Splunk Enterprise 10.4.0 发布 - 搜索、分析和可视化，数据全面洞察平台

Splunk Enterprise 10.4.0 (macOS, Linux, Windows) - 搜索、分析和可视化，数据全面洞察平台

Search, analysis, and visualization for actionable insights from all of your data

请访问原文链接：https://sysin.org/blog/splunk-10/ 查看最新版。原创作品，转载请保留出处。

作者主页：sysin.org

Splunk Enterprise

对所有数据进行搜索、分析和可视化，获得可执行的洞察。

Splunk

工作原理

Splunk 平台实现了从边缘到云的端到端可视化

Splunk 平台基于统一平台，融合安全与可观测能力，由 Splunk AI 提供支持

搜索您的数据

探索任何类型和价值的数据——无论它存在于您的数据生态系统中的何处。

服务监控与洞察仪表盘示例

分析您的数据

通过监控、告警和运营报告，推动业务韧性。

指标工作区动画

可视化您的数据

创建自定义仪表盘和数据可视化 (sysin)，从任何地方解锁洞察——无论是在运营中心、桌面、现场还是移动中。

随时随地体验 Splunk 的强大功能

基于数据采取行动

利用来自组织任何地方的数据，让您快速做出有意义的决策。

企业将数据转化为行动

新增功能

Splunk 10.4 新特性

更新日期：2026 年 5 月 19 日

✅ 验证配置文件

现在可以通过 properties/{file} 端点验证整个配置文件。

✅ 基于索引的搜索目标选择（Index-based Search Targeting）

基于索引的搜索目标选择是透明模式 Federated Search 的一项新增强功能。该功能允许管理员基于索引到主机的映射，将搜索请求直接路由到特定 Provider，从而为搜索环境提供更高的控制能力。

基于索引的搜索目标选择带来以下关键优势：

增强安全性：通过将搜索限制在特定主机上 (sysin)，可减少敏感信息暴露，并确保查询日志仅在必要位置可访问。
优化性能：通过消除不必要的请求，降低系统开销并提升搜索速度，使基础设施资源仅聚焦于相关搜索 Provider。

该更新可为 Splunk Federated Search 环境带来更加安全、精简且高效的搜索体验。

管理员现在可以使用以下新的 REST 端点参数，为透明模式下的 Federated Search 配置基于索引的 Provider 选择，指定 Federated Search Head 可以从 Federated Provider 访问哪些索引：

data/federated/settings/general 端点：
- allowIndexBasedProviderFiltering 参数用于启用 Federated Provider 的基于索引过滤。
data/federated/provider/{federated_provider_name} 端点：
- fedSrchIndexesAllowed 参数用于指定每个 Federated Provider 可访问的索引。

✅ Edge Processor 管道预览改进与更新的 SPL2 支持

Edge Processor 服务已升级，以提升管道预览准确性，并全面支持更多 SPL2 命令，例如 decrypt 与 ocsf。

✅ Edge Processor 自定义管道模板

现在可以创建并使用通过基于 SPL2 的应用提供的自定义管道模板。

如果包含模板的应用已安装到 Splunk Enterprise，这些模板将在 Pipelines 页面与管道创建流程中可用。

✅ Edge Processor 管道 lookup 命令新增匹配类型与配置选项

现在可以配置支持 CIDR 匹配与通配符匹配的 lookup。

还可选择：

将 lookup 匹配设置为区分大小写
要求输出中返回最小匹配数量
要求输出中返回最大匹配数量

要指定这些新配置，需要在管道编辑器中手动输入对应命令参数。

✅ 为 Edge Processor 管道应用自定义命令函数操作

现在可以在将数据发送到目标之前 (sysin)，对传入数据应用自定义命令函数（用户定义的 SPL2 函数）。

这对于 SPL2 使用经验较少的用户尤其有帮助。

✅ Dashboard Studio 新增功能

本版本为 Dashboard Studio 增加了多项新功能，包括：

Token Manager UI：可查看仪表板中的所有 Token。
新的网络图可视化：用于展示实体及其关系。
折线图加速渲染选项：提升性能与响应速度。

✅ 仪表板资源管理

查看仪表板时运行自动刷新搜索现在需要新的 auto_refresh_dashboards capability，Splunk 管理员可选择向用户角色授予该权限。

管理员还可根据需要停用仪表板。

注意：这是默认行为变更。

在早期 Splunk 版本中，所有用户都可运行自动刷新搜索。升级到 10.4 后，默认仅 admin 与 sc_admin 角色拥有 auto_refresh_dashboards capability。

