Dağıtık kurulumlarda SecurityOnion loglarını Splunk'a düşürmek

Eğer NSM altyapınızda SecurityOnion (SO) kullanıyorsanuz ve loglarınızı ayrı bir makinedeki Splunk sunucusuna düşürmek istiyorsanız, ilgili SO makinesine SplunkForwarder kurmanız ve ayarlamanız gerekiyor.

Security Onion Nedir?

Splunk Sunucu tarafında kurulması gereken uygulamalar;

1 - Security Onion App for Splunk software - https://splunkbase.splunk.com/app/972/#/overview
2 - Sideview Utils - http://splunk-base.splunk.com/apps/36405/sideview-utils
3 - Splunk for OSSEC - Splunk v4 version -http://splunk-base.splunk.com/apps/22285/splunk-for-ossec-splunk-v4-version
4 - Geo Location Lookup Script (powered by MAXMIND) - http://splunk-base.splunk.com/apps/22282/geo-location-lookup-script-powered-by-maxmind
5 - Google Maps - http://splunk-base.splunk.com/apps/22365/google-maps
6 - Splunk Visualizations - http://splunk-base.splunk.com/apps/22283/splunk-visualizations

SO makinesinde ise şu işlemleri yapıyoruz;

1-) sudo dpkg -i splunkforwarder.deb (Splunk sitesinden indirdiğimiz Forwarder Deb paketi kurulumu)

2-) splunk start(Eğer splunk binary'si ortam değişkeni olarak tanımlanmadıysa tam path'i /opt/ altında)

3-) splunk enable boot-start (Forwarder instance'ı açılışta çalıştırmak için)

4-) splunk add forward-server splunk_sunucu_ipsi:port -auth username:password
(Buradaki port, forwarding port. Genelde 9997 oluyor. Username ve password ise sunucudaki değil forwarderdaki Splunk'ın username password'ü. Varsayılan olarak admin:changeme oluyor bu kısım)

5-) Bu adımda Security Onion for Splunk Addon'ı SO makinesine indiriyor ve
sudo tar -C /opt/splunkforwarder/etc/apps -xvf securityonion_addon.tar.gz komutunu çalıştırıyoruz. Bu komut SO üzerindeki SO forwarder'a SO log tanıma kabiliyeti veriyor.

6-) Son adım olarak ise; /opt/splunkforwarder/etc/apps/securityonion_addon/local/ klasöründeki

inputs_server.conf
inputs_sensor.conf
inputs_server_and_sensor.conf

dosyalardan bir tanesinin SO makinemizin işlevine göre inputs.conf olarak ismini değiştiriyoruz. Örneğin makine sadece SO sensor'se cp inputs_sensor.conf inputs.conf

7-) sudo /opt/splunkforwarder/bin/splunk restart

diyerek forwarder'ı yeniden başlatıyoruz ve loglarımız artık Splunk sunucusuna düşmeye başlıyor.

Not: 9997 port numaralı receiver (Setting/Data/Receiving) tanınımı ve gerekli port için firewall ayarlarını Splunk sunucuda yapmanız gerekiyor.

Furkan ÇALIŞKAN

Read more posts by this author.