Pusher nativo Splunk HEC
POST /services/collector/event con routing completo: index, sourcetype, source, host. Autenticado por token, last-four enmascarado en la UI, retry automático ante 5xx transitorio. Funciona con Splunk Cloud y on-prem HEC.
audit log a Splunk / audit log Datadog
Streaméa cada evento de auditoría a tu SIEM. En tiempo real.
Lumicost incluye un exporter SIEM por tenant con pushers nativos para Splunk HEC, Datadog Logs, Sumo Logic y cualquier collector HTTP genérico. Cada evento de auditoría — logins, cambios de configuración, aprobaciones de recomendaciones, validaciones de integración — se distribuye de forma asíncrona a tu pipeline SOC con routing hints específicos por proveedor.
4 pushers
Splunk HEC / Datadog / Sumo / HTTP genérico
Async
Thread pool acotado, drop al saturarse
Per-tenant
Una config por tenant, fuente append-only
Tu SOC ya vive en Splunk, Datadog o Sumo Logic. Forzar a los analistas de seguridad a saltar a otra consola para ver los audit trails de un SaaS es como se pierden alertas. SIEM Export de Lumicost streaméa cada evento de auditoría de la plataforma — la misma fuente append-only con hash SHA-256 que alimenta nuestros reportes de compliance — directo al collector que ya monitoreas, con routing específico por proveedor (Splunk index/sourcetype/host, Datadog source/service/tags, Sumo Logic source category) para que los eventos lleguen donde tus reglas de detección los esperan.
Cómo Lumicost entrega audit log a Splunk / audit log Datadog
Datadog Logs + Sumo Logic + HTTP genérico
Datadog Logs API con routing ddsource / service / tags. Sumo Logic HTTP Source con sourceCategory. Pusher HTTP genérico para cualquier collector custom o webhook — mismo envelope, headers configurables.
Fan-out asíncrono, nunca bloquea al usuario
Las escrituras de audit hacen commit síncrono a Postgres; el dispatch SIEM corre en un thread pool acotado (4 hilos, cola de 1000 eventos) con drop-on-saturation y logs de warning. Tu UI nunca queda esperando la disponibilidad de tu SIEM.
Configuración per-tenant con secretos enmascarados
Cada tenant tiene una sola fila de SIEM config (destination, endpoint URL, auth token, routing JSON, flag enabled). Los tokens se almacenan server-side y solo se devuelven los últimos cuatro caracteres a la UI. Last success / last failure timestamps quedan visibles para ops.
Misma fuente que los reportes de compliance
El stream SIEM es exactamente el mismo audit log que usan los evaluadores SOC 2, ISO 27001, HIPAA y FedRAMP. Append-only, con hash de integridad, tenant-scoped — lo que tu SOC ve en Splunk coincide con la evidencia que recibe tu auditor en PDF.
Páginas relacionadas
Preguntas frecuentes
¿Qué deployments de Splunk soportan?+
Cualquier Splunk que exponga HTTP Event Collector (HEC) — Splunk Cloud, Splunk Enterprise self-hosted o Splunk Observability. Configura la URL HEC más el token y nosotros nos encargamos del resto.
¿Cómo se ve un evento en Datadog?+
Llega a Datadog Logs como un registro JSON estructurado con ddsource, service y tags configurables (ej. ddsource=lumicost, service=audit, tag tenant_id=xxx, env=prod). Las facets estándar de Datadog (severity, host, attributes) se populan automáticamente.
¿Qué pasa si mi SIEM está caído?+
El dispatcher registra last_failure_at y last_failure_msg, el evento de audit queda durable en Postgres, y la cola acotada evita que la backpressure se derrame a operaciones de cara al usuario. No retry-amos indefinidamente — el diseño asume que tu SIEM tiene su propia redundancia de ingesta.
¿Qué plan habilita SIEM Export?+
SIEM Export es parte del plan Enterprise Compliance, junto con la evidencia HIPAA y FedRAMP Low. SOC 2 e ISO 27001 técnicamente no lo requieren, pero la mayoría de equipos de seguridad eligen centralizar la visibilidad de audit en su SIEM de todas formas.
¿Listo para empezar a ahorrar?
Conecta credenciales solo lectura y obtén tus primeros insights en 24 horas.