Movendo Média Splunk

Splunk: Diferentes estados da matéria A Splunk realizou a sua reunião anual de analistas e, para alguns, apresentou um quadro ambíguo em relação ao crescimento das receitas. A empresa teve uma previsão de tempo difícil - ele simplesmente tem sido incapaz de prever o calendário de grandes negócios e, portanto, tem over-attained de forma dramática. A empresa está passando por uma transição para a nuvem que tem impactado as margens brutas e provavelmente está retardando o crescimento das receitas - embora os números em bruto permaneçam fantásticos. Casos de uso de dados de máquina - basicamente o que esta empresa faz - continuam a expandir exponencialmente. A empresa continua a superar dramaticamente a concorrência com base em todos os tipos de pesquisas em seu espaço de dados de máquina. Splunk - O sexto estado da matéria significa que os investidores precisam de um scorecard para decifrar as expectativas A física não era um daqueles assuntos que me fascinaram durante minha carreira educacional. Fui a uma escola secundária e depois a uma universidade onde a física era um campo obrigatório de estudo, mas o conhecimento imparted não permaneceu. É mais de meio século e tudo o que me lembro são aqueles pequenos carrinhos de aço com as bolas de aço rolando para baixo os declives e um parceiro de laboratório muito sério que rejeitou minhas tentativas misbegotten de humor sobre a rapidez com que os carrinhos pouco acelerado. Assim, ao fazer um pouco de pesquisa de fundo para este artigo, descobri que Splunk é o sexto estado da matéria, os outros sendo sólido, líquido, gás, plasma e dados. Eu realmente nunca soube que havia seis estados da matéria ou o que o nome Splunk (NASDAQ: SPLK) significa. Splunk refere-se a algo que vê e indexa todos os dados. E o Splunk é um motor de dados que opera sem áreas cinzentas, sem sombras e sem nuvens. Isso não é uma má definição da funcionalidade da empresa e seu mantra. É uma definição muito menos pertinente quanto ao desempenho de suas ações e quantos observadores vêem a empresa. Partes Splunks ter feito muito pouco para a maior parte de um ano e, na verdade, estão para baixo por 16 a partir do alto alcançado em agosto passado. Questões que restringiram as ações incluíram preocupações sobre rentabilidade e o potencial de desaceleração do crescimento. Estou muito menos preocupado com alguma diminuição dramática na taxa de crescimento da empresa do que estou na cadência de seu caminho para a rentabilidade. Devido ao crescimento da empresa e fraqueza preço recente das ações, as ações têm agora atingiu uma valoração relativamente atraente. E eu acho que é provável que ver um desempenho muito melhor preço das ações e alfa positivo após o relatório trimestral em fevereiro mostra que não é realmente ver qualquer desaceleração do crescimento material. Recentemente, houve observadores, incluindo um neste site. Que acreditava que a recente reunião de analistas da empresa realizada há algumas semanas era uma forma velada de reduzir as orientações para o próximo ano fiscal. Difícil negar que a empresa previu receitas para o próximo ano fiscal em 1,175 bilhões que seria materialmente menos do que este crescimento anos. De fato, 1,175 bilhões de receita seria 26 crescimento de receita a partir da projeção de receita consenso atual para o ano fiscal de 2017, que termina no início da próxima semana. Esse tipo de crescimento não seria bem recebido pelos acionistas ou potenciais acionistas que vêm depois de um ano de 40 de crescimento. Mas dado o histórico que esta companhia tem em termos de orientação, acho que não usaria os números que apresenta como estimativas sérias. Espero que a empresa vai bater estimativas para o trimestre atual e vai aumentar a orientação para o ano fiscal de 2018 (termina 131). Eu acho que o crescimento percentual está moderando um pouco como a empresa atravessa o limiar anual de 1 bilhão. Mas a questão é quanto o crescimento está moderando. E o meu palpite, não é muito e não em qualquer lugar perto do que está na previsão apresentado um par de semanas atrás. Provavelmente a questão de investimento mais importante para esta empresa tem sido o crescimento do estoque baseado comp que tem sido essencialmente fora de controle nos últimos dois anos. Os números falam por si mesmos - ações em circulação atingiram mais de 131 milhões como relatado e será ainda maior quando os resultados do final do ano são relatados por causa da rentabilidade do ano completo não-GAAP - o CFO disse para modelar 140 milhões de ações em circulação . Esse é um aumento de mais de 40 em quatro anos e faz o progresso visto em termos de margens não-GAAP muito menos impressionante. A empresa reconheceu que um caminho realista para valores acionários de longo prazo inclui a gestão e redução da despesa de compra baseada em ações para níveis que não produzem diluição contínua e maciça. Mas até agora, reconhecendo a questão e agindo para reduzir bolsas de ações foram duas coisas diferentes e sobre o melhor que pode ser dito é que o crescimento de ações com base está começando a crescer a taxas abaixo da da Splunks aumento da receita Como mencionado, Apreciado por aproximadamente 12 sobre o ano passado ou assim e declinou por 16 desde que alcançou uma parte traseira elevada em agosto. Eu suspeito que o sub-desempenho dos últimos meses refere-se à diluição significativa da despesa de compra baseada em ações e preocupação do investidor que a empresa não está realmente em um caminho para aumentar suas margens a níveis razoáveis. Splunk partes apreciaram por 7,60 hoje no curso de minha escrita deste artigo. A apreciação é basicamente um fator de leitura da avaliação que a Cisco (NASDAQ: CSCO) está pagando pela AppDynamics (Pendente: APPD). Splunk tem uma capitalização de mercado de 7,6 bilhões e um valor de empresa de 6,6 bilhões. Com base no consenso atual sobre as receitas para o ano fiscal que começa em menos de uma semana, o EVS é de 5,6X, talvez metade da avaliação que a Cisco está pagando pela AppDynamics. Pessoalmente, eu acho que a oportunidade de crescimento nos espaços SIEM ITSY (a funcionalidade principal do Splunk) é significativamente maior do que a oportunidade no teste de aplicativos (o negócio da AppDynamics). Mas então nunca se pode saber exatamente o que anima aquisições específicas. As ações da Splunk agora podem ser vistas por muitos traders como um potencial alvo de aquisição em avaliações muito acima daquelas em que as ações venderam recentemente. Isso provavelmente não é uma especulação irracional, embora eu certamente não tenho conhecimento em primeira mão sobre quando ou se Splunk pode ser adquirido. As ações da Splunk têm uma classificação First Call razoavelmente positiva. A meta de preço de consenso é 71, mais de 30 acima do preço atual. Acho que a empresa vai ter que começar a realizar algum gerenciamento de despesas reais, mesmo no meio de seu pivô para fontes de receita de nuvem. (A discussão da transição da empresa para a nuvem é uma discussão separada que não é relevante neste artigo. A transição não é tão dramática como tem sido para outras empresas e por causa da natureza do que Splunk faz. Um modelo de nuvem híbrida. Ele já perdeu cerca de 500 bps de margem bruta por causa da transição. Em última