ICO wiki - User contributions [en]

Keskse logihalduse süsteem Splunk baasil

2014-01-17T17:11:39Z

Vvirk:

Labor 2 - Keskse logihalduse süsteem Splunk baasil

Autor: Veiko Virk

A31

10.01.2014

Õppeaine : [[Linuxi administreerimine]]

= Ülesande püstitus =
Luua keskse logihalduse süsteem Splunk baasil, kasutades kahte masinat (server, klient)

 
[[File:RsysSplunk.jpg]]
 
Joonis 1: Virtuaalmasinate topoloogia

= Kasutatud tarkvara =
Server : Ubuntu Server 64bit, versioon: 12.04 Saadab logisi läbi rsyslog tarkvara

Klient : Ubuntu client 64bit, versioon 13.04 Platvorm mille peal Splunk töötab

Splunk 6.0.1 - võtab vastu ja töötleb logisi

= Sissejuhatus =

Splunk pakub palju erinevaid teenuseid, näiteks: Andmete otsing, süsteemide/seadmete monitooring, analüüs, andmete visualiseerimine, turvaintsidentide monitooring, transaktsioonide analüüs, kasutajate vaatlus, probleemide diagnoosimine, turvaohtude monitooring jne. Splunk tarkvara on lihtne paigaldada.
Praeguseks kasutab Splunk tarkvara enam kui 6,400 liiget. Nendeks on ettevõtted, ülikoolid, riigiasutused ja teenusepakkujad, 90 erinevas riigis.
Splunk pakub ka tasuta versiooni oma tarkvarast, mis on pigem mõeldud väiksematele ettevõttetele. Tasuta versioon piirab andmete indekseerimist 500 MB päevas. Nõudlikumale süsteemile tuleb juurde osta indekseeritavat andmemahtu mis on äärmiselt kallis. Erinevate allikate põhjal läheks 5 GB indekseerimine päevas maksma ligi 30 000 dollarit.
Alternatiivina pakuksin välja kas LogStashi (http://www.logstash.net) või Fluentd (http://www.fluentd.org).

= Protokoll =

== Serveri ja kliendi algsed seaded antu näite puhul ==
Klient:
Nimi - desktop
IP - Staatiline 192.168.56.101

Server:
Nimi - Ubuntu
IP - Staatiline 192.168.56.200

Mõlemal virtuaalmasinal on kasutatud eelnevalt eksporditud ubuntu Client/Server .OAV tõmmist (image). Tarkvara on pärit IT Kolledži Elab keskkonnast.

Järgevalt eeldab autor, et paigaldatud server ja klient suudavad omavahel suhelda.

== Splunk paigaldus ==
Järgnevad tegevused tehakse Klient arvutis nimega desktop.

[http://docs.splunk.com/Documentation/Splunk/6.0.1/Installation/InstallonLinux]

Paigalduse alustamiseks tuleb allalaadida Splunk tarkvara. Juhendis on kasutatud Splunk 6.0.1 Linuxi 64bit versiooni.
Tarkvara saab allalaadida siit: [http://www.splunk.com/download]

Peale faili allalaadimist tuleb paigaldada paigalduspakett, selleks kasutada käsku:

sudo dpkg -i /home/student/Downloads/splunker/splunk-6.0.1-189883-linux-2.6-amd64.deb

Antud näite puhul asetseb paigalduspakett /home/student/Downloads/splunker/ alamkatalogis.

Splunk tarkvara paigaldamiseks kasutada käsku:

sudo /opt/splunk/bin/splunk start

Peale paigaldust kuvatakse kasutajale Splunk veebiliidese asukoht. Antud näite puhul on selleks http://desktop:8000

 
[[File:splunkfin.JPG]]
 
Joonis 2: Splunk veebiliidese aadress.

[http://virtuallyhyper.com/2013/06/install-splunk-and-send-logs-to-splunk-with-rsyslog-over-tcp-with-ssl/]Vaikimisi töötab Splunk portidel 8000 ja 8089. Kontrolliks kasutame käsku:
netstat -antp | grep -E '8000|8089'

 
[[File:portcheck.JPG]]
 
Joonis 3: Splunk TCP portide kontroll.

Järgmiseks anname portidele 8000 ja 8089 tulemüüri läbimisõigused. Kasutame käske:
sudo iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8000 -j ACCEPT
sudo iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8089 -j ACCEPT

 
[[File:iptables.JPG]]
 
Joonis 4: Tulemüüri reeglite lisamine.

Jägnevalt tuleb teha tülemüüri rakendusele taaskäivitus.
sudo service ufw restart

Viimaks tuleb vaadata, kas uued reeglid on aktiivsed. Selleks kasutame käsku:
iptables -L -n | grep -E '8000|8089'

 
[[File:iptablescheck.JPG]]
 
Joonis 5: Tulemüüri reeglite kontroll.

== Splunk veebiliidese paigaldus ==
[http://chase-seibert.github.io/blog/2010/12/31/splunkrsyslogapacheubuntu-quickstart.html]Järgnevalt kasutame veebilehitsejat. Liigume aadressile http://192.168.56.101:8000
Algselt on kasutajatunnuseks admin ja parooliks changeme.

Peale sisselogimist kohustab programm parooli vahetama.
Antud näites on kasutajatunnuseks: admin ja parooliks student.

 
[[File:splunkweb.JPG]]
 
Joonis 6: Splunk veebiliidese "Login" ekraan.

Õnnestunud sisselogimisel kuvatakse kasutajale splunk veebiportaali.

Avanenud aknas vajutame nupule "Add data".

Järgnevast menüüst vajutame valikul "Syslog"

 
[[File:adddata.JPG]]
 
Joonis 7: Splunk andmepõhjade mudel.

Järgenevast valikust valime "Consume syslog over TCP" ja vajutame nupule "next"

Avanevas aknas tuleb täita järgnevad väljad:
TCP port - 514
Select source type from list - syslog

More settings
Set host - IP

ja vajutada nupule "Save"
 
 
[[File:syslogconf1.JPG]]
 
Joonis 8: Splunk Syslogi paigaldus osa1
 
 
[[File:syslogconf2.JPG]]
 
Joonis 9: Splunk Syslogi paigaldus osa2

Eduka salvestamise puhul peaks kasutaja nägema järgmist pilti, kus on kirjas "Sucess! Your data is being indexed into Splunk"

Järgnevalt tuleb tagasi minna Splunk serveri juurde (masin kuhu Splunk paigaldati).

Juhul kui veebiliideses sai kõik korrektselt sisestatud, peaks splunk kuulama 514 porti.
netstat -antp | grep 514

 
[[File:splunknenstatgrep.JPG]]
 
Joonis 10: Port 514 kontroll
 

Viimaks lisame pordile 514 tulemüüri läbipääsu reegli ja teeme tulemüüri rakendusele taaskäivituse.
sudo iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 514 -j ACCEPT

sudo service ufw restart

 
[[File:port514plusrestart.JPG]]
 
Joonis 11: Port 15 tulemüüri reegel.

== Paigaldame Rsyslogi saatma logisi Splunk serverile ==
Järgnevad tegevused tuimuvad Serveris nimega Ubuntu.

Selleks, et Rsyslog saadaks Klient arvutile logisi tuleb muuta rsyslog konfiguratsioonifail.

Muudame faili /etc/rsyslog.conf

sudo nano /etc/rsyslog.conf

Lisame rsyslog faili lõppu järgneva rea:

*.* @@192.168.56.101:514

Peale muudatuste tegemist tuleb rsyslog rakendusele teha taaskäivitus.
sudo service rsyslog restart

= Kokkuvõtte=

Lõpplahendusena valmis keskne logihaldussüsteem Splunk baasil selleks, et oleks võimalik vaadata ning analüüsida logisid Splunk veebiliidese abil.

= Kasutatud kirjandus =

http://docs.splunk.com/Documentation/Storm/Storm/User/Howtosetuprsyslog

http://chase-seibert.github.io/blog/2010/12/31/splunkrsyslogapacheubuntu-quickstart.html

http://virtuallyhyper.com/2013/06/install-splunk-and-send-logs-to-splunk-with-rsyslog-over-tcp-with-ssl/

http://serverfault.com/questions/239401/splunk-is-fantastically-expensive-what-are-the-alternatives

http://www.splunk.com/view/benefits/SP-CAAACCS

Keskse logihalduse süsteem Splunk baasil

2014-01-17T17:08:51Z

Vvirk:

Labor 2 - Keskse logihalduse süsteem Splunk baasil

Autor: Veiko Virk

A31

10.01.2014

Õppeaine : [[Linuxi administreerimine]]

= Ülesande püstitus =
Luua keskse logihalduse süsteem Splunk baasil, kasutades kahte masinat (server, klient)

 
[[File:RsysSplunk.jpg]]
 
Joonis 1: Virtuaalmasinate topoloogia

= Kasutatud tarkvara =
Server : Ubuntu Server 64bit, versioon: 12.04 Saadab logisi läbi rsyslog tarkvara

Klient : Ubuntu client 64bit, versioon 13.04 Platvorm mille peal Splunk töötab

Splunk 6.0.1 - võtab vastu ja töötleb logisi

= Sissejuhatus =

Splunk pakub palju erinevaid teenuseid, näiteks: Andmete otsing, süsteemide/seadmete monitooring, analüüs, andmete visualiseerimine, turvaintsidentide monitooring, transaktsioonide analüüs, kasutajate vaatlus, probleemide diagnoosimine, turvaohtude monitooring jne. Splunk tarkvara on lihtne paigaldada.
Praeguseks kasutab Splunk tarkvara enam kui 6,400 liiget. Nendeks on ettevõtted, ülikoolid, riigiasutused ja teenusepakkujad, 90 erinevas riigis.
Splunk pakub ka tasuta versiooni oma tarkvarast, mis on pigem mõeldud väiksematele ettevõttetele. Tasuta versioon piirab andmete indekseerimist 500 MB päevas. Nõudlikumale süsteemile tuleb juurde osta indekseeritavat andmemahtu mis on äärmiselt kallis. Erinevate allikate põhjal läheks 5 GB indekseerimine päevas maksma ligi 30 000 dollarit.
Alternatiivina pakuksin välja kas LogStashi (http://www.logstash.net) või Fluentd (http://www.fluentd.org).

= Protokoll =

== Serveri ja kliendi algsed seaded antu näite puhul ==
Klient:
Nimi - desktop
IP - Staatiline 192.168.56.101

Server:
Nimi - Ubuntu
IP - Staatiline 192.168.56.200

Mõlemal virtuaalmasinal on kasutatud eelnevalt eksporditud ubuntu Client/Server .OAV tõmmist (image). Tarkvara on pärit IT Kolledži Elab keskkonnast.

Järgevalt eeldab autor, et paigaldatud server ja klient suudavad omavahel suhelda.

== Splunk paigaldus ==
Järgnevad tegevused tehakse Klient arvutis nimega desktop.

[http://docs.splunk.com/Documentation/Splunk/6.0.1/Installation/InstallonLinux]

Paigalduse alustamiseks tuleb allalaadida Splunk tarkvara. Juhendis on kasutatud Splunk 6.0.1 Linuxi 64bit versiooni.
Tarkvara saab allalaadida siit: [http://www.splunk.com/download]

Peale faili allalaadimist tuleb paigaldada paigalduspakett, selleks kasutada käsku:

sudo dpkg -i /home/student/Downloads/splunker/splunk-6.0.1-189883-linux-2.6-amd64.deb

Antud näite puhul asetseb paigalduspakett /home/student/Downloads/splunker/ alamkatalogis.

Splunk tarkvara paigaldamiseks kasutada käsku:

sudo /opt/splunk/bin/splunk start

Peale paigaldust kuvatakse kasutajale Splunk veebiliidese asukoht. Antud näite puhul on selleks http://desktop:8000

 
[[File:splunkfin.JPG]]
 
Joonis 2: Splunk veebiliidese aadress.

[http://virtuallyhyper.com/2013/06/install-splunk-and-send-logs-to-splunk-with-rsyslog-over-tcp-with-ssl/]Vaikimisi töötab Splunk portidel 8000 ja 8089. Kontrolliks kasutame käsku:
netstat -antp | grep -E '8000|8089'

 
[[File:portcheck.JPG]]
 
Joonis 3: Splunk TCP portide kontroll.

Järgmiseks anname portidele 8000 ja 8089 tulemüüri läbimisõigused. Kasutame käske:
sudo iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8000 -j ACCEPT
sudo iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8089 -j ACCEPT

 
[[File:iptables.JPG]]
 
Joonis 4: Tulemüüri reeglite lisamine.

Jägnevalt tuleb teha tülemüüri rakendusele taaskäivitus.
sudo service ufw restart

Viimaks tuleb vaadata, kas uued reeglid on aktiivsed. Selleks kasutame käsku:
iptables -L -n | grep -E '8000|8089'

 
[[File:iptablescheck.JPG]]
 
Joonis 5: Tulemüüri reeglite kontroll.

== Splunk veebiliidese paigaldus ==
[http://chase-seibert.github.io/blog/2010/12/31/splunkrsyslogapacheubuntu-quickstart.html]Järgnevalt kasutame veebilehitsejat. Liigume aadressile http://192.168.56.101:8000
Algselt on kasutajatunnuseks admin ja parooliks changeme.

Peale sisselogimist kohustab programm parooli vahetama.
Antud näites on kasutajatunnuseks: admin ja parooliks student.

 
[[File:splunkweb.JPG]]
 
Joonis 6: Splunk veebiliidese "Login" ekraan.

Õnnestunud sisselogimisel kuvatakse kasutajale splunk veebiportaali.

Avanenud aknas vajutame nupule "Add data".

Järgnevast menüüst vajutame valikul "Syslog"

 
[[File:adddata.JPG]]
 
Joonis 7: Splunk andmepõhjade mudel.

Järgenevast valikust valime "Consume syslog over TCP" ja vajutame nupule "next"

Avanevas aknas tuleb täita järgnevad väljad:
TCP port - 514
Select source type from list - syslog

More settings
Set host - IP

ja vajutada nupule "Save"
 
 
[[File:syslogconf1.JPG]]
 
Joonis 8: Splunk Syslogi paigaldus osa1
 
 
[[File:syslogconf2.JPG]]
 
Joonis 9: Splunk Syslogi paigaldus osa2

Eduka salvestamise puhul peaks kasutaja nägema järgmist pilti, kus on kirjas "Sucess! Your data is being indexed into Splunk"

Järgnevalt tuleb tagasi minna Splunk serveri juurde (masin kuhu Splunk paigaldati).

Juhul kui veebiliideses sai kõik korrektselt sisestatud, peaks splunk kuulama 514 porti.
netstat -antp | grep 514

 
[[File:splunknenstatgrep.JPG]]
 
Joonis 10: Port 514 kontroll
 

Viimaks lisame pordile 514 tulemüüri läbipääsu reegli ja teeme tulemüüri rakendusele taaskäivituse.
sudo iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 514 -j ACCEPT

sudo service ufw restart

 
[[File:port514plusrestart.JPG]]
 
Joonis 11: Port 15 tulemüüri reegel.

== Paigaldame Rsyslogi saatma logisi Splunk serverile ==
Järgnevad tegevused tuimuvad Serveris nimega Ubuntu.

Selleks, et Rsyslog saadaks Klient arvutile logisi tuleb muuta rsyslog konfiguratsioonifail.

Muudame faili /etc/rsyslog.conf

sudo nano /etc/rsyslog.conf

Lisame rsyslog faili lõppu järgneva rea:

*.* @@192.168.56.101:514

Peale muudatuste tegemist tuleb rsyslog rakendusele teha taaskäivitus.
sudo service rsyslog restart

Lõpplahendusena valmis keskne logihaldussüsteem Splunk baasil selleks, et oleks võimalik vaadata ning analüüsida logisid Splunk veebiliidese abil.

= Kasutatud kirjandus =

http://docs.splunk.com/Documentation/Storm/Storm/User/Howtosetuprsyslog

http://chase-seibert.github.io/blog/2010/12/31/splunkrsyslogapacheubuntu-quickstart.html

http://virtuallyhyper.com/2013/06/install-splunk-and-send-logs-to-splunk-with-rsyslog-over-tcp-with-ssl/

http://serverfault.com/questions/239401/splunk-is-fantastically-expensive-what-are-the-alternatives

http://www.splunk.com/view/benefits/SP-CAAACCS

Keskse logihalduse süsteem Splunk baasil

2014-01-17T17:00:11Z

Vvirk:

Labor 2 - Keskse logihalduse süsteem Splunk baasil

Autor: Veiko Virk

A31

10.01.2014

Õppeaine : [[Linuxi administreerimine]]

= Ülesande püstitus =
Luua keskse logihalduse süsteem Splunk baasil, kasutades kahte masinat (server, klient)

 
[[File:RsysSplunk.jpg]]
 
Joonis 1: Virtuaalmasinate topoloogia

= Kasutatud tarkvara =
Server : Ubuntu Server 64bit, versioon: 12.04 Saadab logisi läbi rsyslog tarkvara

Klient : Ubuntu client 64bit, versioon 13.04 Platvorm mille peal Splunk töötab

Splunk 6.0.1 - võtab vastu ja töötleb logisi

= Sissejuhatus =

Splunk pakub palju erinevaid teenuseid, näiteks: Andmete otsing, süsteemide/seadmete monitooring, analüüs, andmete visualiseerimine, turvaintsidentide monitooring, transaktsioonide analüüs, kasutajate vaatlus, turvaohtude monitooring jne. Splunk tarkvara on lihtne paigaldada
Praeguseks kasutab Splunk tarkvara enam kui 6,400 liiget. Nendeks on ettevõtted, ülikoolid, riigiasutused ja teenusepakkujad, 90 erinevas riigis

= Protokoll =

== Serveri ja kliendi algsed seaded antu näite puhul ==
Klient:
Nimi - desktop
IP - Staatiline 192.168.56.101

Server:
Nimi - Ubuntu
IP - Staatiline 192.168.56.200

Mõlemal virtuaalmasinal on kasutatud eelnevalt eksporditud ubuntu Client/Server .OAV tõmmist (image). Tarkvara on pärit IT Kolledži Elab keskkonnast.

Järgevalt eeldab autor, et paigaldatud server ja klient suudavad omavahel suhelda.

== Splunk paigaldus ==
Järgnevad tegevused tehakse Klient arvutis nimega desktop.

[http://docs.splunk.com/Documentation/Splunk/6.0.1/Installation/InstallonLinux]

Paigalduse alustamiseks tuleb allalaadida Splunk tarkvara. Juhendis on kasutatud Splunk 6.0.1 Linuxi 64bit versiooni.
Tarkvara saab allalaadida siit: [http://www.splunk.com/download]

Peale faili allalaadimist tuleb paigaldada paigalduspakett, selleks kasutada käsku:

sudo dpkg -i /home/student/Downloads/splunker/splunk-6.0.1-189883-linux-2.6-amd64.deb

Antud näite puhul asetseb paigalduspakett /home/student/Downloads/splunker/ alamkatalogis.

Splunk tarkvara paigaldamiseks kasutada käsku:

sudo /opt/splunk/bin/splunk start

Peale paigaldust kuvatakse kasutajale Splunk veebiliidese asukoht. Antud näite puhul on selleks http://desktop:8000

 
[[File:splunkfin.JPG]]
 
Joonis 2: Splunk veebiliidese aadress.

[http://virtuallyhyper.com/2013/06/install-splunk-and-send-logs-to-splunk-with-rsyslog-over-tcp-with-ssl/]Vaikimisi töötab Splunk portidel 8000 ja 8089. Kontrolliks kasutame käsku:
netstat -antp | grep -E '8000|8089'

 
[[File:portcheck.JPG]]
 
Joonis 3: Splunk TCP portide kontroll.

Järgmiseks anname portidele 8000 ja 8089 tulemüüri läbimisõigused. Kasutame käske:
sudo iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8000 -j ACCEPT
sudo iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8089 -j ACCEPT

 
[[File:iptables.JPG]]
 
Joonis 4: Tulemüüri reeglite lisamine.

Jägnevalt tuleb teha tülemüüri rakendusele taaskäivitus.
sudo service ufw restart

Viimaks tuleb vaadata, kas uued reeglid on aktiivsed. Selleks kasutame käsku:
iptables -L -n | grep -E '8000|8089'

 
[[File:iptablescheck.JPG]]
 
Joonis 5: Tulemüüri reeglite kontroll.

== Splunk veebiliidese paigaldus ==
[http://chase-seibert.github.io/blog/2010/12/31/splunkrsyslogapacheubuntu-quickstart.html]Järgnevalt kasutame veebilehitsejat. Liigume aadressile http://192.168.56.101:8000
Algselt on kasutajatunnuseks admin ja parooliks changeme.

Peale sisselogimist kohustab programm parooli vahetama.
Antud näites on kasutajatunnuseks: admin ja parooliks student.

 
[[File:splunkweb.JPG]]
 
Joonis 6: Splunk veebiliidese "Login" ekraan.

Õnnestunud sisselogimisel kuvatakse kasutajale splunk veebiportaali.

Avanenud aknas vajutame nupule "Add data".

Järgnevast menüüst vajutame valikul "Syslog"

 
[[File:adddata.JPG]]
 
Joonis 7: Splunk andmepõhjade mudel.

