Splunk là gì

  -  
Splunk là một phần mềm giám sát an ninh mạng dựa trên sức mạnh của việc phân tích Log. Splunk thực hiện các công việc tìm kiếm, giám sát và phân tích dữ liệu logs lớn được sinh ra từ các ứng dụng, các hệ thống và các thiết bị hạ tầng mạng. Nó có thể thao tác tốt với nhiều loại dịnh dạng dữ liệu khác nhau (Syslog, csv, apache-log, access_combine …). Splunk được xây dựng dựa trên nền tảng Lucene and MongoDB với một giao diện web rất trực quan.

Bạn đang xem: Splunk là gì

TÍNH NĂNG Định dạng Log: Splunk hỗ trợ hầu như tất cả các loại log của hệ thống, thiết bị hạ tầng mạng, phần mềm, Firewall, IDS/IPS, Log Event, Register của các máy trạm… Các hình thức thu thập dữ liệu: Splunk có thể thực hiện việc thu thập log từ rất nhiều nguồn khác nhau.

Từ một file hoặc thư mục (kể cả file nén) trên serverQua các kết nối UDP, TCP từ các Splunk Server khác trong mô hình Splunk phân tánTừ các Event Logs, Registry của Windows…

Cấu trúc mô hình của Splunk:




Bạn đang xem: Splunk là gì

*

*

Cách cài đặt:

Mô hình cài đặt:

Search head: 192.168.18.231Indexers: 192.168.18.232 và 192.168.18.233Forwarders: các máy người dùng, ở đây sẽ dùng các máy ảo.Cài đặt Search head và các máy IndexersUpdate

yum update -yLấy link download: Ta sẽ tạo một tài khoản tại splunk.con và lấy link download phù hợp với hệ điều hành và cách thức cài đặt, ở đây ta sẽ lấy lệnh tải dùng wget dành cho phiên bản hệ điều hành Linux:

*



Xem thêm: Danh Sách Các Vị Thần Trong Thần Thoại Hi Lạp, Nãºi Olympus

*

Cài đặt wget (nếu chưa cài)yum install wget -yDownload Splunk bằng lệnh đã lấy trước đó:wget -O splunk-8.0.2.1-f002026bad55-linux-2.6-x86_64.rpm 'https://www.splunk.com/bin/splunk/DownloadActivityServlet?architecture=x86_64&platform=linux&version=8.0.2.1&product=splunk&filename=splunk-8.0.2.1-f002026bad55-linux-2.6-x86_64.rpm&wget=true'Install Splunk:rpm -i splunk-8.0.2.1-f002026bad55-linux-2.6-x86_64.rpmStart Splunk:/opt/splunk/bin/splunk start --accept-licenseMở firewall để có thể truy cập thông qua trình duyệt:firewall-cmd --add-port=8000/tcp --permanentfirewall-cmd --reloadTruy cập qua trình duyệt: (192.168.18.231:8000)
*



Xem thêm: Hướng Dẫn Chơi Mganga, Cách Lên Đồ, Bảng Ngọc, Phù Hiệu, Hướng Dẫn Cơ Bản Tướng Mganga

Cấu hình để truy cập qua https sau khi đăng nhập:Settings > System > Server settings > General Settings

Mở cổng 443 và khởi động lại dịch vụ:

firewall-cmd --add-port=443/tcp --permanentfirewall-cmd --reloadGiờ có thể truy cập thông qua giao thức https (https://192.168.18.231:443)Cấu hình trên máy chủ Splunk serverTạo index để nhận log đẩy về, ở đây ta sẽ tạo 2 index nhận log từ windows và linux (Setting > indexes > New Index)

Mở cổng để nhận log (Forwarding and receiving » Receive data), ở đây ta sẽ để cổng 9998

Mở firewall

firewall-cmd --zone=public --add-port=9998/tcp --permanentCác máy tại 192.168.18.232 và 192.168.18.233 sẽ cài tương tự.2. Cài đặt các máy Splunk forwarder để đẩy log về server

2.1 Cài đặt và đẩy log về trên Windows

Bật Success/Failure audit log tại Administrator Tools > Local security policy > Local Policy > Audit Policy

Audit các trường sau:

Audit account logon eventsAudit account managementAudit logon eventsAudit policy changeAudit privilege useAudit system eventCài đặt SSL, nếu có Browse đến đường dẫn chứa tập tin public và private, sau đó nhập password và Browse đường dẫn SSL root CA. Nếu không sử dụng tính năng này có thể Next sang bước tiếp theo.Chọn các log cần đẩy về server để giám sát, nếu muốn giám sát 1 tệp tin ứng dụng bất kì chọn “File” và đường dẫn đến File đó.