SPLUNK LÀ GÌ

Splunk là một trong những phần mềm đo lường an toàn mạng dựa vào sức mạnh của câu hỏi so sánh Log. Splunk triển khai những quá trình tra cứu kiếm, thống kê giám sát và phân tích dữ liệu logs Khủng được xuất hiện tự các áp dụng, những khối hệ thống và những thiết bị hạ tầng mạng. Nó rất có thể thao tác làm việc tốt với tương đối nhiều một số loại dịnh dạng dữ liệu khác nhau (Syslog, csv, apache-log, access_combine …). Splunk được xuất bản dựa trên gốc rễ Lucene and MongoDB với cùng 1 đồ họa website khôn cùng trực quan.

Quý khách hàng đang xem: Splunk là gì

TÍNH NĂNG Định dạng Log: Splunk hỗ trợ phần lớn tất cả những các loại log của hệ thống, máy hạ tầng mạng, phần mềm, Firewall, IDS/IPS, Log Event, Register của những thứ trạm… Các vẻ ngoài thu thập dữ liệu: Splunk có thể tiến hành bài toán thu thập log trường đoản cú rất nhiều nguồn khác nhau.

Từ một tệp tin hoặc thư mục (tất cả tệp tin nén) trên serverQua các kết nối UDP, TCPhường từ những Splunk Server khác vào mô hình Splunk phân tánTừ những Event Logs, Registry của Windows…

Cấu trúc quy mô của Splunk:


Bạn đang xem: Splunk là gì

*

*

Cách sở hữu đặt:

Mô hình sở hữu đặt:

Search head: 192.168.18.231Indexers: 192.168.18.232 với 192.168.18.233Forwarders: các sản phẩm người tiêu dùng, tại chỗ này đã sử dụng những thiết bị ảo.Cài đặt Search head và các vật dụng IndexersUpdate

yum update -yLấy link download: Ta sẽ tạo nên một thông tin tài khoản tại splunk.bé cùng đem links download tương xứng cùng với hệ quản lý điều hành với phương pháp cài đặt, tại chỗ này ta đã rước lệnh cài sử dụng wget dành cho phiên phiên bản hệ điều hành Linux:

*

Xem thêm: Kỳ Duyên Bao Nhiêu Tuổi U - Mc Nguyễn Cao Kỳ Duyên U60 Vẫn Trẻ Và Gợi Cảm

*

Cài đặt wget (nếu không cài)yum install wget -yDownload Splunk bởi lệnh đã đưa trước đó:wget -O splunk-8.0.2.1-f002026bad55-linux-2.6-x86_64.rpm 'https://www.splunk.com/bin/splunk/DownloadActivityServlet?architecture=x86_64&platform=linux&version=8.0.2.1&product=splunk&filename=splunk-8.0.2.1-f002026bad55-linux-2.6-x86_64.rpm&wget=true'Install Splunk:rpm -i splunk-8.0.2.1-f002026bad55-linux-2.6-x86_64.rpmStart Splunk:/opt/splunk/bin/splunk start --accept-licenseMsinh hoạt firewall để rất có thể truy cập thông qua trình duyệt:firewall-cmd --add-port=8000/tcp --permanentfirewall-cmd --reloadTruy cập qua trình duyệt: (192.168.18.231:8000)
*

Cấu hình để truy cập qua https sau khi đăng nhập:Settings > System > Server settings > General Settings

Msống cổng 443 và khởi rượu cồn lại dịch vụ:

firewall-cmd --add-port=443/tcp --permanentfirewall-cmd --reloadGiờ rất có thể truy vấn thông qua giao thức https (https://192.168.18.231:443)Cấu hình trên máy chủ Splunk serverTạo index nhằm nhấn log đẩy về, tại đây ta sẽ tạo 2 index nhấn log từ bỏ windows với linux (Setting > indexes > New Index)

Mở cổng nhằm thừa nhận log (Forwarding và receiving » Receive data), ở chỗ này ta đã nhằm cổng 9998

Mngơi nghỉ firewall

firewall-cmd --zone=public --add-port=9998/tcp --permanentCác thiết bị tại 192.168.18.232 với 192.168.18.233 đang thiết lập tương tự.2. Cài đặt các sản phẩm Splunk forwarder để đẩy log về server

2.1 Cài đặt và đẩy log về bên trên Windows

Bật Success/Failure audit log tại Administrator Tools > Local security policy > Local Policy > Audit Policy

Audit các trường sau:

phân tích và đo lường trương mục logon eventsAudit trương mục managementAudit logon eventsAudit policy changeAudit privilege usephân tích và đo lường system eventCài đặt SSL, trường hợp có Browse cho băng thông cất tập tin public và private, tiếp đến nhập password với Browse đường dẫn SSL root CA. Nếu ko áp dụng kỹ năng này có thể Next sang trọng bước tiếp theo.Chọn những log phải đẩy về hệ thống nhằm đo lường, nếu như muốn giám sát 1 tệp tin vận dụng bất kỳ lựa chọn “File” và đường dẫn mang đến File đó.
| W88Vuive | xosoketqua.com