Moving genomsnittet splunk

Splunk: Olika sällskapssituationer Splunk höll sitt årliga analytikermöte och för några presenterade den en tvetydig bild med avseende på omsättningsutvecklingen. Företaget har haft en svår prognos för tiden - det har helt enkelt inte kunnat förutse tidpunkten för stora erbjudanden och har därmed överträffats dramatiskt. Företaget har genomgått en övergång till moln som har påverkat bruttomarginalerna och förmodligen försämrar omsättningsökningen - även om råvarorna förblir fantastiska. Använd fall för maskindata - i princip vad det här företaget gör - fortsätt att expandera exponentiellt. Företaget fortsätter att dramatiskt överklassera tävlingen baserat på alla former av undersökningar i sitt maskindatautrymme. Splunk - Det sjätte tillståndet betyder att investerare behöver ett styrkort för att dechiffrera förväntningarna. Fysik var inte ett av de ämnen som fascinerade mig under min utbildnings karriär. Jag gick till både en gymnasium och sedan ett universitet där fysik var ett obligatoriskt fält, men kunskapen som lämnades var inte kvar. Det är mer än ett halvt århundrade och allt jag kommer ihåg är de lilla stålvagnarna med stålbollarna som rullade ner sluttningarna och en väldigt seriös labpartner som avvärjde mina felaktiga försök till humor om hur snabbt de små vagnarna accelererade. Så, när jag gjorde lite bakgrundsforskning för den här artikeln upptäckte jag att Splunk är den sjätte tillståndsaken, de andra är fasta, flytande, gas, plasma och data. Jag hade verkligen aldrig vetat att det fanns sex tillstånd av materia eller vad namnet Splunk (NASDAQ: SPLK) betyder. Splunk avser något som ser och indexerar all data. Och Splunk är en datormotor som fungerar utan gråa områden, utan skuggor och utan moln. Det är inte en dålig definition av företagets funktionalitet och dess mantra. Det är en betydligt mindre tillämplig definition vad gäller prestandan av sina aktier och hur många observatörer som ser företaget. Splunksaktierna har gjort mycket lite för en bättre del av ett år och är faktiskt nere med 16 från det höga som nåddes i augusti i augusti. Frågor som har begränsat aktierna har inneburit bekymmer om lönsamhet och möjligheten att sakta tillväxten. Jag är mycket mindre oroad över en dramatisk minskning av företagets tillväxttakt än jag är i kadens av sin väg till lönsamhet. På grund av bolagets tillväxt och den senaste aktiekurssvagheten har aktierna nu nått en relativt attraktiv värdering. Och jag tror att det är troligt att vi ser en mycket bättre aktiekursutveckling och positiv alfa efter kvartalsrapporten i februari visar att det inte ser någon väsentlig tillväxtavmattning. Nyligen har det varit observatörer, inklusive en på denna sida. som trodde att bolagets senaste analytikermöte för några veckor sedan var ett slöet sätt att minska vägledningen för det kommande räkenskapsåret. Svårt att neka att bolaget prognostiserar intäkter för det kommande räkenskapsåret på 1,175 miljarder vilket skulle vara betydligt mindre än tillväxten i år. Faktum är att 1,175 miljarder i intäkter kommer att vara 26 omsättningstillväxt från det nuvarande konsensusintäkterprojektet för budgetåret 2017, vilket slutar i början av nästa vecka. den typen av tillväxt skulle inte bli väl hälsad av aktieägare eller potentiella aktieägare som kommer efter ett år med 40 tillväxt. Men med tanke på bankkortet som detta företag har när det gäller vägledning tror jag att jag inte skulle använda de siffror som den presenterar som allvarliga uppskattningar. Jag förväntar mig att bolaget kommer att slå beräkningar för det nuvarande kvartalet och kommer att ge vägledning för räkenskapsåret 2018 (slutar 131). Jag tror att procentuell tillväxt stiger lite när företaget överstiger 1 miljarder årlig tröskel. Men frågan är hur mycket tillväxten modererar. Och min gissning, är inte mycket och inte någonstans nära det som finns i prognosen som presenterades för några veckor sedan. Förmodligen den mest betydande investeringsproblemet för det här bolaget har varit tillväxten av aktiebaserad comp som i huvudsak har varit out of control de senaste åren. Antalet talar för sig själva - utestående aktier har uppnått mer än 131 miljoner som rapporterats och kommer att vara högre fortfarande när resultatet vid årsskiftet rapporteras på grund av bolagets helårs icke-GAAP lönsamhet - CFO sa att modellen för 140 miljoner aktier utestående . Det är en 40-talig ökning på fyra år och gör utvecklingen framåt när det gäller icke-GAAP-marginaler betydligt mindre imponerande. Företaget har erkänt att en realistisk väg till långsiktiga aktieägarvärden innefattar att hantera och minska aktiebaserad kompensation till nivåer som inte producerar sådan pågående och massiv utspädning. Men hittills har erkännande av frågan och handlande för att begränsa aktiesubventioner varit två olika saker och om det bästa som kan sägas är att aktiebaserad komp tillväxt börjar växa till priser under Splunks intäktsökningar. Som nämnts har Splunks aktier uppskattat med cirka 12 under det senaste året eller så och har minskat med 16 sedan nått en hög rygg i augusti. Jag misstänker att de senaste månadernas underförmåga hänför sig till den betydande utspädningen från aktiebaserad kompensation och investerarens oro för att företaget inte verkligen är på väg för att förbättra sina marginaler till rimliga nivåer. Splunks aktier har uppskattats med 7,60 idag under min skrivning av denna artikel. Uppskattningen är i grund och botten en faktor att läsa igenom från den värdering som Cisco (NASDAQ: CSCO) betalar för AppDynamics (Pending: APPD). Splunk har ett marknadsvärde på 7,6 miljarder och ett företagsvärde på 6,6 miljarder. Baserat på den nuvarande konsensus om intäkter för räkenskapsåret som börjar på mindre än en vecka är EVS 5,6X, kanske hälften av värderingen Cisco betalar för AppDynamics. Personligen tror jag att tillväxtmöjligheten i SIEM ITSY-utrymmena (Splunks kärnfunktionalitet) är betydligt större än möjligheten i applikationstestning (AppDynamics verksamhet). Men då kan man aldrig veta exakt vad som animerar specifika förvärv. Splunkaktier kommer nu sannolikt att ses av många handlare som ett potentiellt övertagsmål mot värderingar långt över de som aktierna har sålt för nyligen. Det är nog inte en orimlig spekulation, även om jag verkligen inte har någon förstahandskunskap om när eller om Splunk skulle kunna förvärvas. Splunkaktierna har en rimligt positiv First Call-rating. Konsensusprismålet är 71, mer än 30 över nuvarande pris. Jag tror att företaget kommer att behöva börja uppnå en viss verklig kostnadshantering även i sin tur till molninkomstkällor. (Diskussionen om företagets övergång till molnet är en separat diskussion som inte är relevant i denna artikel. Övergången är inte så dramatisk som den har varit för andra företag och på grund av vad Splunk gör. Det kommer alltid att ha en hybrid molnmodell. Den har redan gått igenom att förlora cirka 500 bps av bruttomarginalen på grund av övergången. I slutändan kommer bruttomarginalerna att återgå