instância, as margens brutas vão subir de volta aos níveis pré-nuvem, eu acredito.) A empresa está chegando ao final de seu ano fiscal de 2017 com Os resultados provavelmente serão relatados antes do fim do próximo mês. Parece apropriado olhar para os drivers de crescimento da empresa e ver se há uma razão para acreditar que eles podem estar diminuindo ou se as preocupações geradas pela reunião do analista são válidas. O ano fiscal de 2016 (essencialmente o ano de 2015) viu as receitas de anos completos crescerem 48 e esse crescimento foi consistente ao longo do ano, com crescimento de 49 no quarto trimestre. No início deste ano fiscal, a empresa forneceu orientação para 880 milhões em receita e que representou um crescimento de 32. A empresa também prevê que as margens não-GAAP seria cerca de 5 para o ano. Chegando ao final do ano, o consenso atual dos 40 analistas que publicam na First Call é que a empresa conseguirá 39 de crescimento para o ano, que então irá diminuir para 27 no próximo ano. No último trimestre, a empresa alcançou um crescimento de 41%. Através de nove meses, o crescimento da receita foi de 43,5. Minha suposição é que os resultados para Q4 produzirão as receitas que são mais uma vez substancialmente mais grandes do que a orientação da companhia eo consenso publicado atualmente. O atual consenso de 31 crescimento para o trimestre atual é exatamente o que a administração previu durante sua última divulgação de resultados. Mas quando a empresa prevê seus resultados do terceiro trimestre prospectivamente, as receitas eram supostamente de 229 milhões. Eles se tornaram 245 milhões. Em um nível, eu poderia parar aqui. Eu não tomaria nenhuma previsão que Splunk fornece como sendo sua melhor estimativa a respeito de que rendimentos poderia ser. Gostaria de sugerir que a previsão representa algo como as receitas mínimas comprometidas que são contratualmente comprometidas. Atualmente, a empresa prevê que as receitas vão diminuir de forma seqüencial. Isso parece terrivelmente provável Apenas para o registro, no ano passado o crescimento Q3 a Q4 foi de 46 milhões ou mais de 26. Não há nenhum sinal de que a demanda tenha quebrado ou que a empresa está mudando para alguma menor velocidade de crescimento ou execução de vendas. Sem saber mais sobre o negócio da empresa, a seqüência de previsão e desempenho pode sugerir que os investidores e observadores seria muito melhor servido por olhar um enredo dos dois e usando uma análise de tendência. Eles certamente obterão resultados mais precisos. Ah, aliás, a empresa vai bater a 5 previsão de margem operacional não-GAAP também. Agora está previsão 6 para essa métrica. O crescimento das receitas do Splunks está diminuindo, mas por uma cadência muito menor e menos problemática do que a preocupação de alguns observadores. A maior parte do abrandamento realmente é uma função de mais receitas movendo para a nuvem que ao longo do tempo vai realmente contribuir para o crescimento da empresa. Quais são os drivers de demanda para as soluções Splunks e quem precisa vencer para permanecer em um modo de crescimento Como mencionado anteriormente, o mercado no qual o Splunk vende seu software é chamado de SIEM. A Splunk foi classificada como líder no espaço por vários anos pela Gartner em sua análise do Quadrante Mágico. Entre seus concorrentes mais próximos estão a IBM (NYSE: IBM), a LogRhythm, a Hewlett-Packard Enterprises (NYSE: HPE) e a EMC. A empresa tem sido a líder no espaço desde que o Gartner começou a escrever no setor - quatro anos, como acontece. E não houve grandes mudanças no topo do quadro de líderes. Um mercado adjacente no qual Splunk se tornou entrincheirado é chamado ITSI-IT Service Intelligence. A empresa construiu módulos para sua tecnologia básica que são orientados para garantir que os serviços de TI são entregues sem interrupção e que as anomalias são marcados antes de causarem problemas. Bem como localizar um câncer antes de haver quaisquer sintomas visíveis. No início deste mês, a IDC classificou o Splunk No. 1 em análises de operações de TI em todo o mundo pelo segundo ano consecutivo. Splunks quota de mercado no espaço é 28,5. Não há evidência de que a posição do mercado da Splunks esteja se deteriorando. Se a empresa vai sofrer um abrandamento material do crescimento será porque os mercados em que vende estão a abrandar e porque a empresa é incapaz de desenvolver casos de uso adicionais para o seu software. Splunk tem vindo a desenvolver casos de uso adicionais para o seu software de monitoramento de log, uma vez que tem sido uma empresa pública e, provavelmente, antes disso. Faz parte do modo como a empresa opera. Mais recentemente, a empresa desenvolveu uma série de produtos que desenvolvem informações sobre anomalias no uso de dados e são projetados para fazer parte de um tecido de segurança. A empresa possui uma grande variedade de ferramentas que tentam extrair valor de todos os dados da máquina sendo criados. Atualmente, a empresa possui soluções que fornecem análises para o Hadoop. A empresa possui ferramentas que permitem aos usuários tomar decisões de marketing e promoção em tempo real. Ele pode fornecer análise dos dados que estão sendo recebidos através de fontes IoT. As soluções Splunks continuam a ser usadas para diagnosticar problemas operacionais através de correlações e fornece avisos proativos, detectando padrões e anomalias. Seria cansativo, penso eu, até tentar descrever todos os casos de uso que o Splunk desenvolveu nos últimos anos. Mas eu acho que a conclusão que se pode prontamente tirar é que o ambiente de demanda não se deteriorou, não é provável que se deteriorar e que as preocupações por parte de alguns investidores sobre o assunto são dramaticamente exagerada. Splunk é provável que continue a crescer receitas acima de 30 por vários anos mais, creio eu. Eu acho que o crescimento para Splunk é realmente uma função da capacidade da organização para gerenciar o tamanho absoluto do negócio e começar a alcançar algumas economias em escala. Lucratividade e fluxo de caixa - as razões pelas quais as empresas estão no negócio Splunk tem um longo caminho a percorrer para se tornar uma empresa rentável baseada em padrões GAAP, embora gere um fluxo de caixa positivo. No último trimestre, ele converteu uma margem de perdas operacionais GAAP de 37 para um lucro não-GAAP relatado de 7. A maior parte desta diferença foi através da exclusão da despesa de compra baseada em ações. Este não é o fórum apropriado para discutir a prática - é minha convicção de que, a partir de uma perspectiva de avaliação de ações, esta empresa ultrapassou os limites do que a maioria dos investidores acham aceitável. A maior área de ações com base comp está no segmento de despesas de pesquisa e desenvolvimento. Nesse aspecto, enquanto o nível Splunks de ações com base comp é talvez um pouco de outlier, tornou-se uma estratégia típica nos dias de hoje refletindo as condições de emprego para as empresas que estão tentando aumentar suas capacidades de desenvolvimento. A estratégia da Splunks exige uma rápida extensão de seus conjuntos de soluções e, para isso, precisa aumentar substancialmente sua capacidade de desenvolvimento. Não vai ser fácil de controlar a despesa comp de ações com base que