Järgenevast valikust valime "Consume syslog over TCP" ja vajutame nupule "next"

Avanevas aknas tuleb täita järgnevad väljad:
TCP port - 514
Select source type from list - syslog

More settings
Set host - IP

ja vajutada nupule "Save"
 
 
[[File:syslogconf1.JPG]]
 
Joonis 8: Splunk Syslogi paigaldus osa1
 
 
[[File:syslogconf2.JPG]]
 
Joonis 9: Splunk Syslogi paigaldus osa2

Eduka salvestamise puhul peaks kasutaja nägema järgmist pilti, kus on kirjas "Sucess! Your data is being indexed into Splunk"

Järgnevalt tuleb tagasi minna Splunk serveri juurde (masin kuhu Splunk paigaldati).

Juhul kui veebiliideses sai kõik korrektselt sisestatud, peaks splunk kuulama 514 porti.
netstat -antp | grep 514

 
[[File:splunknenstatgrep.JPG]]
 
Joonis 10: Port 514 kontroll
 

Viimaks lisame pordile 514 tulemüüri läbipääsu reegli ja teeme tulemüüri rakendusele taaskäivituse.
sudo iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 514 -j ACCEPT

sudo service ufw restart

 
[[File:port514plusrestart.JPG]]
 
Joonis 11: Port 15 tulemüüri reegel.

== Paigaldame Rsyslogi saatma logisi Splunk serverile ==
Järgnevad tegevused tuimuvad Serveris nimega Ubuntu.

Selleks, et Rsyslog saadaks Klient arvutile logisi tuleb muuta rsyslog konfiguratsioonifail.

Muudame faili /etc/rsyslog.conf

sudo nano /etc/rsyslog.conf

Lisame rsyslog faili lõppu järgneva rea:

*.* @@192.168.56.101:514

Peale muudatuste tegemist tuleb rsyslog rakendusele teha taaskäivitus.
sudo service rsyslog restart

Lõpplahendusena valmis keskne logihaldussüsteem Splunk baasil selleks, et oleks võimalik vaadata ning analüüsida logisid Splunk veebiliidese abil.

= Kasutatud kirjandus =

http://docs.splunk.com/Documentation/Storm/Storm/User/Howtosetuprsyslog

http://chase-seibert.github.io/blog/2010/12/31/splunkrsyslogapacheubuntu-quickstart.html

http://virtuallyhyper.com/2013/06/install-splunk-and-send-logs-to-splunk-with-rsyslog-over-tcp-with-ssl/

http://serverfault.com/questions/239401/splunk-is-fantastically-expensive-what-are-the-alternatives

http://www.splunk.com/view/benefits/SP-CAAACCS

Keskse logihalduse süsteem Splunk baasil

2014-01-17T16:44:12Z

Vvirk:

Labor 2 - Keskse logihalduse süsteem Splunk baasil

Autor: Veiko Virk

A31

10.01.2014

Õppeaine : [[Linuxi administreerimine]]

= Ülesande püstitus =
Luua keskse logihalduse süsteem Splunk baasil, kasutades kahte masinat (server, klient)

 
[[File:RsysSplunk.jpg]]
 
Joonis 1: Virtuaalmasinate topoloogia

= Kasutatud tarkvara =
Server : Ubuntu Server 64bit, versioon: 12.04 Saadab logisi läbi rsyslog tarkvara

Klient : Ubuntu client 64bit, versioon 13.04 Platvorm mille peal Splunk töötab

Splunk 6.0.1 - võtab vastu ja töötleb logisi

= Protokoll =

== Serveri ja kliendi algsed seaded antu näite puhul ==
Klient:
Nimi - desktop
IP - Staatiline 192.168.56.101

Server:
Nimi - Ubuntu
IP - Staatiline 192.168.56.200

Mõlemal virtuaalmasinal on kasutatud eelnevalt eksporditud ubuntu Client/Server .OAV tõmmist (image). Tarkvara on pärit IT Kolledži Elab keskkonnast.

Järgevalt eeldab autor, et paigaldatud server ja klient suudavad omavahel suhelda.

== Splunk paigaldus ==
Järgnevad tegevused tehakse Klient arvutis nimega desktop.

[http://docs.splunk.com/Documentation/Splunk/6.0.1/Installation/InstallonLinux]

Paigalduse alustamiseks tuleb allalaadida Splunk tarkvara. Juhendis on kasutatud Splunk 6.0.1 Linuxi 64bit versiooni.
Tarkvara saab allalaadida siit: [http://www.splunk.com/download]

Peale faili allalaadimist tuleb paigaldada paigalduspakett, selleks kasutada käsku:

sudo dpkg -i /home/student/Downloads/splunker/splunk-6.0.1-189883-linux-2.6-amd64.deb

Antud näite puhul asetseb paigalduspakett /home/student/Downloads/splunker/ alamkatalogis.

Splunk tarkvara paigaldamiseks kasutada käsku:

sudo /opt/splunk/bin/splunk start

Peale paigaldust kuvatakse kasutajale Splunk veebiliidese asukoht. Antud näite puhul on selleks http://desktop:8000

 
[[File:splunkfin.JPG]]
 
Joonis 2: Splunk veebiliidese aadress.

[http://virtuallyhyper.com/2013/06/install-splunk-and-send-logs-to-splunk-with-rsyslog-over-tcp-with-ssl/]Vaikimisi töötab Splunk portidel 8000 ja 8089. Kontrolliks kasutame käsku:
netstat -antp | grep -E '8000|8089'

 
[[File:portcheck.JPG]]
 
Joonis 3: Splunk TCP portide kontroll.

Järgmiseks anname portidele 8000 ja 8089 tulemüüri läbimisõigused. Kasutame käske:
sudo iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8000 -j ACCEPT
sudo iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8089 -j ACCEPT

 
[[File:iptables.JPG]]
 
Joonis 4: Tulemüüri reeglite lisamine.

Jägnevalt tuleb teha tülemüüri rakendusele taaskäivitus.
sudo service ufw restart

Viimaks tuleb vaadata, kas uued reeglid on aktiivsed. Selleks kasutame käsku:
iptables -L -n | grep -E '8000|8089'

 
[[File:iptablescheck.JPG]]
 
Joonis 5: Tulemüüri reeglite kontroll.

== Splunk veebiliidese paigaldus ==
[http://chase-seibert.github.io/blog/2010/12/31/splunkrsyslogapacheubuntu-quickstart.html]Järgnevalt kasutame veebilehitsejat. Liigume aadressile http://192.168.56.101:8000
Algselt on kasutajatunnuseks admin ja parooliks changeme.

Peale sisselogimist kohustab programm parooli vahetama.
Antud näites on kasutajatunnuseks: admin ja parooliks student.

 
[[File:splunkweb.JPG]]
 
Joonis 6: Splunk veebiliidese "Login" ekraan.

Õnnestunud sisselogimisel kuvatakse kasutajale splunk veebiportaali.

Avanenud aknas vajutame nupule "Add data".

Järgnevast menüüst vajutame valikul "Syslog"

 
[[File:adddata.JPG]]
 
Joonis 7: Splunk andmepõhjade mudel.

Järgenevast valikust valime "Consume syslog over TCP" ja vajutame nupule "next"

Avanevas aknas tuleb täita järgnevad väljad:
TCP port - 514
Select source type from list - syslog

More settings
Set host - IP

ja vajutada nupule "Save"
 
 
[[File:syslogconf1.JPG]]
 
Joonis 8: Splunk Syslogi paigaldus osa1
 
 
[[File:syslogconf2.JPG]]
 
Joonis 9: Splunk Syslogi paigaldus osa2

Eduka salvestamise puhul peaks kasutaja nägema järgmist pilti, kus on kirjas "Sucess! Your data is being indexed into Splunk"

Järgnevalt tuleb tagasi minna Splunk serveri juurde (masin kuhu Splunk paigaldati).

Juhul kui veebiliideses sai kõik korrektselt sisestatud, peaks splunk kuulama 514 porti.
netstat -antp | grep 514

 
[[File:splunknenstatgrep.JPG]]
 
Joonis 10: Port 514 kontroll
 

Viimaks lisame pordile 514 tulemüüri läbipääsu reegli ja teeme tulemüüri rakendusele taaskäivituse.
sudo iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 514 -j ACCEPT

sudo service ufw restart

 
[[File:port514plusrestart.JPG]]
 
Joonis 11: Port 15 tulemüüri reegel.

== Paigaldame Rsyslogi saatma logisi Splunk serverile ==
Järgnevad tegevused tuimuvad Serveris nimega Ubuntu.

Selleks, et Rsyslog saadaks Klient arvutile logisi tuleb muuta rsyslog konfiguratsioonifail.

Muudame faili /etc/rsyslog.conf

sudo nano /etc/rsyslog.conf

Lisame rsyslog faili lõppu järgneva rea:

*.* @@192.168.56.101:514

Peale muudatuste tegemist tuleb rsyslog rakendusele teha taaskäivitus.
sudo service rsyslog restart

Lõpplahendusena valmis keskne logihaldussüsteem Splunk baasil selleks, et oleks võimalik vaadata ning analüüsida logisid Splunk veebiliidese abil.

= Kasutatud kirjandus =

http://docs.splunk.com/Documentation/Storm/Storm/User/Howtosetuprsyslog

http://chase-seibert.github.io/blog/2010/12/31/splunkrsyslogapacheubuntu-quickstart.html

http://virtuallyhyper.com/2013/06/install-splunk-and-send-logs-to-splunk-with-rsyslog-over-tcp-with-ssl/

http://serverfault.com/questions/239401/splunk-is-fantastically-expensive-what-are-the-alternatives

http://www.splunk.com/view/benefits/SP-CAAACCS

Keskse logihalduse süsteem Splunk baasil

2014-01-17T16:42:53Z

Vvirk:

Labor 2 - Keskse logihalduse süsteem Splunk baasil

Autor: Veiko Virk

A31

10.01.2014

Õppeaine : [[Linuxi administreerimine]]

= Ülesande püstitus =
Luua keskse logihalduse süsteem Splunk baasil, kasutades kahte masinat (server, klient)

 
[[File:RsysSplunk.jpg]]
 
Joonis 1: Virtuaalmasinate topoloogia

= Kasutatud tarkvara =
Server : Ubuntu Server 64bit, versioon: 12.04 Saadab logisi läbi rsyslog tarkvara

Klient : Ubuntu client 64bit, versioon 13.04 Platvorm mille peal Splunk töötab

Splunk 6.0.1 - võtab vastu ja töötleb logisi

= Protokoll =

== Serveri ja kliendi algsed seaded antu näite puhul ==
Klient:
Nimi - desktop
IP - Staatiline 192.168.56.101

Server:
Nimi - Ubuntu
IP - Staatiline 192.168.56.200

Mõlemal virtuaalmasinal on kasutatud eelnevalt eksporditud ubuntu Client/Server .OAV tõmmist (image). Tarkvara on pärit IT Kolledži Elab keskkonnast.

Järgevalt eeldab autor, et paigaldatud server ja klient suudavad omavahel suhelda.

== Splunk paigaldus ==
Järgnevad tegevused tehakse Klient arvutis nimega desktop.

[http://docs.splunk.com/Documentation/Splunk/6.0.1/Installation/InstallonLinux]

Paigalduse alustamiseks tuleb allalaadida Splunk tarkvara. Juhendis on kasutatud Splunk 6.0.1 Linuxi 64bit versiooni.
Tarkvara saab allalaadida siit: [http://www.splunk.com/download]

Peale faili allalaadimist tuleb paigaldada paigalduspakett, selleks kasutada käsku:

sudo dpkg -i /home/student/Downloads/splunker/splunk-6.0.1-189883-linux-2.6-amd64.deb

Antud näite puhul asetseb paigalduspakett /home/student/Downloads/splunker/ alamkatalogis.

Splunk tarkvara paigaldamiseks kasutada käsku:

sudo /opt/splunk/bin/splunk start

Peale paigaldust kuvatakse kasutajale Splunk veebiliidese asukoht. Antud näite puhul on selleks http://desktop:8000

 
[[File:splunkfin.JPG]]
 
Joonis 2: Splunk veebiliidese aadress.

[http://virtuallyhyper.com/2013/06/install-splunk-and-send-logs-to-splunk-with-rsyslog-over-tcp-with-ssl/]Vaikimisi töötab Splunk portidel 8000 ja 8089. Kontrolliks kasutame käsku:
netstat -antp | grep -E '8000|8089'

 
[[File:portcheck.JPG]]
 
Joonis 3: Splunk TCP portide kontroll.

Järgmiseks anname portidele 8000 ja 8089 tulemüüri läbimisõigused. Kasutame käske:
sudo iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8000 -j ACCEPT
sudo iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8089 -j ACCEPT

 
[[File:iptables.JPG]]
 
Joonis 4: Tulemüüri reeglite lisamine.

Jägnevalt tuleb teha tülemüüri rakendusele taaskäivitus.
sudo service ufw restart

Viimaks tuleb vaadata, kas uued reeglid on aktiivsed. Selleks kasutame käsku:
iptables -L -n | grep -E '8000|8089'

 
[[File:iptablescheck.JPG]]
 
Joonis 5: Tulemüüri reeglite kontroll.

== Splunk veebiliidese paigaldus ==
Järgnevalt kasutame veebilehitsejat. Liigume aadressile http://192.168.56.101:8000
Algselt on kasutajatunnuseks admin ja parooliks changeme.

Peale sisselogimist kohustab programm parooli vahetama.
Antud näites on kasutajatunnuseks: admin ja parooliks student.

 
[[File:splunkweb.JPG]]
 
Joonis 6: Splunk veebiliidese "Login" ekraan.

Õnnestunud sisselogimisel kuvatakse kasutajale splunk veebiportaali.

Avanenud aknas vajutame nupule "Add data".

Järgnevast menüüst vajutame valikul "Syslog"

 
[[File:adddata.JPG]]
 
Joonis 7: Splunk andmepõhjade mudel.

Järgenevast valikust valime "Consume syslog over TCP" ja vajutame nupule "next"

Avanevas aknas tuleb täita järgnevad väljad:
TCP port - 514
Select source type from list - syslog

More settings
Set host - IP

ja vajutada nupule "Save"
 
 
[[File:syslogconf1.JPG]]
 
Joonis 8: Splunk Syslogi paigaldus osa1
 
 
[[File:syslogconf2.JPG]]
 
Joonis 9: Splunk Syslogi paigaldus osa2

Eduka salvestamise puhul peaks kasutaja nägema järgmist pilti, kus on kirjas "Sucess! Your data is being indexed into Splunk"

Järgnevalt tuleb tagasi minna Splunk serveri juurde (masin kuhu Splunk paigaldati).

Juhul kui veebiliideses sai kõik korrektselt sisestatud, peaks splunk kuulama 514 porti.
netstat -antp | grep 514

 
[[File:splunknenstatgrep.JPG]]
 
Joonis 10: Port 514 kontroll
 

Viimaks lisame pordile 514 tulemüüri läbipääsu reegli ja teeme tulemüüri rakendusele taaskäivituse.
sudo iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 514 -j ACCEPT

sudo service ufw restart

 
[[File:port514plusrestart.JPG]]
 
Joonis 11: Port 15 tulemüüri reegel.

== Paigaldame Rsyslogi saatma logisi Splunk serverile ==
Järgnevad tegevused tuimuvad Serveris nimega Ubuntu.

Selleks, et Rsyslog saadaks Klient arvutile logisi tuleb muuta rsyslog konfiguratsioonifail.

Muudame faili /etc/rsyslog.conf

sudo nano /etc/rsyslog.conf

Lisame rsyslog faili lõppu järgneva rea:

*.* @@192.168.56.101:514

Peale muudatuste tegemist tuleb rsyslog rakendusele teha taaskäivitus.
sudo service rsyslog restart

Lõpplahendusena valmis keskne logihaldussüsteem Splunk baasil selleks, et oleks võimalik vaadata ning analüüsida logisid Splunk veebiliidese abil.

= Kasutatud kirjandus =

http://docs.splunk.com/Documentation/Storm/Storm/User/Howtosetuprsyslog

http://chase-seibert.github.io/blog/2010/12/31/splunkrsyslogapacheubuntu-quickstart.html

http://virtuallyhyper.com/2013/06/install-splunk-and-send-logs-to-splunk-with-rsyslog-over-tcp-with-ssl/

http://serverfault.com/questions/239401/splunk-is-fantastically-expensive-what-are-the-alternatives

http://www.splunk.com/view/benefits/SP-CAAACCS

Keskse logihalduse süsteem Splunk baasil

2014-01-17T16:36:47Z

Vvirk:

Labor 2 - Keskse logihalduse süsteem Splunk baasil

Autor: Veiko Virk

A31

10.01.2014

Õppeaine : [[Linuxi administreerimine]]

= Ülesande püstitus =
Luua keskse logihalduse süsteem Splunk baasil, kasutades kahte masinat (server, klient)

 
[[File:RsysSplunk.jpg]]
 
Joonis 1: Virtuaalmasinate topoloogia

= Kasutatud tarkvara =
Server : Ubuntu Server 64bit, versioon: 12.04 Saadab logisi läbi rsyslog tarkvara

Klient : Ubuntu client 64bit, versioon 13.04 Platvorm mille peal Splunk töötab

Splunk 6.0.1 - võtab vastu ja töötleb logisi

= Protokoll =

== Serveri ja kliendi algsed seaded antu näite puhul ==
Klient:
Nimi - desktop
IP - Staatiline 192.168.56.101

Server:
Nimi - Ubuntu
IP - Staatiline 192.168.56.200

Mõlemal virtuaalmasinal on kasutatud eelnevalt eksporditud ubuntu Client/Server .OAV tõmmist (image). Tarkvara on pärit IT Kolledži Elab keskkonnast.

Järgevalt eeldab autor, et paigaldatud server ja klient suudavad omavahel suhelda.

== Splunk paigaldus ==
Järgnevad tegevused tehakse Klient arvutis nimega desktop.

[http://docs.splunk.com/Documentation/Splunk/6.0.1/Installation/InstallonLinux]

Paigalduse alustamiseks tuleb allalaadida Splunk tarkvara. Juhendis on kasutatud Splunk 6.0.1 Linuxi 64bit versiooni.
Tarkvara saab allalaadida siit: [http://www.splunk.com/download]

Peale faili allalaadimist tuleb paigaldada paigalduspakett, selleks kasutada käsku:

sudo dpkg -i /home/student/Downloads/splunker/splunk-6.0.1-189883-linux-2.6-amd64.deb

Antud näite puhul asetseb paigalduspakett /home/student/Downloads/splunker/ alamkatalogis.

Splunk tarkvara paigaldamiseks kasutada käsku:

sudo /opt/splunk/bin/splunk start

Peale paigaldust kuvatakse kasutajale Splunk veebiliidese asukoht. Antud näite puhul on selleks http://desktop:8000

 
[[File:splunkfin.JPG]]
 
Joonis 2: Splunk veebiliidese aadress.

[http://virtuallyhyper.com/2013/06/install-splunk-and-send-logs-to-splunk-with-rsyslog-over-tcp-with-ssl/]Vaikimisi töötab Splunk portidel 8000 ja 8089. Kontrolliks kasutame käsku:
netstat -antp | grep -E '8000|8089'

 
[[File:portcheck.JPG]]
 
Joonis 3: Splunk TCP portide kontroll.

Järgmiseks anname portidele 8000 ja 8089 tulemüüri läbimisõigused. Kasutame käske:
sudo iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8000 -j ACCEPT
sudo iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8089 -j ACCEPT

 
[[File:iptables.JPG]]
 
Joonis 4: Tulemüüri reeglite lisamine.

Jägnevalt tuleb teha tülemüüri rakendusele taaskäivitus.
sudo service ufw restart

Viimaks tuleb vaadata, kas uued reeglid on aktiivsed. Selleks kasutame käsku:
iptables -L -n | grep -E '8000|8089'

 
[[File:iptablescheck.JPG]]
 
Joonis 5: Tulemüüri reeglite kontroll.

== Splunk veebiliidese paigaldus ==
Järgnevalt kasutame veebilehitsejat. Liigume aadressile http://192.168.56.101:8000
Algselt on kasutajatunnuseks admin ja parooliks changeme.

Peale sisselogimist kohustab programm parooli vahetama.
Antud näites on kasutajatunnuseks: admin ja parooliks student.

 
[[File:splunkweb.JPG]]
 
Joonis 6: Splunk veebiliidese "Login" ekraan.

Õnnestunud sisselogimisel kuvatakse kasutajale splunk veebiportaali.

Avanenud aknas vajutame nupule "Add data".

Järgnevast menüüst vajutame valikul "Syslog"

 
[[File:adddata.JPG]]
 
Joonis 7: Splunk andmepõhjade mudel.

Järgenevast valikust valime "Consume syslog over TCP" ja vajutame nupule "next"

Avanevas aknas tuleb täita järgnevad väljad:
TCP port - 514
Select source type from list - syslog

More settings
Set host - IP

ja vajutada nupule "Save"
 
 
[[File:syslogconf1.JPG]]
 
Joonis 8: Splunk Syslogi paigaldus osa1
 
 
[[File:syslogconf2.JPG]]
 
Joonis 9: Splunk Syslogi paigaldus osa2

Eduka salvestamise puhul peaks kasutaja nägema järgmist pilti, kus on kirjas "Sucess! Your data is being indexed into Splunk"

Järgnevalt tuleb tagasi minna Splunk serveri juurde (masin kuhu Splunk paigaldati).

