Splunk suite

Bonjour,

Suite à l’article : Splunk : centralisateur de log, j’ai continué à découvrir Splunk pour essayer de sortie quelque chose des logs.

Je me suis donc connecter à splunkbase qui propose des addons/plugins pour Splunk.

Après une recherche avec le mot avec le mot clef Windows, je me suis arrêté sur les addons suivants :

Splunk Add-on for Microsoft Windows : qui permet de formater les logs Windows (je cherche encore pourquoi je l’ai installé).

Splunk App for Windows Infrastructure : celle-ci est la plus intéressante, elle génère des tableaux de bord, graphiques, rapports par rapport au logs Windows que sont envoyés avec Splunk Universel Forwarder.

J’ai également fait une recherche avec le terme Sophos pour voir si je pouvais exploiter les logs du firewall XG, j’ai juste trouvé des addons pour la version UTM. C »est dommage l’addon pour les firewalls Palo Alto a l’air top !

splunk-addons

Maintenant que l’on a nos addons, on va les installer sur Splunk.

Installation des addons

splunk-addons-manager


L’installation est relativement simple, une fois connecté à l’interface Splunk, cliquer sur l’engrenage 1.

splunk-install-addon-e1


Cliquer sur Installer l’app à partir du fichier 1.

splunk-install-addon-e1


1 Cliquer sur Parcourir… et aller chercher l’archive télécharger.
2 Cliquer sur Télécharger

splunk-install-addon-e1


Listes des addons installées.

Splunk App for Windows Infrastructure

Focus sur cet addon qui va vous permettre d’avoir des rapports sur votre infrastructure.

Voici quelques captures :

J’ai eu du mal à faire remonter les informations de performance des Windows, après quelque essaie et recherche , j’ai réussi à faire remonter les données.


Il faut modifier le fichier 1 input.conf qui se trouve à l’emplacement suivant : C:\Program Files\SplunkUniversalForwarder\etc\apps\SplunkUniversalForwarder\local


Éditer le fichier avec un le programme de votre choix, celui doit être lancer en administrateur et ajouter la ligne ci-après à chaque section [perfmon://xxxx].


Il faut redémarrer le service pour la prise en compte des modifications.
1 Chercher le service SplunkForwarder Service.
2 Cliquer sur Redémarrer.

splunk-perfmo,


Voici un aperçu de ce que vous devriez avoir.

Transfert des logs d’un firewall Sophos XG vers Splunk

Par curiosité, j’ai tout même test l’addon Splunk for SophosUTM pour voir s’il pouvait sortir quelques choses avec les logs d’un XG.

Le résultat n’a pas été concluant, mais je vais quand même vous expliquer comment transférer les logs vers splunk.

Information

La procédure suivante est valable avec n’importe quel serveur Syslog et fonctionne également avec iView.

sophos xg dashboard


1 Cliquer sur Services système

param new syslog


1 Cliquer sur Paramètres du journal
2 Ajouter

sophos xg form add syslog


1 Remplir les formulaires avec les informations du serveur Syslog
2 Cliquer sur Enregistrer


1 Le serveur Syslog devrait être dans la liste.


1 Sélectionner les informations à envoyer
2 Cliquer sur Appliquer.

Les logs devraient être visible depuis Splunk


J’espère que ce second article sur Splunk vous aidera dans la découverte de cet outil.



Related Posts


Mettre à jour Veeam Backup et réplication

Introduction Dans ce tutoriel, nous allons voir comment mettre à jour le logiciel de sauvegarde Veeam Backup et Replication. Cette opération est généralement effectuée une à deux fois par an. Planifie

Veeam : backup copy choisir la source

Contexte Dans cet article, nous allons avoir comment choisir la source lorsque vous avez plusieurs jobs de Backup Copy de configurés. Exemple : 1 : Sauvegarde sur le serveur Veeam sur un repository lo

Ferme RDS ajouter un hôte à une collection

Dans cet article, je vais vous expliquer comment ajouter un hôte de session de Bureau à distance dans une collection. L'article fait suite au poste suivant : Mise en place d’une ferme RDS sous Windows

Retour haut de page