till förblir nivåer tror jag.) Företaget närmar sig slutet av det fiscal 2017-året med Resultaten kommer sannolikt att rapporteras före slutet av nästa månad. Det verkar lämpligt att titta på företagets tillväxtdrivrutiner och se om det finns anledning att tro att de kan vara avtagande eller om de problem som analytikerns möte ställer är giltiga. Fiscal 2016 (i huvudsak 2015 år) såg intäkterna för helåren med 48 och att tillväxten var konsekvent under året med 49 tillväxt under fjärde kvartalet. I början av detta räkenskapsår gav bolaget vägledning för 880 miljoner i omsättning och det var en tillväxt på 32. Företaget förutspådde också att icke-GAAP-marginaler skulle vara cirka 5 för året. I slutet av året är nuvarande konsensus från de 40 analytikerna som publicerar vid första samtalet att företaget kommer att uppnå 39 årets tillväxt, vilket sedan kommer att minska till 27 nästa år. Förra kvartalet uppnådde företaget 41 tillväxt. Genom nio månader har omsättningsökningen varit 43,5. Min gissning är att resultaten för fjärde kvartalet kommer att ge intäkter som återigen är väsentligt större än företagets vägledning och den nuvarande konsensusen. Den nuvarande konsensusen om 31 tillväxt för det nuvarande kvartalet är precis vad ledningen prognostiserar under den senaste vinstutgåvan. Men när bolaget prognostiserar sina Q3-resultat prospektivt, skulle intäkterna vara 229 miljoner. De visade sig vara 245 miljoner. På en nivå kunde jag stanna här. Jag skulle inte ta någon prognos som Splunk ger som sin bästa uppskattning om vilka intäkter som kan vara. Jag föreslår att prognosen representerar något som de minsta engagerade intäkterna som är kontraktsmässigt engagerade. För närvarande förutspår bolaget att intäkterna kommer att minska successivt. Verkar det fruktansvärt sannolikt Bara för rekordet var tillväxten för Q3 till fjärde kvartalet 46 miljoner eller mer än 26. Det finns inget tecken på att efterfrågan har brutit ned eller att företaget flyttar till något lägre växel eller tillväxt. Utan att veta något mer om företagets verksamhet kan prognosen och resultatet föreslå att investerare och observatörer skulle bli bättre betjänat genom att titta på en plot av de två och använda en trendanalys. De kommer säkert att få mer exakta resultat. Åh förresten, kommer bolaget att slå den 5 icke-GAAP rörelsemargin prognos också. Det förutspår nu 6 för den metriska. Splunks omsättningstillväxt saktar, men av en mycket lägre och mindre besvärlig kadens än att vissa observatörer berörs. Det mesta av avtagande är verkligen en funktion av fler intäkter som flyttar till molnet, vilket med tiden kommer att bidra till tillväxten av företaget. Vilka är efterfrågan drivrutiner för Splunks lösningar och vem måste den slå för att förbli i ett tillväxtläge Som tidigare nämnts, kallas Selen för den marknad där Splunk säljer sin mjukvara. Splunk har rankats ledaren i rymden i flera år av Gartner i sin Magic Quadrant-analys. Dess närmaste konkurrenter är IBM (NYSE: IBM), LogRhythm, Hewlett-Packard Enterprises (NYSE: HPE) och EMC. Företaget har varit ledare i rymden sedan Gartner började skriva på sektorn - fyra år när det händer. Och det har inte varit stora förändringar ovanför ledningskommittén. En närliggande marknad där Splunk har blivit förankrad kallas ITSI-IT Service Intelligence. Företaget har byggt moduler för sin grundläggande teknik som är inriktad på att försäkra att IT-tjänster levereras utan avbrott och att anomalier är märkta innan de orsakar problem. Mycket som att hitta en cancer innan det finns några synliga symptom. Tidigare denna månad betygade IDC Splunk nr 1 i världsomspännande IT-operationsanalys för andra året i rad. Splunks marknadsandel i utrymmet är 28,5. Det finns inga bevis för att Splunks marknadsposition försämras. Om företaget kommer att uppleva väsentligt långsammare tillväxt kommer det att bero på att marknaderna som det säljer saktar och eftersom företaget inte kan utveckla ytterligare användarfall för sin programvara. Splunk har utvecklat ytterligare användningsfall för sin loggövervakningssoftware eftersom det har varit ett offentligt företag och förmodligen före detta. Det är en del av hur företaget fungerar. Senast har företaget utvecklat en serie produkter som utvecklar information om anomalier i användningen av data och är utformade för att vara en del av ett säkerhetsmaterial. Företaget har ett brett utbud av verktyg som försöker extrahera värdet ur alla maskindata som skapas. Företaget har idag lösningar som ger analys för Hadoop. Företaget har verktyg som gör det möjligt för användare att göra marknadsföring och reklambeslut i realtid. Det kan ge analys av data som tas emot via IoT-källor. Splunks lösningar fortsätter att användas för att diagnostisera operativa problem genom korrelationer och det ger proaktiva varningar genom att upptäcka mönster och anomalier. Det skulle vara tråkigt, tror jag, att även försöka beskriva alla användningsfall som Splunk har utvecklat under de senaste åren. Men jag tror att slutsatsen att man lätt kan rita är att efterfrågemiljö inte har försämrats, det är inte troligt att det försämras och att oro från vissa investerares sida om detta ämne är dramatiskt överblown. Splunk kommer sannolikt att fortsätta att öka intäkterna över 30 i flera år framöver, tror jag. Jag tror att tillväxten för Splunk verkligen är en funktion av organisationens förmåga att hantera företagets absoluta storlek och att börja uppnå vissa ekonomier i stor skala. Lönsamhet och kassaflöde - anledningarna till att företagen är verksamma Splunk har en mycket lång väg att gå för att bli ett lönsamt företag baserat på GAAP-standarder, även om det genererar positivt kassaflöde. Förra kvartalet konverterade den en GAAP-rörelsemarginal på 37 till ett icke-GAAP redovisat resultat på 7. Den största delen av denna skillnad var genom uteslutande av aktiebaserad kompostkostnad. Detta är inte det lämpliga forumet för att diskutera praxis - det är min uppfattning att det här företaget har gått utöver gränserna för vad de flesta investerare tycker är acceptabla från ett aktievärderingsperspektiv. Den största delen av aktierelaterad komp är inom segmentet forskning och utveckling. I det avseendet, medan Splunks nivå på aktiebaserad comp kanske är något av en outlier, har det blivit en typisk strategi som idag reflekterar anställningsvillkoren för företag som försöker öka sina utvecklingsmöjligheter. Splunks strategi kräver en snabb utvidgning av sina uppsättningar lösningar, och för att göra det behöver den öka sin utvecklingsförmåga väsentligt. Det kommer inte vara lätt att kontrollera aktiebaserad kompost som kommer att vara nödvändig för att locka utvecklare på en mycket stram arbetsmarknad. Under tredje kvartalet uppgick företagets GAAP-kostnadsförhållande för forskning och utveckling till 35 av sina intäkter på forskning och utveckling, jämfört med 32 av intäkter året innan. Lagerbaserad comp var faktiskt 52 av GAAP-utgifterna för forskning och utveckling. Det verkar som en uppenbar kommentar som tyder på