Juhul kui veebiliideses sai kõik korrektselt sisestatud, peaks splunk kuulama 514 porti.
netstat -antp | grep 514

 
[[File:splunknenstatgrep.JPG]]
 
Joonis 10: Port 514 kontroll
 

Viimaks lisame pordile 514 tulemüüri läbipääsu reegli ja teeme tulemüüri rakendusele taaskäivituse.
sudo iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 514 -j ACCEPT

sudo service ufw restart

 
[[File:port514plusrestart.JPG]]
 
Joonis 11: Port 15 tulemüüri reegel.

== Paigaldame Rsyslogi saatma logisi Splunk serverile ==
Järgnevad tegevused tuimuvad Serveris nimega Ubuntu.

Selleks, et Rsyslog saadaks Klient arvutile logisi tuleb muuta rsyslog konfiguratsioonifail.

Muudame faili /etc/rsyslog.conf

sudo nano /etc/rsyslog.conf

Lisame rsyslog faili lõppu järgneva rea:

*.* @@192.168.56.101:514

Peale muudatuste tegemist tuleb rsyslog rakendusele teha taaskäivitus.
sudo service rsyslog restart

Lõpplahendusena valmis keskne logihaldussüsteem Splunk baasil selleks, et oleks võimalik vaadata ning analüüsida logisid Splunk veebiliidese abil.

= Kasutatud kirjandus =

http://docs.splunk.com/Documentation/Storm/Storm/User/Howtosetuprsyslog

http://chase-seibert.github.io/blog/2010/12/31/splunkrsyslogapacheubuntu-quickstart.html

http://virtuallyhyper.com/2013/06/install-splunk-and-send-logs-to-splunk-with-rsyslog-over-tcp-with-ssl/

http://serverfault.com/questions/239401/splunk-is-fantastically-expensive-what-are-the-alternatives

Keskse logihalduse süsteem Splunk baasil

2014-01-17T16:32:36Z

Vvirk:

Labor 2 - Keskse logihalduse süsteem Splunk baasil

Autor: Veiko Virk

A31

10.01.2014

Õppeaine : [[Linuxi administreerimine]]

= Ülesande püstitus =
Luua keskse logihalduse süsteem Splunk baasil, kasutades kahte masinat (server, klient)

 
[[File:RsysSplunk.jpg]]
 
Joonis 1: Virtuaalmasinate topoloogia

= Kasutatud tarkvara =
Server : Ubuntu Server 64bit, versioon: 12.04 Saadab logisi läbi rsyslog tarkvara

Klient : Ubuntu client 64bit, versioon 13.04 Platvorm mille peal Splunk töötab

Splunk 6.0.1 - võtab vastu ja töötleb logisi

= Protokoll =

== Serveri ja kliendi algsed seaded antu näite puhul ==
Klient:
Nimi - desktop
IP - Staatiline 192.168.56.101

Server:
Nimi - Ubuntu
IP - Staatiline 192.168.56.200

Mõlemal virtuaalmasinal on kasutatud eelnevalt eksporditud ubuntu Client/Server .OAV tõmmist (image). Tarkvara on pärit IT Kolledži Elab keskkonnast.

Järgevalt eeldab autor, et paigaldatud server ja klient suudavad omavahel suhelda.

== Splunk paigaldus ==
Järgnevad tegevused tehakse Klient arvutis nimega desktop.

[http://docs.splunk.com/Documentation/Splunk/6.0.1/Installation/InstallonLinux]

Paigalduse alustamiseks tuleb allalaadida Splunk tarkvara. Juhendis on kasutatud Splunk 6.0.1 Linuxi 64bit versiooni.
Tarkvara saab allalaadida siit: [http://www.splunk.com/download]

Peale faili allalaadimist tuleb paigaldada paigalduspakett, selleks kasutada käsku:

sudo dpkg -i /home/student/Downloads/splunker/splunk-6.0.1-189883-linux-2.6-amd64.deb

Antud näite puhul asetseb paigalduspakett /home/student/Downloads/splunker/ alamkatalogis.

Splunk tarkvara paigaldamiseks kasutada käsku:

sudo /opt/splunk/bin/splunk start

Peale paigaldust kuvatakse kasutajale Splunk veebiliidese asukoht. Antud näite puhul on selleks http://desktop:8000

 
[[File:splunkfin.JPG]]
 
Joonis 2: Splunk veebiliidese aadress.

[http://virtuallyhyper.com/2013/06/install-splunk-and-send-logs-to-splunk-with-rsyslog-over-tcp-with-ssl/]Vaikimisi töötab Splunk portidel 8000 ja 8089. Kontrolliks kasutame käsku:
netstat -antp | grep -E '8000|8089'

 
[[File:portcheck.JPG]]
 
Joonis 3: Splunk TCP portide kontroll.

Järgmiseks anname portidele 8000 ja 8089 tulemüüri läbimisõigused. Kasutame käske:
sudo iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8000 -j ACCEPT
sudo iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8089 -j ACCEPT

 
[[File:iptables.JPG]]
 
Joonis 4: Tulemüüri reeglite lisamine.

Jägnevalt tuleb teha tülemüüri rakendusele taaskäivitus.
sudo service ufw restart

Viimaks tuleb vaadata, kas uued reeglid on aktiivsed. Selleks kasutame käsku:
iptables -L -n | grep -E '8000|8089'

 
[[File:iptablescheck.JPG]]
 
Joonis 5: Tulemüüri reeglite kontroll.

== Splunk veebiliidese paigaldus ==
Järgnevalt kasutame veebilehitsejat. Liigume aadressile http://192.168.56.101:8000
Algselt on kasutajatunnuseks admin ja parooliks changeme.

Peale sisselogimist kohustab programm parooli vahetama.
Antud näites on kasutajatunnuseks: admin ja parooliks student.

 
[[File:splunkweb.JPG]]
 
Joonis 6: Splunk veebiliidese "Login" ekraan.

Õnnestunud sisselogimisel kuvatakse kasutajale splunk veebiportaali.

Avanenud aknas vajutame nupule "Add data".

Järgnevast menüüst vajutame valikul "Syslog"

 
[[File:adddata.JPG]]
 
Joonis 7: Splunk andmepõhjade mudel.

Järgenevast valikust valime "Consume syslog over TCP" ja vajutame nupule "next"

Avanevas aknas tuleb täita järgnevad väljad:
TCP port - 514
Select source type from list - syslog

More settings
Set host - IP

ja vajutada nupule "Save"
 
 
[[File:syslogconf1.JPG]]
 
Joonis 8: Splunk Syslogi paigaldus osa1
 
 
[[File:syslogconf2.JPG]]
 
Joonis 9: Splunk Syslogi paigaldus osa2

Eduka salvestamise puhul peaks kasutaja nägema järgmist pilti, kus on kirjas "Sucess! Your data is being indexed into Splunk"

Järgnevalt tuleb tagasi minna Splunk serveri juurde (masin kuhu Splunk paigaldati).

Juhul kui veebiliideses sai kõik korrektselt sisestatud, peaks splunk kuulama 514 porti.
netstat -antp | grep 514

 
[[File:splunknenstatgrep.JPG]]
 
Joonis 10: Port 514 kontroll
 

Viimaks lisame pordile 514 tulemüüri läbipääsu reegli ja teeme tulemüüri rakendusele taaskäivituse.
sudo iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 514 -j ACCEPT

sudo service ufw restart

 
[[File:port514plusrestart.JPG]]
 
Joonis 11: Port 15 tulemüüri reegel.

== Paigaldame Rsyslogi saatma logisi Splunk serverile ==
Järgnevad tegevused tuimuvad Serveris nimega Ubuntu.

Selleks, et Rsyslog saadaks Klient arvutile logisi tuleb muuta rsyslog konfiguratsioonifail.

Muudame faili /etc/rsyslog.conf

sudo nano /etc/rsyslog.conf

Lisame rsyslog faili lõppu järgneva rea:

*.* @@192.168.56.101:514

Peale muudatuste tegemist tuleb rsyslog rakendusele teha taaskäivitus.
sudo service rsyslog restart

Lõpplahendusena valmis keskne logihaldussüsteem Splunk baasil selleks, et oleks võimalik vaadata ning analüüsida logisid Splunk veebiliidese abil.

= Kasutatud kirjandus =

http://docs.splunk.com/Documentation/Storm/Storm/User/Howtosetuprsyslog

http://chase-seibert.github.io/blog/2010/12/31/splunkrsyslogapacheubuntu-quickstart.html

Keskse logihalduse süsteem Splunk baasil

2014-01-17T16:29:49Z

Vvirk:

Labor 2 - Keskse logihalduse süsteem Splunk baasil

Autor: Veiko Virk

A31

10.01.2014

Õppeaine : [[Linuxi administreerimine]]

= Ülesande püstitus =
Luua keskse logihalduse süsteem Splunk baasil, kasutades kahte masinat (server, klient)

 
[[File:RsysSplunk.jpg]]
 
Joonis 1: Virtuaalmasinate topoloogia

= Kasutatud tarkvara =
Server : Ubuntu Server 64bit, versioon: 12.04 Saadab logisi läbi rsyslog tarkvara

Klient : Ubuntu client 64bit, versioon 13.04 Platvorm mille peal Splunk töötab

Splunk 6.0.1 - võtab vastu ja töötleb logisi

= Protokoll =

== Serveri ja kliendi algsed seaded antu näite puhul ==
Klient:
Nimi - desktop
IP - Staatiline 192.168.56.101

Server:
Nimi - Ubuntu
IP - Staatiline 192.168.56.200

Mõlemal virtuaalmasinal on kasutatud eelnevalt eksporditud ubuntu Client/Server .OAV tõmmist (image). Tarkvara on pärit IT Kolledži Elab keskkonnast.

Järgevalt eeldab autor, et paigaldatud server ja klient suudavad omavahel suhelda.

== Splunk paigaldus ==
Järgnevad tegevused tehakse Klient arvutis nimega desktop.

[http://docs.splunk.com/Documentation/Splunk/6.0.1/Installation/InstallonLinux]

Paigalduse alustamiseks tuleb allalaadida Splunk tarkvara. Juhendis on kasutatud Splunk 6.0.1 Linuxi 64bit versiooni.
Tarkvara saab allalaadida siit: [http://www.splunk.com/download]

Peale faili allalaadimist tuleb paigaldada paigalduspakett, selleks kasutada käsku:

sudo dpkg -i /home/student/Downloads/splunker/splunk-6.0.1-189883-linux-2.6-amd64.deb

Antud näite puhul asetseb paigalduspakett /home/student/Downloads/splunker/ alamkatalogis.

Splunk tarkvara paigaldamiseks kasutada käsku:

sudo /opt/splunk/bin/splunk start

Peale paigaldust kuvatakse kasutajale Splunk veebiliidese asukoht. Antud näite puhul on selleks http://desktop:8000

 
[[File:splunkfin.JPG]]
 
Joonis 2: Splunk veebiliidese aadress.

Vaikimisi töötab Splunk portidel 8000 ja 8089. Kontrolliks kasutame käsku:
netstat -antp | grep -E '8000|8089'

 
[[File:portcheck.JPG]]
 
Joonis 3: Splunk TCP portide kontroll.

Järgmiseks anname portidele 8000 ja 8089 tulemüüri läbimisõigused. Kasutame käske:
sudo iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8000 -j ACCEPT
sudo iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8089 -j ACCEPT

 
[[File:iptables.JPG]]
 
Joonis 4: Tulemüüri reeglite lisamine.

Jägnevalt tuleb teha tülemüüri rakendusele taaskäivitus.
sudo service ufw restart

Viimaks tuleb vaadata, kas uued reeglid on aktiivsed. Selleks kasutame käsku:
iptables -L -n | grep -E '8000|8089'

 
[[File:iptablescheck.JPG]]
 
Joonis 5: Tulemüüri reeglite kontroll.

== Splunk veebiliidese paigaldus ==
Järgnevalt kasutame veebilehitsejat. Liigume aadressile http://192.168.56.101:8000
Algselt on kasutajatunnuseks admin ja parooliks changeme.

Peale sisselogimist kohustab programm parooli vahetama.
Antud näites on kasutajatunnuseks: admin ja parooliks student.

 
[[File:splunkweb.JPG]]
 
Joonis 6: Splunk veebiliidese "Login" ekraan.

Õnnestunud sisselogimisel kuvatakse kasutajale splunk veebiportaali.

Avanenud aknas vajutame nupule "Add data".

Järgnevast menüüst vajutame valikul "Syslog"

 
[[File:adddata.JPG]]
 
Joonis 7: Splunk andmepõhjade mudel.

Järgenevast valikust valime "Consume syslog over TCP" ja vajutame nupule "next"

Avanevas aknas tuleb täita järgnevad väljad:
TCP port - 514
Select source type from list - syslog

More settings
Set host - IP

ja vajutada nupule "Save"
 
 
[[File:syslogconf1.JPG]]
 
Joonis 8: Splunk Syslogi paigaldus osa1
 
 
[[File:syslogconf2.JPG]]
 
Joonis 9: Splunk Syslogi paigaldus osa2

Eduka salvestamise puhul peaks kasutaja nägema järgmist pilti, kus on kirjas "Sucess! Your data is being indexed into Splunk"

Järgnevalt tuleb tagasi minna Splunk serveri juurde (masin kuhu Splunk paigaldati).

Juhul kui veebiliideses sai kõik korrektselt sisestatud, peaks splunk kuulama 514 porti.
netstat -antp | grep 514

 
[[File:splunknenstatgrep.JPG]]
 
Joonis 10: Port 514 kontroll
 

Viimaks lisame pordile 514 tulemüüri läbipääsu reegli ja teeme tulemüüri rakendusele taaskäivituse.
sudo iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 514 -j ACCEPT

sudo service ufw restart

 
[[File:port514plusrestart.JPG]]
 
Joonis 11: Port 15 tulemüüri reegel.

== Paigaldame Rsyslogi saatma logisi Splunk serverile ==
Järgnevad tegevused tuimuvad Serveris nimega Ubuntu.

Selleks, et Rsyslog saadaks Klient arvutile logisi tuleb muuta rsyslog konfiguratsioonifail.

Muudame faili /etc/rsyslog.conf

sudo nano /etc/rsyslog.conf

Lisame rsyslog faili lõppu järgneva rea:

*.* @@192.168.56.101:514

Peale muudatuste tegemist tuleb rsyslog rakendusele teha taaskäivitus.
sudo service rsyslog restart

Lõpplahendusena valmis keskne logihaldussüsteem Splunk baasil selleks, et oleks võimalik vaadata ning analüüsida logisid Splunk veebiliidese abil.

= Kasutatud kirjandus =

http://docs.splunk.com/Documentation/Storm/Storm/User/Howtosetuprsyslog

http://chase-seibert.github.io/blog/2010/12/31/splunkrsyslogapacheubuntu-quickstart.html

Keskse logihalduse süsteem Splunk baasil

2014-01-17T16:29:20Z

Vvirk:

Labor 2 - Keskse logihalduse süsteem Splunk baasil

Autor: Veiko Virk

A31

10.01.2014

Õppeaine : [[Linuxi administreerimine]]

= Ülesande püstitus =
Luua keskse logihalduse süsteem Splunk baasil, kasutades kahte masinat (server, klient)

 
[[File:RsysSplunk.jpg]]
 
Joonis 1: Virtuaalmasinate topoloogia

= Kasutatud tarkvara =
Server : Ubuntu Server 64bit, versioon: 12.04 Saadab logisi läbi rsyslog tarkvara

Klient : Ubuntu client 64bit, versioon 13.04 Platvorm mille peal Splunk töötab

Splunk 6.0.1 - võtab vastu ja töötleb logisi

= Protokoll =

== Serveri ja kliendi algsed seaded antu näite puhul ==
Klient:
Nimi - desktop
IP - Staatiline 192.168.56.101

Server:
Nimi - Ubuntu
IP - Staatiline 192.168.56.200

Mõlemal virtuaalmasinal on kasutatud eelnevalt eksporditud ubuntu Client/Server .OAV tõmmist (image). Tarkvara on pärit IT Kolledži Elab keskkonnast.

Järgevalt eeldab autor, et paigaldatud server ja klient suudavad omavahel suhelda.

== Splunk paigaldus ==
Järgnevad tegevused tehakse Klient arvutis nimega desktop.

[http://docs.splunk.com/Documentation/Splunk/6.0.1/Installation/InstallonLinux]

Paigalduse alustamiseks tuleb allalaadida Splunk tarkvara. Juhendis on kasutatud Splunk 6.0.1 Linuxi 64bit versiooni.
Tarkvara saab allalaadida siit: [http://www.splunk.com/download]

Peale faili allalaadimist tuleb paigaldada paigalduspakett, selleks kasutada käsku:

sudo dpkg -i /home/student/Downloads/splunker/splunk-6.0.1-189883-linux-2.6-amd64.deb

Antud näite puhul asetseb paigalduspakett /home/student/Downloads/splunker/ alamkatalogis.

Splunk tarkvara paigaldamiseks kasutada käsku:

sudo /opt/splunk/bin/splunk start

Peale paigaldust kuvatakse kasutajale Splunk veebiliidese asukoht. Antud näite puhul on selleks http://desktop:8000

 
[[File:splunkfin.JPG]]
 
Joonis 2: Splunk veebiliidese aadress.

Vaikimisi töötab Splunk portidel 8000 ja 8089. Kontrolliks kasutame käsku:
netstat -antp | grep -E '8000|8089'

 
[[File:portcheck.JPG]]
 
Joonis 3: Splunk TCP portide kontroll.

Järgmiseks anname portidele 8000 ja 8089 tulemüüri läbimisõigused. Kasutame käske:
sudo iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8000 -j ACCEPT
sudo iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8089 -j ACCEPT

 
[[File:iptables.JPG]]
 
Joonis 4: Tulemüüri reeglite lisamine.

Jägnevalt tuleb teha tülemüüri rakendusele taaskäivitus.
sudo service ufw restart

Viimaks tuleb vaadata, kas uued reeglid on aktiivsed. Selleks kasutame käsku:
iptables -L -n | grep -E '8000|8089'

 
[[File:iptablescheck.JPG]]
 
Joonis 5: Tulemüüri reeglite kontroll.

== Splunk veebiliidese paigaldus ==
Järgnevalt kasutame veebilehitsejat. Liigume aadressile http://192.168.56.101:8000
Algselt on kasutajatunnuseks admin ja parooliks changeme.

Peale sisselogimist kohustab programm parooli vahetama.
Antud näites on kasutajatunnuseks: admin ja parooliks student.

 
[[File:splunkweb.JPG]]
 
Joonis 6: Splunk veebiliidese "Login" ekraan.

Õnnestunud sisselogimisel kuvatakse kasutajale splunk veebiportaali.

Avanenud aknas vajutame nupule "Add data".

Järgnevast menüüst vajutame valikul "Syslog"

 
[[File:adddata.JPG]]
 
Joonis 7: Splunk andmepõhjade mudel.

Järgenevast valikust valime "Consume syslog over TCP" ja vajutame nupule "next"

Avanevas aknas tuleb täita järgnevad väljad:
TCP port - 514
Select source type from list - syslog

More settings
Set host - IP

ja vajutada nupule "Save"
 
 
[[File:syslogconf1.JPG]]
 
Joonis 8: Splunk Syslogi paigaldus osa1
 
 
[[File:syslogconf2.JPG]]
 
Joonis 9: Splunk Syslogi paigaldus osa2

Eduka salvestamise puhul peaks kasutaja nägema järgmist pilti, kus on kirjas "Sucess! Your data is being indexed into Splunk"

Järgnevalt tuleb tagasi minna Splunk serveri juurde (masin kuhu Splunk paigaldati).

Juhul kui veebiliideses sai kõik korrektselt sisestatud, peaks splunk kuulama 514 porti.
netstat -antp | grep 514

 
[[File:splunknenstatgrep.JPG]]
 
Joonis 10: Port 514 kontroll
 

Viimaks lisame pordile 514 tulemüüri läbipääsu reegli ja teeme tulemüüri rakendusele taaskäivituse.
sudo iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 514 -j ACCEPT

sudo service ufw restart

 
[[File:port514plusrestart.JPG]]
 
Joonis 11: Port 15 tulemüüri reegel.

== Paigaldame Rsyslogi saatma logisi Splunk serverile ==
Järgnevad tegevused tuimuvad Serveris nimega Ubuntu.

Selleks, et Rsyslog saadaks Klient arvutile logisi tuleb muuta rsyslog konfiguratsioonifail.

Muudame faili /etc/rsyslog.conf

sudo nano /etc/rsyslog.conf

Lisame rsyslog faili lõppu järgneva rea:

*.* @@192.168.56.101:514

Peale muudatuste tegemist tuleb rsyslog rakendusele teha taaskäivitus.
sudo service rsyslog restart

Lõpplahendusena valmis keskne logihaldussüsteem Splunk baasil selleks, et oleks võimalik vaadata ning analüüsida logisid Splunk veebiliidese abil.

