Recensione Splunk 3.3.4

Le buone pratiche di sicurezza e le pressioni legate alla conformità normativa richiedono ora che i dati di registro di tutti i tipi di dispositivi di rete vengano raccolti e resi disponibili per l'esame. Ciò può comportare una vera e propria valanga di dati che può essere difficile da ricercare senza una funzione di indicizzazione.

Splunk dal nome brillante potrebbe venire in soccorso poiché è in grado di raccogliere dati da un’ampia gamma di fonti, archiviarli nel suo database centralizzato e indicizzarli per ricerche rapide. Le fonti includono dati provenienti da registri e configurazioni del dispositivo, avvisi, trap SNMP e così via e la parte migliore è che per un limite di archivio di registri giornaliero di 500 MB non paghi un centesimo. Abbiamo installato Splunk su un sistema Windows Server 2003 R2 e, anche se ci sono voluti solo pochi minuti, consigliamo di prendersi del tempo per leggi l'abbondante documentazione sul sito Web Splunk e utilizza i tutorial video poiché presenta un apprendimento intenso curva.

Splunk può utilizzare qualsiasi dato di registro purché sia ​​in un formato leggibile dall'uomo, quindi fonti come syslog non rappresentano un problema. Resta in ascolto sulle combinazioni di indirizzo IP e porta e tutti i dati di registro di testo inviati verranno importati nel database e indicizzati automaticamente. Può monitorare file e cartelle utilizzati per archiviare dati di registro basati su testo su sistemi remoti e li indicizzerà automaticamente nel suo database. I demoni di controllo che creano file di registro come binari dovranno essere convertiti in formato testo prima che Splunk possa utilizzarli, ma le utilità per questo vengono solitamente forniti dal fornitore e Splunk dispone anche di uno strumento di pianificazione in modo da poterli eseguire automaticamente a intervalli regolari intervalli. Splunk può anche indicizzare i registri eventi di Windows, il registro e i dati WMI.

Le aziende più grandi archivieranno senza dubbio più di 500 MB al giorno e vorranno la versione Enterprise di Splunk. I prezzi dipendono dalla quantità di dati giornalieri e la differenza principale è che questa versione può inviare e ricevere dati, mentre la versione gratuita può ricevere solo dati di registro. Ciò consente a Splunk Enterprise di supportare un ambiente distribuito in cui potrebbero essere presenti più sistemi che raccolgono dati di registro e li trasmettono a un database centrale. Altre caratteristiche di Enterprise sono la capacità di rilevare modifiche ai file su sistemi remoti e utilizzare account utente diversi per il controllo degli accessi.

La console web Splunk si apre con una home page intelligente che può essere facilmente personalizzata. L'impostazione predefinita è mostrare le fonti di registro, il tipo di fonte, un elenco di host monitorati e errori rilevati, ma può esserlo facilmente modificabile per mostrare grafici e tabelle creati da report personalizzati: stai tranquillo, le possibilità ci sono infinito. Le origini dei dati di registro devono essere definite su Splunk e vanno dai sistemi host e dalle porte alle posizioni delle cartelle o alle code FIFO. Splunk offre anche un'opzione di scansione in cui può scansionare sistemi, volumi o cartelle e fornire un elenco di tutti i file trovati che può essere perfezionato con esclusioni e ulteriori ricerche.

Avevamo moltissime fonti syslog in laboratorio, quindi abbiamo deciso di vedere come Splunk le gestiva bene. Le sorgenti sono definite come input poiché ne abbiamo creata una per l'ascolto sulla porta 514 per tutti gli indirizzi LAN in modo che Splunk possa rilevare qualsiasi sorgente syslog che punta ad esso. Per prima cosa abbiamo configurato uno switch Gigabit HP ProCurve 2848 utilizzando il comando di registrazione CLI con l'indirizzo IP del server syslog Splunk. E questo è tutto ciò che dovevamo fare poiché l'indirizzo IP di gestione dello switch appariva automaticamente nell'elenco degli host monitorati di Splunk.

Potremmo quindi visualizzare i suoi dati syslog selezionando la voce di origine per il traffico UDP sulla porta 514, il tipo di origine syslog o la voce host dello switch. Abbiamo anche avuto un Radware DP102 L'appliance IPS fa la guardia davanti al nostro firewall e lo configuriamo per inviare i dati syslog al server Splunk. Come con lo switch HP, nel momento in cui ha iniziato a inviare i dati di registro, è apparso automaticamente nell'elenco degli host pronto per la selezione.