拥有 admin 与 sc_admin 角色的用户需要将该 capability 分配给其他角色。

✅ Dashboard Studio 全新自定义可视化框架

Dashboard Studio 现在支持基于全新自定义仪表板扩展框架构建的自定义可视化 (sysin)，带来更高灵活性、更简洁的开发体验以及更优性能。

借助该新框架，可以使用现代化库，相较于旧版 Simple XML Dashboard 自定义可视化框架更加先进。

✅ Cisco One Look & Feel - Modern Navigation Adoption（GA）

Modern Navigation 将传统顶部导航栏改为现代化侧边导航面板，并配合更新后的顶部栏。

该设计旨在提供统一且易于访问的体验，是 Splunk 与 Cisco 产品整体统一外观与体验愿景的一部分。

✅ Bulk Data Move 新增 CLI 与 SmartStore 支持

现在可以在基于 SmartStore 的 Indexer 之间执行大规模数据迁移。

此外，Bulk Data Move 工具集现已可通过 Cluster Manager 上的 Splunk CLI 使用，为自动化与故障排查提供 REST API 之外的命令行方式。

✅ Splunk Topology API

通过 Topology REST API，管理员与应用程序可以通过统一接口，以编程方式访问部署拓扑与基础设施探查数据。

端点通过 Splunk Topology sidecar 获取信息。

Splunk Topology API 为管理员提供自动化、权威性的部署与基础设施数据源，可简化应用安装与版本升级等复杂工作流，并消除手动输入需求。

✅ Splunk Web UI 支持 HTTP/2

Splunk Web 现已支持 HTTP/2 协议，可通过多路复用并行处理浏览活动。

相比 HTTP/1.1 的串行处理，可显著提升：

复杂仪表板性能
并发搜索性能
多标签页浏览性能

HTTP/2 支持 Linux 与 macOS 环境。

HTTP/2 默认关闭，需要手动启用。

✅ 移除 SHA-1 证书支持

自 Splunk Platform 10 起，不再支持 SHA-1 证书。

客户需要替换为不使用该标准的新证书。

Splunk Cloud Monitoring Console 与 Splunk Enterprise Monitoring Console 之前已更新，可报告 Splunk 平台触发的 SHA-1 相关警告与错误，客户可继续使用这些工具完成迁移。

✅ 标准模式 Federated Search 的应用上下文

针对标准模式 Federated Search 的应用上下文更新，引入了更加灵活的应用上下文管理方式 (sysin)，带来更直观的用户体验，并简化搜索上下文处理。

该更新允许 Federated Provider 与本地 Federated Search Head 上执行搜索的应用上下文保持一致。

默认情况下，标准模式 Federated Provider 将反映用户本地搜索环境的上下文。

该更新为 Splunk REST API data/federated/provider/{federated_provider_name} 端点新增了 useAppContextFromSearch 参数。

更多信息请参见 REST API Reference 中的 “Federated search endpoint descriptions”。

✅ 新增禁用 Splunk Web Custom REST Endpoints 与 Custom Mako Templates 的标志

web-features.conf 中 [feature:appserver_security] stanza 新增两个标志，管理员可用于禁用以下 Splunk Web 功能：

Custom REST Endpoints（仅 Splunk Web 平台，不包含 Splunk Core）
- 设置 disable_custom_cherrypy_controllers=true
- 默认值：false
应用提供的 Custom Mako Templates（不包括 Splunk Web 默认模板）
- 设置 disable_custom_mako_templates=true
- 默认值：false

尽管 Splunk Platform 10.4 中行为没有变化，但添加这些标志是为了支持未来对上述功能的弃用计划。

✅ 现代化字段管理页面

Splunk 字段管理页面将更新为最新的 UI 组件与库，从而为 Splunk 平台提供现代化且统一的外观与体验。

✅ Agent 管理

应用匹配缓存（Application matching cache）

Agent 管理现在会缓存应用与 Server Class 匹配结果，从而减少 Agent 检查部署更新时所需的处理时间。

在拥有大量 Agent 与 Server Class 的大规模环境中，该缓存机制可提升 Agent 管理性能。
Server Class 配置查看器（Server class configuration viewer）

现在可以直接在 Agent 管理界面中查看 Server Class 的完整配置详情。

您可以在修改前使用该视图验证 Server Class 配置，或用于排查 Agent 环境中的异常部署行为。
应用内容预览器（Application content previewer）