= Kasutatud kirjandus =

http://docs.splunk.com/Documentation/Storm/Storm/User/Howtosetuprsyslog
http://chase-seibert.github.io/blog/2010/12/31/splunkrsyslogapacheubuntu-quickstart.html

Keskse logihalduse süsteem Splunk baasil

2014-01-17T16:28:26Z

Vvirk:

Labor 2 - Keskse logihalduse süsteem Splunk baasil

Autor: Veiko Virk

A31

10.01.2014

Õppeaine : [[Linuxi administreerimine]]

= Ülesande püstitus =
Luua keskse logihalduse süsteem Splunk baasil, kasutades kahte masinat (server, klient)

 
[[File:RsysSplunk.jpg]]
 
Joonis 1: Virtuaalmasinate topoloogia

= Kasutatud tarkvara =
Server : Ubuntu Server 64bit, versioon: 12.04 Saadab logisi läbi rsyslog tarkvara

Klient : Ubuntu client 64bit, versioon 13.04 Platvorm mille peal Splunk töötab

Splunk 6.0.1 - võtab vastu ja töötleb logisi

= Protokoll =

== Serveri ja kliendi algsed seaded antu näite puhul ==
Klient:
Nimi - desktop
IP - Staatiline 192.168.56.101

Server:
Nimi - Ubuntu
IP - Staatiline 192.168.56.200

Mõlemal virtuaalmasinal on kasutatud eelnevalt eksporditud ubuntu Client/Server .OAV tõmmist (image). Tarkvara on pärit IT Kolledži Elab keskkonnast.

Järgevalt eeldab autor, et paigaldatud server ja klient suudavad omavahel suhelda.

== Splunk paigaldus ==
Järgnevad tegevused tehakse Klient arvutis nimega desktop.

[http://docs.splunk.com/Documentation/Splunk/6.0.1/Installation/InstallonLinux]

Paigalduse alustamiseks tuleb allalaadida Splunk tarkvara. Juhendis on kasutatud Splunk 6.0.1 Linuxi 64bit versiooni.
Tarkvara saab allalaadida siit: [http://www.splunk.com/download]

Peale faili allalaadimist tuleb paigaldada paigalduspakett, selleks kasutada käsku:

sudo dpkg -i /home/student/Downloads/splunker/splunk-6.0.1-189883-linux-2.6-amd64.deb

Antud näite puhul asetseb paigalduspakett /home/student/Downloads/splunker/ alamkatalogis.

Splunk tarkvara paigaldamiseks kasutada käsku:

sudo /opt/splunk/bin/splunk start

Peale paigaldust kuvatakse kasutajale Splunk veebiliidese asukoht. Antud näite puhul on selleks http://desktop:8000

 
[[File:splunkfin.JPG]]
 
Joonis 2: Splunk veebiliidese aadress.

Vaikimisi töötab Splunk portidel 8000 ja 8089. Kontrolliks kasutame käsku:
netstat -antp | grep -E '8000|8089'

 
[[File:portcheck.JPG]]
 
Joonis 3: Splunk TCP portide kontroll.

Järgmiseks anname portidele 8000 ja 8089 tulemüüri läbimisõigused. Kasutame käske:
sudo iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8000 -j ACCEPT
sudo iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8089 -j ACCEPT

 
[[File:iptables.JPG]]
 
Joonis 4: Tulemüüri reeglite lisamine.

Jägnevalt tuleb teha tülemüüri rakendusele taaskäivitus.
sudo service ufw restart

Viimaks tuleb vaadata, kas uued reeglid on aktiivsed. Selleks kasutame käsku:
iptables -L -n | grep -E '8000|8089'

 
[[File:iptablescheck.JPG]]
 
Joonis 5: Tulemüüri reeglite kontroll.

== Splunk veebiliidese paigaldus ==
Järgnevalt kasutame veebilehitsejat. Liigume aadressile http://192.168.56.101:8000
Algselt on kasutajatunnuseks admin ja parooliks changeme.

Peale sisselogimist kohustab programm parooli vahetama.
Antud näites on kasutajatunnuseks: admin ja parooliks student.

 
[[File:splunkweb.JPG]]
 
Joonis 6: Splunk veebiliidese "Login" ekraan.

Õnnestunud sisselogimisel kuvatakse kasutajale splunk veebiportaali.

Avanenud aknas vajutame nupule "Add data".

Järgnevast menüüst vajutame valikul "Syslog"

 
[[File:adddata.JPG]]
 
Joonis 7: Splunk andmepõhjade mudel.

Järgenevast valikust valime "Consume syslog over TCP" ja vajutame nupule "next"

Avanevas aknas tuleb täita järgnevad väljad:
TCP port - 514
Select source type from list - syslog

More settings
Set host - IP

ja vajutada nupule "Save"
 
 
[[File:syslogconf1.JPG]]
 
Joonis 8: Splunk Syslogi paigaldus osa1
 
 
[[File:syslogconf2.JPG]]
 
Joonis 9: Splunk Syslogi paigaldus osa2

Eduka salvestamise puhul peaks kasutaja nägema järgmist pilti, kus on kirjas "Sucess! Your data is being indexed into Splunk"

Järgnevalt tuleb tagasi minna Splunk serveri juurde (masin kuhu Splunk paigaldati).

Juhul kui veebiliideses sai kõik korrektselt sisestatud, peaks splunk kuulama 514 porti.
netstat -antp | grep 514

 
[[File:splunknenstatgrep.JPG]]
 
Joonis 10: Port 514 kontroll
 

Viimas lisame pordile 514 tulemüüri läbipääsu reegli ja teeme tulemüüri rakendusele taaskäivituse.
sudo iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 514 -j ACCEPT

sudo service ufw restart

 
[[File:port514plusrestart.JPG]]
 
Joonis 11: Port 15 tulemüüri reegel.

== Paigaldame Rsyslogi saatma logisi Splunk serverile ==
Järgnevad tegevused tuimuvad Serveris nimega Ubuntu.

Selleks, et Rsyslog saadaks Klient arvutile logisi tuleb muuta rsyslog konfiguratsioonifail.

Muudame faili /etc/rsyslog.conf

sudo nano /etc/rsyslog.conf

Lisame rsyslog faili lõppu järgneva rea:

*.* @@192.168.56.101:514

Peale muudatuste tegemist tuleb rsyslog rakendusele teha taaskäivitus.
sudo service rsyslog restart

Lõpplahendusena valmis keskne logihaldussüsteem Splunk baasil selleks, et oleks võimalik vaadata ning analüüsida logisid Splunk veebiliidese abil.

= Kasutatud kirjandus =

http://docs.splunk.com/Documentation/Storm/Storm/User/Howtosetuprsyslog
http://chase-seibert.github.io/blog/2010/12/31/splunkrsyslogapacheubuntu-quickstart.html

Keskse logihalduse süsteem Splunk baasil

2014-01-17T16:26:12Z

Vvirk:

Labor 2 - Keskse logihalduse süsteem Splunk baasil

Autor: Veiko Virk

A31

10.01.2014

Õppeaine : [[Linuxi administreerimine]]

= Ülesande püstitus =
Luua keskse logihalduse süsteem Splunk baasil, kasutades kahte masinat (server, klient)

 
[[File:RsysSplunk.jpg]]
 
Joonis 1: Virtuaalmasinate topoloogia

= Kasutatud tarkvara =
Server : Ubuntu Server 64bit, versioon: 12.04 Saadab logisi läbi rsyslog tarkvara

Klient : Ubuntu client 64bit, versioon 13.04 Platvorm mille peal Splunk töötab

Splunk 6.0.1 - võtab vastu ja töötleb logisi

= Protokoll =

== Serveri ja kliendi algsed seaded antu näite puhul ==
Klient:
Nimi - desktop
IP - Staatiline 192.168.56.101

Server:
Nimi - Ubuntu
IP - Staatiline 192.168.56.200

Mõlemal virtuaalmasinal on kasutatud eelnevalt eksporditud ubuntu Client/Server .OAV tõmmist (image). Tarkvara on pärit IT Kolledži Elab keskkonnast.

Järgevalt eeldab autor, et paigaldatud server ja klient suudavad omavahel suhelda.

== Splunk paigaldus ==
Järgnevad tegevused tehakse Klient arvutis nimega desktop.

[http://docs.splunk.com/Documentation/Splunk/6.0.1/Installation/InstallonLinux]

Paigalduse alustamiseks tuleb allalaadida Splunk tarkvara. Juhendis on kasutatud Splunk 6.0.1 Linuxi 64bit versiooni.
Tarkvara saab allalaadida siit: [http://www.splunk.com/download]

Peale faili allalaadimist tuleb paigaldada paigalduspakett, selleks kasutada käsku:

sudo dpkg -i /home/student/Downloads/splunker/splunk-6.0.1-189883-linux-2.6-amd64.deb

Antud näite puhul asetseb paigalduspakett /home/student/Downloads/splunker/ alamkatalogis.

Splunk tarkvara paigaldamiseks kasutada käsku:

sudo /opt/splunk/bin/splunk start

Peale paigaldust kuvatakse kasutajale Splunk veebiliidese asukoht. Antud näite puhul on selleks http://desktop:8000

 
[[File:splunkfin.JPG]]
 
Joonis 2: Splunk veebiliidese aadress.

Vaikimisi töötab Splunk portidel 8000 ja 8089. Kontrolliks kasutame käsku:
netstat -antp | grep -E '8000|8089'

 
[[File:portcheck.JPG]]
 
Joonis 3: Splunk TCP portide kontroll.

Järgmiseks anname portidele 8000 ja 8089 tulemüüri läbimisõigused. Kasutame käske:
sudo iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8000 -j ACCEPT
sudo iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8089 -j ACCEPT

 
[[File:iptables.JPG]]
 
Joonis 4: Tulemüüri reeglite lisamine.

Jägnevalt tuleb teha tülemüüri rakendusele taaskäivitus.
sudo service ufw restart

Viimaks tuleb vaadata, kas uued reeglid on aktiivsed. Selleks kasutame käsku:
iptables -L -n | grep -E '8000|8089'

 
[[File:iptablescheck.JPG]]
 
Joonis 5: Tulemüüri reeglite kontroll.

== Splunk veebiliidese paigaldus ==
Järgnevalt kasutame veebilehitsejat. Liigume aadressile http://192.168.56.101:8000
Algselt on kasutajatunnuseks admin ja parooliks changeme.

Peale sisselogimist kohustab programm parooli vahetama.
Antud näites on kasutajatunnuseks: admin ja parooliks student.

 
[[File:splunkweb.JPG]]
 
Joonis 6: Splunk veebiliidese "Login" ekraan.

Õnnestunud sisselogimisel kuvatakse kasutajale splunk veebiportaali.

Avanenud aknas vajutame nupule "Add data".

Järgnevast menüüst vajutame valikul "Syslog"

 
[[File:adddata.JPG]]
 
Joonis 7: Splunk andmepõhjade mudel.

Järgenevast valikust valime "Consume syslog over TCP" ja vajutame nupule "next"

Avanevas aknas tuleb täita järgnevad väljad:
TCP port - 514
Select source type from list - syslog

More settings
Set host - IP

ja vajutada nupule "Save"
 
 
[[File:syslogconf1.JPG]]
 
Joonis 8: Splunk Syslogi paigaldus osa1
 
 
[[File:syslogconf2.JPG]]
 
Joonis 9: Splunk Syslogi paigaldus osa2

Eduka salvestamise puhul peaks kasutaja nägema järgmist pilti, kus on kirjas "Sucess! Your data is being indexed into Splunk"

Järgnevalt tuleb tagasi minna Splunk serveri juurde (masin kuhu Splunk paigaldati).

Juhul kui veebiliideses sai kõik korrektselt sisestatud, peaks splunk kuulama 514 porti.
netstat -antp | grep 514

 
[[File:splunknenstatgrep.JPG]]
 
 

Viimas lisame pordile 514 tulemüüri läbipääsu reegli ja teeme tulemüüri rakendusele taaskäivituse.
sudo iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 514 -j ACCEPT

sudo service ufw restart

 
[[File:port514plusrestart.JPG]]
 

== Paigaldame Rsyslogi saatma logisi Splunk serverile ==
Järgnevad tegevused tuimuvad Serveris nimega Ubuntu.

Selleks, et Rsyslog saadaks Klient arvutile logisi tuleb muuta rsyslog konfiguratsioonifail.

Muudame faili /etc/rsyslog.conf

sudo nano /etc/rsyslog.conf

Lisame rsyslog faili lõppu järgneva rea:

*.* @@192.168.56.101:514

Peale muudatuste tegemist tuleb rsyslog rakendusele teha taaskäivitus.
sudo service rsyslog restart

Lõpplahendusena valmis keskne logihaldussüsteem Splunk baasil selleks, et oleks võimalik vaadata ning analüüsida logisid Splunk veebiliidese abil.

= Kasutatud kirjandus =

http://docs.splunk.com/Documentation/Storm/Storm/User/Howtosetuprsyslog
http://chase-seibert.github.io/blog/2010/12/31/splunkrsyslogapacheubuntu-quickstart.html

Keskse logihalduse süsteem Splunk baasil

2014-01-17T16:22:01Z

Vvirk:

Labor 2 - Keskse logihalduse süsteem Splunk baasil

Autor: Veiko Virk

A31

10.01.2014

Õppeaine : [[Linuxi administreerimine]]

= Ülesande püstitus =
Luua keskse logihalduse süsteem Splunk baasil, kasutades kahte masinat (server, klient)

 
[[File:RsysSplunk.jpg]]
 
Joonis 1: Virtuaalmasinate topoloogia

= Kasutatud tarkvara =
Server : Ubuntu Server 64bit, versioon: 12.04 Saadab logisi läbi rsyslog tarkvara

Klient : Ubuntu client 64bit, versioon 13.04 Platvorm mille peal Splunk töötab

Splunk 6.0.1 - võtab vastu ja töötleb logisi

= Protokoll =

== Serveri ja kliendi algsed seaded antu näite puhul ==
Klient:
Nimi - desktop
IP - Staatiline 192.168.56.101

Server:
Nimi - Ubuntu
IP - Staatiline 192.168.56.200

Mõlemal virtuaalmasinal on kasutatud eelnevalt eksporditud ubuntu Client/Server .OAV tõmmist (image). Tarkvara on pärit IT Kolledži Elab keskkonnast.

Järgevalt eeldab autor, et paigaldatud server ja klient suudavad omavahel suhelda.

== Splunk paigaldus ==
Järgnevad tegevused tehakse Klient arvutis nimega desktop.

[http://docs.splunk.com/Documentation/Splunk/6.0.1/Installation/InstallonLinux]

Paigalduse alustamiseks tuleb allalaadida Splunk tarkvara. Juhendis on kasutatud Splunk 6.0.1 Linuxi 64bit versiooni.
Tarkvara saab allalaadida siit: [http://www.splunk.com/download]

Peale faili allalaadimist tuleb paigaldada paigalduspakett, selleks kasutada käsku:

sudo dpkg -i /home/student/Downloads/splunker/splunk-6.0.1-189883-linux-2.6-amd64.deb

Antud näite puhul asetseb paigalduspakett /home/student/Downloads/splunker/ alamkatalogis.

Splunk tarkvara paigaldamiseks kasutada käsku:

sudo /opt/splunk/bin/splunk start

Peale paigaldust kuvatakse kasutajale Splunk veebiliidese asukoht. Antud näite puhul on selleks http://desktop:8000

 
[[File:splunkfin.JPG]]
 
Joonis 2: Splunk veebiliidese aadress.

Vaikimisi töötab Splunk portidel 8000 ja 8089. Kontrolliks kasutame käsku:
netstat -antp | grep -E '8000|8089'

 
[[File:portcheck.JPG]]
 
Joonis 3: Splunk TCP portide kontroll.

Järgmiseks anname portidele 8000 ja 8089 tulemüüri läbimisõigused. Kasutame käske:
sudo iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8000 -j ACCEPT
sudo iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8089 -j ACCEPT

 
[[File:iptables.JPG]]
 
Joonis 4: Tulemüüri reeglite lisamine.

Jägnevalt tuleb teha tülemüüri rakendusele taaskäivitus.
sudo service ufw restart

Viimaks tuleb vaadata, kas uued reeglid on aktiivsed. Selleks kasutame käsku:
iptables -L -n | grep -E '8000|8089'

 
[[File:iptablescheck.JPG]]
 
Joonis 5: Tulemüüri reeglite kontroll.

== Splunk veebiliidese paigaldus ==
Järgnevalt kasutame veebilehitsejat. Liigume aadressile http://192.168.56.101:8000
Algselt on kasutajatunnuseks admin ja parooliks changeme.

Peale sisselogimist kohustab programm parooli vahetama.
Antud näites on kasutajatunnuseks: admin ja parooliks student.

 
[[File:splunkweb.JPG]]
 
Joonis 6: Splunk veebiliidese "Login" ekraan.

Õnnestunud sisselogimisel kuvatakse kasutajale splunk veebiportaali.

Avanenud aknas vajutame nupule "Add data".

Järgnevast menüüst vajutame valikul "Syslog"

 
[[File:adddata.JPG]]
 
Joonis 7: Splunk andmepõhjade mudel.

Järgenevast valikust valime "Consume syslog over TCP" ja vajutame nupule "next"

Avanevas aknas tuleb täita järgnevad väljad:
TCP port - 514
Select source type from list - syslog

More settings
Set host - IP

ja vajutada nupule "Save"
 
 
[[File:syslogconf1.JPG]]
 
Joonis 8: Splunk Syslogi paigaldus osa1
 
 
[[File:syslogconf2.JPG]]
 
Joonis 9: Splunk Syslogi paigaldus osa2

Eduka salvestamise puhul peaks kasutaja nägema järgmist pilti:

 
[[File:syslogsuccess.JPG]]
 

Järgnevalt tuleb tagasi minna Splunk serveri juurde (masin kuhu Splunk paigaldati).

Juhul kui veebiliideses sai kõik korrektselt sisestatud, peaks splunk kuulama 514 porti.
netstat -antp | grep 514

 
[[File:splunknenstatgrep.JPG]]
 
 

Viimas lisame pordile 514 tulemüüri läbipääsu reegli ja teeme tulemüüri rakendusele taaskäivituse.
sudo iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 514 -j ACCEPT

sudo service ufw restart

 
[[File:port514plusrestart.JPG]]
 

== Paigaldame Rsyslogi saatma logisi Splunk serverile ==
Järgnevad tegevused tuimuvad Serveris nimega Ubuntu.

Selleks, et Rsyslog saadaks Klient arvutile logisi tuleb muuta rsyslog konfiguratsioonifail.

Muudame faili /etc/rsyslog.conf

sudo nano /etc/rsyslog.conf

Lisame rsyslog faili lõppu järgneva rea:

*.* @@192.168.56.101:514

Peale muudatuste tegemist tuleb rsyslog rakendusele teha taaskäivitus.
sudo service rsyslog restart

Lõpplahendusena valmis keskne logihaldussüsteem Splunk baasil selleks, et oleks võimalik vaadata ning analüüsida logisid Splunk veebiliidese abil.

= Kasutatud kirjandus =

http://docs.splunk.com/Documentation/Storm/Storm/User/Howtosetuprsyslog
http://chase-seibert.github.io/blog/2010/12/31/splunkrsyslogapacheubuntu-quickstart.html

Keskse logihalduse süsteem Splunk baasil

2014-01-17T16:16:18Z

Vvirk:

Labor 2 - Keskse logihalduse süsteem Splunk baasil

Autor: Veiko Virk

A31

10.01.2014

Õppeaine : [[Linuxi administreerimine]]

= Ülesande püstitus =
Luua keskse logihalduse süsteem Splunk baasil, kasutades kahte masinat (server, klient)

 
[[File:RsysSplunk.jpg]]
 
Joonis 1: Virtuaalmasinate topoloogia

= Kasutatud tarkvara =
Server : Ubuntu Server 64bit, versioon: 12.04 Saadab logisi läbi rsyslog tarkvara

Klient : Ubuntu client 64bit, versioon 13.04 Platvorm mille peal Splunk töötab

Splunk 6.0.1 - võtab vastu ja töötleb logisi

= Protokoll =

== Serveri ja kliendi algsed seaded antu näite puhul ==
Klient:
Nimi - desktop
IP - Staatiline 192.168.56.101

Server:
Nimi - Ubuntu
IP - Staatiline 192.168.56.200

Mõlemal virtuaalmasinal on kasutatud eelnevalt eksporditud ubuntu Client/Server .OAV tõmmist (image). Tarkvara on pärit IT Kolledži Elab keskkonnast.

Järgevalt eeldab autor, et paigaldatud server ja klient suudavad omavahel suhelda.

== Splunk paigaldus ==
Järgnevad tegevused tehakse Klient arvutis nimega desktop.

[http://docs.splunk.com/Documentation/Splunk/6.0.1/Installation/InstallonLinux]

Paigalduse alustamiseks tuleb allalaadida Splunk tarkvara. Juhendis on kasutatud Splunk 6.0.1 Linuxi 64bit versiooni.
Tarkvara saab allalaadida siit: [http://www.splunk.com/download]

Peale faili allalaadimist tuleb paigaldada paigalduspakett, selleks kasutada käsku:

sudo dpkg -i /home/student/Downloads/splunker/splunk-6.0.1-189883-linux-2.6-amd64.deb

Antud näite puhul asetseb paigalduspakett /home/student/Downloads/splunker/ alamkatalogis.

Splunk tarkvara paigaldamiseks kasutada käsku:

sudo /opt/splunk/bin/splunk start

Peale paigaldust kuvatakse kasutajale Splunk veebiliidese asukoht. Antud näite puhul on selleks http://desktop:8000

 
[[File:splunkfin.JPG]]
 
Joonis 2: Splunk veebiliidese aadress.

Vaikimisi töötab Splunk portidel 8000 ja 8089. Kontrolliks kasutame käsku:
netstat -antp | grep -E '8000|8089'

 
[[File:portcheck.JPG]]
 
Joonis 3: Splunk TCP portide kontroll.

