett av mange handelsmenn som et potensielt overtaksmål mot verdsettelser langt over de aksjene har solgt nylig. Det er sannsynligvis ikke en urimelig spekulasjon, selv om jeg absolutt ikke har noen førstehånds kunnskap om når eller om Splunk måtte bli kjøpt. Splunk-aksjene har en rimelig positiv førstegangsbedømmelse. Konsensusprismålet er 71, mer enn 30 over dagens pris. Jeg tror at selskapet kommer til å begynne å oppnå noen reell regnskapsstyring, selv i midten av sin pivot til skyinntektskilder. (Diskusjonen om selskapets overgang til skyen er en egen diskusjon som ikke er relevant i denne artikkelen. Overgangen er ikke så dramatisk som den har vært for andre selskaper og på grunn av hva Splunk gjør. Det vil alltid ha en hybrid cloud-modell. Den har allerede gått gjennom å miste om lag 500 bps av bruttomargin på grunn av overgangen. Til slutt vil bruttomarginene stige tilbake til nivåer i forgrunnen, tror jeg.) Selskapet nærmer seg slutten av det 2017-regnskapsåret med Resultatene vil trolig bli rapportert før slutten av neste måned. Det synes hensiktsmessig å se på selskapets vekstdrivere og se om det er grunn til å tro at de kan være avtagende, eller om de bekymringene som er oppnådd av analytikermøtet, er gyldige. Fiscal 2016 (i hovedsak 2015-året), økte helårsinntektene med 48 og at veksten var konsistent gjennom året med 49 vekst i 4. kvartal. I begynnelsen av dette regnskapsåret ga selskapet veiledning for 880 millioner i omsetning, og det representerte en vekst på 32. Selskapet forutslo også at ikke-GAAP-marginer ville være om lag 5 for året. Kommer i slutten av året, er den nåværende konsensusen fra de 40 analytikerne som publiserer på First Call, at selskapet vil oppnå 39 vekst i året, som deretter vil senke til 27 neste år. I fjor oppnådde selskapet 41 vekst. Gjennom ni måneder har omsetningsveksten vært 43,5. Min gjetning er at resultatene for 4. kvartal vil gi inntekter som igjen er vesentlig større enn selskapets veiledning og den nåværende publiserte konsensus. Den nåværende konsensusen på 31 vekst for inneværende kvartal er bare hva ledelsen prognostiserer under sin siste inntjeningsløsning. Men når selskapet prognostiserer sine 3 kvartalsresultater, skulle inntektene være 229 millioner. De viste seg å være 245 millioner. På et nivå kunne jeg stoppe her. Jeg ville ikke ta noen prognose som Splunk gir som sitt beste estimat for hvilke inntekter det kan være. Jeg vil foreslå at prognosen representerer noe som minimale engasjerte inntekter som er kontraktmessig forpliktet. For tiden forutsier selskapet at inntektene kommer til å falle i rekkefølge. Det virker veldig sannsynlig Bare for posten, var fjoråret til fjerde kvartal veksten 46 millioner eller mer enn 26. Det er ingen tegn på at etterspørselen har brutt ned eller at selskapet skifter til noe lavere vekst - eller salgsutførelse. Uten å vite noe mer om selskapets virksomhet, kan sekvensen av prognose og ytelse tyde på at investorer og observatører ville bli langt bedre servert ved å se på et plott av de to og bruke en trendanalyse. De vil sikkert få mer nøyaktige resultater. Å forresten, selskapet kommer til å slå den 5 ikke-GAAP driftsmargin prognose også. Det er nå prognoser 6 for den metriske. Splunks inntektsvekst er avtagende, men av en langt lavere og mindre plagsom kadens enn noe som angår enkelte observatører. Det meste av avtakningen er virkelig en funksjon av flere inntekter som beveger seg til skyen, som over tid vil faktisk bidra til veksten av selskapet. Hva er etterspørselsdrivere for Splunks løsninger og hvem som må slå for å forbli i vekstmodus Som nevnt tidligere, er markedet som Splunk selger sin programvare kalt SIEM. Splunk har blitt vurdert lederen i rommet i flere år nå av Gartner i sin Magic Quadrant-analyse. Dens nærmeste konkurrenter er IBM (NYSE: IBM), LogRhythm, Hewlett-Packard Enterprises (NYSE: HPE) og EMC. Selskapet har vært leder i rommet siden Gartner begynte å skrive på sektoren - fire år som det skjer. Og det har ikke vært store endringer på toppen av styret. Et tilstøtende marked der Splunk er blitt forankret kalles ITSI-IT Service Intelligence. Selskapet har bygget moduler for sin grunnleggende teknologi som er orientert for å sikre at IT-tjenester leveres uten avbrudd, og at anomalier er merket før de gir problemer. Mye som å finne en kreft før det er noen synlige symptomer. Tidligere denne måneden klassifiserte IDC Splunk nr. 1 i verdensomspennende IT-operasjonsanalyse for andre året på rad. Splunks markedsandel i rommet er 28,5. Det er ingen bevis for at Splunks markedsposisjon forverres. Hvis selskapet kommer til å oppleve vesentlig svekkende vekst, vil det skyldes at markedene som det selger, sakter, og fordi selskapet ikke klarer å utvikle tilleggssaker til programvaren. Splunk har utviklet tilleggssaker til loggmonitoringsprogramvaren siden det har vært et offentlig selskap og sannsynligvis før det. Det er en del av måten selskapet driver. Sist har selskapet utviklet en serie produkter som utvikler informasjon om anomalier i bruken av data og er utformet for å være en del av et sikkerhetstoff. Selskapet har et bredt utvalg av verktøy som prøver å trekke verdier ut av alle maskindata som opprettes. Selskapet har løsninger i disse dager som gir analyse for Hadoop. Selskapet har verktøy som gjør det mulig for brukere å foreta markedsføring og salgsfremmende beslutninger i sanntid. Det kan gi analyse av dataene som mottas via IoT-kilder. Splunks løsninger fortsetter å bli brukt til å diagnostisere operative problemer gjennom korrelasjoner, og det gir proaktive advarsler ved å oppdage mønstre og anomalier. Det ville være kjedelig, tror jeg, for å prøve å beskrive alle brukssaker Splunk har utviklet seg de siste årene. Men jeg tror konklusjonen som man lett kan tegne er at etterspørselsmiljøet ikke har forverret, det er ikke sannsynlig å forverres, og at bekymringene fra enkelte investorer om dette emnet er dramatisk overblown. Splunk vil trolig fortsette å øke inntekter over 30 i flere år framover, tror jeg. Jeg tror at veksten for Splunk virkelig er en funksjon av organisasjonens evne til å styre virksomhetenes absolutte størrelse og å begynne å oppnå noen økonomier i stor