att Splunk kommer att behöva reformera sin ekonomiska förvaltning på kort sikt för att starta en vägen mot lönsamhet som accepteras av de flesta investerare. Intressant var inte en enda fråga på konferenssamtalet riktat till det ämnet. Förra kvartalet tillbringade företaget 167 miljoner eller 68 rapporterade intäkter på försäljnings - och marknadsföringskostnader. Det var bättre än året innan, då försäljnings - och marknadsutgifterna var 74 av intäkterna, men ingen föreställer sig att ett företag i IT-världen - eller någon annan värld - kan spendera mycket över 30-40 av intäkterna på försäljning och marknadsföring och göra GAAP vinst. Varför spenderar ett företag på detta stadium av tillväxt så otroligt mycket av intäkterna på försäljning och marknadsföring. Det är ganska enkelt verkligen. Medan vissa analytiker fokuserade på denna företags budgetprognos för 2018, skulle en bättre bild att titta på ha varit den där företaget gav en kohortanalys av sina kunder. Fem år efter det första köpet, hade användarna i budgetåret 2011 och fiscal 2012-kohorter ökat sina bokningar med 5X och ökade deras dataanvändning 8X. Uppgifterna för datanvändning uppgår tydligt till väsentligen 100 bruttomarginaler. Med 87 av licensbokningar som kommer från befintliga kunder står ledningen inför ett sammandrag för att försöka balansera tillväxtmöjligheter och lönsamhet och har hittills kommit ner på tillväxtsidan. Med tanke på hur väsentligt kunderna ökar konsumtionen av Splunk genom åren är det inte så förvånande att företaget valt att tillbringa ett extra belopp för att förvärva kunder och att utveckla ytterligare lösningar för att locka fram potentiella användare. Från en investerares synpunkt fattar Splunk ett beslut att maximera potentiella långsiktiga avkastningar i ett växande utrymme. Att göra det kommer att fördröja och förlänga vägen till GAAP lönsamhet i flera år. När land och utbyggnad fungerar, och det fungerar i spader för Splunk, är den logiska strategin att anställa att spendera mycket pengar vid landning. Som det händer är den genomsnittliga orderstorleken för detta företag endast 50-60.000. Att fånga kunder av den storleken kommer att bli relativt dyra och det tar tid innan de fångade kunderna blir till valar. Det är ett problem som både detta företag och observatörer möter, men det är en anledning till varför vägen till lönsamhet på en icke-GAAP-grund kommer att vara lång och svår. Sammanlagt var de operativa kostnaderna för GAAP 117 av intäkterna under det fjärde kvartalet jämfört med 124 av intäkterna för året innan och 122 av intäkterna under de första nio månaderna av räkenskapsåret. Det finns framsteg, bara inte dramatiska framsteg eller den typ av framsteg som kommer att leda till betydande GAAP-resultat när som helst snart. Trots förlusterna har detta företag och är sannolikt att fortsätta att generera en meningsfull nivå av kassaflöde, men ingen kommer sannolikt att köpa aktierna på grund av deras fria kassaflödesavkastning. Mer än allt kassaflöde är en produkt av aktiebaserad comp, även om en del kassaflöde är en följd av ökningen av uppskjutna intäkter. Eftersom bolaget pivotiserar för att få mer intäkter från råtta källor som molnet, verkar det troligt att uppskjutna intäkter kommer att öka snabbare än hittills, men den generella betydande kassaflödesökningen måste drivas av vinster - det finns ingen dold källa till kassaflöde och på grund av companys prissättning. Uppskjutna intäkter kommer aldrig att vara väsentliga i förhållande till totalinkomstutvecklingen. Hur kommer Splunk att hantera sitt sammandrabbning Jag tror att Splunk för det mesta fortsätter att avyttra marginalprestanda för intäktstillväxt. Under analytikerdagen förutspår den att den kommer att växa 25-30 under de närmaste tre åren och marginalernas icke-GAAP-marginaler når 12-14. Dessa siffror är faktiskt något bättre än de kan tyckas. Under de närmaste åren kommer företaget att övergå mer av sina intäkter till molnet och åtminstone i början har molnet sänkt bruttomarginalerna med 400-600 bps och det har förmodligen gått några punkter över den rapporterade tillväxten - men ironiskt nog är både molnet och evig licenstillväxt överförs i fjol. Jag tror att genom att bara berätta om de lösningsområden där Splunk skapar värde tyder det på att det ligger vid en stark tillväxtnxus att om allt blir starkare. Och jag tror att företaget verkar ha en dominerande konkurrensposition inom sina målområden. Det grundläggande svaret här är att företaget ser sin TAM som 55 miljarder och det handlar om att tillkännage ett år på 1 miljard i fakturering. Det kommer inte att offra sin sving på den marknaden för att uppnå bättre lönsamhet - inte i år, nästa år eller när som helst snart. Jag antar att utspädningen kommer att sakta ner från 6-7 år till något mer blygsam takt med tiden, men det kommer att bli en faktor med viss konsekvens på grund av hur detta företag växer. För det mesta har den nya kundtillväxten varit relativt blygsam. Så måste strategin vara att sälja de nya kunderna mycket fler produkter än de först köpt och naturligtvis njuta av intäkterna som kommer mer eller mindre automatiskt på grund av ökad dataförbrukning hos nästan alla kunder. Och strategin måste vara att sälja större initiala order och att uppnå stigande ASP. Det kan bara göras genom att expandera användningsfall för maskindata och det betyder att ökningen av forskning och utveckling inte kommer att minska avsevärt inom en snar framtid. GAAP-marginaltillväxten och betydande fria kassaflödesmarginaler är sannolikt inte mycket bevis för detta företag före 2020 eller senare. Investerare som söker klassiska värderingsmetoder hittar inte dem här. Jag tror att företaget kommer att växa snabbare eller utveckla en högre molnkomponent av intäkter än vad som prognostiseras. Men det kommer inte att kunna göra det och uppnå den typ av betydande lönsamhet som vissa läsare och investerare förutser. Precis som det finns flera olika materia, finns det olika typer av investeringar. Splunk är en av de olika typerna av investeringar där lönsamheten kommer att fortsätta att gå tillbaka till tillväxten. Upplysningar: Vi har inga positioner i några angivna aktier och inga planer på att inleda några positioner inom de närmaste 72 timmarna. Jag skrev den här artikeln själv, och den uttrycker mina egna åsikter. Jag får inte ersättning för det (annat än från Seeking Alpha). Jag har inga affärsrelationer med något företag vars lager nämns i den här artikeln. Om den här artikeln: HACK PureFunds ISE Cyber ​​Security ETF Anmäl dig till Pro för att låsa upp data Registrera dig Realtime Rating Summary Den närliggande tabellen ger investerare en individuell Realtime Rating för HACK på flera olika mätvärden, inklusive likviditet, utgifter, prestanda, volatilitet, utdelning, koncentration av innehav utöver en övergripande rating. ETF-fältet A Metriska, tillgängligt för ETFdb Pro-medlemmar, visar ETF i Technology Equities med högsta metriska realtidsklassificering för varje enskilt fält. För att se all denna information, anmäla