Splunk 3.3.4 recension

God säkerhetspraxis och trycket från regelefterlevnad kräver nu att loggdata från alla typer av nätverksenheter samlas in och görs tillgängliga för granskning. Detta kan resultera i en veritabel lavin av data som kan vara svåra att söka igenom utan en indexeringsmöjlighet.

Den briljant namngivna Splunk skulle kunna komma till undsättning eftersom den kan samla in data från en mängd olika källor, lagra den i sin centraliserade databas och indexera den för snabba sökningar. Källor inkluderar data från enhetsloggar och konfigurationer, varningar, SNMP-fällor och så vidare, och det bästa är att du inte betalar ett öre för en daglig loggbutiksgräns på 500 MB. Vi installerade Splunk på ett Windows Server 2003 R2-system och även om det bara tog några minuter rekommenderar vi att du tar dig tid att läsa den rikliga dokumentationen på Splunks webbplats och använda videohandledningarna eftersom det ger en brant inlärningskurva .

Splunk kan använda vilken loggdata som helst så länge den är i läsbart format så källor som syslog är inga problem. Den lyssnar på IP-adress och portkombinationer och all textloggdata som skickas till den kommer att importeras till databasen och indexeras automatiskt. Den kan övervaka filer och mappar som används för att lagra textbaserade loggdata på fjärrsystem och kommer automatiskt att indexera dessa i sin databas. Revisionsdemoner som skapar loggfiler som binärer kommer att behöva konverteras till textformat innan Splunk kan använda dem, men verktyg för detta tillhandahålls vanligtvis av leverantören och Splunk har också ett schemaläggarverktyg så att det kan köra dessa automatiskt med jämna mellanrum. Splunk kan också indexera Windows Event Logs, registret och WMI-data.

Större företag kommer utan tvekan att lagra mer än 500 MB per dag och kommer att vilja ha Enterprise-versionen av Splunk. Priserna beror på mängden daglig data och den största skillnaden är att denna version kan skicka och ta emot data – gratisversionen kan bara ta emot loggdata. Detta tillåter Splunk Enterprise att stödja en distribuerad miljö där du kan ha flera system som samlar in loggdata och skickar den till en central databas. Andra funktioner i Enterprise är möjligheten att upptäcka ändringar av filer på fjärrsystem och använda olika användarkonton för åtkomstkontroll.

Splunk webbkonsol öppnas med en smart hemsida som enkelt kan anpassas för att passa. Standard är att visa loggkällor, källtyp, en lista över övervakade värdar och upptäckta fel, men det kan enkelt ändras för att visa grafer och tabeller skapade från anpassade rapporter – var säker, möjligheterna är oändliga. Loggdatakällor måste definieras till Splunk och sträcka sig från värdsystem och portar till mappplatser eller FIFO-köer. Splunk erbjuder också ett genomsökningsalternativ där det kan skanna system, volymer eller mappar och tillhandahålla en lista över alla filer som den hittar som kan förfinas med undantag och ytterligare sökningar.

Vi hade massor av syslog-källor i labbet så vi bestämde oss för att se hur väl Splunk hanterade dessa. Källor definieras som ingångar eftersom vi skapade en för att lyssna på port 514 för alla LAN-adresser så att Splunk skulle plocka upp alla syslogkällor som pekade på den. Först konfigurerade vi en HP ProCurve 2848 Gigabit-switch med dess CLI-loggningskommando med IP-adressen för Splunk syslog-servern. Och det var allt vi behövde göra eftersom switchens hanterings-IP-adress dök upp automatiskt i Splunks lista över övervakade värdar.

Vi kunde sedan se dess syslogdata antingen genom att välja källposten för UDP-trafik på port 514, syslog-källans typ eller switchens värdpost. Vi hade också en Radware DP102 IPS-apparaten står vakt framför vår brandvägg och vi ställer in denna för att skicka syslogdata till Splunk-servern. Precis som med HP-switchen i samma ögonblick som den började skicka loggdata visades den automatiskt i värdlistan redo för val.