skala. Lønnsomhet og kontantstrøm - årsakene til at selskapene er i virksomhet. Splunk har en veldig lang vei å gå for å bli et lønnsomt selskap basert på GAAP-standarder, selv om det genererer positiv kontantstrøm. I fjor konverterte det en GAAP-driftsmargin på 37 til en ikke-GAAP-rapportert fortjeneste på 7. Det meste av denne forskjellen var gjennom utelukkelse av aksjebasert kompostkostnad. Dette er ikke riktig forum for å diskutere praksis - det er min tro på at fra et aksjeevalueringsperspektiv har dette selskapet gått ut over grensene for det som flest investorer finner akseptabelt. Det største området av aksjebasert komp er i forskning og utviklingskostnadssegmentet. I den forbindelse, mens Splunks-nivået på aksjebasert komp er kanskje litt av en outlier, har det blitt en typisk strategi i disse dager som reflekterer ansettelsesforholdene for selskaper som prøver å øke sine utviklingsmuligheter. Splunks strategi krever rask utvidelse av løsningssettene, og for å gjøre det må den øke utviklingsevnen betydelig. Det kommer ikke til å være lett å kontrollere lagerbasert kompostkostnad som vil være nødvendig for å tiltrekke utviklere i det som er et veldig stramt arbeidsmarked. I 3. kvartal nådde selskapets GAAP-kostnadsforhold for forskning og utvikling 35 av sine inntekter på forskning og utvikling, sammenlignet med 32 av inntekter året før. Aksjebasert comp var faktisk 52 av GAAP-utgiftene til forskning og utvikling. Det ser ut til å være en åpenbar kommentar som tyder på at Splunk må reformere sin økonomistyring på kort sikt for å kunne starte en lønnsomhet som de fleste investorer godtar. Interessant var ikke et enkelt spørsmål på konferansesamtalen rettet mot det aktuelle emnet. I fjor brukte selskapet 167 millioner eller 68 av rapporterte inntekter på salgs - og markedsutgifter. Det var bedre enn året før metriske når salgs - og markedsføringsutgifter var 74 av inntekter, men ingen forestiller seg at et selskap i IT-verdenen - eller egentlig en hvilken som helst annen verden - kan bruke mye over 30-40 av omsetningen på salg og markedsføring og gjøre GAAP fortjeneste. Hvorfor tilbringer et selskap på dette stadium av vekst en så stor andel av inntekter på salg og markedsføring. Det er ganske enkelt egentlig. Mens noen analytikere fokuserte på denne selskaps finanspolitiske 2018-inntektsforutsetningen, ville et bedre lysbilde for å se på det som selskapet hadde gitt en kohortanalyse av sine kunder. Fem år etter innledende kjøp, hadde brukerne i skattemessige 2011 og finanspolitiske 2012-kohorter økt sine bestillinger med 5X og økt databruk 8X. Opplasting av dataforbruket bærer i det vesentlige 100 bruttomarginer. Med 87 lisensavtaler som kommer fra eksisterende kunder, står ledelsen overfor et forbrytelse i å forsøke å balansere vekstmuligheter og lønnsomhet og hittil har kommet ned på vekstsiden. Med tanke på hvor vesentlig kundene øker forbruket av Splunk gjennom årene, er det ikke så overraskende at selskapet har valgt å bruke et ekstraordinært beløp for å skaffe kunder og å utvikle tilleggsløsninger som kan tiltrekke seg potensielle brukere. Fra et investorperspektiv er Splunk vedtaket om å maksimere potensiell langsiktig avkastning i en voksende plass. Å gjøre det, vil forsinke og forlenge veien til GAAP lønnsomhet i flere år. Når land og utbygging fungerer, og det fungerer i spader for Splunk, er den logiske strategien å ansette, å bruke masse penger på landing. Som det skjer, er den gjennomsnittlige bestillingsstørrelsen for dette selskapet bare 50-60.000. Capturing kunder av den størrelsen vil bli relativt dyrt, og det vil ta tid før kundene fanget vil bli hvaler. Det er et samspill mot både dette selskapet og observatørene, men det er en grunn til at veien til lønnsomhet på et ikke-GAAP-grunnlag vil være lang og vanskelig. Samlet var driftskostnadene i GAAP 117 av inntekter i finanspr 3. kvartal, sammenlignet med 124 av omsetningene i år tidligere og 122 av inntekter gjennom de første ni månedene av regnskapsåret. Det er fremgang, bare ikke dramatisk fremgang eller hva slags fremgang som vil føre til betydelig GAAP-inntekt når som helst snart. Til tross for tapene har dette selskapet og er sannsynlig å fortsette å generere et meningsfylt nivå av kontantstrøm, men ingen vil sannsynligvis kjøpe aksjene på grunn av deres frie kontantstrømutbytte. Mer enn all kontantstrøm er et produkt av aksjebasert comp, selv om en viss kontantstrøm er et resultat av økningen i utsatte inntekter. Når selskapet svinger til å motta mer inntekter fra roterbare kilder som skyen, synes det sannsynlig at utsatte inntekter vil stige raskere enn hittil, men samlet sett må betydelig kontantstrømvekst drevet av fortjeneste - det er ingen skjult kontantstrøm og på grunn av selskapets prising. Utsatte inntekter vil aldri være vesentlige i forhold til totalinntekter. Hvordan vil Splunk håndtere sin konklusjon Jeg tror at Splunk for det meste vil fortsette å avvikle marginprestasjoner for omsetningsvekst. Under analytikerdagen forutsetter den at den vil vokse 25-30 i løpet av de neste tre årene, og at marginene ikke-GAAP-marginer vil nå 12-14. Disse tallene er faktisk noe bedre enn de kan virke. I løpet av de neste årene vil selskapet overgå mer av inntektene til skyen, og i det minste har skyen i utgangspunktet nedbrutt bruttomarginene med 400-600 bps, og det har sannsynligvis vunnet noen poeng over rapportert vekst - selv om det ironisk nok er både skyen og evigvarende lisensvekst over-utført siste kvartal. Jeg tror at bare gjennom å fortelle løsningsområdene der Splunk skaper verdi, antyder det at den ligger i en sterk vekstnekse som om noe blir sterkere. Og jeg tror at selskapet ser ut til å ha en dominerende konkurranseposisjon innenfor sine målrom. Det grunnleggende svaret her er at selskapet ser sin TAM som 55 milliarder kroner, og det er i ferd med å kunngjøre et år på 1 milliard i fakturering. Det kommer ikke til å ofre sin sving på det markedet for å oppnå bedre lønnsomhet - ikke i år, neste år eller helst snart. Jeg antar at fortynningen vil avta fra 6-7 år til noe mer beskjeden takt som tiden går, men det kommer til å være en faktor med viss konsekvens på grunn av hvordan dette selskapet