Järgmiseks anname portidele 8000 ja 8089 tulemüüri läbimisõigused. Kasutame käske:
sudo iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8000 -j ACCEPT
sudo iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8089 -j ACCEPT

 
[[File:iptables.JPG]]
 

Jägnevalt tuleb teha tülemüüri rakendusele taaskäivitus.
sudo service ufw restart

 
[[File:iptablesrestart.JPG]]
 

Viimaks tuleb vaadata, kas uued reeglid on aktiivsed. Selleks kasutame käsku:
iptables -L -n | grep -E '8000|8089'

 
[[File:iptablescheck.JPG]]
 

== Splunk veebiliidese paigaldus ==
Järgnevalt kasutame veebilehitsejat. Liigume aadressile http://192.168.56.101:8000
Algselt on kasutajatunnuseks admin ja parooliks changeme.

Peale sisselogimist kohustab programm parooli vahetama.
Antud näites on kasutajatunnuseks: admin ja parooliks student.

 
[[File:splunkweb.JPG]]
 

Õnnestunud sisselogimisel kuvatakse kasutajale splunk veebiportaali.

Avanenud aknas vajutame nupule "Add data".

 
[[File:addnupp.JPG]]
 

Järgnevast menüüst vajutame valikul "Syslog"

 
[[File:adddata.JPG]]
 

Järgenevast valikust valime "Consume syslog over TCP" ja vajutame nupule "next"

 
 
[[File:syslogovertcp.JPG]]
 

Avanevas aknas tuleb täita järgnevad väljad:
TCP port - 514
Select source type from list - syslog

More settings
Set host - IP

ja vajutada nupule "Save"
 
 
[[File:syslogconf1.JPG]]
 

 
 
[[File:syslogconf2.JPG]]
 

Eduka salvestamise puhul peaks kasutaja nägema järgmist pilti:

 
[[File:syslogsuccess.JPG]]
 

Järgnevalt tuleb tagasi minna Splunk serveri juurde (masin kuhu Splunk paigaldati).

Juhul kui veebiliideses sai kõik korrektselt sisestatud, peaks splunk kuulama 514 porti.
netstat -antp | grep 514

 
[[File:splunknenstatgrep.JPG]]
 
 

Viimas lisame pordile 514 tulemüüri läbipääsu reegli ja teeme tulemüüri rakendusele taaskäivituse.
sudo iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 514 -j ACCEPT

sudo service ufw restart

 
[[File:port514plusrestart.JPG]]
 

== Paigaldame Rsyslogi saatma logisi Splunk serverile ==
Järgnevad tegevused tuimuvad Serveris nimega Ubuntu.

Selleks, et Rsyslog saadaks Klient arvutile logisi tuleb muuta rsyslog konfiguratsioonifail.

Muudame faili /etc/rsyslog.conf

sudo nano /etc/rsyslog.conf

Lisame rsyslog faili lõppu järgneva rea:

*.* @@192.168.56.101:514

Peale muudatuste tegemist tuleb rsyslog rakendusele teha taaskäivitus.
sudo service rsyslog restart

Lõpplahendusena valmis keskne logihaldussüsteem Splunk baasil selleks, et oleks võimalik vaadata ning analüüsida logisid Splunk veebiliidese abil.

= Kasutatud kirjandus =

http://docs.splunk.com/Documentation/Storm/Storm/User/Howtosetuprsyslog
http://chase-seibert.github.io/blog/2010/12/31/splunkrsyslogapacheubuntu-quickstart.html

Keskse logihalduse süsteem Splunk baasil

2014-01-17T16:12:48Z

Vvirk:

Labor 2 - Keskse logihalduse süsteem Splunk baasil

Autor: Veiko Virk

A31

10.01.2014

Õppeaine : [[Linuxi administreerimine]]

= Ülesande püstitus =
Luua keskse logihalduse süsteem Splunk baasil, kasutades kahte masinat (server, klient)

 
[[File:RsysSplunk.jpg]]
 
Joonis 1: Virtuaalmasinate topoloogia

= Kasutatud tarkvara =
Server : Ubuntu Server 64bit, versioon: 12.04 Saadab logisi läbi rsyslog tarkvara

Klient : Ubuntu client 64bit, versioon 13.04 Platvorm mille peal Splunk töötab

Splunk 6.0.1 - võtab vastu ja töötleb logisi

= Protokoll =

== Serveri ja kliendi algsed seaded antu näite puhul ==
Klient:
Nimi - desktop
IP - Staatiline 192.168.56.101

Server:
Nimi - Ubuntu
IP - Staatiline 192.168.56.200

Mõlemal virtuaalmasinal on kasutatud eelnevalt eksporditud ubuntu Client/Server .OAV tõmmist (image). Tarkvara on pärit IT Kolledži Elab keskkonnast.

Järgevalt eeldab autor, et paigaldatud server ja klient suudavad omavahel suhelda.

== Splunk paigaldus ==
Järgnevad tegevused tehakse Klient arvutis nimega desktop.

[http://docs.splunk.com/Documentation/Splunk/6.0.1/Installation/InstallonLinux]

Paigalduse alustamiseks tuleb allalaadida Splunk tarkvara. Juhendis on kasutatud Splunk 6.0.1 Linuxi 64bit versiooni.
Tarkvara saab allalaadida siit: [http://www.splunk.com/download]

Peale faili allalaadimist tuleb paigaldada paigalduspakett, selleks kasutada käsku:

sudo dpkg -i /home/student/Downloads/splunker/splunk-6.0.1-189883-linux-2.6-amd64.deb

Antud näite puhul asetseb paigalduspakett /home/student/Downloads/splunker/ alamkatalogis.

Splunk tarkvara paigaldamiseks kasutada käsku:

sudo /opt/splunk/bin/splunk start

Peale paigaldust kuvatakse kasutajale Splunk veebiliidese asukoht. Antud näite puhul on selleks http://desktop:8000

 
[[File:splunkfin.JPG]]
 

Vaikimisi peaks Splunk töötama portidel 8000 ja 8089. Antud väite kindlastegemisel kasutame käsku:
netstat -antp | grep -E '8000|8089'

 
[[File:portcheck.JPG]]
 

Järgmiseks anname portidele 8000 ja 8089 tulemüüri läbimisõigused. Kasutame käske:
sudo iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8000 -j ACCEPT
sudo iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8089 -j ACCEPT

 
[[File:iptables.JPG]]
 

Jägnevalt tuleb teha tülemüüri rakendusele taaskäivitus.
sudo service ufw restart

 
[[File:iptablesrestart.JPG]]
 

Viimaks tuleb vaadata, kas uued reeglid on aktiivsed. Selleks kasutame käsku:
iptables -L -n | grep -E '8000|8089'

 
[[File:iptablescheck.JPG]]
 

== Splunk veebiliidese paigaldus ==
Järgnevalt kasutame veebilehitsejat. Liigume aadressile http://192.168.56.101:8000
Algselt on kasutajatunnuseks admin ja parooliks changeme.

Peale sisselogimist kohustab programm parooli vahetama.
Antud näites on kasutajatunnuseks: admin ja parooliks student.

 
[[File:splunkweb.JPG]]
 

Õnnestunud sisselogimisel kuvatakse kasutajale splunk veebiportaali.

Avanenud aknas vajutame nupule "Add data".

 
[[File:addnupp.JPG]]
 

Järgnevast menüüst vajutame valikul "Syslog"

 
[[File:adddata.JPG]]
 

Järgenevast valikust valime "Consume syslog over TCP" ja vajutame nupule "next"

 
 
[[File:syslogovertcp.JPG]]
 

Avanevas aknas tuleb täita järgnevad väljad:
TCP port - 514
Select source type from list - syslog

More settings
Set host - IP

ja vajutada nupule "Save"
 
 
[[File:syslogconf1.JPG]]
 

 
 
[[File:syslogconf2.JPG]]
 

Eduka salvestamise puhul peaks kasutaja nägema järgmist pilti:

 
[[File:syslogsuccess.JPG]]
 

Järgnevalt tuleb tagasi minna Splunk serveri juurde (masin kuhu Splunk paigaldati).

Juhul kui veebiliideses sai kõik korrektselt sisestatud, peaks splunk kuulama 514 porti.
netstat -antp | grep 514

 
[[File:splunknenstatgrep.JPG]]
 
 

Viimas lisame pordile 514 tulemüüri läbipääsu reegli ja teeme tulemüüri rakendusele taaskäivituse.
sudo iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 514 -j ACCEPT

sudo service ufw restart

 
[[File:port514plusrestart.JPG]]
 

== Paigaldame Rsyslogi saatma logisi Splunk serverile ==
Järgnevad tegevused tuimuvad Serveris nimega Ubuntu.

Selleks, et Rsyslog saadaks Klient arvutile logisi tuleb muuta rsyslog konfiguratsioonifail.

Muudame faili /etc/rsyslog.conf

sudo nano /etc/rsyslog.conf

Lisame rsyslog faili lõppu järgneva rea:

*.* @@192.168.56.101:514

Peale muudatuste tegemist tuleb rsyslog rakendusele teha taaskäivitus.
sudo service rsyslog restart

Lõpplahendusena valmis keskne logihaldussüsteem Splunk baasil selleks, et oleks võimalik vaadata ning analüüsida logisid Splunk veebiliidese abil.

= Kasutatud kirjandus =

http://docs.splunk.com/Documentation/Storm/Storm/User/Howtosetuprsyslog
http://chase-seibert.github.io/blog/2010/12/31/splunkrsyslogapacheubuntu-quickstart.html

Keskse logihalduse süsteem Splunk baasil

2014-01-17T16:11:35Z

Vvirk:

Labor 2 - Keskse logihalduse süsteem Splunk baasil

Autor: Veiko Virk

A31

10.01.2014

Õppeaine : [[Linuxi administreerimine]]

= Ülesande püstitus =
Luua keskse logihalduse süsteem Splunk baasil, kasutades kahte masinat (server, klient)

 
[[File:RsysSplunk.jpg]]
 
Joonis 1: Virtuaalmasinate topoloogia

= Kasutatud tarkvara =
Server : Ubuntu Server 64bit, versioon: 12.04 Saadab logisi läbi rsyslog tarkvara

Klient : Ubuntu client 64bit, versioon 13.04 Platvorm mille peal Splunk töötab

Splunk 6.0.1 - võtab vastu ja töötleb logisi

= Protokoll =

== Serveri ja kliendi algsed seaded antu näite puhul ==
Klient:
Nimi - desktop
IP - Staatiline 192.168.56.101

Server:
Nimi - Ubuntu
IP - Staatiline 192.168.56.200

Mõlemal virtuaalmasinal on kasutatud eelnevalt eksporditud ubuntu Client/Server .OAV tõmmist (image). Tarkvara on pärit IT Kolledži Elab keskkonnast.

Järgevalt eeldab autor, et paigaldatud server ja klient suudavad omavahel suhelda.

== Splunk paigaldus ==
Järgnevad tegevused tehakse Klient arvutis nimega desktop.

[http://virtuallyhyper.com/2013/06/install-splunk-and-send-logs-to-splunk-with-rsyslog-over-tcp-with-ssl/]

Paigalduse alustamiseks tuleb allalaadida Splunk tarkvara. Juhendis on kasutatud Splunk 6.0.1 Linuxi 64bit versiooni.
Tarkvara saab allalaadida siit: [http://www.splunk.com/download]

Peale faili allalaadimist tuleb paigaldada paigalduspakett, selleks kasutada käsku:

sudo dpkg -i /home/student/Downloads/splunker/splunk-6.0.1-189883-linux-2.6-amd64.deb

Antud näite puhul asetseb paigalduspakett /home/student/Downloads/splunker/ alamkatalogis.

Splunk tarkvara paigaldamiseks kasutada käsku:

sudo /opt/splunk/bin/splunk start

Peale paigaldust kuvatakse kasutajale Splunk veebiliidese asukoht. Antud näite puhul on selleks http://desktop:8000

 
[[File:splunkfin.JPG]]
 

Vaikimisi peaks Splunk töötama portidel 8000 ja 8089. Antud väite kindlastegemisel kasutame käsku:
netstat -antp | grep -E '8000|8089'

 
[[File:portcheck.JPG]]
 

Järgmiseks anname portidele 8000 ja 8089 tulemüüri läbimisõigused. Kasutame käske:
sudo iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8000 -j ACCEPT
sudo iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8089 -j ACCEPT

 
[[File:iptables.JPG]]
 

Jägnevalt tuleb teha tülemüüri rakendusele taaskäivitus.
sudo service ufw restart

 
[[File:iptablesrestart.JPG]]
 

Viimaks tuleb vaadata, kas uued reeglid on aktiivsed. Selleks kasutame käsku:
iptables -L -n | grep -E '8000|8089'

 
[[File:iptablescheck.JPG]]
 

== Splunk veebiliidese paigaldus ==
Järgnevalt kasutame veebilehitsejat. Liigume aadressile http://192.168.56.101:8000
Algselt on kasutajatunnuseks admin ja parooliks changeme.

Peale sisselogimist kohustab programm parooli vahetama.
Antud näites on kasutajatunnuseks: admin ja parooliks student.

 
[[File:splunkweb.JPG]]
 

Õnnestunud sisselogimisel kuvatakse kasutajale splunk veebiportaali.

Avanenud aknas vajutame nupule "Add data".

 
[[File:addnupp.JPG]]
 

Järgnevast menüüst vajutame valikul "Syslog"

 
[[File:adddata.JPG]]
 

Järgenevast valikust valime "Consume syslog over TCP" ja vajutame nupule "next"

 
 
[[File:syslogovertcp.JPG]]
 

Avanevas aknas tuleb täita järgnevad väljad:
TCP port - 514
Select source type from list - syslog

More settings
Set host - IP

ja vajutada nupule "Save"
 
 
[[File:syslogconf1.JPG]]
 

 
 
[[File:syslogconf2.JPG]]
 

Eduka salvestamise puhul peaks kasutaja nägema järgmist pilti:

 
[[File:syslogsuccess.JPG]]
 

Järgnevalt tuleb tagasi minna Splunk serveri juurde (masin kuhu Splunk paigaldati).

Juhul kui veebiliideses sai kõik korrektselt sisestatud, peaks splunk kuulama 514 porti.
netstat -antp | grep 514

 
[[File:splunknenstatgrep.JPG]]
 
 

Viimas lisame pordile 514 tulemüüri läbipääsu reegli ja teeme tulemüüri rakendusele taaskäivituse.
sudo iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 514 -j ACCEPT

sudo service ufw restart

 
[[File:port514plusrestart.JPG]]
 

== Paigaldame Rsyslogi saatma logisi Splunk serverile ==
Järgnevad tegevused tuimuvad Serveris nimega Ubuntu.

Selleks, et Rsyslog saadaks Klient arvutile logisi tuleb muuta rsyslog konfiguratsioonifail.

Muudame faili /etc/rsyslog.conf

sudo nano /etc/rsyslog.conf

Lisame rsyslog faili lõppu järgneva rea:

*.* @@192.168.56.101:514

Peale muudatuste tegemist tuleb rsyslog rakendusele teha taaskäivitus.
sudo service rsyslog restart

Lõpplahendusena valmis keskne logihaldussüsteem Splunk baasil selleks, et oleks võimalik vaadata ning analüüsida logisid Splunk veebiliidese abil.

= Kasutatud kirjandus =

http://docs.splunk.com/Documentation/Storm/Storm/User/Howtosetuprsyslog
http://chase-seibert.github.io/blog/2010/12/31/splunkrsyslogapacheubuntu-quickstart.html

Keskse logihalduse süsteem Splunk baasil

2014-01-17T16:11:13Z

Vvirk:

Labor 2 - Keskse logihalduse süsteem Splunk baasil

Autor: Veiko Virk

A31

10.01.2014

Õppeaine : [[Linuxi administreerimine]]

= Ülesande püstitus =
Luua keskse logihalduse süsteem Splunk baasil, kasutades kahte masinat (server, klient)

 
[[File:RsysSplunk.jpg]]
Joonis 1: Virtuaalmasinate topoloogia
 
= Kasutatud tarkvara =
Server : Ubuntu Server 64bit, versioon: 12.04 Saadab logisi läbi rsyslog tarkvara

Klient : Ubuntu client 64bit, versioon 13.04 Platvorm mille peal Splunk töötab

Splunk 6.0.1 - võtab vastu ja töötleb logisi

= Protokoll =

== Serveri ja kliendi algsed seaded antu näite puhul ==
Klient:
Nimi - desktop
IP - Staatiline 192.168.56.101

Server:
Nimi - Ubuntu
IP - Staatiline 192.168.56.200

Mõlemal virtuaalmasinal on kasutatud eelnevalt eksporditud ubuntu Client/Server .OAV tõmmist (image). Tarkvara on pärit IT Kolledži Elab keskkonnast.

Järgevalt eeldab autor, et paigaldatud server ja klient suudavad omavahel suhelda.

== Splunk paigaldus ==
Järgnevad tegevused tehakse Klient arvutis nimega desktop.

[http://virtuallyhyper.com/2013/06/install-splunk-and-send-logs-to-splunk-with-rsyslog-over-tcp-with-ssl/]

Paigalduse alustamiseks tuleb allalaadida Splunk tarkvara. Juhendis on kasutatud Splunk 6.0.1 Linuxi 64bit versiooni.
Tarkvara saab allalaadida siit: [http://www.splunk.com/download]

Peale faili allalaadimist tuleb paigaldada paigalduspakett, selleks kasutada käsku:

sudo dpkg -i /home/student/Downloads/splunker/splunk-6.0.1-189883-linux-2.6-amd64.deb

Antud näite puhul asetseb paigalduspakett /home/student/Downloads/splunker/ alamkatalogis.

Splunk tarkvara paigaldamiseks kasutada käsku:

sudo /opt/splunk/bin/splunk start

Peale paigaldust kuvatakse kasutajale Splunk veebiliidese asukoht. Antud näite puhul on selleks http://desktop:8000

 
[[File:splunkfin.JPG]]
 

Vaikimisi peaks Splunk töötama portidel 8000 ja 8089. Antud väite kindlastegemisel kasutame käsku:
netstat -antp | grep -E '8000|8089'

 
[[File:portcheck.JPG]]
 

Järgmiseks anname portidele 8000 ja 8089 tulemüüri läbimisõigused. Kasutame käske:
sudo iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8000 -j ACCEPT
sudo iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8089 -j ACCEPT

 
[[File:iptables.JPG]]
 

Jägnevalt tuleb teha tülemüüri rakendusele taaskäivitus.
sudo service ufw restart

 
[[File:iptablesrestart.JPG]]
 

Viimaks tuleb vaadata, kas uued reeglid on aktiivsed. Selleks kasutame käsku:
iptables -L -n | grep -E '8000|8089'

 
[[File:iptablescheck.JPG]]
 

== Splunk veebiliidese paigaldus ==
Järgnevalt kasutame veebilehitsejat. Liigume aadressile http://192.168.56.101:8000
Algselt on kasutajatunnuseks admin ja parooliks changeme.

Peale sisselogimist kohustab programm parooli vahetama.
Antud näites on kasutajatunnuseks: admin ja parooliks student.

 
[[File:splunkweb.JPG]]
 

Õnnestunud sisselogimisel kuvatakse kasutajale splunk veebiportaali.

Avanenud aknas vajutame nupule "Add data".

 
[[File:addnupp.JPG]]
 

Järgnevast menüüst vajutame valikul "Syslog"

 
[[File:adddata.JPG]]
 

Järgenevast valikust valime "Consume syslog over TCP" ja vajutame nupule "next"

 
 
[[File:syslogovertcp.JPG]]
 

Avanevas aknas tuleb täita järgnevad väljad:
TCP port - 514
Select source type from list - syslog

More settings
Set host - IP

ja vajutada nupule "Save"
 
 
[[File:syslogconf1.JPG]]
 

 
 
[[File:syslogconf2.JPG]]
 

Eduka salvestamise puhul peaks kasutaja nägema järgmist pilti:

 
[[File:syslogsuccess.JPG]]
 

Järgnevalt tuleb tagasi minna Splunk serveri juurde (masin kuhu Splunk paigaldati).

Juhul kui veebiliideses sai kõik korrektselt sisestatud, peaks splunk kuulama 514 porti.
netstat -antp | grep 514

 
[[File:splunknenstatgrep.JPG]]
 
 

Viimas lisame pordile 514 tulemüüri läbipääsu reegli ja teeme tulemüüri rakendusele taaskäivituse.
sudo iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 514 -j ACCEPT

sudo service ufw restart

 
[[File:port514plusrestart.JPG]]
 

== Paigaldame Rsyslogi saatma logisi Splunk serverile ==
Järgnevad tegevused tuimuvad Serveris nimega Ubuntu.

Selleks, et Rsyslog saadaks Klient arvutile logisi tuleb muuta rsyslog konfiguratsioonifail.

Muudame faili /etc/rsyslog.conf

sudo nano /etc/rsyslog.conf

Lisame rsyslog faili lõppu järgneva rea:

*.* @@192.168.56.101:514

Peale muudatuste tegemist tuleb rsyslog rakendusele teha taaskäivitus.
sudo service rsyslog restart

Lõpplahendusena valmis keskne logihaldussüsteem Splunk baasil selleks, et oleks võimalik vaadata ning analüüsida logisid Splunk veebiliidese abil.