现在可以在 Agent 管理界面中，在将部署应用分发至 Agent 之前预览其内容。

通过内容预览器，可以验证应用是否包含预期文件与配置，从而在部署到 Agent 之前发现配置问题。
从 serverclass.conf 移除的参数

10.4 版本已从 serverclass.conf 配置文件中移除以下参数：
- packageTypesFilter
- updaterRunningFilter

✅ Data Management

全新的 Data Management 应用现已成为统一入口，以一致的界面与体验整合相关功能。

无论是配置输入、监控数据摄取健康状态，还是管理 Federated 连接或数据集，现在都可以在同一位置完成。

✅ KV Store 独立客户端 TLS 证书配置

由于公共 CA 策略变更，不再默认在 TLS 证书中包含 Client Authentication EKU，Splunk 现已支持通过新的 [kvstoreSslClientConfig] stanza 为 KV Store 配置独立客户端 TLS。

这允许 KV Store Mutual TLS 使用独立的客户端与服务端证书。

支持版本：

Splunk Enterprise 10.4
Splunk Enterprise 9.4.10、10.0.5、10.2.2
Splunk Cloud 10.2.2510.8、10.0.2503.13

仅在 10.4 中：

[kvstore] SSL 设置现按字段进行评估；此前被忽略的部分配置现在可能会生效，因此建议在升级前进行检查。

✅ 弃用 TLS 1.0 与 TLS 1.1，并移除默认支持

Splunk 平台现已默认禁用 TLS 1.0 与 TLS 1.1 支持。

如果客户因迁移需求仍需使用，这些协议仍然可用，但将在未来版本中被彻底移除 (sysin)。

TLS 1.2 支持保持不变，并默认启用，同时新增 TLS 1.3 支持。

✅ Splunk Python 从 3.9 升级至 3.13

Python 3.13 将成为默认 Python 解释器，Py3.9 作为回退版本保留。

✅ Federated Search 透明模式在 Search Head Cluster 中支持 IPv6

透明模式 Federated Search 现已支持向 Search Head Cluster 中任意远程 Peer 进行 Bundle Replication。

这消除了对远程 Search Head Captain 直接网络访问的需求。

该增强功能支持 IPv6 环境，例如 Microsoft Azure，以及使用负载均衡器作为远程网关的部署架构。

✅ Federated Search REST API 的基于角色访问控制（RBAC）

Federated Search REST API 端点现已支持增强安全控制，引入细粒度基于角色的访问控制（RBAC）。

此前，任何已认证用户均可查看所有 Federated Provider、索引与配置。

此次更新将访问逻辑下沉至 Handler 层级，确保用户仅能查看其明确被授权访问的资源。

管理员现在可针对单个用户实施精确权限控制，以防止未授权信息泄露，并确保敏感基础设施信息得到保护。

新增专用 Capability 用于更有效地管理这些权限，无需再依赖宽泛的全局访问权限 (sysin)。

这些变更可增强整体安全性，并支持更严格的内部治理，为 Federated Search 提供更安全、更合规的运行环境。

本版本新增以下 Federated Search Capability：

edit_federated_indexes
edit_federated_providers
list_federated_providers

更多信息请参见《Securing the Splunk Platform》中的 Splunk Enterprise Capability 表。

✅ Indexing/Replication Separation

引入了全新的基于 SmartStore 的 Splunk Enterprise Indexer Cluster 架构，实现索引（Indexing）与 Peer-to-Peer Replication 解耦。

现在不再直接在 Indexer 之间复制 Bucket，而是将数据与元数据存储在 SmartStore 中作为系统记录源（System of Record），从而允许各 Indexer 独立运行。

通过移除 Peer-to-Peer Replication 依赖，该架构可：

简化多站点部署
提升运维弹性
提供更灵活的 Indexer 扩展能力

✅ KV Store 与 KV Service 后端数据库升级至 MongoDB 8.0

Splunk 10.4 不再包含旧版且已不受支持的 MongoDB 4 至 6 系列。

如果您当前运行的是 Splunk 9.x 或更低版本，请先升级至 Splunk 10.0 或 Splunk 10.2，因为不支持直接从 MongoDB 4.x / 6.x 升级至 MongoDB 8。