vokser. For det meste har den nye kundeveksten vært relativt beskjeden. Så må strategien være å selge de nye kundene mange flere produkter enn de først kjøpte og selvfølgelig å nyte inntektene som kommer mer eller mindre automatisk på grunn av økt dataanbruk i nesten alle kunder. Og strategien må være å selge større innledende ordrer og å oppnå økende ASP. Det kan bare gjøres ved å utvide brukssaken til maskindata, og det betyr at økning i forsknings - og utviklingsutgifter ikke vil redusere betydelig i nær fremtid. GAAP margin vekst og betydelige frie kontantstrømmargener er ikke sannsynlig å være mye i bevis for dette selskapet før 2020 eller senere. Investorer som ser etter klassiske verdsettelsesmål, finner dem ikke her. Jeg tror at selskapet vil vokse raskere eller utvikle en høyere sky-komponent av inntekter enn det er prognoser. Men det kommer ikke til å kunne gjøre det og oppnå den type betydelige lønnsomheten som enkelte lesere og investorer forventer. Akkurat som det er flere forskjellige tilstander, er det forskjellige typer investeringer. Splunk er en av de forskjellige typer investeringer hvor lønnsomhet skal fortsette å ta seg tilbake til vekst. Opplysning: Vi har ingen posisjoner i noen av de nevnte aksjene, og ingen planer om å starte noen stillinger innen de neste 72 timene. Jeg skrev denne artikkelen selv, og det uttrykker mine egne meninger. Jeg mottar ikke kompensasjon for det (annet enn fra Seeking Alpha). Jeg har ingen forretningsforbindelser med et selskap hvis lager er nevnt i denne artikkelen. Om denne artikkelen: HACK PureFunds ISE Cyber ​​Security ETF Registrer deg for Pro for å låse opp data Registrer deg Realtime Rating Summary Det tilstøtende tabellen gir investorer en individuell Realtime Rating for HACK på flere forskjellige målinger, inkludert likviditet, utgifter, ytelse, volatilitet, utbytte, konsentrasjon av beholdninger i tillegg til en samlet vurdering. ETF-feltet A-metritt, tilgjengelig for ETFdb Pro-medlemmer, viser ETF i Technology Equities med den høyeste metriske realtidsverdien for hvert enkelt felt. For å se alle disse dataene, registrer deg for en gratis 14-dagers prøveperiode for ETFdb Pro. For å se informasjon om hvordan ETFdb Realtime Ratings fungerer, klikk her. HACK Total Realtid Rating: A Total Rated ETF: Technical 20 Day MA: 29.02 60 Day MA: 27.83 MACD 15 Periode: 0.10 MACD 100 Periode: 1.94 Williams Range 10 Day: 64.56 Williams Range 20 Dag: 23.39 RSI 10 Dag: 59 RSI 20 Dag: 62 RSI 30 Dag: 61 Ultimate Oscillator: 61 Bollinger Brands Lower Bollinger (10 Day): 29.11 Øvre Bollinger (10 Dag): 29.79 Nedre Bollinger (20 Dag): 27.89 Øvre Bollinger (20 Dag): 30.08 Nedre Bollinger Dag): 27.34 Upper Bollinger (30 Day): 29.98 Støttestøttestøtte Nivå 1: 29.19 Støtte nivå 2: 29.00 Motstandsnivå 1: 29.48 Motstandsnivå 2: 29.58 Stokastisk stokastisk oscillator D (1 dag): 59,63 Stokastisk oscillator D ): 56,15 Stokastisk oscillator K (1 dag): 57,72 Stokastisk oscillator K (5 dager): 69.66Splunk Best Practices Splunk Best Practices Common Splunk Topologi Denne arkitekturen har flere viktige komponenter som: En indekser-tier med indekseringsklustering. Flere klyngede søkemotorer (indeksere) forbedrer ytelsen både under datainntak og søk. Denne strategien reduserer søketiden og gir litt redundans for datainnsamling og tilgjengelighet hvis en enkelt server feiler ett eller flere separate søkehoder. Dette separate systemet vil distribuere alle søknadsforespørsler på alle konfigurerte søkemotorer, forbedre søkeytelsen. Et separat søkehode er vist her for å støtte Splunk8217s Enterprise Security (ES) - program Deployment Server. Dette systemet kan samles med andre Splunk-tjenester, eller frittstående. For store distribusjoner er et frittstående system viktig. Dette systemet fungerer vanligvis som lisensmester. Master Node. Dette systemet er vanligvis samlokalisert med distribusjonsserveren. For store distribusjoner er et frittstående system viktig. Arkitektur og designplan indekser og sourcetypes. Disse to tingene vil være vanskelig å endre senere. Indekser og sourcetypes assisterer i datastyring. Se Standardfelt og indekserte felter. Bruk sourcetypes til å gruppere data etter likhet. Hvis hendelsene genereres av samme enhet og er i samme format, bør de mest sannsynlig være en sourcetype. Se dette flotte blogginnlegget på Sourcetype-navngivning. Prøv å samle hendelser så nært (når det gjelder geografi og nettverksplassering) som mulig. Disse hendelsene kan samles med en Splunk Universal Forwarder. og deretter sendt til indeksører som kan være en sentral plassering. Prøv å holde søkehoder så nær som mulig for indeksere. Dette vil forbedre søkehodet8217s hastighet når du åpner hendelsene. Bruk separate IP-adresser når det er mulig. Slik som: ledelse, logginnsamling, web UIsearch-hodet og bruk separate IP-adresser for forskjellige store sourcetypes. Alt dette gjør Splunk-distribusjonen mer utvidbar, gir bedre tilgangskontroll, og gir mulighet for finkornet feilsøking og analyse. Bruk et konsekvent navngivningssystem på Splunk Search Heads. Indexers for å sikre nøyaktighet og redusere feilsøkingstiden. Planlegg distribusjonen av Windows-hendelsessamling (hendelseslogger og ytelsesdata) nøye for å sikre suksess. Mange Windows-hendelsesoppsamlingsverktøy har ulike begrensninger som forkortelse av hendelser på 512 eller 1024 byte. Splunk Universal Forwarder doesn8217t har disse begrensningene og kan brukes til å oppnå pålitelig og effektiv innsamling av Windows-hendelser fra et stort distribuert Enterprise. Vi anbefaler på det sterkeste å bruke SplunkTAWindows. For å få en grundig logg på kritiske systemer, bør du vurdere å bruke Splunk addon for Microsoft sysmon i tillegg til SplunkTAWindows. Enkelt lag ansvarlighet. Et enkelt lag burde være ansvarlig for Splunk i stedet for å ha dette delt på flere avdelinger, divisjoner eller enheter. I tillegg krever mye av distribusjonen av Splunk en intim forståelse av den tilsiktede bruken, og det anbefales derfor at teamet som vil være hovedbruker av Splunk, også skal kunne håndtere distribusjonen. Dette tilsvarer generelt en mer vellykket implementering. Bruk en Splunk License Master til å kontrollere lisensiering av indekserne