O Splunk é uma ferramenta de pesquisa e análise de logs. Com ele é possível indexar logs, pesquisar eventos, gerar alertar em tempo real. | ||
É uma das ferramentas mais comuns utilizadas em um SOC. | ||
Site: www.splunk.com | ||
01 — Passo | ||
Faça o cadastro no site www.splunk.com e realize o download gratuito, em seguida envie o arquivo para o linux. | ||
Neste exemplo coloque o arquivo em /opt, em seguida descompacte o arquivo. | ||
cd opt/tar -xf splunk-6.0.2-196940-Linux-i686.tgz | ||
02 — Passo | ||
Após descompactado entre no diretório splunk em seguida no sub-diretório bin. | ||
cd splunk/cd bin/ | ||
03 — Passo | ||
Realize a instalação através do comando a seguir e pressione Y para estar de acordo com o contrato. | ||
./splunk start | ||
04 — Passo | ||
Ao concluir a instalação acesso o Splunk da seguinte forma: http://debian:8000. | ||
8000: Porta padrão de acesso ao Splunk Web | ||
05 — Passo | ||
Ao acessar o endereço: http://10.10.10.130:8000 insira o usuário e senha padrão: | ||
| ||
06 — Passo | ||
Por questões de segurança realize a alteração da senha. | ||
07 — Passo | ||
Esta é a tela de exibição referente a nova versão do Splunk, basta clicar no X para fechar. | ||
08 — Passo | ||
No quadro Data clique em Add Data | ||
09 — Passo | ||
Clique em A file or directory of files. | ||
10 — Passo | ||
No item Consume any file on this Splunk server clique em Next. | ||
11 — Passo | ||
Clique em Skip preview, e no botão Continue. | ||
12 — Passo | ||
Informe o diretório de logs do linux /var/log em seguida clique no botão Save. | ||
13 — Passo | ||
Clique sobre o link Start searching. | ||
14 — Passo | ||
Observe no quadro What to Search a quantidade de eventos sendo indexados. | ||
15 — Passo | ||
No campo de busca Searh digite o nome do host linux exemplo: host=debian. | ||
Todos os eventos do diretório /var/log indexados serão exibidos. | ||
16 — Passo | ||
Crie um usuário de teste para ver como o Splunk funciona, neste exemplo criei o usuário security. | ||
17 — Passo | ||
Pesquise sobre nome security e visualize o evento de criação do usuário. | ||
18 — Passo | ||
Logue no servidor com o usuário security. | ||
19 — Passo | ||
Segue o registro em tempo real do usuário security logado. | ||
20 — Passo | ||
Habilite o serviço de boot-start. | ||
cd splunk/splunk/bin | ||
21 — Passo | ||
Start o serviço Splunk. | ||
cd / | ||
22 — Passo | ||
Visualize o status do serviço Splunk. | ||
./splunk status | ||