será necessário atrair desenvolvedores em que é um mercado de trabalho muito apertado. No terceiro trimestre, o índice de despesas GAAP da empresa para pesquisa e desenvolvimento atingiu 35 de suas receitas em pesquisa e desenvolvimento, em comparação com 32 das receitas do ano anterior. Stock base comp era realmente 52 dos GAAP gastar em pesquisa e desenvolvimento. Parece um comentário óbvio sugerir que a Splunk terá de reformar a sua gestão financeira a curto prazo para iniciar um caminho de rentabilidade aceito pela maioria dos investidores. Curiosamente, nenhuma pergunta sobre a teleconferência foi dirigida a esse assunto. No último trimestre, a empresa gastou 167 milhões ou 68 das receitas reportadas nas despesas com vendas e marketing. Isso foi melhor do que o ano anterior quando as vendas e marketing gastaram 74% de receita, mas ninguém imagina que uma empresa no mundo de TI - ou realmente qualquer outro mundo - pode gastar muito além de 30-40 de receita em vendas e marketing e Fazer lucros GAAP. Por que uma empresa nesta fase de crescimento gastar uma parcela tão incrível de receitas sobre vendas e marketing É muito simples realmente. Enquanto alguns analistas se concentraram na previsão de receita fiscal da empresa para 2018, um slide melhor para olhar seria a que a empresa forneceu uma análise de coorte de seus clientes. Cinco anos após a compra inicial, os usuários nos anos fiscal 2011 e fiscal 2012 coortes tinham aumentado as suas reservas em 5X e aumentou a sua utilização de dados 8X. As taxas de utilização de dados claramente têm essencialmente 100 margens brutas. Com 87 de reservas de licenças provenientes de clientes existentes, a gerência enfrenta um enigma na tentativa de equilibrar as oportunidades de crescimento e rentabilidade e, até agora, tem vindo para baixo do lado do crescimento. Dado apenas como substancialmente os clientes aumentam seu consumo de Splunk ao longo dos anos, não é tudo isso surpreendente que a empresa optou por gastar uma quantidade extraordinária para adquirir clientes e desenvolvimento de soluções adicionais com as quais atrair potenciais usuários. Do ponto de vista do investidor, a Splunk está tomando uma decisão para maximizar potenciais retornos a longo prazo em um espaço em expansão. Fazê-lo vai atrasar e alongar o caminho para rentabilidade GAAP por vários anos. Quando a terra e expandir obras, e ele trabalha em espadas para Splunk, a estratégia lógica para empregar é gastar muito dinheiro na aterragem. Como acontece, o tamanho médio da ordem para esta companhia é somente 50-60.000. Capturar clientes desse tamanho vai ser relativamente caro e levará tempo até que os clientes capturados se transformem em baleias. É um enigma enfrentado tanto por esta empresa e por observadores, mas é uma razão por que o caminho para a rentabilidade em uma base não-GAAP será longa e árdua. No geral, as despesas operacionais GAAP foram 117 das receitas no terceiro trimestre fiscal comparado a 124 de receitas no ano anterior e 122 receitas durante os primeiros nove meses do ano fiscal. Há progresso, não apenas progresso dramático ou o tipo de progresso que vai levar a lucros significativos GAAP em breve. Apesar das perdas, esta empresa tem e é provável que continue a gerar um nível significativo de fluxo de caixa, mas ninguém é susceptível de comprar as ações por causa de seu rendimento de fluxo de caixa livre. Mais do que todo o fluxo de caixa é um produto de ações com base comp, embora alguma quantidade de fluxo de caixa é o produto do aumento das receitas diferidas. Como a empresa gira para receber mais receita de fontes razoáveis, como a nuvem, parece provável que as receitas diferidas aumentem mais rapidamente do que até agora, mas o crescimento significativo do fluxo de caixa deve ser impulsionado pelos lucros - não há fonte escondida de fluxo de caixa e Por causa do preço da empresa. As receitas diferidas nunca serão substanciais em relação à geração de receita total. Como o Splunk lidar com seu enigma Eu acho que, em sua maior parte, Splunk continuará a negociar o desempenho da margem para o crescimento da receita. Durante o dia do analista, ele previu que iria crescer 25-30 nos próximos três anos e que as margens não-GAAP margens chegará a 12-14. Esses números são realmente um pouco melhor do que eles podem parecer. Ao longo dos próximos anos, a empresa irá transitar mais de sua receita para a nuvem e, pelo menos inicialmente, a nuvem reduziu as margens brutas em 400-600 bps e provavelmente superou alguns pontos sobre o crescimento registrado - embora ironicamente tanto a nuvem E o crescimento perpétuo da licença excedeu o trimestre passado. Eu acho que simplesmente por relatar as áreas de solução em que Splunk cria valor sugere que ele está situado em um forte nexo de crescimento que se alguma coisa está ficando mais forte. E eu acho que a empresa parece ter uma posição competitiva dominante dentro de seus espaços-alvo. A resposta básica aqui é que a empresa vê seu TAM como 55 bilhões e está prestes a anunciar um ano de 1 bilhão em faturamento. Não vai sacrificar o seu swing nesse mercado para obter uma melhor rentabilidade - não este ano, no próximo ano ou qualquer momento em breve. Eu assumo que a diluição vai abrandar de 6-7 anos para algo mais taxa modesta como o tempo passa, mas vai ser um fator de alguma conseqüência por causa de como esta empresa cresce. Para a maior parte do crescimento do novo cliente tem sido relativamente modesto. Assim, a estratégia tem de ser para vender os novos clientes muito mais produtos do que inicialmente comprados e, claro, para desfrutar das receitas que vêm mais ou menos automaticamente devido ao aumento do uso de dados em quase todos os clientes. E a estratégia tem que ser vender ordens iniciais maiores e alcançar o aumento de ASPs. Isso só pode ser feito expandindo os casos de uso para dados de máquina e isso significa que os aumentos de gastos de pesquisa e desenvolvimento são improváveis ​​de diminuir significativamente no futuro próximo. O crescimento da margem GAAP e margens substanciais de fluxo de caixa livre não são muito prováveis ​​para esta empresa antes de 2020 ou mais além. Os investidores que procuram métricas clássicas de avaliação não os encontrarão aqui. Acho que a empresa vai crescer mais rápido ou desenvolver um maior componente de nuvem de receitas do que está prevendo. Mas não vai ser capaz de fazer isso e alcançar o tipo de rentabilidade substancial que alguns leitores e investidores antecipam. Assim como existem vários estados diferentes da matéria, existem diferentes tipos de investimento. Splunk é um daqueles tipos diferentes do investimento onde a rentabilidade vai continuar a fazer exame de um assento traseiro ao crescimento. Divulgação: Iwe não têm posições em quaisquer ações mencionadas, e não há planos para iniciar qualquer posições dentro das próximas 72 horas. Eu escrevi este artigo eu mesmo, e expressa minhas próprias opiniões. Não estou recebendo compensação por isso (exceto de Buscando Alfa). Eu não tenho nenhum relacionamento comercial com qualquer empresa cujo estoque é mencionado neste artigo. Sobre este artigo: HACK PureFunds ISE Cyber ​​Security ETF Inscreva-se para Pro para desbloquear dados Assine Realtime Rating Summary A tabela