dine, og don8217t glemmer å inkludere deg søkehoder og eventuelle heavyforwarders i den lisensen. Hvis du er i distribuert distribusjon, med flere Splunk søkehoder og speditører, bør du vurdere å bruke Deployment Server. Bruke distribusjonsserveren kan bidra til å holde konsistent konfigurasjon på tvers av Splunk-systemer, og gjøre konfigurasjonsendringer mye lettere (uten å måtte berøre hvert system). Når du bruker Indexers, vurderer du sterkt indeksering. Selv når du starter med en indekser, starter du med en masterknute for å administrere konfigurasjoner på den indeksen, vil det være smertefritt å utvide til flere indekser. Bruk forsiktig og konsekvent Splunk8217s lytteporte, som binder seg til bestemte back-end-prosesser. Noen av disse refereres når Splunk starter. Generelt sett er standardportene, hvis de ikke har blitt endret. tcp8089 8211 splunkd 8211 Splunk8217s demon port brukes for distribuert søk og distribusjonsserver. tcp8000 8211 splunkweb 8211 Splunk8217s webport som brukes til Internett-tilgang. tcp8191 kvstore Splunk8217s nøkkelverdibutikk. tcp9887 8211 Index-klusterreplikasjon 8211 Port brukes vanligvis til å kopiere Splunk-data i indeksklustringsmiljøer. Merk: Dette kan være en hvilken som helst tillatelig port, 9887 er bare et eksempel. tcp9997 8211 splunktcp lytter 8211 Port pleier å sende hendelser fra en Splunk-speditør til en Splunk-lytter (indekser eller annen speditør). Merk: Dette kan være en hvilken som helst tillatelig port, 9997 er bare et eksempel. tcp9998 8211 splunktcp SSL lytter 8211 Port brukes vanligvis til å sende hendelser fra en Splunk speditør til en Splunk lytter (indekser eller annen speditør) ved hjelp av kryptering. Merk: Dette kan være en hvilken som helst tillatelig port, 9998 er bare et eksempel. Utfør integritetskontroller. Splunk er utrolig nøyaktig i hvordan den samler og representerer dataene dine, men hvis du sender den falsk eller duplisert data, kan den også indeksere dette. Innimellom vurderer du inngangene dine og sørger for at dataene dine er nøyaktige, tidsstempler er gode, og det er ingen feil, for eksempel feil eller dupliserte hendelser. Det finnes et Data Onboarding-program på Splunkbase som kan bidra til å undersøke indekser, sourcetypes, verter og datamodeller for å sikre at dataene dine blir ombord korrekt. For Enterprise Security er det en valideringsapp på Splunkbase for å kontrollere integriteten til Enterprise Security Implementation. Integrer AD for autentisering. Splunk integrerer ganske bra med Active Directory for å autentisere brukere. Denne konfigurasjonen lar deg tildele en bruker til en gruppe i AD, og ​​kartlegg denne gruppen til en rolle i Splunk. Når denne brukeren logger inn på Splunk, får de sine spesifikke evner og rettigheter tildelt av rollen. Dette er granulær RBAC (Role Based Access Controls). MS AD-verktøyet adsiedit. msc er flott å bla gjennom et AD-domene for verdifulle elementer som er nødvendige for å konfigurere AD-auth på Splunk. Dette verktøyet er installert som standard på 2008 AD-systemer, men må installeres manuelt som en del av RSAT-pakken på andre versjoner av Windows. Bruk en egen OU for Active Directory Integration. Når du konfigurerer AD, kan du angi en liste over en eller flere bindingsgrupper for Splunk for å søke etter grupper i AD. Hvis du bare gir root dir av alle gruppene, kunne Splunk returnere hundre tusen grupper. I tillegg, hvis du bruker eksisterende grupper, kan det være mange andre brukere i gruppen som du ikke vil ha tilgang til Splunk. Hvis du opprettet en ny baseou (for eksempel OUsplunkgroups) i AD, lager du deretter tilgangsgruppene dine under dette, f. eks. (OUunixadmins, OUsplunkgroups, OUnetworkadmins, OUsplunkgroups), kan du sette bindgroupDN til splunkgroups for å minimere returnerte grupper samt brukere som har tilgang til Splunk. Migrerer indeksdata. Dette kan være svært vanskelig, og du må være forsiktig siden du kan ødelegge og deaktivere dataene dine. Det anbefales at du ringer Splunk-støtte, eller at PS hjelper deg. Hvis du må gjøre dette manuelt, les og forstå dokumentene og hvordan bøttestrukturen fungerer, og du kan se på denne svarposten på emnet. Tenk på implikasjonene ved å analysere data direkte på indekserne dine eller ved å bruke mellomliggende kraftige videreførere. I Splunk 6.2 har det vært en rekke forbedringer på hva som vil kreve en omstart på indekserne. Generelt er motstandsdyktige overførere motet. Å flytte bort fra Heavy Forwarders reduserer mengden systemer som skal håndteres. Ingen Heavy Forwarders betyr at du alltid vet hvor dataene dine blir analysert (Indeksøren). I svært spesifikke brukstilfeller kan Heavy Forwarders fortsatt gi verdi. Når du foretar en ekstrem mengde tidsprosessoperasjoner på data, for eksempel stor mengde indeks-, verts - og sourcetype-omdøping, kan en Heavy Forwarder brukes til å redusere CPU-belastningen på indeksere. Generelt er dette ikke nødvendig og kompliserer bare implementeringer. I situasjoner der eksternt kontor er båndbredde begrenset, eller det kan ha u pålitelige nettverkstilkoblinger, bør du vurdere å bruke en mellomliggende universalforwarder. Dette vil redusere antall tilkoblinger på en båndbreddebegrenset lenke, samt gi bedre kontroll over frekvensbegrensning hvis ønskelig. Informasjon . Å spesifisere maskinvare med Splunk krever mer enn bare en rask guide, men følgende liste kan hjelpe deg med å komme i gang. Dette er ikke ment å erstatte en scoping-diskusjon med en Splunk-salgsingeniør, men heller å hjelpe en kunde som forberedelse til et profesjonelt engasjement. Splunk maskinvare planlegging. Å svare på disse tre spørsmålene, er nok for den gjennomsnittlige distribusjonen, men ikke alle implementeringer. Splunk maskinvare planlegging. Vet hva sizecope av distribusjonen din er. Du må vite beløpet du forventer til indeksdag. I tillegg bør du ha en grov ide om hvor mange Splunk-brukere det vil være, og hva deres intensitetsbruk vil være. Til slutt bør du forstå datakilder og deres lastvolum eller kompleksiteten som kreves for å samle inn data fra dem. Splunk maskinvare planlegging. Bestem hvilke komponenter du trenger. Les om Splunk-komponenter for bedre å forstå hva som finnes. Generelt vil de