= Kasutatud kirjandus =

http://docs.splunk.com/Documentation/Storm/Storm/User/Howtosetuprsyslog
http://chase-seibert.github.io/blog/2010/12/31/splunkrsyslogapacheubuntu-quickstart.html

Keskse logihalduse süsteem Splunk baasil

2014-01-17T16:10:16Z

Vvirk:

Labor 2 - Keskse logihalduse süsteem Splunk baasil

Autor: Veiko Virk

A31

10.01.2014

Õppeaine : [[Linuxi administreerimine]]

= Ülesande püstitus =
Luua keskse logihalduse süsteem Splunk baasil, kasutades kahte masinat (server, klient)

 
[[File:RsysSplunk.jpg]]
 
= Kasutatud tarkvara =
Server : Ubuntu Server 64bit, versioon: 12.04 Saadab logisi läbi rsyslog tarkvara

Klient : Ubuntu client 64bit, versioon 13.04 Platvorm mille peal Splunk töötab

Splunk 6.0.1 - võtab vastu ja töötleb logisi

= Protokoll =

== Serveri ja kliendi algsed seaded antu näite puhul ==
Klient:
Nimi - desktop
IP - Staatiline 192.168.56.101

Server:
Nimi - Ubuntu
IP - Staatiline 192.168.56.200

Mõlemal virtuaalmasinal on kasutatud eelnevalt eksporditud ubuntu Client/Server .OAV tõmmist (image). Tarkvara on pärit IT Kolledži Elab keskkonnast.

Järgevalt eeldab autor, et paigaldatud server ja klient suudavad omavahel suhelda.

== Splunk paigaldus ==
Järgnevad tegevused tehakse Klient arvutis nimega desktop.

[http://virtuallyhyper.com/2013/06/install-splunk-and-send-logs-to-splunk-with-rsyslog-over-tcp-with-ssl/]

Paigalduse alustamiseks tuleb allalaadida Splunk tarkvara. Juhendis on kasutatud Splunk 6.0.1 Linuxi 64bit versiooni.
Tarkvara saab allalaadida siit: [http://www.splunk.com/download]

Peale faili allalaadimist tuleb paigaldada paigalduspakett, selleks kasutada käsku:

sudo dpkg -i /home/student/Downloads/splunker/splunk-6.0.1-189883-linux-2.6-amd64.deb

Antud näite puhul asetseb paigalduspakett /home/student/Downloads/splunker/ alamkatalogis.

Splunk tarkvara paigaldamiseks kasutada käsku:

sudo /opt/splunk/bin/splunk start

Peale paigaldust kuvatakse kasutajale Splunk veebiliidese asukoht. Antud näite puhul on selleks http://desktop:8000

 
[[File:splunkfin.JPG]]
 

Vaikimisi peaks Splunk töötama portidel 8000 ja 8089. Antud väite kindlastegemisel kasutame käsku:
netstat -antp | grep -E '8000|8089'

 
[[File:portcheck.JPG]]
 

Järgmiseks anname portidele 8000 ja 8089 tulemüüri läbimisõigused. Kasutame käske:
sudo iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8000 -j ACCEPT
sudo iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8089 -j ACCEPT

 
[[File:iptables.JPG]]
 

Jägnevalt tuleb teha tülemüüri rakendusele taaskäivitus.
sudo service ufw restart

 
[[File:iptablesrestart.JPG]]
 

Viimaks tuleb vaadata, kas uued reeglid on aktiivsed. Selleks kasutame käsku:
iptables -L -n | grep -E '8000|8089'

 
[[File:iptablescheck.JPG]]
 

== Splunk veebiliidese paigaldus ==
Järgnevalt kasutame veebilehitsejat. Liigume aadressile http://192.168.56.101:8000
Algselt on kasutajatunnuseks admin ja parooliks changeme.

Peale sisselogimist kohustab programm parooli vahetama.
Antud näites on kasutajatunnuseks: admin ja parooliks student.

 
[[File:splunkweb.JPG]]
 

Õnnestunud sisselogimisel kuvatakse kasutajale splunk veebiportaali.

Avanenud aknas vajutame nupule "Add data".

 
[[File:addnupp.JPG]]
 

Järgnevast menüüst vajutame valikul "Syslog"

 
[[File:adddata.JPG]]
 

Järgenevast valikust valime "Consume syslog over TCP" ja vajutame nupule "next"

 
 
[[File:syslogovertcp.JPG]]
 

Avanevas aknas tuleb täita järgnevad väljad:
TCP port - 514
Select source type from list - syslog

More settings
Set host - IP

ja vajutada nupule "Save"
 
 
[[File:syslogconf1.JPG]]
 

 
 
[[File:syslogconf2.JPG]]
 

Eduka salvestamise puhul peaks kasutaja nägema järgmist pilti:

 
[[File:syslogsuccess.JPG]]
 

Järgnevalt tuleb tagasi minna Splunk serveri juurde (masin kuhu Splunk paigaldati).

Juhul kui veebiliideses sai kõik korrektselt sisestatud, peaks splunk kuulama 514 porti.
netstat -antp | grep 514

 
[[File:splunknenstatgrep.JPG]]
 
 

Viimas lisame pordile 514 tulemüüri läbipääsu reegli ja teeme tulemüüri rakendusele taaskäivituse.
sudo iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 514 -j ACCEPT

sudo service ufw restart

 
[[File:port514plusrestart.JPG]]
 

== Paigaldame Rsyslogi saatma logisi Splunk serverile ==
Järgnevad tegevused tuimuvad Serveris nimega Ubuntu.

Selleks, et Rsyslog saadaks Klient arvutile logisi tuleb muuta rsyslog konfiguratsioonifail.

Muudame faili /etc/rsyslog.conf

sudo nano /etc/rsyslog.conf

Lisame rsyslog faili lõppu järgneva rea:

*.* @@192.168.56.101:514

Peale muudatuste tegemist tuleb rsyslog rakendusele teha taaskäivitus.
sudo service rsyslog restart

Lõpplahendusena valmis keskne logihaldussüsteem Splunk baasil selleks, et oleks võimalik vaadata ning analüüsida logisid Splunk veebiliidese abil.

= Kasutatud kirjandus =

http://docs.splunk.com/Documentation/Storm/Storm/User/Howtosetuprsyslog
http://chase-seibert.github.io/blog/2010/12/31/splunkrsyslogapacheubuntu-quickstart.html

Keskse logihalduse süsteem Splunk baasil

2014-01-17T16:09:26Z

Vvirk:

Labor 2 - Keskse logihalduse süsteem Splunk baasil

Autor: Veiko Virk

A31

10.01.2014

Õppeaine : [[Linuxi administreerimine]]

= Ülesande püstitus =
Luua keskse logihalduse süsteem Splunk baasil, kasutades kahte masinat (server, klient)

 
[[File:RsysSplunk.jpg]]
 
= Kasutatud tarkvara =
Server : Ubuntu Server 64bit, versioon: 12.04 Saadab logisi läbi rsyslog tarkvara

Klient : Ubuntu client 64bit, versioon 13.04 Platvorm mille peal Splunk töötab

Splunk 6.0.1 - võtab vastu ja töötleb logisi

= Protokoll =

== Serveri ja kliendi algsed seaded antu näite puhul ==
Klient:
Nimi - desktop
IP - Staatiline 192.168.56.101

Server:
Nimi - Ubuntu
IP - Staatiline 192.168.56.200

Mõlemal virtuaalmasinal on kasutatud eelnevalt eksporditud ubuntu Client/Server .OAV tõmmist (image). Tarkvara on pärit IT Kolledži Elab keskkonnast.

Järgevalt eeldab autor, et paigaldatud server ja klient suudavad omavahel suhelda.

== Splunk paigaldus ==
Järgnevad tegevused tehakse Klient arvutis nimega desktop.

[http://virtuallyhyper.com/2013/06/install-splunk-and-send-logs-to-splunk-with-rsyslog-over-tcp-with-ssl/]

Paigalduse alustamiseks tuleb allalaadida Splunk tarkvara. Juhendis on kasutatud Splunk 6.0.1 Linuxi 64bit versiooni.
Tarkvara saab allalaadida siit: [http://www.splunk.com/download]

Peale faili allalaadimist tuleb paigaldada paigalduspakett, selleks kasutada käsku:

sudo dpkg -i /home/student/Downloads/splunker/splunk-6.0.1-189883-linux-2.6-amd64.deb

Antud näite puhul asetseb paigalduspakett /home/student/Downloads/splunker/ alamkatalogis.

Splunk tarkvara paigaldamiseks kasutada käsku:

sudo /opt/splunk/bin/splunk start

Peale paigaldust kuvatakse kasutajale Splunk veebiliidese asukoht. Antud näite puhul on selleks http://desktop:8000

 
[[File:splunkfin.JPG]]
 

Vaikimisi peaks Splunk töötama portidel 8000 ja 8089. Antud väite kindlastegemisel kasutame käsku:
netstat -antp | grep -E '8000|8089'

 
[[File:portcheck.JPG]]
 

Järgmiseks anname portidele 8000 ja 8089 tulemüüri läbimisõigused. Kasutame käske:
sudo iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8000 -j ACCEPT
sudo iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8089 -j ACCEPT

 
[[File:iptables.JPG]]
 

Jägnevalt tuleb teha tülemüüri rakendusele taaskäivitus.
sudo service ufw restart

 
[[File:iptablesrestart.JPG]]
 

Viimaks tuleb vaadata, kas uued reeglid on aktiivsed. Selleks kasutame käsku:
iptables -L -n | grep -E '8000|8089'

 
[[File:iptablescheck.JPG]]
 

== Splunk veebiliidese paigaldus ==
Järgnevalt kasutame veebilehitsejat. Liigume aadressile http://192.168.56.101:8000
Algselt on kasutajatunnuseks admin ja parooliks changeme.

Peale sisselogimist kohustab programm parooli vahetama.
Antud näites on kasutajatunnuseks: admin ja parooliks student.

 
[[File:splunkweb.JPG]]
 

Õnnestunud sisselogimisel kuvatakse kasutajale splunk veebiportaali.

Avanenud aknas vajutame nupule "Add data".

 
[[File:addnupp.JPG]]
 

Järgnevast menüüst vajutame valikul "Syslog"

 
[[File:adddata.JPG]]
 

Järgenevast valikust valime "Consume syslog over TCP" ja vajutame nupule "next"

 
 
[[File:syslogovertcp.JPG]]
 

Avanevas aknas tuleb täita järgnevad väljad:
TCP port - 514
Select source type from list - syslog

More settings
Set host - IP

ja vajutada nupule "Save"
 
 
[[File:syslogconf1.JPG]]
 

 
 
[[File:syslogconf2.JPG]]
 

Eduka salvestamise puhul peaks kasutaja nägema järgmist pilti:

 
[[File:syslogsuccess.JPG]]
 

Järgnevalt tuleb tagasi minna Splunk serveri juurde (masin kuhu Splunk paigaldati).

Juhul kui veebiliideses sai kõik korrektselt sisestatud, peaks splunk kuulama 514 porti.
netstat -antp | grep 514

 
[[File:splunknenstatgrep.JPG]]
 
 

Viimas lisame pordile 514 tulemüüri läbipääsu reegli ja teeme tulemüüri rakendusele taaskäivituse.
sudo iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 514 -j ACCEPT

sudo service ufw restart

 
[[File:port514plusrestart.JPG]]
 

== Paigaldame Rsyslogi saatma logisi Splunk serverile ==
Järgnevad tegevused tuimuvad Serveris nimega Ubuntu.

Selleks, et Rsyslog saadaks Klient arvutile logisi tuleb muuta rsyslog konfiguratsioonifail.

Muudame faili /etc/rsyslog.conf

sudo nano /etc/rsyslog.conf

Lisame rsyslog faili lõppu järgneva rea:

*.* @@192.168.56.101:514

Peale muudatuste tegemist tuleb rsyslog rakendusele teha taaskäivitus.
sudo service rsyslog restart

Lõpplahendusena valmis keskne logihaldussüsteem Splunk baasil selleks, et oleks võimalik vaadata ning analüüsida logisid Splunk veebiliidese abil.

= Kasutatud kirjandus =

http://virtuallyhyper.com/2013/06/install-splunk-and-send-logs-to-splunk-with-rsyslog-over-tcp-with-ssl/

Keskse logihalduse süsteem Splunk baasil

2014-01-10T17:20:26Z

Vvirk:

Labor 2 - Keskse logihalduse süsteem Splunk baasil

Autor: Veiko Virk

A31

10.01.2014

Õppeaine : [[Linuxi administreerimine]]

= Ülesande püstitus =
Luua keskse logihalduse süsteem Splunk baasil, kasutades kahte masinat (server, klient)

 
[[File:RsysSplunk.jpg]]
 
= Kasutatud tarkvara =
Server : Ubuntu Server 64bit, versioon: 12.04 Saadab logisi läbi rsyslog tarkvara

Klient : Ubuntu client 64bit, versioon 13.04 Platvorm mille peal Splunk töötab

Splunk 6.0.1 - võtab vastu ja töötleb logisi

= Protokoll =

== Serveri ja kliendi algsed seaded antu näite puhul ==
Klient:
Nimi - desktop
IP - Staatiline 192.168.56.101

Server:
Nimi - Ubuntu
IP - Staatiline 192.168.56.200

Mõlemal virtuaalmasinal on kasutatud eelnevalt eksporditud ubuntu Client/Server .OAV tõmmist (image). Tarkvara on pärit IT Kolledži Elab keskkonnast.

Järgevalt eeldab autor, et paigaldatud server ja klient suudavad omavahel suhelda.

== Splunk paigaldus ==
Järgnevad tegevused tehakse Klient arvutis nimega desktop.

[http://virtuallyhyper.com/2013/06/install-splunk-and-send-logs-to-splunk-with-rsyslog-over-tcp-with-ssl/]

Paigalduse alustamiseks tuleb allalaadida Splunk tarkvara. Juhendis on kasutatud Splunk 6.0.1 Linuxi 64bit versiooni.
Tarkvara saab allalaadida siit: [http://www.splunk.com/download]

Peale faili allalaadimist tuleb paigaldada paigalduspakett, selleks kasutada käsku:

sudo dpkg -i /home/student/Downloads/splunker/splunk-6.0.1-189883-linux-2.6-amd64.deb

Antud näite puhul asetseb paigalduspakett /home/student/Downloads/splunker/ alamkatalogis.

Splunk tarkvara paigaldamiseks kasutada käsku:

sudo /opt/splunk/bin/splunk start

Peale paigaldust kuvatakse kasutajale Splunk veebiliidese asukoht. Antud näite puhul on selleks http://desktop:8000

 
[[File:splunkfin.JPG]]
 

Vaikimisi peaks Splunk töötama portidel 8000 ja 8089. Antud väite kindlastegemisel kasutame käsku:
netstat -antp | grep -E '8000|8089'

 
[[File:portcheck.JPG]]
 

Järgmiseks anname portidele 8000 ja 8089 tulemüüri läbimisõigused. Kasutame käske:
sudo iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8000 -j ACCEPT
sudo iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8089 -j ACCEPT

 
[[File:iptables.JPG]]
 

Jägnevalt tuleb teha tülemüüri rakendusele taaskäivitus.
sudo service ufw restart

 
[[File:iptablesrestart.JPG]]
 

Viimaks tuleb vaadata, kas uued reeglid on aktiivsed. Selleks kasutame käsku:
iptables -L -n | grep -E '8000|8089'

 
[[File:iptablescheck.JPG]]
 

== Splunk veebiliidese paigaldus ==
Järgnevalt kasutame veebilehitsejat. Liigume aadressile http://192.168.56.101:8000
Algselt on kasutajatunnuseks admin ja parooliks changeme.

Peale sisselogimist kohustab programm parooli vahetama.
Antud näites on kasutajatunnuseks: admin ja parooliks student.

 
[[File:splunkweb.JPG]]
 

Õnnestunud sisselogimisel kuvatakse kasutajale splunk veebiportaali.

Avanenud aknas vajutame nupule "Add data".

 
[[File:addnupp.JPG]]
 

Järgnevast menüüst vajutame valikul "Syslog"

 
[[File:adddata.JPG]]
 

Järgenevast valikust valime "Consume syslog over TCP" ja vajutame nupule "next"

 
 
[[File:syslogovertcp.JPG]]
 

Avanevas aknas tuleb täita järgnevad väljad:
TCP port - 514
Select source type from list - syslog

More settings
Set host - IP

ja vajutada nupule "Save"
 
 
[[File:syslogconf1.JPG]]
 

 
 
[[File:syslogconf2.JPG]]
 

Eduka salvestamise puhul peaks kasutaja nägema järgmist pilti:

 
[[File:syslogsuccess.JPG]]
 

Järgnevalt tuleb tagasi minna Splunk serveri juurde (masin kuhu Splunk paigaldati).

Juhul kui veebiliideses sai kõik korrektselt sisestatud, peaks splunk kuulama 514 porti.
netstat -antp | grep 514

 
[[File:splunknenstatgrep.JPG]]
 
 

Viimas lisame pordile 514 tulemüüri läbipääsu reegli ja teeme tulemüüri rakendusele taaskäivituse.
sudo iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 514 -j ACCEPT

sudo service ufw restart

 
[[File:port514plusrestart.JPG]]
 

== Paigaldame Rsyslogi saatma logisi Splunk serverile ==
Järgnevad tegevused tuimuvad Serveris nimega Ubuntu.

Selleks, et Rsyslog saadaks Klient arvutile logisi tuleb muuta rsyslog konfiguratsioonifail.

Muudame faili /etc/rsyslog.conf

sudo nano /etc/rsyslog.conf

Lisame rsyslog faili lõppu järgneva rea:

*.* @@192.168.56.101:514

Peale muudatuste tegemist tuleb rsyslog rakendusele teha taaskäivitus.
sudo service rsyslog restart

= Kasutatud kirjandus =

http://virtuallyhyper.com/2013/06/install-splunk-and-send-logs-to-splunk-with-rsyslog-over-tcp-with-ssl/

Keskse logihalduse süsteem Splunk baasil

2014-01-10T17:19:55Z

Vvirk:

Labor 2 - Keskse logihalduse süsteem Splunk baasil

Autor: Veiko Virk

A31

10.01.2014

Õppeaine : [[Linuxi administreerimine]]

= Ülesande püstitus =
Luua keskse logihalduse süsteem Splunk baasil, kasutades kahte masinat (server, klient)

 
[[File:RsysSplunk.jpg]]
 

= Kasutatud tarkvara =
Server : Ubuntu Server 64bit, versioon: 12.04 Saadab logisi läbi rsyslog tarkvara

Klient : Ubuntu client 64bit, versioon 13.04 Platvorm mille peal Splunk töötab

Splunk 6.0.1 - võtab vastu ja töötleb logisi

= Protokoll =

== Serveri ja kliendi algsed seaded antu näite puhul ==
Klient:
Nimi - desktop
IP - Staatiline 192.168.56.101

Server:
Nimi - Ubuntu
IP - Staatiline 192.168.56.200

Mõlemal virtuaalmasinal on kasutatud eelnevalt eksporditud ubuntu Client/Server .OAV tõmmist (image). Tarkvara on pärit IT Kolledži Elab keskkonnast.

Järgevalt eeldab autor, et paigaldatud server ja klient suudavad omavahel suhelda.

== Splunk paigaldus ==
Järgnevad tegevused tehakse Klient arvutis nimega desktop.

[http://virtuallyhyper.com/2013/06/install-splunk-and-send-logs-to-splunk-with-rsyslog-over-tcp-with-ssl/]

Paigalduse alustamiseks tuleb allalaadida Splunk tarkvara. Juhendis on kasutatud Splunk 6.0.1 Linuxi 64bit versiooni.
Tarkvara saab allalaadida siit: [http://www.splunk.com/download]

Peale faili allalaadimist tuleb paigaldada paigalduspakett, selleks kasutada käsku:

sudo dpkg -i /home/student/Downloads/splunker/splunk-6.0.1-189883-linux-2.6-amd64.deb

Antud näite puhul asetseb paigalduspakett /home/student/Downloads/splunker/ alamkatalogis.

Splunk tarkvara paigaldamiseks kasutada käsku:

sudo /opt/splunk/bin/splunk start

Peale paigaldust kuvatakse kasutajale Splunk veebiliidese asukoht. Antud näite puhul on selleks http://desktop:8000

 
[[File:splunkfin.JPG]]
 

Vaikimisi peaks Splunk töötama portidel 8000 ja 8089. Antud väite kindlastegemisel kasutame käsku:
netstat -antp | grep -E '8000|8089'

 
[[File:portcheck.JPG]]
 

Järgmiseks anname portidele 8000 ja 8089 tulemüüri läbimisõigused. Kasutame käske:
sudo iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8000 -j ACCEPT
sudo iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8089 -j ACCEPT

 
[[File:iptables.JPG]]
 

Jägnevalt tuleb teha tülemüüri rakendusele taaskäivitus.
sudo service ufw restart

 
[[File:iptablesrestart.JPG]]
 

Viimaks tuleb vaadata, kas uued reeglid on aktiivsed. Selleks kasutame käsku:
iptables -L -n | grep -E '8000|8089'

 
[[File:iptablescheck.JPG]]
 

== Splunk veebiliidese paigaldus ==
Järgnevalt kasutame veebilehitsejat. Liigume aadressile http://192.168.56.101:8000
Algselt on kasutajatunnuseks admin ja parooliks changeme.

Peale sisselogimist kohustab programm parooli vahetama.
Antud näites on kasutajatunnuseks: admin ja parooliks student.

 
[[File:splunkweb.JPG]]
 

Õnnestunud sisselogimisel kuvatakse kasutajale splunk veebiportaali.

Avanenud aknas vajutame nupule "Add data".