adjacente dá aos investidores um Realtime Rating individual para HACK em várias métricas diferentes, incluindo liquidez, despesas, desempenho, volatilidade, dividendos, concentração Das participações, para além de uma notação global. O campo A METric Rated ETF, disponível para os membros do ETFdb Pro, mostra o ETF nas Equivalências de Tecnologia com a mais alta Classificação em Tempo Real Métrica para cada campo individual. Para exibir todos esses dados, inscreva-se para uma versão gratuita de 14 dias para o ETFdb Pro. Para ver informações sobre como funciona o ETFdb Realtime Ratings, clique aqui. HACK Avaliação global em tempo real: A ETF global: Técnicos 20 Dia MA: 29,02 60 Dia MA: 27,83 MACD 15 Período: 0,10 MACD 100 Período: 1,94 Williams Faixa 10 Dia: 64,56 Williams Faixa 20 Dia: 23,39 RSI 10 Dia: 59 RSI 20 Dia: 62 RSI 30 Dia: 61 Oscilador final: 61 Bollinger Brands Bollinger inferior (10 dias): 29,11 Bollinger superior (10 dias): 29,79 Bollinger inferior (20 dias): 27,89 Bollinger superior (20 dias): 30,08 Bollinger inferior Dia): 27.34 Bollinger Superior (30 Dia): 29.98 Suporte Resistência Suporte Nível 1: 29.19 Suporte Nível 2: 29.00 Nível de Resistência 1: 29.48 Nível de Resistência 2: 29.58 Oscilador Estocástico D (1 Dia): 59.63 Oscilador Estocástico D (5 Dia ): 56.15 Oscilador Estocástico K (1 Dia): 57.72 Oscilador Estocástico K (5 Dias): 69.66 Práticas recomendadas do Splunk Práticas recomendadas do Splunk Topologia comum do Splunk Esta arquitetura possui vários componentes-chave, tais como: Um nível de indexador com agrupamento de indexadores. Vários clusters de busca (indexadores) aprimoram o desempenho tanto durante a pesquisa de dados quanto a pesquisa. Essa estratégia reduz o tempo de pesquisa e fornece alguma redundância de ingerência de dados e disponibilidade caso um único servidor falhe Uma ou mais cabeças de pesquisa separadas. Esse sistema separado distribuirá qualquer solicitação de pesquisa em todos os grupos de pesquisa configurados para melhorar o desempenho da pesquisa. Uma cabeça de pesquisa separada é mostrada aqui para suportar o Servidor de Implantação de aplicativos do Splunk8217s Enterprise Security (ES). Este sistema pode ser colocado em conjunto com outros serviços Splunk, ou stand-alone. Para grandes implementações, um sistema autônomo é importante. Esse sistema normalmente atua como o Mestre de Licenças. Nó Mestre. Esse sistema é normalmente co-localizado com o servidor de implantação. Para grandes implementações, um sistema autônomo é importante. Arquitetura e Design Planeje índices e sourcetypes. Essas duas coisas serão difíceis de mudar mais tarde. Índices e sourcetypes ajudam no gerenciamento de dados. Consulte Defaultfield e campos indexados. Use sourcetypes para agrupar dados por sua similaridade. Se os eventos são gerados pelo mesmo dispositivo e estão no mesmo formato, eles provavelmente devem ser um sourcetype. Veja esta grande postagem no blog sobre nomeação de Sourcetype. Tente coletar eventos tão próximos quanto possível (em termos de localização geográfica e de rede). Esses eventos podem ser coletados com um Encaminhador Universal Splunk. E então enviado para indexadores que podem ser um local central. Tente manter as cabeças de busca o mais próximas possível dos indexadores. Isto irá melhorar a velocidade de busca head8217s no acesso aos eventos. Use endereços IP separados sempre que possível. Tais como: gerenciamento, coleta de log, web UIsearch cabeça e usar IPs separados para diferentes sourcetypes principais. Tudo isso faz com que sua implantação Splunk seja mais extensível, oferece melhores opções de controle de acesso e permite uma solução e análise de problemas finos. Use um esquema de nomeação consistente no Splunk Search Heads. Indexadores para garantir a precisão e reduzir o tempo de resolução de problemas. Planifique cuidadosamente a implantação da coleta de eventos do Windows (logs de eventos e dados de desempenho) para garantir o sucesso. Muitas ferramentas de coleta de eventos do Windows têm várias limitações, como o truncamento de eventos em 512 ou 1024 bytes. O Splunk Universal Forwarder doesn8217t tem essas limitações e pode ser usado para confiar e eficientemente coletar eventos do Windows de uma grande empresa distribuída. É altamente recomendável usar SplunkTAWindows. Para muito profundidade log em sistemas críticos, considere usar o addon Splunk para Microsoft sysmon além de SplunkTAWindows. Responsabilidade de uma única equipe. Uma única equipe deve ser responsável por Splunk em vez de ter essa divisão em vários departamentos, divisões ou entidades. Além disso, grande parte da implantação do Splunk requer uma compreensão íntima do uso pretendido e, portanto, é recomendado que a equipe que será o principal usuário do Splunk também deve gerenciar sua implantação. Isso geralmente equivale a uma implementação mais bem sucedida. Use um Mestre de Licença Splunk para controlar o licenciamento de seus indexadores e não esqueça de incluir seus cabeçalhos de busca e quaisquer forwarders pesados ​​nessa licença. Se você estiver em uma implantação distribuída, com vários cabeçalhos de busca Splunk e encaminhadores, considere fortemente o uso do Deployment Server. O uso do servidor de implantação pode ajudar a manter a configuração consistente nos sistemas Splunk e facilitar as alterações de configuração (não precisar tocar em todos os sistemas). Ao implantar Indexadores, considere fortemente o clustering de indexadores. Mesmo quando se inicia com um indexador, começando com um nó mestre para gerenciar configurações nesse indexador, a expansão para uma configuração de indexador múltipla é indolor. Cuidadosamente e consistentemente usar Splunk8217s portas de escuta, que se ligam a processos back-end específicos. Alguns destes são referenciados quando Splunk inicia. De um modo geral, aqui estão as portas padrão, se eles não foram alterados. Tcp8089 8211 splunkd 8211 Porta do daemon do Splunk8217s usada para servidores distribuídos de busca e implantação. Tcp8000 8211 splunkweb 8211 Porta da web Splunk8217s usada para acesso à UI na web. Tcp8191 kvstore armazenamento de valor chave Splunk8217s. Tcp9887 8211 Replicação de cluster de índice 8211 Porta comumente usada para replicar dados do Splunk em ambientes de cluster de índice. Nota: Esta pode ser qualquer porta permissível, 9887 é apenas um exemplo. Tcp9997 8211 Listener do splunktcp 8211 Porta normalmente usada para enviar eventos de um encaminhador Splunk para um ouvinte Splunk (indexador ou outro encaminhador). Nota: Esta pode ser qualquer porta permitida, 9997 é apenas um exemplo. Tcp9998 8211 splunktcp Ouvinte SSL 8211 Porta normalmente usada para enviar eventos de um encaminhador Splunk para um ouvinte Splunk (indexador ou outro encaminhador) usando criptografia. Nota: Esta pode ser qualquer porta permitida, 9998 é apenas um exemplo. Execute verificações de integridade. Splunk é incrivelmente preciso em como ele coleta e representa seus dados no entanto, se você enviá-lo falsos ou dados duplicados pode indexar isso também. Ocasionalmente, revise suas entradas e certifique-se de que seus dados são precisos, os carimbos de data / hora são bons e não há erros, como eventos incorretos ou duplicados. Há um aplicativo de Data Onboarding