fleste distribusjonene ha fordel av å ha følgende: (1) Søk Heads (2) Indexers (1) Distributionsserver Master Node Splunk hardware planlegging. Bestem antall indeksere. Ifølge Splunk8217s dokumentasjon. en enkelt indekser kan ta imot opptil 300GBday. If you are processing 100GBday of data volume for use with Enterprise Security, you will need approximately 340GB more space available across all of the indexers to allow for up to 1 year of data model retention and source retention. An indexer, when used in an ES deployment, can accommodate up to 100GBday. Also note that newer versions of ES (starting with 3.0) no longer store summary data in TSIDX file on search head, Please see Splunk8217s deployment planning documentation for updates to these numbers as they can vary at times. These numbers should be considered the absolute maximum an Indexer can do under ideal circumstances. Adding search load or app load to a distributed Splunk install will dramatically reduce the amount of indexed data per data that can be searched effectively. Recommended Splunk Enterprise sizing: 150GBday per Indexer. Add Indexers when volume reaches 200GBdayIndexer Recommended Splunk Enterprise Security sizing: 60GBday per Indexer. Add indexers when volume reaches 80GBdayIndexer Splunk doesn8217t prescribe exactly what hardware you must purchase however, you should read through the following documentation to better understand their minimum specs: High-Level System Requirements Hardware Capacity Planning Reference Hardware CPU Spec. CPU is somewhat varied depending on what component you are talking about. For indexers, the current sweet spot for servers has been 12-16 core machines (I. e. dual socket six or eight core CPUs). Splunk can work with either AMD or Intel architecture on x86 systems, but is typically run on Intel hardware. Memory Spec. Memory is somewhat varied depending on what component you are talking about. Generally speaking indexers do particularly well with 16 GB of memory, meanwhile other components might require less. Enterprise Security8217s search load can apply more memory pressure. With that in mind, 24GB of memory on Indexers running ES is recommended. Splunk takes advantage of file system caching provided with most modern Linux distributions, so adding memory can provide a great benefit. Scale by adding more Indexers. In a well-configured distributed Splunk environment, you can scale simply by adding more indexers. The Universal Forwarders can forward data to the new indexer, and your search heads will request data from the new indexer. Generally speaking, this scales linearly resulting in a situation where double the indexers will cut search time in half. Methodically plan storage needs for a new deployment, prior to implementation. A useful Splunk sizing site . Splunk8217s documentation on sizing . Storage Hardware. Drive speed makes a difference. Splunk has informally documented that an increase in drive-speed will have a dramatic improvement on performance. Solid state drives can result in a massive speedup in very specific use cases. Be aware of the cost per GB tradeoffs for the speed. Solid state drives provide the largest speedups in the needle in a hay stack use case. Solid state drives do not provide much performance in dense searches (high event counts). Consider the trade off of having less total hot storage that is faster versus more total hot storage that is slower in some uses cases. What will your typical search period be Your hot volume should cover that, with a little bit of breathing room. Distributed Architecture. Carefully plan Splunk Distributed Architecture to ensure the most accurate and efficient processing . Storage Needs. Methodically plan storage needs for a new deployment, prior to implementation. RAID Level. Use RAID10 whenever possible for the Splunk datastore. Little impact will be seen at low volumes however, at higher data volumes you will see performance improvement with RAID10 over RAID 5 or 6. Benchmark storage. Splunk recommends 800 IOPS (InputOutputs Per Second) or better on your storage tier. This should be considered the minimum. Splunk will benefit greatly from increased disk performance above the 800 IOPs minimum. To get this performance, you will need to be using fast drives in an optimal RAID configuration served by an efficient controller (either internal, DAS, or SAN). There are various ways to test your storage to benchmark your current values, but the mostly commonly used method is via the venerable tool bonnie found in the repository of every major Linux distribution. There are many online guides (even on Splunk8217s site) for how to run this tool however, below is the gist: Ensure the target drive to be tested (e. g. splunkhot) is mounted and relatively not in use (meaning stop Splunk if it is running). You want to not use it in order to get an accurate reading from bonnie without competing for resources with it. Next, run the bonnie command against the target drive, with a - s option equal to 3-10x the amount of RAM you have in MB bonnie - d splunkhot - s 264000 - u root:root - fb If you choose to, you can pipe the above to one of these two commands (both come with bonnie): boncsv2html, boncsv2txt In the output, Random Seeks IOPs Architecture type. Splunk should be run on 64 bit platforms. Although it is compatible with 32 bit platforms, it is strongly discouraged. Universal Forwarders on 32 bit systems is perfectly acceptable. Data Routing Information: Data routing allows the Splunk administrator to selectively determine what incoming data gets ingested, what gets forwarded, and what gets dropped. Drop incoming data with the nullQueue. Beware not to go nullQueue - happy and drop too much. Many events while insignificant by themselves provide useful information when trended or otherwise analyzed. Data is often not considered security relevant at first, until there is a security incident related to the data. Consider this before dropping any data that could be useful in the future. Forward to a Splunk system whenever possible, but if there is a Use Case to send to an external system, following these instructions to Forward data to third party