 
[[File:addnupp.JPG]]
 

Järgnevast menüüst vajutame valikul "Syslog"

 
[[File:adddata.JPG]]
 

Järgenevast valikust valime "Consume syslog over TCP" ja vajutame nupule "next"

 
 
[[File:syslogovertcp.JPG]]
 

Avanevas aknas tuleb täita järgnevad väljad:
TCP port - 514
Select source type from list - syslog

More settings
Set host - IP

ja vajutada nupule "Save"
 
 
[[File:syslogconf1.JPG]]
 

 
 
[[File:syslogconf2.JPG]]
 

Eduka salvestamise puhul peaks kasutaja nägema järgmist pilti:

 
[[File:syslogsuccess.JPG]]
 

Järgnevalt tuleb tagasi minna Splunk serveri juurde (masin kuhu Splunk paigaldati).

Juhul kui veebiliideses sai kõik korrektselt sisestatud, peaks splunk kuulama 514 porti.
netstat -antp | grep 514

 
[[File:splunknenstatgrep.JPG]]
 
 

Viimas lisame pordile 514 tulemüüri läbipääsu reegli ja teeme tulemüüri rakendusele taaskäivituse.
sudo iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 514 -j ACCEPT

sudo service ufw restart

 
[[File:port514plusrestart.JPG]]
 

== Paigaldame Rsyslogi saatma logisi Splunk serverile ==
Järgnevad tegevused tuimuvad Serveris nimega Ubuntu.

Selleks, et Rsyslog saadaks Klient arvutile logisi tuleb muuta rsyslog konfiguratsioonifail.

Muudame faili /etc/rsyslog.conf

sudo nano /etc/rsyslog.conf

Lisame rsyslog faili lõppu järgneva rea:

*.* @@192.168.56.101:514

Peale muudatuste tegemist tuleb rsyslog rakendusele teha taaskäivitus.
sudo service rsyslog restart

= Kasutatud kirjandus =

http://virtuallyhyper.com/2013/06/install-splunk-and-send-logs-to-splunk-with-rsyslog-over-tcp-with-ssl/

File:RsysSplunk.jpg

2014-01-10T17:17:03Z

Vvirk:

Keskse logihalduse süsteem Splunk baasil

2014-01-10T17:01:13Z

Vvirk:

Labor 2 - Keskse logihalduse süsteem Splunk baasil

Autor: Veiko Virk

A31

10.01.2014

Õppeaine : [[Linuxi administreerimine]]

= Ülesande püstitus =
Luua keskse logihalduse süsteem Splunk baasil, kasutades kahte masinat (server, klient)

 
[[File:splunkstruktuur.jpg]]
 

= Kasutatud tarkvara =
Server : Ubuntu Server 64bit, versioon: 12.04 Saadab logisi läbi rsyslog tarkvara

Klient : Ubuntu client 64bit, versioon 13.04 Platvorm mille peal Splunk töötab

Splunk 6.0.1 - võtab vastu ja töötleb logisi

= Protokoll =

== Serveri ja kliendi algsed seaded antu näite puhul ==
Klient:
Nimi - desktop
IP - Staatiline 192.168.56.101

Server:
Nimi - Ubuntu
IP - Staatiline 192.168.56.200

Mõlemal virtuaalmasinal on kasutatud eelnevalt eksporditud ubuntu Client/Server .OAV tõmmist (image). Tarkvara on pärit IT Kolledži Elab keskkonnast.

Järgevalt eeldab autor, et paigaldatud server ja klient suudavad omavahel suhelda.

== Splunk paigaldus ==
Järgnevad tegevused tehakse Klient arvutis nimega desktop.

[http://virtuallyhyper.com/2013/06/install-splunk-and-send-logs-to-splunk-with-rsyslog-over-tcp-with-ssl/]

Paigalduse alustamiseks tuleb allalaadida Splunk tarkvara. Juhendis on kasutatud Splunk 6.0.1 Linuxi 64bit versiooni.
Tarkvara saab allalaadida siit: [http://www.splunk.com/download]

Peale faili allalaadimist tuleb paigaldada paigalduspakett, selleks kasutada käsku:

sudo dpkg -i /home/student/Downloads/splunker/splunk-6.0.1-189883-linux-2.6-amd64.deb

Antud näite puhul asetseb paigalduspakett /home/student/Downloads/splunker/ alamkatalogis.

Splunk tarkvara paigaldamiseks kasutada käsku:

sudo /opt/splunk/bin/splunk start

Peale paigaldust kuvatakse kasutajale Splunk veebiliidese asukoht. Antud näite puhul on selleks http://desktop:8000

 
[[File:splunkfin.JPG]]
 

Vaikimisi peaks Splunk töötama portidel 8000 ja 8089. Antud väite kindlastegemisel kasutame käsku:
netstat -antp | grep -E '8000|8089'

 
[[File:portcheck.JPG]]
 

Järgmiseks anname portidele 8000 ja 8089 tulemüüri läbimisõigused. Kasutame käske:
sudo iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8000 -j ACCEPT
sudo iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8089 -j ACCEPT

 
[[File:iptables.JPG]]
 

Jägnevalt tuleb teha tülemüüri rakendusele taaskäivitus.
sudo service ufw restart

 
[[File:iptablesrestart.JPG]]
 

Viimaks tuleb vaadata, kas uued reeglid on aktiivsed. Selleks kasutame käsku:
iptables -L -n | grep -E '8000|8089'

 
[[File:iptablescheck.JPG]]
 

== Splunk veebiliidese paigaldus ==
Järgnevalt kasutame veebilehitsejat. Liigume aadressile http://192.168.56.101:8000
Algselt on kasutajatunnuseks admin ja parooliks changeme.

Peale sisselogimist kohustab programm parooli vahetama.
Antud näites on kasutajatunnuseks: admin ja parooliks student.

 
[[File:splunkweb.JPG]]
 

Õnnestunud sisselogimisel kuvatakse kasutajale splunk veebiportaali.

Avanenud aknas vajutame nupule "Add data".

 
[[File:addnupp.JPG]]
 

Järgnevast menüüst vajutame valikul "Syslog"

 
[[File:adddata.JPG]]
 

Järgenevast valikust valime "Consume syslog over TCP" ja vajutame nupule "next"

 
 
[[File:syslogovertcp.JPG]]
 

Avanevas aknas tuleb täita järgnevad väljad:
TCP port - 514
Select source type from list - syslog

More settings
Set host - IP

ja vajutada nupule "Save"
 
 
[[File:syslogconf1.JPG]]
 

 
 
[[File:syslogconf2.JPG]]
 

Eduka salvestamise puhul peaks kasutaja nägema järgmist pilti:

 
[[File:syslogsuccess.JPG]]
 

Järgnevalt tuleb tagasi minna Splunk serveri juurde (masin kuhu Splunk paigaldati).

Juhul kui veebiliideses sai kõik korrektselt sisestatud, peaks splunk kuulama 514 porti.
netstat -antp | grep 514

 
[[File:splunknenstatgrep.JPG]]
 
 

Viimas lisame pordile 514 tulemüüri läbipääsu reegli ja teeme tulemüüri rakendusele taaskäivituse.
sudo iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 514 -j ACCEPT

sudo service ufw restart

 
[[File:port514plusrestart.JPG]]
 

== Paigaldame Rsyslogi saatma logisi Splunk serverile ==
Järgnevad tegevused tuimuvad Serveris nimega Ubuntu.

Selleks, et Rsyslog saadaks Klient arvutile logisi tuleb muuta rsyslog konfiguratsioonifail.

Muudame faili /etc/rsyslog.conf

sudo nano /etc/rsyslog.conf

Lisame rsyslog faili lõppu järgneva rea:

*.* @@192.168.56.101:514

Peale muudatuste tegemist tuleb rsyslog rakendusele teha taaskäivitus.
sudo service rsyslog restart

= Kasutatud kirjandus =

http://virtuallyhyper.com/2013/06/install-splunk-and-send-logs-to-splunk-with-rsyslog-over-tcp-with-ssl/

Keskse logihalduse süsteem Splunk baasil

2014-01-10T14:48:17Z

Vvirk:

Labor 2 - Keskse logihalduse süsteem Splunk baasil

Autor: Veiko Virk

A31

10.01.2014

Õppeaine : [[Linuxi administreerimine]]

= Ülesande püstitus =
Luua keskse logihalduse süsteem Splunk baasil, kasutades kahte masinat (server, klient)

 
[[File:splunkstruktuur.jpg]]
 

= Kasutatud tarkvara =
Server : Ubuntu Server 64bit, versioon: 12.04 Saadab logisi läbi rsyslog tarkvara

Klient : Ubuntu client 64bit, versioon 13.04 Platvorm mille peal Splunk töötab

Splunk 6.0.1 - võtab vastu ja töötleb logisi

= Protokoll =

== Serveri ja kliendi algsed seaded antu näite puhul ==
Klient:
Nimi - desktop
IP - Staatiline 192.168.56.101

Server:
Nimi - Ubuntu
IP - Staatiline 192.168.56.200

Mõlemal virtuaalmasinal on kasutatud eelnevalt eksporditud ubuntu Client/Server .OAV tõmmist (image). Tarkvara on pärit IT Kolledži Elab keskkonnast.

Järgevalt eeldab autor, et paigaldatud server ja klient suudavad omavahel suhelda.

== Splunk paigaldus ==
Järgnevad tegevused tehakse Klient arvutis nimega desktop.

[http://virtuallyhyper.com/2013/06/install-splunk-and-send-logs-to-splunk-with-rsyslog-over-tcp-with-ssl/]

Paigalduse alustamiseks tuleb allalaadida Splunk tarkvara. Juhendis on kasutatud Splunk 6.0.1 Linuxi 64bit versiooni.
Tarkvara saab alla laadida siit: [http://www.splunk.com/download]

 
[[File:splunkdownload.JPG]]
 

Peale faili allalaadimist tuleb paigaldada paigalduspakett, selleks kasutada käsku:

sudo dpkg -i /home/student/Downloads/splunker/splunk-6.0.1-189883-linux-2.6-amd64.deb

Antud näite puhul asetseb paigalduspakett /home/student/Downloads/splunker/ alamkatalogis.

Splunk tarkvara paigaldamiseks kasutada käsku:

sudo /opt/splunk/bin/splunk start

Peale paigaldust kuvatakse kasutajale Splunk veebiliidese asukoht. Antud näite puhul on selleks http://desktop:8000

 
[[File:splunkfin.JPG]]
 

Vaikimisi peaks Splunk töötama portidel 8000 ja 8089. Antud väite kindlastegemisel kasutame käsku:
netstat -antp | grep -E '8000|8089'

 
[[File:portcheck.JPG]]
 

Järgmiseks anname portidele 8000 ja 8089 tulemüüri läbimisõigused. Kasutame käske:
sudo iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8000 -j ACCEPT
sudo iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8089 -j ACCEPT

 
[[File:iptables.JPG]]
 

Jägnevalt tuleb teha tülemüüri rakendusele taaskäivitus.
sudo service ufw restart

 
[[File:iptablesrestart.JPG]]
 

Viimaks tuleb vaadata, kas uued reeglid on aktiivsed. Selleks kasutame käsku:
iptables -L -n | grep -E '8000|8089'

 
[[File:iptablescheck.JPG]]
 

== Splunk veebiliidese paigaldus ==
Järgnevalt kasutame veebilehitsejat. Liigume aadressile http://192.168.56.101:8000
Algselt on kasutajatunnuseks admin ja parooliks changeme.

Peale sisselogimist kohustab programm parooli vahetama.
Antud näites on kasutajatunnuseks: admin ja parooliks student.

 
[[File:splunkweb.JPG]]
 

Õnnestunud sisselogimisel kuvatakse kasutajale splunk veebiportaali.

Avanenud aknas vajutame nupule "Add data".

 
[[File:addnupp.JPG]]
 

Järgnevast menüüst vajutame valikul "Syslog"

 
[[File:adddata.JPG]]
 

Järgenevast valikust valime "Consume syslog over TCP" ja vajutame nupule "next"

 
 
[[File:syslogovertcp.JPG]]
 

Avanevas aknas tuleb täita järgnevad väljad:
TCP port - 514
Select source type from list - syslog

More settings
Set host - IP

ja vajutada nupule "Save"
 
 
[[File:syslogconf1.JPG]]
 

 
 
[[File:syslogconf2.JPG]]
 

Eduka salvestamise puhul peaks kasutaja nägema järgmist pilti:

 
[[File:syslogsuccess.JPG]]
 

Järgnevalt tuleb tagasi minna Splunk serveri juurde (masin kuhu Splunk paigaldati).

Juhul kui veebiliideses sai kõik korrektselt sisestatud, peaks splunk kuulama 514 porti.
netstat -antp | grep 514

 
[[File:splunknenstatgrep.JPG]]
 
 

Viimas lisame pordile 514 tulemüüri läbipääsu reegli ja teeme tulemüüri rakendusele taaskäivituse.
sudo iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 514 -j ACCEPT

sudo service ufw restart

 
[[File:port514plusrestart.JPG]]
 

== Paigaldame Rsyslogi saatma logisi Splunk serverile ==
Järgnevad tegevused tuimuvad Serveris nimega Ubuntu.

Selleks, et Rsyslog saadaks Klient arvutile logisi tuleb muuta rsyslog konfiguratsioonifail.

Muudame faili /etc/rsyslog.conf

sudo nano /etc/rsyslog.conf

Lisame rsyslog faili lõppu järgneva rea:

*.* @@192.168.56.101:514

Peale muudatuste tegemist tuleb rsyslog rakendusele teha taaskäivitus.
sudo service rsyslog restart

= Kasutatud kirjandus =

http://virtuallyhyper.com/2013/06/install-splunk-and-send-logs-to-splunk-with-rsyslog-over-tcp-with-ssl/

Keskse logihalduse süsteem Splunk baasil

2014-01-10T14:41:08Z

Vvirk:

Labor 2 - Keskse logihalduse süsteem Splunk baasil

Autor: Veiko Virk

A31

10.01.2014

Õppeaine : [[Linuxi administreerimine]]

= Ülesande püstitus =
Luua keskse logihalduse süsteem Splunk baasil, kasutades kahte masinat (server, klient)

 
[[File:splunkstruktuur.jpg]]
 

= Kasutatud tarkvara =
Server : Ubuntu Server 64bit, versioon: 12.04 Saadab logisi läbi rsyslog tarkvara

Klient : Ubuntu client 64bit, versioon 13.04 Platvorm mille peal Splunk töötab

Splunk 6.0.1 - võtab vastu ja töötleb logisi

= Protokoll =

== Serveri ja kliendi algsed seaded antu näite puhul ==
Klient:
Nimi - desktop
IP - Staatiline 192.168.56.101

Server:
Nimi - Ubuntu
IP - Staatiline 192.168.56.200
Mõlemal virtuaalmasinal on kasutatud eelnevalt eksporditud ubuntu Client/Server .OAV tõmmist (image). Tarkvara on pärit IT Kolledži Elab keskkonnast.

Järgevalt eeldab autor, et paigaldatud server ja klient suudavad omavahel suhelda.

== Splunk paigaldus ==
Järgnevad tegevused tehakse Klient arvutis nimega desktop.

[http://virtuallyhyper.com/2013/06/install-splunk-and-send-logs-to-splunk-with-rsyslog-over-tcp-with-ssl/]

Paigalduse alustamiseks tuleb allalaadida Splunk tarkvara. Juhendis on kasutatud Splunk 6.0.1 Linuxi 64bit versiooni.
Tarkvara saab alla laadida siit: [http://www.splunk.com/download]

 
[[File:splunkdownload.JPG]]
 

Peale faili allalaadimist tuleb paigaldada paigalduspakett, selleks kasutada käsku:

sudo dpkg -i /home/student/Downloads/splunker/splunk-6.0.1-189883-linux-2.6-amd64.deb

Antud näite puhul asetseb paigalduspakett /home/student/Downloads/splunker/ alamkatalogis.

Splunk tarkvara paigaldamiseks kasutada käsku:

sudo /opt/splunk/bin/splunk start

Peale paigaldust kuvatakse kasutajale Splunk veebiliidese asukoht. Antud näite puhul on selleks http://desktop:8000

 
[[File:splunkfin.JPG]]
 

Vaikimisi peaks Splunk töötama portidel 8000 ja 8089. Antud väite kindlastegemisel kasutame käsku:
netstat -antp | grep -E '8000|8089'

 
[[File:portcheck.JPG]]
 

Järgmiseks anname portidele 8000 ja 8089 tulemüüri läbimisõigused. Kasutame käske:
sudo iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8000 -j ACCEPT
sudo iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8089 -j ACCEPT

 
[[File:iptables.JPG]]
 

Jägnevalt tuleb teha tülemüüri rakendusele taaskäivitus.
sudo service ufw restart

 
[[File:iptablesrestart.JPG]]
 

Viimaks tuleb vaadata, kas uued reeglid on aktiivsed. Selleks kasutame käsku:
iptables -L -n | grep -E '8000|8089'

 
[[File:iptablescheck.JPG]]
 

== Splunk veebiliidese paigaldus ==
Järgnevalt kasutame veebilehitsejat. Liigume aadressile http://192.168.56.101:8000
Algselt on kasutajatunnuseks admin ja parooliks changeme.

Peale sisselogimist kohustab programm parooli vahetama.
Antud näites on kasutajatunnuseks: admin ja parooliks student.

 
[[File:splunkweb.JPG]]
 

Õnnestunud sisselogimisel kuvatakse kasutajale splunk veebiportaali.

Avanenud aknas vajutame nupule "Add data".

 
[[File:addnupp.JPG]]
 

Järgnevast menüüst vajutame valikul "Syslog"

 
[[File:adddata.JPG]]
 

Järgenevast valikust valime "Consume syslog over TCP" ja vajutame nupule "next"

 
 
[[File:syslogovertcp.JPG]]
 

Avanevas aknas tuleb täita järgnevad väljad:
TCP port - 514
Select source type from list - syslog

More settings
Set host - IP

ja vajutada nupule "Save"
 
 
[[File:syslogconf1.JPG]]
 

 
 
[[File:syslogconf2.JPG]]
 

Eduka salvestamise puhul peaks kasutaja nägema järgmist pilti:

 
[[File:syslogsuccess.JPG]]
 

Järgnevalt tuleb tagasi minna Splunk serveri juurde (masin kuhu Splunk paigaldati).

Juhul kui veebiliideses sai kõik korrektselt sisestatud, peaks splunk kuulama 514 porti.
netstat -antp | grep 514

 
[[File:splunknenstatgrep.JPG]]
 
 

Viimas lisame pordile 514 tulemüüri läbipääsu reegli ja teeme tulemüüri rakendusele taaskäivituse.
sudo iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 514 -j ACCEPT

sudo service ufw restart

 
[[File:port514plusrestart.JPG]]
 

== Paigaldame Rsyslogi saatma logisi Splunk serverile ==
Järgnevad tegevused tuimuvad Serveris nimega Ubuntu.

Selleks, et Rsyslog saadaks Klient arvutile logisi tuleb muuta rsyslog konfiguratsioonifail.

Muudame faili /etc/rsyslog.conf

sudo nano /etc/rsyslog.conf

Lisame rsyslog faili lõppu järgneva rea:

*.* @@192.168.56.101:514

Peale muudatuste tegemist tuleb rsyslog rakendusele teha taaskäivitus.
sudo service rsyslog restart

= Kasutatud kirjandus =

http://virtuallyhyper.com/2013/06/install-splunk-and-send-logs-to-splunk-with-rsyslog-over-tcp-with-ssl/

Keskse logihalduse süsteem Splunk baasil

2014-01-10T14:33:20Z

Vvirk:

Labor 2 - Keskse logihalduse süsteem Splunk baasil

Autor: Veiko Virk

A31

10.01.2014

Õppeaine : [[Linuxi administreerimine]]

= Ülesande püstitus =
Luua keskse logihalduse süsteem Splunk baasil, kasutades kahte masinat (server, klient)

 
[[File:splunkstruktuur.jpg]]
 

= Kasutatud tarkvara =
Server : Ubuntu Server 64bit, versioon: 12.04 Saadab logisi läbi rsyslog tarkvara

Klient : Ubuntu client 64bit, versioon 13.04 Platvorm mille peal Splunk töötab

Splunk 6.0.1 - võtab vastu ja töötleb logisi

= Protokoll =

== Serveri ja kliendi algsed seaded antu näite puhul ==
Klient:
Nimi - desktop
IP - Staatiline 192.168.56.101

Server:
Nimi - Ubuntu
IP - Staatiline 192.168.56.200
Mõlemal virtuaalmasinal on kasutatud eelnevalt eksporditud ubuntu Client/Server .OAV tõmmist (image). Tarkvara on pärit IT Kolledži Elab keskkonnast.

Järgevalt eeldab autor, et paigaldatud server ja klient suudavad omavahel suhelda.

== Splunk paigaldus ==
Järgnevad tegevused tehakse Klient arvutis nimega desktop.

[http://virtuallyhyper.com/2013/06/install-splunk-and-send-logs-to-splunk-with-rsyslog-over-tcp-with-ssl/]

Paigalduse alustamiseks tuleb allalaadida Splunk tarkvara. Juhendis on kasutatud Splunk 6.0.1 Linuxi 64bit versiooni.
Tarkvara saab alla laadida siit: [http://www.splunk.com/download]

 
[[File:splunkdownload.JPG]]
 

Peale faili allalaadimist tuleb paigalduspakett paigaldada, selleks kasutada käsku:

sudo dpkg -i /home/student/Downloads/splunker/splunk-6.0.1-189883-linux-2.6-amd64.deb

Antud näite puhul asetseb paigalduspakett /home/student/Downloads/splunker/ alamkatalogis.