no Splunkbase que pode ajudar a examinar índices, sourcetypes, hosts e modelos de dados para garantir que seus dados estão sendo integrados corretamente. Para Enterprise Security, há um aplicativo de validação no Splunkbase para verificar a integridade de sua implementação de segurança corporativa. Integre o AD para autenticação. O Splunk se integra muito bem com o Active Directory para autenticar usuários. Esta configuração permite-lhe atribuir um utilizador a um grupo no AD e, em seguida, mapear este grupo para uma função no Splunk. Quando este usuário efetua login no Splunk, eles recebem suas capacidades e direitos específicos atribuídos pela função. Trata-se de um RBAC granular (Controles de Acesso Baseados em Funções). A ferramenta MS AD adsiedit. msc é excelente para procurar um domínio do AD para itens valiosos necessários para configurar aut AD no Splunk. Essa ferramenta é instalada por padrão nos sistemas AD de 2008, mas precisaria ser instalada manualmente como parte do pacote RSAT em outras versões do Windows. Utilize uma OU separada para a integração do Active Directory. Ao configurar o AD, você pode especificar uma lista de um ou mais bindgroupDN para que o Splunk procure por grupos no AD. Se você acabou de dar o diretório raiz de todos os grupos, em seguida, Splunk poderia retornar centenas de milhares de grupos. Além disso, se alavancar grupos existentes, pode haver muitos outros usuários nesse grupo que você não deseja ter acesso ao Splunk. Se você criou um novo baseou (por exemplo, OUsplunkgroups) no AD, em seguida, crie seus grupos de acesso sob este, p. (OUunixadmins, OUsplunkgroups, OUnetworkadmins, OUsplunkgroups), então você pode definir o bindgroupDN para splunkgroups para minimizar os grupos retornados, bem como os usuários que têm acesso ao Splunk. Migrando Dados de Índice. Isso pode ser muito complicado e você precisa ter cuidado, pois você pode destruir e desativar seus dados. É aconselhável que você chame o suporte Splunk ou que o PS o ajude. Se você deve fazer isso manualmente, leia e compreenda os documentos e como funciona a estrutura do balde, e você pode dar uma olhada neste post de respostas sobre o assunto. Considere as implicações de analisar dados diretamente em seus indexadores ou usando Intermediário Heavy Forwarders. No Splunk 6.2, houve uma série de melhorias para o que exigirá um reinício nos indexadores. Em geral, Heavy Forwarders são desencorajados. Afastar-se de Heavy Forwarders reduz a quantidade de sistemas a gerir. Nenhum Forwarders pesado significa que você sempre sabe onde seus dados estão sendo analisados ​​(o indexador). Em casos de uso muito específicos, Heavy Forwarders ainda podem fornecer valor. Ao fazer uma quantidade extrema de parse operações tempo em dados, como grande quantidade de Index, Host e Sourcetype renomeando, um Heavy Forwarder pode ser usado para reduzir a carga da CPU em indexadores. Em geral, isto não é necessário e só complica as implementações. Em situações em que escritórios remotos são limitados de largura de banda ou podem ter conexões de rede não confiáveis, considere usar um intermediário Universal Forwarder. Isso reduzirá o número de conexões em um link limitado à largura de banda, bem como dará um melhor controle sobre a limitação da taxa, se desejado. Em formação . Especificar hardware com Splunk requer mais do que apenas um guia rápido, mas a lista a seguir pode ajudá-lo a começar. Isso não se destina a substituir uma discussão de escopo com um engenheiro de vendas Splunk, mas sim para ajudar um cliente na preparação para um compromisso de serviços profissionais. Splunk planejamento de hardware. Responder a estas três perguntas será suficiente para a implantação média, mas não para todas as implantações. Splunk planejamento de hardware. Saiba qual é o tamanho da sua implantação. Você deve saber o valor que você espera para indexday. Além disso, você deve ter uma idéia aproximada de quantos usuários Splunk haverá, e qual será o seu intensidade será. Finalmente, você deve entender suas fontes de dados e seu volume de carga ou a complexidade necessária para coletar dados a partir deles. Splunk planejamento de hardware. Determine quais componentes você precisa. Leia sobre os componentes Splunk para entender melhor o que existe. In general, most deployments would benefit from having the following: (1) Search Heads (2) Indexers (1) Deployment Server Master Node Splunk hardware planning . Determine number of indexers. According to Splunk8217s Documentation. a single indexer can accommodate up to about 300GBday. If you are processing 100GBday of data volume for use with Enterprise Security, you will need approximately 340GB more space available across all of the indexers to allow for up to 1 year of data model retention and source retention. An indexer, when used in an ES deployment, can accommodate up to 100GBday. Also note that newer versions of ES (starting with 3.0) no longer store summary data in TSIDX file on search head, Please see Splunk8217s deployment planning documentation for updates to these numbers as they can vary at times. These numbers should be considered the absolute maximum an Indexer can do under ideal circumstances. Adding search load or app load to a distributed Splunk install will dramatically reduce the amount of indexed data per data that can be searched effectively. Recommended Splunk Enterprise sizing: 150GBday per Indexer. Add Indexers when volume reaches 200GBdayIndexer Recommended Splunk Enterprise Security sizing: 60GBday per Indexer. Add indexers when volume reaches 80GBdayIndexer Splunk doesn8217t prescribe exactly what hardware you must purchase however, you should read through the following documentation to better understand their minimum specs: High-Level System Requirements Hardware Capacity Planning Reference Hardware CPU Spec. CPU is somewhat varied depending on what component you are talking about. For indexers, the current sweet spot for servers has been 12-16 core machines (I. e. dual socket six or eight core CPUs). Splunk can work with either AMD or Intel architecture on x86 systems, but is typically run on Intel hardware. Memory Spec. Memory is somewhat varied depending on what component you are talking about. Generally speaking indexers do particularly well with 16 GB of memory, meanwhile other components might require less. Enterprise Security8217s search load can apply more memory pressure. With that in mind, 24GB of memory on Indexers running ES is recommended. Splunk takes advantage of file system caching provided with most modern Linux distributions, so adding memory can provide a great benefit. Scale by adding more Indexers. In a well-configured distributed Splunk environment, you can scale simply by adding more indexers. The Universal Forwarders can forward data to the new indexer, and your search heads will request data from the new indexer. Generally speaking, this scales linearly resulting in a situation where double the indexers will cut search time in half. Methodically plan storage needs for a new deployment, prior to implementation. A useful Splunk sizing site . Splunk8217s documentation on sizing . Storage Hardware. Drive speed makes a difference. Splunk has informally documented that an increase in drive-speed