systems. Beware there are some caveats of doing this. Use Splunk AutoLB (Load Balancing ) to distribute data to multiple indexersforwarders. Much of this configuration must be done with the outputs. conf file. Ensure all critical systems have consistent time configuration. Systems generating events should have the proper time to ensure the events they create will be able to be correlated when analyzed. Consider NTP use throughout the enterprise as well as frequent time audits of the most critical systems to ensure accuracy. Consider doing regular time-audits. This is where you evaluate the time of your most critical systems to ensure they are consistent. If the data is in Splunk, then this task might just take a few minutes every month or so and is well worth it. The data onboarding app mentioned above provides dashboards to assist with this. Explicitly configure Splunk to read time stamp information from incoming events. Splunk8217s reads the time stamp from incoming events, which it then associates to the event in the index and the underlying buckets. It is imperative that time stamps and timezone offsets be parsed and set correctly both for usability and efficiency purposes. Test new inputs. When new inputs will be created, test the data first by ingesting some of it and determine if it requires adjustments such as for time stamps. event-processing (such as breaking). Syslog before Splunk. Traditional syslog technologies (syslogd, syslog-ng, rsyslogd) are simple and featureless compared to Splunk, but this is their advantage. Since these packages rarely change and require a small amount of resources, they are perfect for being the initial recipient of syslog data on the network. When network devices send syslog messages, this data is frequently UDP (connectionless) and therefore vulnerable in-transit. Even TCP syslog can be lost if the receiving host is unreachable. Place a syslog application (e. g. syslog-ng) on the network to receive the syslog feeds and configure the application to write the data out to files. Ideally, have the files be application-specific (e. g. firewall. log, router. log, maillog. log, etc.). Splunk can be installed as a forwarder on the same host to read these files and forward them on. If Splunk requires a restart or is otherwise unavailable (i. e. during an upgrade), it can pick up where it left off reading the files on disk. Please see other recommendations for managing these files. Too many files. Ensure a single instance of Splunk does not monitor more than a few hundred active files. If there are more than this, consider implementing a process (i. e. cron) to move the previous day8217s (or week perhaps) syslog directory out of the monitored directory-structure to an archive location. You know you have a problem with too many files if the Splunk instance involved has something like this in its logs: File descriptor cache is full . You might also benefit here by increasing the ulimit (see Adjust ulimit in this document). Avoid overwriting or hard-coding the 8220source8221 field in the data. Doing so can make troubleshooting problematic inputs more difficult. A useful resource on Data onboarding is the 2014 Splunk. Conf talk. Both the slides and a recording are available. Syslog Input Strip priority out of TCP inputs. In accordance with RFC3164 a Syslog priority message is prepended to each syslog event. By default, Splunk will strip this out on incoming UDP see inputs. conf documentation regarding the noprioritystripping directive. The problem is, that many devices still prepend this priority when sending events via TCP . Splunk expects the events to be RFC-compliant and not contain the priority so does not know to remove it. Here is an example of what an event looks like: To strip this out, add the following to the appropriate stanza of the props. conf for the target sourcetype: Watch out for chained syslog time stamps. If an event is relayed through multiple syslog servers (for example the local syslog on a Linux system sending events to a remote syslog server), there may be two time stamps at the start of the event. Carefully configure your Splunk props. conf to ensure the correct time stamp is extracted for the event. High Performance Syslog The Linux UDP input buffer has a fixed amount of memory allocated to it. When the amount of incoming data exceeds this buffer, packets are dropped. On a very busy server, this could happen frequently or in some cases continually. The memory allocated to the UDP input buffer is distribution-specific. This means, that depending on your flavorversion of Linux, this buffer size can vary. Be sure to understand what it is, and how it operates. Syslog systems should be tested and tuned to perform as needed. Information . Calculate Capacity by Messages Imagine a device that generates messages that are 250-450 bytes with most being over 350. If we average conservatively that the messages are 400 bytes big, how many EPS could be processed before saturating half the link such as in the Syslog-NG Example below A 100mbs link is capable of 100000000812500000 bytessec Half of this is 6250000 (what the Syslog-ng folks could do) Divide this by 400 (average bytesmessage) and you get 15625 which is the total amount of messages we could possibly receive if optimally configured with tcp given the parameters. Syslog-NG Example The syslog-ng developers have a blog where they discuss possible volumes with the 2.0 OSE: 100mbs net TCP messages 44000 messagessec all 150 bytes long This means they are processing 440001506600000 bytes per second Multiply 66000008 to get bandwidth: 52,800,000 So syslog-ng optimally configured (by its developer) can use about half of the 100mbs Ethernet connection without dropping packets Information . Calculate Capacity by License Size Imagine a 50GB license Divide by seconds per day 86400 to see an average of how much data could be pushed through the network on average: 5000000000086400578703 (bytessecond) Multiply the above by 8 to get bits per bytes (5000000000086400)84629624 (bitssecond) Application or Data Specific SEP Data import. For Symantec Endpoint Protection, you can put the SEP server in a configuration