dig till en gratis 14-dagars prov för ETFdb Pro. För att se information om hur ETFdb Realtime Ratings fungerar, klicka här. HACK Övergripande Realtidsklassificering: A Totalvärderad ETF: Teknisk 20 dag MA: 29.02 60 Dag MA: 27.83 MACD 15 Periode: 0.10 MACD 100 Period: 1.94 Williams Range 10 Day: 64.56 Williams Range 20 Dag: 23.39 RSI 10 Dag: 59 RSI 20 Dag: 62 RSI 30 Dag: 61 Ultimate Oscillator: 61 Bollinger Brands Lower Bollinger (10 Day): 29.11 Upper Bollinger (10 Day): 29.79 Lower Bollinger (20 Day): 27.89 Upper Bollinger (20 Day): 30.08 Lower Bollinger Dag): 27.34 Bollinger (30 dagar): 29.98 Stödstödsstöd Nivå 1: 29.19 Stödnivå 2: 29.00 Motståndsnivå 1: 29.48 Motståndsnivå 2: 29.58 Stokastisk stokastisk oscillator D (1 dag): 59,63 Stokastisk oscillator D ): 56,15 Stokastisk Oscillator K (1 Dag): 57,72 Stokastisk Oscillator K (5 Dag): 69.66Splunk Best Practices Splunk Bästa Practices Vanlig Splunk Topologi Denna arkitektur har flera nyckelkomponenter som: En Indexer-nivå med Indexer-klyvning. Flera grupperade sökmätare (indexers) förbättrar prestanda både under datainsamling och sökning. Denna strategi minskar söktiden och ger viss redundans för datainmatning och tillgänglighet om en enda server misslyckas En eller flera separata sökhuvuden. Detta separata system kommer att distribuera alla sökfrågor i alla konfigurerade sökvillkor för att förbättra sökresultatet. Ett separat sökhuvud visas här för att stödja Splunk8217s Enterprise Security (ES) Application Deployment Server. Detta system kan samordnas med andra Splunk-tjänster, eller fristående. För stora implementeringar är ett fristående system viktigt. Detta system fungerar typiskt som licensmästaren. Master Node. Systemet är vanligtvis samlokaliserat med Distributionsservern. För stora implementeringar är ett fristående system viktigt. Arkitektur och designplanindex och sourcetypes. Dessa två saker kommer att bli svåra att byta senare. Index och sourcetypes hjälper till datahantering. Se Standardfält och Indexerade fält. Använd sourcetypes för att gruppera data genom deras likhet. Om händelserna genereras av samma enhet och är i samma format, borde de troligtvis vara en surtyp. Se den här stora blogginlägget på Sourcetype namngivning. Försök att samla händelser så nära (när det gäller geografi och nätverksplats) som möjligt. Dessa händelser kan samlas in med en Splunk Universal Forwarder. och skickas sedan till indexatorer som kan vara en central plats. Försök att hålla sökhuvuden så nära indexer som möjligt. Detta kommer att förbättra sökhuvudets hastighet för att få tillgång till händelserna. Använd separata IP-adresser när det är möjligt. Såsom: hantering, logginsamling, webb-UIsearch-huvud och använd separata IP-adresser för olika stora sourcetyper. Allt detta gör din Splunk-utbyggnad mer utbyggbar, ger bättre åtkomstkontrollalternativ och möjliggör felsökning och analys av finkorn. Använd ett konsekvent namnuppsättning på Splunk Search Heads. Indexers för att säkerställa noggrannhet och minska felsökningstiden. Planera noggrant utplaceringen av Windows-händelsessamling (händelseloggar och prestandadata) för att säkerställa framgång. Många Windows-insamlingsverktyg har olika begränsningar som trunkering av händelser vid 512 eller 1024 byte. Splunk Universal Forwarder doesn8217t har dessa begränsningar och kan användas för att på ett tillförlitligt och effektivt sätt samla in Windows-händelser från ett stort distribuerat Enterprise. Vi rekommenderar starkt att du använder SplunkTAWindows. För att göra en mycket djupgående loggning på kritiska system, överväga att använda Splunk addon för Microsoft sysmon utöver SplunkTAWindows. Enkel lagansvarighet. Ett enda lag ska ansvara för Splunk istället för att ha detta splittrat över flera avdelningar, divisioner eller enheter. Dessutom kräver mycket av utplaceringen av Splunk en intim förståelse för sin avsedda användning och därför rekommenderas att laget som kommer att vara den stora användaren av Splunk också ska hantera sin utplacering. Detta motsvarar i allmänhet en mer framgångsrik implementering. Använd en Splunk License Master för att kontrollera licenseringen av dina indexers och don8217t glömmer att inkludera dig sökhuvud och eventuella tunga speditörer i den licensen. Om du befinner dig i distribuerad distribution, med flera Splunk-sökhuvuden och speditörer, överväg starkt att använda Deployment Server. Med hjälp av installationsservern kan du behålla konsekvent konfiguration över Splunk-system och göra konfigurationsändringar mycket enklare (utan att behöva röra vid varje system). När du använder Indexers, överväga starkt indexklypning. Även när man börjar med en Indexer, börjar man med en masterknut för att hantera konfigurationer på den indexen att expandera till en multipla indexeringsinstallation är smärtfri. Använd försiktigt och konsekvent Splunk8217s lyssningsportar, som binder till specifika back-end-processer. Några av dessa refereras när Splunk startar. I allmänhet är här standardportarna, om de inte har ändrats. tcp8089 8211 splunkd 8211 Splunk8217s demon port som används för distribuerad sök - och installationsserver. tcp8000 8211 splunkweb 8211 Splunk8217s webbport som används för webb-UI-åtkomst. tcp8191 kvstore Splunk8217s viktiga värdebutik. tcp9887 8211 Index-klusterreplikation 8211 Port brukar användas för att replikera Splunk-data i indexklustermiljöer. Obs! Det här kan vara en tillåten port, 9887 är bara ett exempel. tcp9997 8211 splunktcp lyssnare 8211 Port brukar skickas händelser från en Splunk speditör till en Splunk lyssnare (indexer eller annan speditör). Obs! Det här kan vara en tillåten port, 9997 är bara ett exempel. tcp9998 8211 splunktcp SSL-lyssnare 8211 Port brukar användas för att skicka händelser från en Splunk-speditör till en Splunk-lyssnare (indexer eller annan speditör) med kryptering. Obs! Det här kan vara en tillåten port, 9998 är bara ett exempel. Utför integritetskontroller. Splunk är oerhört exakt i hur det samlar in och representerar dina data, men om du skickar det falskt eller duplicat data kan det också indexera det här. Undersök ibland dina insatser och se till att dina uppgifter är korrekta, tidsstämplarna är bra och det finns inga misstag som felaktiga eller duplicerade händelser. Det finns en Data Onboarding-applikation på Splunkbase som kan hjälpa till att undersöka index, sourcetypes, värdar och datamodeller för att säkerställa att dina data är ombord på rätt sätt. För företagsäkerhet finns det en valideringsapp på Splunkbase för att kontrollera integriteten för din Enterprise Security Implementation. Integrera AD för autentisering. Splunk integrerar ganska bra med Active Directory för att autentisera användare. Med den här konfigurationen kan du tilldela en användare till en grupp i AD och kartlägga den här gruppen till en roll i Splunk. När den här användaren loggar in på Splunk får de sina specifika funktioner och rättigheter tilldelade av rollen. Detta är granulär RBAC (Role Based Access Controls). MS AD-verktyget adsiedit. msc är bra