will have a dramatic improvement on performance. Solid state drives can result in a massive speedup in very specific use cases. Be aware of the cost per GB tradeoffs for the speed. Solid state drives provide the largest speedups in the needle in a hay stack use case. Solid state drives do not provide much performance in dense searches (high event counts). Consider the trade off of having less total hot storage that is faster versus more total hot storage that is slower in some uses cases. What will your typical search period be Your hot volume should cover that, with a little bit of breathing room. Distributed Architecture. Carefully plan Splunk Distributed Architecture to ensure the most accurate and efficient processing . Storage Needs. Methodically plan storage needs for a new deployment, prior to implementation. RAID Level. Use RAID10 whenever possible for the Splunk datastore. Little impact will be seen at low volumes however, at higher data volumes you will see performance improvement with RAID10 over RAID 5 or 6. Benchmark storage. Splunk recommends 800 IOPS (InputOutputs Per Second) or better on your storage tier. This should be considered the minimum. Splunk will benefit greatly from increased disk performance above the 800 IOPs minimum. To get this performance, you will need to be using fast drives in an optimal RAID configuration served by an efficient controller (either internal, DAS, or SAN). There are various ways to test your storage to benchmark your current values, but the mostly commonly used method is via the venerable tool bonnie found in the repository of every major Linux distribution. There are many online guides (even on Splunk8217s site) for how to run this tool however, below is the gist: Ensure the target drive to be tested (e. g. splunkhot) is mounted and relatively not in use (meaning stop Splunk if it is running). You want to not use it in order to get an accurate reading from bonnie without competing for resources with it. Next, run the bonnie command against the target drive, with a - s option equal to 3-10x the amount of RAM you have in MB bonnie - d splunkhot - s 264000 - u root:root - fb If you choose to, you can pipe the above to one of these two commands (both come with bonnie): boncsv2html, boncsv2txt In the output, Random Seeks IOPs Architecture type. Splunk should be run on 64 bit platforms. Although it is compatible with 32 bit platforms, it is strongly discouraged. Universal Forwarders on 32 bit systems is perfectly acceptable. Data Routing Information: Data routing allows the Splunk administrator to selectively determine what incoming data gets ingested, what gets forwarded, and what gets dropped. Drop incoming data with the nullQueue. Beware not to go nullQueue - happy and drop too much. Many events while insignificant by themselves provide useful information when trended or otherwise analyzed. Data is often not considered security relevant at first, until there is a security incident related to the data. Consider this before dropping any data that could be useful in the future. Forward to a Splunk system whenever possible, but if there is a Use Case to send to an external system, following these instructions to Forward data to third party systems. Beware there are some caveats of doing this. Use Splunk AutoLB (Load Balancing ) to distribute data to multiple indexersforwarders. Much of this configuration must be done with the outputs. conf file. Ensure all critical systems have consistent time configuration. Systems generating events should have the proper time to ensure the events they create will be able to be correlated when analyzed. Consider NTP use throughout the enterprise as well as frequent time audits of the most critical systems to ensure accuracy. Consider doing regular time-audits. This is where you evaluate the time of your most critical systems to ensure they are consistent. If the data is in Splunk, then this task might just take a few minutes every month or so and is well worth it. The data onboarding app mentioned above provides dashboards to assist with this. Explicitly configure Splunk to read time stamp information from incoming events. Splunk8217s reads the time stamp from incoming events, which it then associates to the event in the index and the underlying buckets. It is imperative that time stamps and timezone offsets be parsed and set correctly both for usability and efficiency purposes. Test new inputs. When new inputs will be created, test the data first by ingesting some of it and determine if it requires adjustments such as for time stamps. event-processing (such as breaking). Syslog before Splunk. Traditional syslog technologies (syslogd, syslog-ng, rsyslogd) are simple and featureless compared to Splunk, but this is their advantage. Since these packages rarely change and require a small amount of resources, they are perfect for being the initial recipient of syslog data on the network. When network devices send syslog messages, this data is frequently UDP (connectionless) and therefore vulnerable in-transit. Even TCP syslog can be lost if the receiving host is unreachable. Place a syslog application (e. g. syslog-ng) on the network to receive the syslog feeds and configure the application to write the data out to files. Ideally, have the files be application-specific (e. g. firewall. log, router. log, maillog. log, etc.). Splunk can be installed as a forwarder on the same host to read these files and forward them on. If Splunk requires a restart or is otherwise unavailable (i. e. during an upgrade), it can pick up where it left off reading the files on disk. Please see other recommendations for managing these files. Too many files. Ensure a single instance of Splunk does not monitor more than a few hundred active files. If there are more than this, consider implementing a process (i. e. cron) to move the previous day8217s (or week perhaps) syslog directory out of the monitored directory-structure to an archive location. You know you have a problem with too many files if the Splunk instance involved has something like this in its logs: File descriptor cache is full . You might also benefit here by increasing the ulimit (see Adjust ulimit in this document). Avoid overwriting or hard-coding the 8220source8221 field in the data. Doing so can make troubleshooting problematic inputs more difficult. A useful resource on Data onboarding is the 2014 Splunk. Conf talk. Both the slides and a recording are available. Syslog Input Strip priority out of TCP inputs. In accordance with RFC3164 a Syslog priority message is prepended to each syslog event. By default, Splunk will strip this out on incoming UDP see inputs. conf documentation regarding the noprioritystripping directive. The problem is, that many devices still prepend this priority when sending events via TCP . Splunk expects the events to be RFC-compliant and not contain the priority so does not know to remove it. Here is an example of what an event looks like: To strip this out, add the following to the appropriate stanza of the props. conf for the target sourcetype: Watch out for chained syslog time stamps. If an event is relayed through multiple syslog servers (for example the local syslog on a Linux system sending events