where it will write out temp files that a Splunk Universal Forwarder can read. Here is the Symantec knowledge-base document on how to configure this. While it is possible to configure SEP to send data via syslog, in some cases this data is incomplete, and unreliable. Also be aware that there are significant differences in the event format of SEP events between versions (most notably versions 11 and 12), which may result in failed extraction of fields if your TA or current extractions are expecting a different version. Avoid reading Windows raw EVT(X) files if at all possible. Instead, configure a Splunk Forwarder to access Windows Event Manager directly to ingest Windows Events. If your use case requires direct reads of the Windows EVT(X) binary files then consider the following information: EVT(X) files are the raw binary-format files that Windows uses to store its logs on the file-system. These files are nothing like normal log files and therefore present some challenges to any attempt to reconstitute them back into usable logs (Note: These issues have nothing to do with Splunk): They reference GUIDSIDs in lieu of systemuser names. This means that the EVT(X) File Parsing Host must have access to make AD queries to the Domain Controllers that can provide details and convert the codes referenced by the Logging Host. They reference DLL files that contain the pertinent information instead of placing it in the actual log. This means any DLL referenced by the Logging Host MUST be available on the EVT(X) File Parsing Host in order to interpret the logs. Since the EVT(X) files are a subset of the information they represent, a 99MB EVTX file converts to almost 500MB of indexed data. There are TB of logs stored on the CIFS share. The volume both to the Splunk license, system storage, and ADDC calls should be considered before fully-integrating this. Ingest time is slow since many AD calls are necessary for GUIDSID queries. In our tests, many GUIDs and some DLL references didn8217t convert in the event logs, leaving lots of useless events. This may be a result of either inconsistent AD details or missing DLLs on the Log Parsing Host Splunk on Windows can natively ingest EVT(X) files Splunk Enterprise Security Implementation Adjust VM Swap. Lower the vm. swappiness in 8216sysctl8217 to something like: 8216vm. swappiness108217 Adjust ulimit. Adjust the ulimit if necessary such as: Apply changes to sysctl with sysctl - p Apply changes to limits. conf by logging out and logging in again Administration Manage Assets Lists. Continue to manage your ES Asset List to always get the most value out of your deployment. Manage Identities. Manage your ES Identities to always get the most value out of your deployment. Forwarder Deployment Change the admin password on forwarders. All Splunk systems have a default username of admin and password of changeme and this includes Forwarders (Universal Forwarders and Full Forwarders). Take time to plan your deployment prior to implementation to ensure the most success. Centrally-manage Splunk configurations. Ensure you have a way to consistently and accurately manage configurations across the enterprise, such as with the Splunk deployment server Information . Topologies for Deployment Server Windows Deployment Information . Custom EventLogs on Splunk for Windows are discussed here . Information: Splunk has the ability to use WMI to monitor Eventlogs remotely. WMI is very clunky, and generally should not be used due to network and system performance implications . Scripted deployment for Windows UFs. You can script your deployment of Universal Forwarders for Windows depending on what tools you have available at your disposal. There are a few things to keep in mind though such as: On a version with UAC (User Access Controls) such as Visa, 2008 or Windows 7, you must be in an admin shell to install software Although it is much easier to have the Splunk MSI files in a UNC that you can mountreach from any system, sometimes windows security policy prevents this from working. If msiexec is failing consider copying the MSI installer local and try it again. There are a few things to keep in mind though, specifically that you want to pass the following msiexec arguments: AGREETOLICENSE, INSTALLDIR (since many sites want to install to some drive besides c Below is an example content that you can put in a criptpackage-management and it is based on having a Splunk deployment server in place A complete list of MSIEXEC flags . Linux Deployment Scripted deployment for Linux UFs. You can script your deployment of Universal Forwards for Linux depending on what tools you have available at your disposal. There are a few things to keep in mind though, specifically that you probably want to pass the following Splunk start-time arguments: 8211accept-license, 8211answer-yes, 8211no-prompt Below is an example content that you can put in a scriptpuppetrpm and it is based on having a Splunk deployment server in place. Note: that this hard-codes a download of the Splunk UF RPM at each invocation. It would be much smarter to use a local repo and replace that portion of the script with a call to this location with something simple like: yum install splunkforwarder Performance Lots of things can affect Splunk performance, including: System resources, Splunk architecture, Splunk configurations (e. g. lookups, extractions), and dashboards. Before attempting any performance remedies, first try and determine what may be adversely affecting your deployment8217s performance. UI Performance Remedies Use Summary Indexing for increased reporting efficiency. As you add more data and more users to Splunk, you will benefit from Summary Indexing. As of Splunk 5, it is also possible to use report acceleration. Not all searches qualify for acceleration . As of Splunk 6, it is also possible to use data model acceleration. Any pivot or report generated by that data model will complete much quicker than it would without the acceleration, even if the data model represents a significantly large dataset. Implement a central software management system (e. g. RPM repo, Puppet, Satellite Server) to manage packages