att bläddra i en AD-domän för värdefulla objekt som är nödvändiga för att ställa in AD-auth på Splunk. Detta verktyg är installerat som standard på 2008 AD-system, men måste installeras manuellt som en del av RSAT-paketet på andra versioner av Windows. Använd en separat OU för Active Directory Integration. När du konfigurerar AD kan du ange en lista över en eller flera bindgruppsDN för Splunk för att leta efter grupper i AD. Om du bara ger root för alla grupper kan Splunk återvända till hundratusentals grupper. Om du utnyttjar befintliga grupper kan det dessutom finnas många andra användare i den gruppen som du inte vill ha tillgång till Splunk. Om du skapade en ny baseou (t. ex. OUsplunkgroups) i AD, skapa sedan dina åtkomstgrupper under detta, t. ex. (OUunixadmins, OUsplunkgroups, OUnetworkadmins, OUsplunkgroups), så kan du ställa in bindgroupDN till splunkgroups för att minimera returnerade grupper samt användare som har tillgång till Splunk. Migrera indexdata. Det kan vara mycket knepigt och du måste vara försiktig eftersom du kan förstöra och inaktivera dina data. Det rekommenderas att du ringer till Splunk-support eller att PS hjälper dig. Om du måste göra det manuellt, läs och förstå docs och hur skopstrukturen fungerar, och du kan kolla på denna svarpost om ämnet. Tänk på konsekvenserna av att analysera data direkt på dina Indexers eller med hjälp av Intermediate Heavy Forwarders. I Splunk 6.2 har det gjorts ett antal förbättringar av vad som kräver en omstart på Indexers. I allmänhet är tunga speditörer avskräckta. Att flytta bort från tunga speditörer minskar mängden system som ska hanteras. Inga tunga vidarebefordrarare betyder att du alltid vet var din data analyseras (indexern). I mycket specifika användningsfall kan Heavy Forwarders fortfarande ge värde. När man gör en extrem mängd parse-tidsåtgärder på data, till exempel stor mängd Index, Host och Sourcetype, kan en Heavy Forwarder användas för att minska CPU-belastningen på Indexers. Generellt är det inte nödvändigt och komplicerar bara implementeringar. I situationer där fjärrkontor är bandbredd begränsade eller kan ha otillförlitliga nätverksanslutningar, överväg att använda en mellanliggande universell speditör. Detta kommer att minska antalet anslutningar på en bandbredd begränsad länk, samt ge bättre kontroll över frekvensbegränsning om så önskas. Information. Att speka ut hårdvara med Splunk kräver mer än bara en snabbguide, men följande lista kan hjälpa dig att komma igång. Detta är inte avsett att ersätta en diskussionsdiskussion med en Splunk-försäljningsingenjör, utan snarare att hjälpa en kund för att förbereda ett professionellt serviceansvar. Splunk maskinvaruplanering. Att svara på dessa tre frågor är tillräcklig för den genomsnittliga implementeringen, men inte alla implementeringar. Splunk maskinvaruplanering. Vet vad storleken på din implementering är. Du måste veta vad du förväntar dig till indexdag. Dessutom borde du ha en grov uppfattning om hur många Splunk-användare det kommer att finnas, och vad deras intensitetsförbrukning kommer att bli. Slutligen bör du förstå dina datakällor och deras lastvolym eller komplexiteten som krävs för att samla in data från dem. Splunk maskinvaruplanering. Bestäm vilka komponenter du behöver. Läs om Splunk-komponenter för att bättre förstå vad som finns. In general, most deployments would benefit from having the following: (1) Search Heads (2) Indexers (1) Deployment Server Master Node Splunk hardware planning . Determine number of indexers. According to Splunk8217s Documentation. a single indexer can accommodate up to about 300GBday. If you are processing 100GBday of data volume for use with Enterprise Security, you will need approximately 340GB more space available across all of the indexers to allow for up to 1 year of data model retention and source retention. An indexer, when used in an ES deployment, can accommodate up to 100GBday. Also note that newer versions of ES (starting with 3.0) no longer store summary data in TSIDX file on search head, Please see Splunk8217s deployment planning documentation for updates to these numbers as they can vary at times. These numbers should be considered the absolute maximum an Indexer can do under ideal circumstances. Adding search load or app load to a distributed Splunk install will dramatically reduce the amount of indexed data per data that can be searched effectively. Recommended Splunk Enterprise sizing: 150GBday per Indexer. Add Indexers when volume reaches 200GBdayIndexer Recommended Splunk Enterprise Security sizing: 60GBday per Indexer. Add indexers when volume reaches 80GBdayIndexer Splunk doesn8217t prescribe exactly what hardware you must purchase however, you should read through the following documentation to better understand their minimum specs: High-Level System Requirements Hardware Capacity Planning Reference Hardware CPU Spec. CPU is somewhat varied depending on what component you are talking about. For indexers, the current sweet spot for servers has been 12-16 core machines (I. e. dual socket six or eight core CPUs). Splunk can work with either AMD or Intel architecture on x86 systems, but is typically run on Intel hardware. Memory Spec. Memory is somewhat varied depending on what component you are talking about. Generally speaking indexers do particularly well with 16 GB of memory, meanwhile other components might require less. Enterprise Security8217s search load can apply more memory pressure. With that in mind, 24GB of memory on Indexers running ES is recommended. Splunk takes advantage of file system caching provided with most modern Linux distributions, so adding memory can provide a great benefit. Scale by adding more Indexers. In a well-configured distributed Splunk environment, you can scale simply by adding more indexers. The Universal Forwarders can forward data to the new indexer, and your search heads will request data from the new indexer. Generally speaking, this scales linearly resulting in a situation where double the indexers will cut search time in half. Methodically plan storage needs for a new deployment, prior to implementation. A useful Splunk sizing site . Splunk8217s documentation on sizing . Storage Hardware. Drive speed makes a difference. Splunk has informally documented that an increase in drive-speed will have a dramatic improvement on performance. Solid state drives can result in a massive speedup in very specific use cases. Be aware of the cost per GB tradeoffs for the speed. Solid state drives provide the largest speedups in the needle in a hay stack use case. Solid state drives do not provide much performance in dense searches (high event counts). Consider the trade off of having less total hot storage that is faster versus more total hot storage that is slower in some uses cases. What will your typical search period be Your hot volume should cover that, with a little bit of breathing room. Distributed Architecture. Carefully plan Splunk Distributed Architecture to ensure the most accurate and