Dağıtık kurulumlarda SecurityOnion loglarını Splunk'a düşürmek
Eğer NSM altyapınızda SecurityOnion (SO) kullanıyorsanuz ve loglarınızı ayrı bir makinedeki Splunk sunucusuna düşürmek istiyorsanız, ilgili SO makinesine SplunkForwarder kurmanız ve ayarlamanız gerekiyor.
Splunk Sunucu tarafında kurulması gereken uygulamalar;
1 - Security Onion App for Splunk software - https://splunkbase.splunk.com/app/972/#/overview
2 - Sideview Utils - http://splunk-base.splunk.com/apps/36405/sideview-utils
3 - Splunk for OSSEC - Splunk v4 version -http://splunk-base.splunk.com/apps/22285/splunk-for-ossec-splunk-v4-version
4 - Geo Location Lookup Script (powered by MAXMIND) - http://splunk-base.splunk.com/apps/22282/geo-location-lookup-script-powered-by-maxmind
5 - Google Maps - http://splunk-base.splunk.com/apps/22365/google-maps
6 - Splunk Visualizations - http://splunk-base.splunk.com/apps/22283/splunk-visualizations
SO makinesinde ise şu işlemleri yapıyoruz;
1-) sudo dpkg -i splunkforwarder.deb
(Splunk sitesinden indirdiğimiz Forwarder Deb paketi kurulumu)
2-) splunk start
(Eğer splunk binary'si ortam değişkeni olarak tanımlanmadıysa tam path'i /opt/ altında)
3-) splunk enable boot-start
(Forwarder instance'ı açılışta çalıştırmak için)
4-) splunk add forward-server splunk_sunucu_ipsi:port -auth username:password
(Buradaki port, forwarding port. Genelde 9997 oluyor. Username ve password ise sunucudaki değil forwarderdaki Splunk'ın username password'ü. Varsayılan olarak admin:changeme
oluyor bu kısım)
5-) Bu adımda Security Onion for Splunk Addon'ı SO makinesine indiriyor ve
sudo tar -C /opt/splunkforwarder/etc/apps -xvf securityonion_addon.tar.gz
komutunu çalıştırıyoruz. Bu komut SO üzerindeki SO forwarder'a SO log tanıma kabiliyeti veriyor.
6-) Son adım olarak ise; /opt/splunkforwarder/etc/apps/securityonion_addon/local/
klasöründeki
inputs_server.conf
inputs_sensor.conf
inputs_server_and_sensor.conf
dosyalardan bir tanesinin SO makinemizin işlevine göre inputs.conf olarak ismini değiştiriyoruz. Örneğin makine sadece SO sensor'se cp inputs_sensor.conf inputs.conf
7-) sudo /opt/splunkforwarder/bin/splunk restart
diyerek forwarder'ı yeniden başlatıyoruz ve loglarımız artık Splunk sunucusuna düşmeye başlıyor.
Not: 9997 port numaralı receiver (Setting/Data/Receiving) tanınımı ve gerekli port için firewall ayarlarını Splunk sunucuda yapmanız gerekiyor.