and configurations to forwarders and other related systems. Managing Splunk instances on these remote systems always has problems and leads to issues such as: Very old (out of date) versions of Splunk throughout the enterprise Forwarders that have not had Splunk configured properly or locked down (e. g. changing the admin password and turning off Splunk web) Inconsistent configurations leading to similar systems setting different metadata on the same type of logs. Architecture type. Splunk works well with both 32 and 64 bit platforms however, there is a considerable performance improvement for 64 bit and this should be selected (both for Hardware and Operating System) whenever possible. Partitions and Volumes Use LVM to manage underlying file-system space. Only allocate storage space to an LVM from a Volume Group as necessary and preserve the extra for emergencies or future use. Make better use of LVM partitioning by creating discrete logical volumes for each major portion of the system such as , var, tmp, optsplunk and maybe even splunkdata Search Help Print the Splunk Cheatsheet (PDF or Manual ) for users. This is a great resource for learning the search language. The Splunk Reference Card PDF is also a great resource, and a laminated version can be purchased from the Splunk Schwag store . Consider taking a Splunk EDU class. Splunk has multiple classes focusing on search and dashboarding. Storage and Data Management New Index. It is almost always appropriate to use multiple indexes and not just maindefault . Create a new index if the answer of any of the following questions is yes . Does the target data require separate retention controls from other data Does the target data require separate access controls from other data Will Splunk users wish to either search the target data by itself or search other data and omit this target data Consider moving your Splunk database ( SPLUNKDB ) to its own volume to ensure clean separation of the binaryconfiguration structure and the data. This is not necessary, but there are advantages in high-volume environments. Data retention. Implement data retention and disk usage controls explicitly and early instead of waiting for a disk to fill. Configure retention in indexes. conf to push older data to remote volumes such as NFS mount for data archive. Caution . Changes to the retention policy ( indexes. conf ) can be perilous and the effect is not always immediate. Be sure you know what you are changing and have tracked changes and the results appropriately to ensure it has the desired effect. DRPBCP. Configure a Disaster Recovery and Business Continuity Plan for your Splunk deployment. This will include implementing a backup plan. Consider backups for the SPLUNKHOMEetc on each standalone search head (non-pooled) and the cluster node to a remote drive on a frequent interval. If an unmentionable happened, you can copy this directory to a new Splunk instance to restore. (sample script below to put in cron. daily or weekly) Backup the master node, the SPLUNKHOMEetcmaster-apps directory to a remote drive is recommended to quickly build a new master node. (sample script below to put in cron. daily or weekly) Backup the deployment server, the SPLUNKHOMEetcsystemlocalserverclass. conf and the SPLUNKHOMEetcdeployment-apps directory to a remote drive is recommended to quickly build a new deployment server. (sample script below to put in cron. daily or weekly) See the Storage Hardware section in this document for many notes regarding hardware. Deployment Server Deployment Server Selection The DS can be collocated with any other full Splunk instance however, there are also some reasons why it might need to be stand-alone. Since the DS requires so many active TCP sessions (at least one for each connected client), choose a system that already has a limited number of open TCP sessions to other systems, such as a Search Head. Ensure the DS server has plenty of memory. Consider a stand-alone system if the number of deployment-clients will exceed 300-500 Consider one Deployment Server instance for every 2000 polls per minute. Create a DNS host name specific to the DS (e. g. splunk-ds. yourfoo. fqdn) and use this name for all communication from the deployment-clients. This will make it much easier to migrate later, if you choose to. Adjust the polling period on clients to make a single server scale further. Use the clientName directive in the deploymentclient. conf to ease whitelisting and blacklisting in your serverclass. conf Only deploy configuration and parsing apps, such as Technology Addons (TA8217s). There is very little value in deploying dashboard based apps, and in some cases may cause complications. Prepend deployed configuration apps (not TA8217s) with 8220DS-8220. This distinction can help tremendously when troubleshooting problems with deployment clients. App Development Ensure all (if possible) searches call saved searches or use other knowledge-items such as Macros or Eventtypes. Containing all of these knowledge-items helps with manageability of the data across an enterprise deployment. Managing bare searches across apps or called externally via scripts does not scale well and can create a big problem during upgrades, migrations, and other maintenance. When creating fieldseventtypes refer to the Splunk Common Information Model to ensure forward-compatibility with Splunk and Splunkbase built-ins. When developing an app, ensure that any log or pid files are not stored in the app8217s directory. If the app is distributed via deployment server, the files and directory structure in the app will be replaced with those from the deployment server, which would include any log or pid files. Use GetWatchList. GetWatchList is a free Splunk app on Splunkbase that allows users to manage lookup tables on the system without requiring shell or administrative access. These lookups can be used in various ways but the most popular method is as watchlistsOS Configuration or Hardening Enterprise Security has many useful dashboards for various protocols. Consider using apps designed for specific products such as the Cisco Security Suite or the Gigamon Visability app for Splunk .