efficient processing . Storage Needs. Methodically plan storage needs for a new deployment, prior to implementation. RAID Level. Use RAID10 whenever possible for the Splunk datastore. Little impact will be seen at low volumes however, at higher data volumes you will see performance improvement with RAID10 over RAID 5 or 6. Benchmark storage. Splunk recommends 800 IOPS (InputOutputs Per Second) or better on your storage tier. This should be considered the minimum. Splunk will benefit greatly from increased disk performance above the 800 IOPs minimum. To get this performance, you will need to be using fast drives in an optimal RAID configuration served by an efficient controller (either internal, DAS, or SAN). There are various ways to test your storage to benchmark your current values, but the mostly commonly used method is via the venerable tool bonnie found in the repository of every major Linux distribution. There are many online guides (even on Splunk8217s site) for how to run this tool however, below is the gist: Ensure the target drive to be tested (e. g. splunkhot) is mounted and relatively not in use (meaning stop Splunk if it is running). You want to not use it in order to get an accurate reading from bonnie without competing for resources with it. Next, run the bonnie command against the target drive, with a - s option equal to 3-10x the amount of RAM you have in MB bonnie - d splunkhot - s 264000 - u root:root - fb If you choose to, you can pipe the above to one of these two commands (both come with bonnie): boncsv2html, boncsv2txt In the output, Random Seeks IOPs Architecture type. Splunk should be run on 64 bit platforms. Although it is compatible with 32 bit platforms, it is strongly discouraged. Universal Forwarders on 32 bit systems is perfectly acceptable. Data Routing Information: Data routing allows the Splunk administrator to selectively determine what incoming data gets ingested, what gets forwarded, and what gets dropped. Drop incoming data with the nullQueue. Beware not to go nullQueue - happy and drop too much. Many events while insignificant by themselves provide useful information when trended or otherwise analyzed. Data is often not considered security relevant at first, until there is a security incident related to the data. Consider this before dropping any data that could be useful in the future. Forward to a Splunk system whenever possible, but if there is a Use Case to send to an external system, following these instructions to Forward data to third party systems. Beware there are some caveats of doing this. Use Splunk AutoLB (Load Balancing ) to distribute data to multiple indexersforwarders. Much of this configuration must be done with the outputs. conf file. Ensure all critical systems have consistent time configuration. Systems generating events should have the proper time to ensure the events they create will be able to be correlated when analyzed. Consider NTP use throughout the enterprise as well as frequent time audits of the most critical systems to ensure accuracy. Consider doing regular time-audits. This is where you evaluate the time of your most critical systems to ensure they are consistent. If the data is in Splunk, then this task might just take a few minutes every month or so and is well worth it. The data onboarding app mentioned above provides dashboards to assist with this. Explicitly configure Splunk to read time stamp information from incoming events. Splunk8217s reads the time stamp from incoming events, which it then associates to the event in the index and the underlying buckets. It is imperative that time stamps and timezone offsets be parsed and set correctly both for usability and efficiency purposes. Test new inputs. When new inputs will be created, test the data first by ingesting some of it and determine if it requires adjustments such as for time stamps. event-processing (such as breaking). Syslog before Splunk. Traditional syslog technologies (syslogd, syslog-ng, rsyslogd) are simple and featureless compared to Splunk, but this is their advantage. Since these packages rarely change and require a small amount of resources, they are perfect for being the initial recipient of syslog data on the network. When network devices send syslog messages, this data is frequently UDP (connectionless) and therefore vulnerable in-transit. Even TCP syslog can be lost if the receiving host is unreachable. Place a syslog application (e. g. syslog-ng) on the network to receive the syslog feeds and configure the application to write the data out to files. Ideally, have the files be application-specific (e. g. firewall. log, router. log, maillog. log, etc.). Splunk can be installed as a forwarder on the same host to read these files and forward them on. If Splunk requires a restart or is otherwise unavailable (i. e. during an upgrade), it can pick up where it left off reading the files on disk. Please see other recommendations for managing these files. Too many files. Ensure a single instance of Splunk does not monitor more than a few hundred active files. If there are more than this, consider implementing a process (i. e. cron) to move the previous day8217s (or week perhaps) syslog directory out of the monitored directory-structure to an archive location. You know you have a problem with too many files if the Splunk instance involved has something like this in its logs: File descriptor cache is full . You might also benefit here by increasing the ulimit (see Adjust ulimit in this document). Avoid overwriting or hard-coding the 8220source8221 field in the data. Doing so can make troubleshooting problematic inputs more difficult. A useful resource on Data onboarding is the 2014 Splunk. Conf talk. Both the slides and a recording are available. Syslog Input Strip priority out of TCP inputs. In accordance with RFC3164 a Syslog priority message is prepended to each syslog event. By default, Splunk will strip this out on incoming UDP see inputs. conf documentation regarding the noprioritystripping directive. The problem is, that many devices still prepend this priority when sending events via TCP . Splunk expects the events to be RFC-compliant and not contain the priority so does not know to remove it. Here is an example of what an event looks like: To strip this out, add the following to the appropriate stanza of the props. conf for the target sourcetype: Watch out for chained syslog time stamps. If an event is relayed through multiple syslog servers (for example the local syslog on a Linux system sending events to a remote syslog server), there may be two time stamps at the start of the event. Carefully configure your Splunk props. conf to ensure the correct time stamp is extracted for the event. High Performance Syslog The Linux UDP input buffer has a fixed amount of memory allocated to it. When the amount of incoming data exceeds this buffer, packets are dropped. On a very busy server, this could happen frequently or in some cases continually. The memory allocated to the UDP