to a remote syslog server), there may be two time stamps at the start of the event. Carefully configure your Splunk props. conf to ensure the correct time stamp is extracted for the event. High Performance Syslog The Linux UDP input buffer has a fixed amount of memory allocated to it. When the amount of incoming data exceeds this buffer, packets are dropped. On a very busy server, this could happen frequently or in some cases continually. The memory allocated to the UDP input buffer is distribution-specific. This means, that depending on your flavorversion of Linux, this buffer size can vary. Be sure to understand what it is, and how it operates. Syslog systems should be tested and tuned to perform as needed. Information . Calculate Capacity by Messages Imagine a device that generates messages that are 250-450 bytes with most being over 350. If we average conservatively that the messages are 400 bytes big, how many EPS could be processed before saturating half the link such as in the Syslog-NG Example below A 100mbs link is capable of 100000000812500000 bytessec Half of this is 6250000 (what the Syslog-ng folks could do) Divide this by 400 (average bytesmessage) and you get 15625 which is the total amount of messages we could possibly receive if optimally configured with tcp given the parameters. Syslog-NG Example The syslog-ng developers have a blog where they discuss possible volumes with the 2.0 OSE: 100mbs net TCP messages 44000 messagessec all 150 bytes long This means they are processing 440001506600000 bytes per second Multiply 66000008 to get bandwidth: 52,800,000 So syslog-ng optimally configured (by its developer) can use about half of the 100mbs Ethernet connection without dropping packets Information . Calculate Capacity by License Size Imagine a 50GB license Divide by seconds per day 86400 to see an average of how much data could be pushed through the network on average: 5000000000086400578703 (bytessecond) Multiply the above by 8 to get bits per bytes (5000000000086400)84629624 (bitssecond) Application or Data Specific SEP Data import. For Symantec Endpoint Protection, you can put the SEP server in a configuration where it will write out temp files that a Splunk Universal Forwarder can read. Here is the Symantec knowledge-base document on how to configure this. While it is possible to configure SEP to send data via syslog, in some cases this data is incomplete, and unreliable. Also be aware that there are significant differences in the event format of SEP events between versions (most notably versions 11 and 12), which may result in failed extraction of fields if your TA or current extractions are expecting a different version. Avoid reading Windows raw EVT(X) files if at all possible. Instead, configure a Splunk Forwarder to access Windows Event Manager directly to ingest Windows Events. If your use case requires direct reads of the Windows EVT(X) binary files then consider the following information: EVT(X) files are the raw binary-format files that Windows uses to store its logs on the file-system. These files are nothing like normal log files and therefore present some challenges to any attempt to reconstitute them back into usable logs (Note: These issues have nothing to do with Splunk): They reference GUIDSIDs in lieu of systemuser names. This means that the EVT(X) File Parsing Host must have access to make AD queries to the Domain Controllers that can provide details and convert the codes referenced by the Logging Host. They reference DLL files that contain the pertinent information instead of placing it in the actual log. This means any DLL referenced by the Logging Host MUST be available on the EVT(X) File Parsing Host in order to interpret the logs. Since the EVT(X) files are a subset of the information they represent, a 99MB EVTX file converts to almost 500MB of indexed data. There are TB of logs stored on the CIFS share. The volume both to the Splunk license, system storage, and ADDC calls should be considered before fully-integrating this. Ingest time is slow since many AD calls are necessary for GUIDSID queries. In our tests, many GUIDs and some DLL references didn8217t convert in the event logs, leaving lots of useless events. This may be a result of either inconsistent AD details or missing DLLs on the Log Parsing Host Splunk on Windows can natively ingest EVT(X) files Splunk Enterprise Security Implementation Adjust VM Swap. Lower the vm. swappiness in 8216sysctl8217 to something like: 8216vm. swappiness108217 Adjust ulimit. Adjust the ulimit if necessary such as: Apply changes to sysctl with sysctl - p Apply changes to limits. conf by logging out and logging in again Administration Manage Assets Lists. Continue to manage your ES Asset List to always get the most value out of your deployment. Manage Identities. Manage your ES Identities to always get the most value out of your deployment. Forwarder Deployment Change the admin password on forwarders. All Splunk systems have a default username of admin and password of changeme and this includes Forwarders (Universal Forwarders and Full Forwarders). Take time to plan your deployment prior to implementation to ensure the most success. Centrally-manage Splunk configurations. Ensure you have a way to consistently and accurately manage configurations across the enterprise, such as with the Splunk deployment server Information . Topologies for Deployment Server Windows Deployment Information . Custom EventLogs on Splunk for Windows are discussed here . Information: Splunk has the ability to use WMI to monitor Eventlogs remotely. WMI is very clunky, and generally should not be used due to network and system performance implications . Scripted deployment for Windows UFs. You can script your deployment of Universal Forwarders for Windows depending on what tools you have available at your disposal. There are a few things to keep in mind though such as: On a version with UAC (User Access Controls) such as Visa, 2008 or Windows 7, you must be in an admin shell to install software Although it is much easier to have the Splunk MSI files in a UNC that you can mountreach from any system, sometimes windows security policy prevents this from working. If msiexec is failing consider copying the MSI installer local and try it again. There are a few things to keep in mind though, specifically that you want to pass the following msiexec arguments: AGREETOLICENSE, INSTALLDIR (since many sites want to install to some drive besides c Below is an example content that you can put in a criptpackage-management and it is based on having a Splunk deployment server in place A complete list of MSIEXEC flags . Linux Deployment Scripted deployment for Linux UFs. You can script your deployment of Universal Forwards for Linux depending on what tools you have available at your disposal. There are a few things to keep in mind though, specifically that you probably want to pass the following Splunk start-time arguments: 8211accept-license, 8211answer-yes, 8211no-prompt Below is an example content that you can put in a scriptpuppetrpm and it is based on having a Splunk deployment server in place. Note: that this hard-codes a download of the Splunk UF RPM at each invocation. It would be much smarter to use a