如果您已经运行 Splunk 10.x，则无需额外操作，升级 Splunk 时会自动升级至 MongoDB 8。

✅ 无需 root 或管理员权限运行 Splunk Enterprise

Splunk Enterprise 10.4 在受支持操作系统上强制要求非特权运行模式。

Linux

不再支持以 root 身份运行 Splunk Enterprise。

--run-as-root 选项仅在以下命令中保留支持：
- splunk start
- splunk stop
- splunk restart
Windows — 新安装

Splunk Enterprise 必须配置为以下账户之一运行：
- Local Service Account（LSA）
- 不属于本地 Administrators 组的 Domain User Account（DUA）
Local System User（LSU）选项已被移除。

如果选择的 DUA 属于本地 Administrators 组，则安装会中止。
Windows — 升级至 10.4
- LSU 配置将迁移为 LSA，并重新设置 ACL
- LSA 配置保持不变
- DUA 配置仅在账户不属于本地 Administrators 组时保留
如果 DUA 属于本地 Administrators 组，则升级会暂停，直到该账户被移出该组。

✅ Kubernetes Workload Management 支持

Splunk Enterprise 现已支持 Kubernetes 部署环境中的 Workload Management。

新增的 Workload Management Basic 模式允许在 Kubernetes 等不支持 cgroups 的系统中应用 Admission Rules。

可以使用 Admission Rules 防止异常或高资源消耗搜索影响关键工作负载。

✅ 后量子加密算法支持

Splunk 正在推出基于以下算法的支持：

Kyber
Dilithium
SPHINCS+

以满足 FIPS 203、204 与 205 要求，并帮助客户应对未来量子计算对密码学带来的威胁。

✅ TLS 1.3 支持

Splunk 平台现已在所有公网连接中支持 TLS 1.3（同时支持 TLS 1.2）。

TLS 1.3 可：

提供更强加密安全性
移除过时 Cipher Suite
提供更高性能与效率

TLS 1.3 将默认与 TLS 1.2 一同启用。

✅ Federated Search 基于 Provider 的搜索目标控制与 RBAC

Federated Search 基于 Provider 的增强控制

透明模式下的 Federated Search for Splunk 新增增强功能，为管理员与终端用户提供前所未有的控制能力，以管理分布式 Splunk 环境中的数据搜索方式。

这些更新可确保您的搜索操作更加：

高效
安全
符合组织需求

Federated Search for Splunk 允许您跨多个远程 Splunk 部署执行搜索，如同数据位于本地一样。

在透明模式下，Federated Search Head 作为无缝代理运行，通过隐藏底层远程基础设施复杂性来简化用户体验。

1、精确 Provider 路由（Targeted provider routing）

现在可以更精确地将 Federated Search 路由到特定 Provider。

用户定向目标选择（User-directed targeting）

终端用户现在可以明确指定在搜索中包含哪些 Federated 或远程 Provider。

这意味着系统资源仅会在必要时被使用 (sysin)。
默认 Provider 列表（Default provider lists）

管理员现在可以配置默认 Provider 列表。

如果用户未在搜索字符串中指定 Provider，系统将自动将搜索路由到这些预定义且相关的 Provider，从而保持精简流畅的工作流程。

2、Provider 的基于角色访问控制（RBAC）

现在对安全性与治理的控制更加细粒度。

通过引入新的基于 UI 的配置方式，管理员可为单个 Provider 定义访问控制。

现在可以在角色中的新 Providers 标签页中指定默认 Provider 列表，以限制哪些角色有权限搜索特定 Provider，从而确保敏感数据仅对授权用户可见。

优势：

优化性能（Optimized performance）

通过允许用户针对特定 Provider 搜索，或默认使用经过筛选的 Provider 列表，可以消除不必要的广播流量。

这可降低系统开销，并显著提升 Federated 环境中的搜索响应速度。
增强安全性与合规性（Enhanced security and compliance）

借助新增 RBAC 能力，可实施更加严格的数据治理。

通过基于用户角色限制 Provider 访问，可降低未授权数据暴露风险，并确保符合内部安全策略。
改善用户体验（Improved user experience）

这些功能通过降低搜索复杂性来简化终端用户体验，同时为管理员提供有效管理大规模多部署环境所需的工具。

更多信息请参见：
- 《Federated Search》手册中的 “Configure role-based access and search targeting for transparent mode federated providers”
- REST API Reference 中 “Federated search endpoint descriptions” 的以下 authorization/roles/{name} 端点参数：
  - srchFederatedProvidersAllowed
  - srchFederatedProvidersDefault