input buffer is distribution-specific. This means, that depending on your flavorversion of Linux, this buffer size can vary. Be sure to understand what it is, and how it operates. Syslog systems should be tested and tuned to perform as needed. Information . Calculate Capacity by Messages Imagine a device that generates messages that are 250-450 bytes with most being over 350. If we average conservatively that the messages are 400 bytes big, how many EPS could be processed before saturating half the link such as in the Syslog-NG Example below A 100mbs link is capable of 100000000812500000 bytessec Half of this is 6250000 (what the Syslog-ng folks could do) Divide this by 400 (average bytesmessage) and you get 15625 which is the total amount of messages we could possibly receive if optimally configured with tcp given the parameters. Syslog-NG Example The syslog-ng developers have a blog where they discuss possible volumes with the 2.0 OSE: 100mbs net TCP messages 44000 messagessec all 150 bytes long This means they are processing 440001506600000 bytes per second Multiply 66000008 to get bandwidth: 52,800,000 So syslog-ng optimally configured (by its developer) can use about half of the 100mbs Ethernet connection without dropping packets Information . Calculate Capacity by License Size Imagine a 50GB license Divide by seconds per day 86400 to see an average of how much data could be pushed through the network on average: 5000000000086400578703 (bytessecond) Multiply the above by 8 to get bits per bytes (5000000000086400)84629624 (bitssecond) Application or Data Specific SEP Data import. For Symantec Endpoint Protection, you can put the SEP server in a configuration where it will write out temp files that a Splunk Universal Forwarder can read. Here is the Symantec knowledge-base document on how to configure this. While it is possible to configure SEP to send data via syslog, in some cases this data is incomplete, and unreliable. Also be aware that there are significant differences in the event format of SEP events between versions (most notably versions 11 and 12), which may result in failed extraction of fields if your TA or current extractions are expecting a different version. Avoid reading Windows raw EVT(X) files if at all possible. Instead, configure a Splunk Forwarder to access Windows Event Manager directly to ingest Windows Events. If your use case requires direct reads of the Windows EVT(X) binary files then consider the following information: EVT(X) files are the raw binary-format files that Windows uses to store its logs on the file-system. These files are nothing like normal log files and therefore present some challenges to any attempt to reconstitute them back into usable logs (Note: These issues have nothing to do with Splunk): They reference GUIDSIDs in lieu of systemuser names. This means that the EVT(X) File Parsing Host must have access to make AD queries to the Domain Controllers that can provide details and convert the codes referenced by the Logging Host. They reference DLL files that contain the pertinent information instead of placing it in the actual log. This means any DLL referenced by the Logging Host MUST be available on the EVT(X) File Parsing Host in order to interpret the logs. Since the EVT(X) files are a subset of the information they represent, a 99MB EVTX file converts to almost 500MB of indexed data. There are TB of logs stored on the CIFS share. The volume both to the Splunk license, system storage, and ADDC calls should be considered before fully-integrating this. Ingest time is slow since many AD calls are necessary for GUIDSID queries. In our tests, many GUIDs and some DLL references didn8217t convert in the event logs, leaving lots of useless events. This may be a result of either inconsistent AD details or missing DLLs on the Log Parsing Host Splunk on Windows can natively ingest EVT(X) files Splunk Enterprise Security Implementation Adjust VM Swap. Lower the vm. swappiness in 8216sysctl8217 to something like: 8216vm. swappiness108217 Adjust ulimit. Adjust the ulimit if necessary such as: Apply changes to sysctl with sysctl - p Apply changes to limits. conf by logging out and logging in again Administration Manage Assets Lists. Continue to manage your ES Asset List to always get the most value out of your deployment. Manage Identities. Manage your ES Identities to always get the most value out of your deployment. Forwarder Deployment Change the admin password on forwarders. All Splunk systems have a default username of admin and password of changeme and this includes Forwarders (Universal Forwarders and Full Forwarders). Take time to plan your deployment prior to implementation to ensure the most success. Centrally-manage Splunk configurations. Ensure you have a way to consistently and accurately manage configurations across the enterprise, such as with the Splunk deployment server Information . Topologies for Deployment Server Windows Deployment Information . Custom EventLogs on Splunk for Windows are discussed here . Information: Splunk has the ability to use WMI to monitor Eventlogs remotely. WMI is very clunky, and generally should not be used due to network and system performance implications . Scripted deployment for Windows UFs. You can script your deployment of Universal Forwarders for Windows depending on what tools you have available at your disposal. There are a few things to keep in mind though such as: On a version with UAC (User Access Controls) such as Visa, 2008 or Windows 7, you must be in an admin shell to install software Although it is much easier to have the Splunk MSI files in a UNC that you can mountreach from any system, sometimes windows security policy prevents this from working. If msiexec is failing consider copying the MSI installer local and try it again. There are a few things to keep in mind though, specifically that you want to pass the following msiexec arguments: AGREETOLICENSE, INSTALLDIR (since many sites want to install to some drive besides c Below is an example content that you can put in a criptpackage-management and it is based on having a Splunk deployment server in place A complete list of MSIEXEC flags . Linux Deployment Scripted deployment for Linux UFs. You can script your deployment of Universal Forwards for Linux depending on what tools you have available at your disposal. There are a few things to keep in mind though, specifically that you probably want to pass the following Splunk start-time arguments: 8211accept-license, 8211answer-yes, 8211no-prompt Below is an example content that you can put in a scriptpuppetrpm and it is based on having a Splunk deployment server in place. Note: that this hard-codes a download of the Splunk UF RPM at each invocation. It would be much smarter to use a local repo and replace that portion of the script with a call to this location with something simple like: yum install splunkforwarder Performance Lots of things can affect Splunk performance, including: System resources, Splunk