local repo and replace that portion of the script with a call to this location with something simple like: yum install splunkforwarder Performance Lots of things can affect Splunk performance, including: System resources, Splunk architecture, Splunk configurations (e. g. lookups, extractions), and dashboards. Before attempting any performance remedies, first try and determine what may be adversely affecting your deployment8217s performance. UI Performance Remedies Use Summary Indexing for increased reporting efficiency. As you add more data and more users to Splunk, you will benefit from Summary Indexing. As of Splunk 5, it is also possible to use report acceleration. Not all searches qualify for acceleration . As of Splunk 6, it is also possible to use data model acceleration. Any pivot or report generated by that data model will complete much quicker than it would without the acceleration, even if the data model represents a significantly large dataset. Implement a central software management system (e. g. RPM repo, Puppet, Satellite Server) to manage packages and configurations to forwarders and other related systems. Managing Splunk instances on these remote systems always has problems and leads to issues such as: Very old (out of date) versions of Splunk throughout the enterprise Forwarders that have not had Splunk configured properly or locked down (e. g. changing the admin password and turning off Splunk web) Inconsistent configurations leading to similar systems setting different metadata on the same type of logs. Architecture type. Splunk works well with both 32 and 64 bit platforms however, there is a considerable performance improvement for 64 bit and this should be selected (both for Hardware and Operating System) whenever possible. Partitions and Volumes Use LVM to manage underlying file-system space. Only allocate storage space to an LVM from a Volume Group as necessary and preserve the extra for emergencies or future use. Make better use of LVM partitioning by creating discrete logical volumes for each major portion of the system such as , var, tmp, optsplunk and maybe even splunkdata Search Help Print the Splunk Cheatsheet (PDF or Manual ) for users. This is a great resource for learning the search language. The Splunk Reference Card PDF is also a great resource, and a laminated version can be purchased from the Splunk Schwag store . Consider taking a Splunk EDU class. Splunk has multiple classes focusing on search and dashboarding. Storage and Data Management New Index. It is almost always appropriate to use multiple indexes and not just maindefault . Create a new index if the answer of any of the following questions is yes . Does the target data require separate retention controls from other data Does the target data require separate access controls from other data Will Splunk users wish to either search the target data by itself or search other data and omit this target data Consider moving your Splunk database ( SPLUNKDB ) to its own volume to ensure clean separation of the binaryconfiguration structure and the data. This is not necessary, but there are advantages in high-volume environments. Data retention. Implement data retention and disk usage controls explicitly and early instead of waiting for a disk to fill. Configure retention in indexes. conf to push older data to remote volumes such as NFS mount for data archive. Caution . Changes to the retention policy ( indexes. conf ) can be perilous and the effect is not always immediate. Be sure you know what you are changing and have tracked changes and the results appropriately to ensure it has the desired effect. DRPBCP. Configure a Disaster Recovery and Business Continuity Plan for your Splunk deployment. This will include implementing a backup plan. Consider backups for the SPLUNKHOMEetc on each standalone search head (non-pooled) and the cluster node to a remote drive on a frequent interval. If an unmentionable happened, you can copy this directory to a new Splunk instance to restore. (sample script below to put in cron. daily or weekly) Backup the master node, the SPLUNKHOMEetcmaster-apps directory to a remote drive is recommended to quickly build a new master node. (sample script below to put in cron. daily or weekly) Backup the deployment server, the SPLUNKHOMEetcsystemlocalserverclass. conf and the SPLUNKHOMEetcdeployment-apps directory to a remote drive is recommended to quickly build a new deployment server. (sample script below to put in cron. daily or weekly) See the Storage Hardware section in this document for many notes regarding hardware. Deployment Server Deployment Server Selection The DS can be collocated with any other full Splunk instance however, there are also some reasons why it might need to be stand-alone. Since the DS requires so many active TCP sessions (at least one for each connected client), choose a system that already has a limited number of open TCP sessions to other systems, such as a Search Head. Ensure the DS server has plenty of memory. Consider a stand-alone system if the number of deployment-clients will exceed 300-500 Consider one Deployment Server instance for every 2000 polls per minute. Create a DNS host name specific to the DS (e. g. splunk-ds. yourfoo. fqdn) and use this name for all communication from the deployment-clients. This will make it much easier to migrate later, if you choose to. Adjust the polling period on clients to make a single server scale further. Use the clientName directive in the deploymentclient. conf to ease whitelisting and blacklisting in your serverclass. conf Only deploy configuration and parsing apps, such as Technology Addons (TA8217s). There is very little value in deploying dashboard based apps, and in some cases may cause complications. Prepend deployed configuration apps (not TA8217s) with 8220DS-8220. This distinction can help tremendously when troubleshooting problems with deployment clients. App Development Ensure all (if possible) searches call saved searches or use other knowledge-items such as Macros or Eventtypes. Containing all of these knowledge-items helps with manageability of the data across an enterprise deployment. Managing bare searches across apps or called externally via scripts does not scale well and can create a big problem during upgrades, migrations, and other maintenance. When creating fieldseventtypes refer to the Splunk Common Information Model to ensure forward-compatibility with Splunk and Splunkbase built-ins. When developing an app, ensure that any log or pid files are not stored in the app8217s directory. If the app is distributed via deployment server, the files and directory structure in the app will be replaced with those from the deployment server, which would include any log or pid files. Use GetWatchList. GetWatchList is a free Splunk app on Splunkbase that allows users to manage lookup tables on the system without requiring shell or administrative access. These lookups can be used in various ways but the most popular method is as watchlistsOS Configuration or Hardening Enterprise Security has many useful dashboards for various protocols. Consider using apps designed for specific products such as the Cisco Security Suite or the Gigamon Visability app for Splunk .