Splunk — Gerenciamento de Logs/Eventos
0
0

Splunk — Gerenciamento de Logs/Eventos

Marcos Henrique
0 min
0
0
Email image

O Splunk é uma ferramenta de pesquisa e análise de logs. Com ele é possível indexar logs, pesquisar eventos, gerar alertar em tempo real.

É uma das ferramentas mais comuns utilizadas em um SOC.

Site: www.splunk.com

01 — Passo

Faça o cadastro no site www.splunk.com e realize o download gratuito, em seguida envie o arquivo para o linux.

Neste exemplo coloque o arquivo em /opt, em seguida descompacte o arquivo.

cd opt/tar -xf splunk-6.0.2-196940-Linux-i686.tgz

Email image

02 — Passo

Após descompactado entre no diretório splunk em seguida no sub-diretório bin.

cd splunk/cd bin/

Email image
Email image

03 — Passo

Realize a instalação através do comando a seguir e pressione Y para estar de acordo com o contrato.

./splunk start

Email image
Email image

04 — Passo

Ao concluir a instalação acesso o Splunk da seguinte forma: http://debian:8000.

8000: Porta padrão de acesso ao Splunk Web

Email image

05 — Passo

Ao acessar o endereço: http://10.10.10.130:8000 insira o usuário e senha padrão:

  • username: admin
  • password: changeme
Email image

06 — Passo

Por questões de segurança realize a alteração da senha.

Email image

07 — Passo

Esta é a tela de exibição referente a nova versão do Splunk, basta clicar no X para fechar.

Email image

08 — Passo

No quadro Data clique em Add Data

Email image

09 — Passo

Clique em A file or directory of files.

Email image

10 — Passo

No item Consume any file on this Splunk server clique em Next.

Email image

11 — Passo

Clique em Skip preview, e no botão Continue.

Email image

12 — Passo

Informe o diretório de logs do linux /var/log em seguida clique no botão Save.

Email image

13 — Passo

Clique sobre o link Start searching.

Email image

14 — Passo

Observe no quadro What to Search a quantidade de eventos sendo indexados.

Email image

15 — Passo

No campo de busca Searh digite o nome do host linux exemplo: host=debian.

Todos os eventos do diretório /var/log indexados serão exibidos.

Email image

16 — Passo

Crie um usuário de teste para ver como o Splunk funciona, neste exemplo criei o usuário security.

Email image

17 — Passo

Pesquise sobre nome security e visualize o evento de criação do usuário.

Email image

18 — Passo

Logue no servidor com o usuário security.

Email image

19 — Passo

Segue o registro em tempo real do usuário security logado.

Email image

20 — Passo

Habilite o serviço de boot-start.

cd splunk/splunk/bin

./splunk enable boot-start

Email image

21 — Passo

Start o serviço Splunk.

cd /

cd /etc/init.d/

./splunk start

Email image
Email image

22 — Passo

Visualize o status do serviço Splunk.

./splunk status

Email image

Fonte: https://www.100security.com.br/splunk