Splunk Enterprise — это платформа для операционной аналитики. Она служит для сбора и оценки больших наборов данных, генерируемых различными приложениями. У Splunk Enterprise достаточно обширная функциональность, но применительно к DataArmor Database Firewall эту программу можно рассматривать как агрегатор логов аудита данных.

В данном руководстве рассматривается процесс настройки Splunk для интеграции её с DataArmor. При этом данные из DataArmor импортируются в Splunk Enterprise посредством протокола Syslog. Для демонстрации Splunk используется пробная версия программы, скачанная с официального сайта: https://www.splunk.com/ru_ru/download/splunk-enterprise.html

Прежде чем пытаться применить Splunk Enterprise для агрегации логов, настройте DataArmor Database Firewall на передачу данных аудита по Syslog. Для этого войдите в веб-интерфейс программы, раздел System Settings, подраздел Syslog, установите флажок Audit data to syslog и настройте удалённый сервер Syslog. Подробности настройки Syslog в DataArmor Database Firewall смотрите в руководстве пользователя программы.

darmor_syslog

Splunk Enterprise предлагается для операционных систем Windows, UNIX и Mac OS, поэтому процесс установки и запуска имеет свои особенности в каждой из этих ОС. В данной инструкции рассматривается установка программы в Windows и Linux.


Для подготовки программы к работе выполните следующие действия:


Установка Splunk Enterprise.

Windows

Выполните стандартную процедуру установки программ в ОС Windows. При необходимости, инструкцию по установке можно найти по следующему адресу: http://docs.splunk.com/Documentation/Splunk/6.4.3/Installation/InstallonWindows

Linux

Выполните стандартную процедуру установки программы в Linux. При необходимости, инструкцию по установке можно найти по следующему адресу: http://docs.splunk.com/Documentation/Splunk/6.4.3/Installation/InstallonLinux


Запуск Splunk Enterprise

Windows

Запустите Командную строку Windows, перейдите в папку установки Splunk при помощи команды cd и выполните команду splunk start. (Например, при установке программы в папку по умолчанию, полный текст команды выглядит так: cd C:\Program Files\Splunk\bin splunk start).

Также вы можете создать переменную среды %SPLUNK_HOME% для того, чтобы упростить процесс запуска Splunk.

При необходимости инструкция по запуску программы можно найти по ссылке: http://docs.splunk.com/Documentation/Splunk/6.4.3/Installation/StartSplunkforthefirsttime

Linux

Выполните в Терминале Linux следующую команду:

Sudo <папка установки Splunk Enterprise>/bin/splunk start

Также вы можете установить переменную среды SPLUNK_HOME для запуска программы следующим образом:

Export SPLUNK_HOME= $SPLUNK_HOME/bin/splunk start

Настройка получения данных через Syslog

1. Войдите в веб-интерфейс Splunk.

Для этого введите в адресную строку веб-браузера следующий адрес: localhost:8000. На экране ввода учётных данных введите имя пользователя по умолчанию (admin) и пароль changeme (при этом Splunk предложит сменить пароль).

2. На стартовой странице веб-интерфейса нажмите кнопку Add Data

Add Data

3. Затем на следующей странице нажмите кнопку Monitor для перехода на вкладку Select Source.

monitor

4. На вкладке Select Source Data выберите протокол TCP/UDP для прослушивания Splunk указанного сетевого порта. Укажите порт UDP, активировав соответствующий переключатель. Укажите номер порта для прослушивания (порт 514). Остальные настройки оставьте по умолчанию. Нажмите кнопку Next для перехода на следующую вкладку.

select_source

5. На вкладке Input Settings в выпадающем списке Select Source Type выберите Operating System -> Syslog. Нажмите кнопку Review для перехода к следующему шагу.

input_settings

6. На вкладке Review проверьте верность настроек: Input type — UDP, port number — 514, source type — Syslog. Нажмите кнопку Submit для завершения настройки.

review

7. По окончании настройки нажмите кнопку Start Searching для поиска логов.

start_searching

8. Поначалу какие-либо записи о событиях будут отсутствовать, поскольку DataArmor создаёт логи в процессе работы функции аудита. Поэтому вам необходимо настроить правила аудита DataArmor, если они ещё не настроены. После появления записей в Splunk, вы можете просмотреть подробные данные о нужном событии.

search_results

9. Для того чтобы просмотреть подробные сведения о каком-либо событии, нажмите на символ > в колонке i строки интересующего вас события. Затем в выпадающем списке Event actions выберите Extract FIelds для извлечения подробной информации.

extract-fields

10. Откроется новая вкладка браузера, где необходимо выбрать метод извлечения полей события. Regular Expressions — в виде регулярных выражений или Delimiters — извлечение при помощи разделителей таких как запятые, пробелы и символы (произвольные символы?). Этот метод рекомендуется применять для данных, разделённых какими-либо символами (например, CSV-файлов).

extracting_fields

11. Выбрав подходящий метод, нажмите кнопку Next для запуска извлечения.

Комментарии