architecture, Splunk configurations (e. g. lookups, extractions), and dashboards. Before attempting any performance remedies, first try and determine what may be adversely affecting your deployment8217s performance. UI Performance Remedies Use Summary Indexing for increased reporting efficiency. As you add more data and more users to Splunk, you will benefit from Summary Indexing. As of Splunk 5, it is also possible to use report acceleration. Not all searches qualify for acceleration . As of Splunk 6, it is also possible to use data model acceleration. Any pivot or report generated by that data model will complete much quicker than it would without the acceleration, even if the data model represents a significantly large dataset. Implement a central software management system (e. g. RPM repo, Puppet, Satellite Server) to manage packages and configurations to forwarders and other related systems. Managing Splunk instances on these remote systems always has problems and leads to issues such as: Very old (out of date) versions of Splunk throughout the enterprise Forwarders that have not had Splunk configured properly or locked down (e. g. changing the admin password and turning off Splunk web) Inconsistent configurations leading to similar systems setting different metadata on the same type of logs. Architecture type. Splunk works well with both 32 and 64 bit platforms however, there is a considerable performance improvement for 64 bit and this should be selected (both for Hardware and Operating System) whenever possible. Partitions and Volumes Use LVM to manage underlying file-system space. Only allocate storage space to an LVM from a Volume Group as necessary and preserve the extra for emergencies or future use. Make better use of LVM partitioning by creating discrete logical volumes for each major portion of the system such as , var, tmp, optsplunk and maybe even splunkdata Search Help Print the Splunk Cheatsheet (PDF or Manual ) for users. This is a great resource for learning the search language. The Splunk Reference Card PDF is also a great resource, and a laminated version can be purchased from the Splunk Schwag store . Consider taking a Splunk EDU class. Splunk has multiple classes focusing on search and dashboarding. Storage and Data Management New Index. It is almost always appropriate to use multiple indexes and not just maindefault . Create a new index if the answer of any of the following questions is yes . Does the target data require separate retention controls from other data Does the target data require separate access controls from other data Will Splunk users wish to either search the target data by itself or search other data and omit this target data Consider moving your Splunk database ( SPLUNKDB ) to its own volume to ensure clean separation of the binaryconfiguration structure and the data. This is not necessary, but there are advantages in high-volume environments. Data retention. Implement data retention and disk usage controls explicitly and early instead of waiting for a disk to fill. Configure retention in indexes. conf to push older data to remote volumes such as NFS mount for data archive. Caution . Changes to the retention policy ( indexes. conf ) can be perilous and the effect is not always immediate. Be sure you know what you are changing and have tracked changes and the results appropriately to ensure it has the desired effect. DRPBCP. Configure a Disaster Recovery and Business Continuity Plan for your Splunk deployment. This will include implementing a backup plan. Consider backups for the SPLUNKHOMEetc on each standalone search head (non-pooled) and the cluster node to a remote drive on a frequent interval. If an unmentionable happened, you can copy this directory to a new Splunk instance to restore. (sample script below to put in cron. daily or weekly) Backup the master node, the SPLUNKHOMEetcmaster-apps directory to a remote drive is recommended to quickly build a new master node. (sample script below to put in cron. daily or weekly) Backup the deployment server, the SPLUNKHOMEetcsystemlocalserverclass. conf and the SPLUNKHOMEetcdeployment-apps directory to a remote drive is recommended to quickly build a new deployment server. (sample script below to put in cron. daily or weekly) See the Storage Hardware section in this document for many notes regarding hardware. Deployment Server Deployment Server Selection The DS can be collocated with any other full Splunk instance however, there are also some reasons why it might need to be stand-alone. Since the DS requires so many active TCP sessions (at least one for each connected client), choose a system that already has a limited number of open TCP sessions to other systems, such as a Search Head. Ensure the DS server has plenty of memory. Consider a stand-alone system if the number of deployment-clients will exceed 300-500 Consider one Deployment Server instance for every 2000 polls per minute. Create a DNS host name specific to the DS (e. g. splunk-ds. yourfoo. fqdn) and use this name for all communication from the deployment-clients. This will make it much easier to migrate later, if you choose to. Adjust the polling period on clients to make a single server scale further. Use the clientName directive in the deploymentclient. conf to ease whitelisting and blacklisting in your serverclass. conf Only deploy configuration and parsing apps, such as Technology Addons (TA8217s). There is very little value in deploying dashboard based apps, and in some cases may cause complications. Prepend deployed configuration apps (not TA8217s) with 8220DS-8220. This distinction can help tremendously when troubleshooting problems with deployment clients. App Development Ensure all (if possible) searches call saved searches or use other knowledge-items such as Macros or Eventtypes. Containing all of these knowledge-items helps with manageability of the data across an enterprise deployment. Managing bare searches across apps or called externally via scripts does not scale well and can create a big problem during upgrades, migrations, and other maintenance. When creating fieldseventtypes refer to the Splunk Common Information Model to ensure forward-compatibility with Splunk and Splunkbase built-ins. When developing an app, ensure that any log or pid files are not stored in the app8217s directory. If the app is distributed via deployment server, the files and directory structure in the app will be replaced with those from the deployment server, which would include any log or pid files. Use GetWatchList. GetWatchList is a free Splunk app on Splunkbase that allows users to manage lookup tables on the system without requiring shell or administrative access. These lookups can be used in various ways but the most popular method is as watchlistsOS Configuration or Hardening Enterprise Security has many useful dashboards for various protocols. Consider using apps designed for specific products such as the Cisco Security Suite or the Gigamon Visability app for Splunk .