Splunk tarkvara paigaldamiseks kasutada käsku:

sudo /opt/splunk/bin/splunk start

Peale paigaldust kuvatakse kasutajale Splunk veebiliidese asukoht. Antud näite puhul on selleks http://desktop:8000

 
[[File:splunkfin.JPG]]
 

Vaikimisi peaks Splunk töötama portidel 8000 ja 8089. Antud väite kindlastegemisel kasutame käsku:
netstat -antp | grep -E '8000|8089'

 
[[File:portcheck.JPG]]
 

Järgmiseks anname portidele 8000 ja 8089 tulemüüri läbimisõigused. Kasutame käske:
sudo iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8000 -j ACCEPT
sudo iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8089 -j ACCEPT

 
[[File:iptables.JPG]]
 

Jägnevalt tuleb teha tülemüüri rakendusele taaskäivitus.
sudo service ufw restart

 
[[File:iptablesrestart.JPG]]
 

Viimaks tuleb vaadata, kas uued reeglid on aktiivsed. Selleks kasutame käsku:
iptables -L -n | grep -E '8000|8089'

 
[[File:iptablescheck.JPG]]
 

== Splunk veebiliidese paigaldus ==
Järgnevalt kasutame veebilehitsejat. Liigume aadressile http://192.168.56.101:8000
Algselt on kasutajatunnuseks admin ja parooliks changeme.

Peale sisselogimist kohustab programm parooli vahetama.
Antud näites on kasutajatunnuseks: admin ja parooliks student.

 
[[File:splunkweb.JPG]]
 

Õnnestunud sisselogimisel kuvatakse kasutajale splunk veebiportaali.

Avanenud aknas vajutame nupule "Add data".

 
[[File:addnupp.JPG]]
 

Järgnevast menüüst vajutame valikul "Syslog"

 
[[File:adddata.JPG]]
 

Järgenevast valikust valime "Consume syslog over TCP" ja vajutame nupule "next"

 
 
[[File:syslogovertcp.JPG]]
 

Avanevas aknas tuleb täita järgnevad väljad:
TCP port - 514
Select source type from list - syslog

More settings
Set host - IP

ja vajutada nupule "Save"
 
 
[[File:syslogconf1.JPG]]
 

 
 
[[File:syslogconf2.JPG]]
 

Eduka salvestamise puhul peaks kasutaja nägema järgmist pilti:

 
[[File:syslogsuccess.JPG]]
 

Järgnevalt tuleb tagasi minna Splunk serveri juurde (masin kuhu Splunk paigaldati).

Juhul kui veebiliideses sai kõik korrektselt sisestatud, peaks splunk kuulama 514 porti.
netstat -antp | grep 514

 
[[File:splunknenstatgrep.JPG]]
 
 

Viimas lisame pordile 514 tulemüüri läbipääsu reegli ja teeme tulemüüri rakendusele taaskäivituse.
sudo iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 514 -j ACCEPT

sudo service ufw restart

 
[[File:port514plusrestart.JPG]]
 

== Paigaldame Rsyslogi saatma logisi Splunk serverile ==
Järgnevad tegevused tuimuvad Serveris nimega Ubuntu.

Selleks, et Rsyslog saadaks Klient arvutile logisi tuleb muuta rsyslog konfiguratsioonifail.

Muudame faili /etc/rsyslog.conf

sudo nano /etc/rsyslog.conf

Lisame rsyslog faili lõppu järgneva rea:

*.* @@192.168.56.101:514

Peale muudatuste tegemist tuleb rsyslog rakendusele teha taaskäivitus.
sudo service rsyslog restart

= Kasutatud kirjandus =

http://virtuallyhyper.com/2013/06/install-splunk-and-send-logs-to-splunk-with-rsyslog-over-tcp-with-ssl/

Keskse logihalduse süsteem Splunk baasil

2014-01-10T14:00:26Z

Vvirk:

Labor 2 - Keskse logihalduse süsteem Splunk baasil

Autor: Veiko Virk

A31

10.01.2014

Õppeaine : [[Linuxi administreerimine]]

= Ülesande püstitus =
Luua kohalikus võrgus keskne logide haldamise süsteem, kasutades kahte masinat (server; klient)

 
[[File:splunkstruktuur.jpg]]
 

= Kasutatud tarkvara =
Server : Ubuntu Server 64bit, versioon: 12.04 Saadab logisi läbi rsyslog tarkvara

Klient : Ubuntu client 64bit, versioon 13.04 Platvorm mille peal Splunk töötab

Splunk 6.0.1 - võtab vastu ja töötleb logisi

= Protokoll =

== Serveri ja kliendi algsed seaded antu näite puhul ==
Klient:
Nimi - desktop
IP - Staatiline 192.168.56.101

Server:
Nimi - Ubuntu
IP - Staatiline 192.168.56.200
Mõlemal virtuaalmasinal on kasutatud eelnevalt eksporditud ubuntu Client/Server .OAV tõmmist (image). Tarkvara on pärit IT Kolledži Elab keskkonnast.

Järgevalt eeldab autor, et paigaldatud server ja klient suudavad omavahel suhelda.

== Splunk paigaldus ==
Järgnevad tegevused tehakse Klient arvutis nimega desktop.

[http://virtuallyhyper.com/2013/06/install-splunk-and-send-logs-to-splunk-with-rsyslog-over-tcp-with-ssl/]
Paigalduse alustamiseks tuleb allalaadida Splunk tarkvara. Juhendis on kasutatud Splunk 6.0.1 Linuxi 64bit versiooni.
Tarkvara saab alla laadida siit: [http://www.splunk.com/download]

 
[[File:splunkdownload.JPG]]
 

Peale faili allalaadimist tuleb paigalduspakett paigaldada, selleks kasutada käsku:

sudo dpkg -i /home/student/Downloads/splunker/splunk-6.0.1-189883-linux-2.6-amd64.deb

Antud näite puhul asetseb paigalduspakett /home/student/Downloads/splunker/ alamkatalogis.

Splunk tarkvara paigaldamiseks kasutada käsku:

sudo /opt/splunk/bin/splunk start

Peale paigaldust kuvatakse kasutajale Splunk veebiliidese asukoht. Antud näite puhul on selleks http://desktop:8000

 
[[File:splunkfin.JPG]]
 

Vaikimisi peaks Splunk töötama portidel 8000 ja 8089. Antud väite kindlastegemisel kasutame käsku:
netstat -antp | grep -E '8000|8089'

 
[[File:portcheck.JPG]]
 

Järgmiseks anname portidele 8000 ja 8089 tulemüüri läbimisõigused. Kasutame käske:
sudo iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8000 -j ACCEPT
sudo iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8089 -j ACCEPT

 
[[File:iptables.JPG]]
 

Jägnevalt tuleb teha tülemüüri rakendusele taaskäivitus.
sudo service ufw restart

 
[[File:iptablesrestart.JPG]]
 

Viimaks tuleb vaadata, kas uued reeglid on aktiivsed. Selleks kasutame käsku:
iptables -L -n | grep -E '8000|8089'

 
[[File:iptablescheck.JPG]]
 

== Splunk veebiliidese paigaldus ==
Järgnevalt kasutame veebilehitsejat. Liigume aadressile http://192.168.56.101:8000
Algselt on kasutajatunnuseks admin ja parooliks changeme.

Peale sisselogimist kohustab programm parooli vahetama.
Antud näites on kasutajatunnuseks: admin ja parooliks student.

 
[[File:splunkweb.JPG]]
 

Õnnestunud sisselogimisel kuvatakse kasutajale splunk veebiportaali.

Avanenud aknas vajutame nupule "Add data".

 
[[File:addnupp.JPG]]
 

Järgnevast menüüst vajutame valikul "Syslog"

 
[[File:adddata.JPG]]
 

Järgenevast valikust valime "Consume syslog over TCP" ja vajutame nupule "next"

 
 
[[File:syslogovertcp.JPG]]
 

Avanevas aknas tuleb täita järgnevad väljad:
TCP port - 514
Select source type from list - syslog

More settings
Set host - IP

ja vajutada nupule "Save"
 
 
[[File:syslogconf1.JPG]]
 

 
 
[[File:syslogconf2.JPG]]
 

Eduka salvestamise puhul peaks kasutaja nägema järgmist pilti:

 
[[File:syslogsuccess.JPG]]
 

Järgnevalt tuleb tagasi minna Splunk serveri juurde (masin kuhu Splunk paigaldati).

Juhul kui veebiliideses sai kõik korrektselt sisestatud, peaks splunk kuulama 514 porti.
netstat -antp | grep 514

 
[[File:splunknenstatgrep.JPG]]
 
 

Viimas lisame pordile 514 tulemüüri läbipääsu reegli ja teeme tulemüüri rakendusele taaskäivituse.
sudo iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 514 -j ACCEPT

sudo service ufw restart

 
[[File:port514plusrestart.JPG]]
 

== Paigaldame Rsyslogi saatma logisi Splunk serverile ==
Järgnevad tegevused tuimuvad Serveris nimega Ubuntu.

Selleks, et Rsyslog saadaks Klient arvutile logisi tuleb muuta rsyslog konfiguratsioonifail.

Muudame faili /etc/rsyslog.conf

sudo nano /etc/rsyslog.conf

Lisame rsyslog faili lõppu järgneva rea:

*.* @@192.168.56.101:514

Peale muudatuste tegemist tuleb rsyslog rakendusele teha taaskäivitus.
sudo service rsyslog restart

= Kasutatud kirjandus =

http://virtuallyhyper.com/2013/06/install-splunk-and-send-logs-to-splunk-with-rsyslog-over-tcp-with-ssl/

Keskse logihalduse süsteem Splunk baasil

2014-01-10T13:58:49Z

Vvirk:

Labor 2 - Keskse logihalduse süsteem Splunk baasil

Autor: Veiko Virk

A31

10.01.2014

Õppeaine : [[Linuxi administreerimine]]

= Ülesande püstitus =
Luua kohalikus võrgus keskne logide haldamise süsteem, kasutades kahte masinat (server; klient)

 
[[File:splunkstruktuur.JPG]]
 

= Kasutatud tarkvara =
Server : Ubuntu Server 64bit, versioon: 12.04 Saadab logisi läbi rsyslog tarkvara

Klient : Ubuntu client 64bit, versioon 13.04 Platvorm mille peal Splunk töötab

Splunk 6.0.1 - võtab vastu ja töötleb logisi

= Protokoll =

== Serveri ja kliendi algsed seaded antu näite puhul ==
Klient:
Nimi - desktop
IP - Staatiline 192.168.56.101

Server:
Nimi - Ubuntu
IP - Staatiline 192.168.56.200
Mõlemal virtuaalmasinal on kasutatud eelnevalt eksporditud ubuntu Client/Server .OAV tõmmist (image). Tarkvara on pärit IT Kolledži Elab keskkonnast.

Järgevalt eeldab autor, et paigaldatud server ja klient suudavad omavahel suhelda.

== Splunk paigaldus ==
Järgnevad tegevused tehakse Klient arvutis nimega desktop.

[http://virtuallyhyper.com/2013/06/install-splunk-and-send-logs-to-splunk-with-rsyslog-over-tcp-with-ssl/]
Paigalduse alustamiseks tuleb allalaadida Splunk tarkvara. Juhendis on kasutatud Splunk 6.0.1 Linuxi 64bit versiooni.
Tarkvara saab alla laadida siit: [http://www.splunk.com/download]

 
[[File:splunkdownload.JPG]]
 

Peale faili allalaadimist tuleb paigalduspakett paigaldada, selleks kasutada käsku:

sudo dpkg -i /home/student/Downloads/splunker/splunk-6.0.1-189883-linux-2.6-amd64.deb

Antud näite puhul asetseb paigalduspakett /home/student/Downloads/splunker/ alamkatalogis.

Splunk tarkvara paigaldamiseks kasutada käsku:

sudo /opt/splunk/bin/splunk start

Peale paigaldust kuvatakse kasutajale Splunk veebiliidese asukoht. Antud näite puhul on selleks http://desktop:8000

 
[[File:splunkfin.JPG]]
 

Vaikimisi peaks Splunk töötama portidel 8000 ja 8089. Antud väite kindlastegemisel kasutame käsku:
netstat -antp | grep -E '8000|8089'

 
[[File:portcheck.JPG]]
 

Järgmiseks anname portidele 8000 ja 8089 tulemüüri läbimisõigused. Kasutame käske:
sudo iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8000 -j ACCEPT
sudo iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8089 -j ACCEPT

 
[[File:iptables.JPG]]
 

Jägnevalt tuleb teha tülemüüri rakendusele taaskäivitus.
sudo service ufw restart

 
[[File:iptablesrestart.JPG]]
 

Viimaks tuleb vaadata, kas uued reeglid on aktiivsed. Selleks kasutame käsku:
iptables -L -n | grep -E '8000|8089'

 
[[File:iptablescheck.JPG]]
 

== Splunk veebiliidese paigaldus ==
Järgnevalt kasutame veebilehitsejat. Liigume aadressile http://192.168.56.101:8000
Algselt on kasutajatunnuseks admin ja parooliks changeme.

Peale sisselogimist kohustab programm parooli vahetama.
Antud näites on kasutajatunnuseks: admin ja parooliks student.

 
[[File:splunkweb.JPG]]
 

Õnnestunud sisselogimisel kuvatakse kasutajale splunk veebiportaali.

Avanenud aknas vajutame nupule "Add data".

 
[[File:addnupp.JPG]]
 

Järgnevast menüüst vajutame valikul "Syslog"

 
[[File:adddata.JPG]]
 

Järgenevast valikust valime "Consume syslog over TCP" ja vajutame nupule "next"

 
 
[[File:syslogovertcp.JPG]]
 

Avanevas aknas tuleb täita järgnevad väljad:
TCP port - 514
Select source type from list - syslog

More settings
Set host - IP

ja vajutada nupule "Save"
 
 
[[File:syslogconf1.JPG]]
 

 
 
[[File:syslogconf2.JPG]]
 

Eduka salvestamise puhul peaks kasutaja nägema järgmist pilti:

 
[[File:syslogsuccess.JPG]]
 

Järgnevalt tuleb tagasi minna Splunk serveri juurde (masin kuhu Splunk paigaldati).

Juhul kui veebiliideses sai kõik korrektselt sisestatud, peaks splunk kuulama 514 porti.
netstat -antp | grep 514

 
[[File:splunknenstatgrep.JPG]]
 
 

Viimas lisame pordile 514 tulemüüri läbipääsu reegli ja teeme tulemüüri rakendusele taaskäivituse.
sudo iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 514 -j ACCEPT

sudo service ufw restart

 
[[File:port514plusrestart.JPG]]
 

== Paigaldame Rsyslogi saatma logisi Splunk serverile ==
Järgnevad tegevused tuimuvad Serveris nimega Ubuntu.

Selleks, et Rsyslog saadaks Klient arvutile logisi tuleb muuta rsyslog konfiguratsioonifail.

Muudame faili /etc/rsyslog.conf

sudo nano /etc/rsyslog.conf

Lisame rsyslog faili lõppu järgneva rea:

*.* @@192.168.56.101:514

Peale muudatuste tegemist tuleb rsyslog rakendusele teha taaskäivitus.
sudo service rsyslog restart

= Kasutatud kirjandus =

http://virtuallyhyper.com/2013/06/install-splunk-and-send-logs-to-splunk-with-rsyslog-over-tcp-with-ssl/

File:Splunkstruktuur.jpg

2014-01-10T13:58:02Z

Vvirk:

File:Struktuur.jpg

2014-01-10T13:57:09Z

Vvirk: uploaded a new version of "File:Struktuur.jpg"

WinPE ehitamise struktuur.

Keskse logihalduse süsteem Splunk baasil

2014-01-10T13:53:58Z

Vvirk:

Labor 2 - Keskse logihalduse süsteem Splunk baasil

Autor: Veiko Virk

A31

10.01.2014

Õppeaine : [[Linuxi administreerimine]]

= Ülesande püstitus =
Luua kohalikus võrgus keskne logide haldamise süsteem, kasutades kahte masinat (server; klient)

 
[[File:spunkstruktuur.JPG]]
 

= Kasutatud tarkvara =
Server : Ubuntu Server 64bit, versioon: 12.04 Saadab logisi läbi rsyslog tarkvara

Klient : Ubuntu client 64bit, versioon 13.04 Platvorm mille peal Splunk töötab

Splunk 6.0.1 - võtab vastu ja töötleb logisi

= Protokoll =

== Serveri ja kliendi algsed seaded antu näite puhul ==
Klient:
Nimi - desktop
IP - Staatiline 192.168.56.101

Server:
Nimi - Ubuntu
IP - Staatiline 192.168.56.200
Mõlemal virtuaalmasinal on kasutatud eelnevalt eksporditud ubuntu Client/Server .OAV tõmmist (image). Tarkvara on pärit IT Kolledži Elab keskkonnast.

Järgevalt eeldab autor, et paigaldatud server ja klient suudavad omavahel suhelda.

== Splunk paigaldus ==
Järgnevad tegevused tehakse Klient arvutis nimega desktop.

[http://virtuallyhyper.com/2013/06/install-splunk-and-send-logs-to-splunk-with-rsyslog-over-tcp-with-ssl/]
Paigalduse alustamiseks tuleb allalaadida Splunk tarkvara. Juhendis on kasutatud Splunk 6.0.1 Linuxi 64bit versiooni.
Tarkvara saab alla laadida siit: [http://www.splunk.com/download]

 
[[File:splunkdownload.JPG]]
 

Peale faili allalaadimist tuleb paigalduspakett paigaldada, selleks kasutada käsku:

sudo dpkg -i /home/student/Downloads/splunker/splunk-6.0.1-189883-linux-2.6-amd64.deb

Antud näite puhul asetseb paigalduspakett /home/student/Downloads/splunker/ alamkatalogis.

Splunk tarkvara paigaldamiseks kasutada käsku:

sudo /opt/splunk/bin/splunk start

Peale paigaldust kuvatakse kasutajale Splunk veebiliidese asukoht. Antud näite puhul on selleks http://desktop:8000

 
[[File:splunkfin.JPG]]
 

Vaikimisi peaks Splunk töötama portidel 8000 ja 8089. Antud väite kindlastegemisel kasutame käsku:
netstat -antp | grep -E '8000|8089'

 
[[File:portcheck.JPG]]
 

Järgmiseks anname portidele 8000 ja 8089 tulemüüri läbimisõigused. Kasutame käske:
sudo iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8000 -j ACCEPT
sudo iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8089 -j ACCEPT

 
[[File:iptables.JPG]]
 

Jägnevalt tuleb teha tülemüüri rakendusele taaskäivitus.
sudo service ufw restart

 
[[File:iptablesrestart.JPG]]
 

Viimaks tuleb vaadata, kas uued reeglid on aktiivsed. Selleks kasutame käsku:
iptables -L -n | grep -E '8000|8089'

 
[[File:iptablescheck.JPG]]
 

== Splunk veebiliidese paigaldus ==
Järgnevalt kasutame veebilehitsejat. Liigume aadressile http://192.168.56.101:8000
Algselt on kasutajatunnuseks admin ja parooliks changeme.

Peale sisselogimist kohustab programm parooli vahetama.
Antud näites on kasutajatunnuseks: admin ja parooliks student.

 
[[File:splunkweb.JPG]]
 

Õnnestunud sisselogimisel kuvatakse kasutajale splunk veebiportaali.

Avanenud aknas vajutame nupule "Add data".

 
[[File:addnupp.JPG]]
 

Järgnevast menüüst vajutame valikul "Syslog"

 
[[File:adddata.JPG]]
 

Järgenevast valikust valime "Consume syslog over TCP" ja vajutame nupule "next"

 
 
[[File:syslogovertcp.JPG]]
 

Avanevas aknas tuleb täita järgnevad väljad:
TCP port - 514
Select source type from list - syslog

More settings
Set host - IP

ja vajutada nupule "Save"
 
 
[[File:syslogconf1.JPG]]
 

 
 
[[File:syslogconf2.JPG]]
 

Eduka salvestamise puhul peaks kasutaja nägema järgmist pilti:

 
[[File:syslogsuccess.JPG]]
 

Järgnevalt tuleb tagasi minna Splunk serveri juurde (masin kuhu Splunk paigaldati).

Juhul kui veebiliideses sai kõik korrektselt sisestatud, peaks splunk kuulama 514 porti.
netstat -antp | grep 514

 
[[File:splunknenstatgrep.JPG]]
 
 

Viimas lisame pordile 514 tulemüüri läbipääsu reegli ja teeme tulemüüri rakendusele taaskäivituse.
sudo iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 514 -j ACCEPT

sudo service ufw restart

 
[[File:port514plusrestart.JPG]]
 

== Paigaldame Rsyslogi saatma logisi Splunk serverile ==
Järgnevad tegevused tuimuvad Serveris nimega Ubuntu.

Selleks, et Rsyslog saadaks Klient arvutile logisi tuleb muuta rsyslog konfiguratsioonifail.

Muudame faili /etc/rsyslog.conf

sudo nano /etc/rsyslog.conf

Lisame rsyslog faili lõppu järgneva rea:

*.* @@192.168.56.101:514

Peale muudatuste tegemist tuleb rsyslog rakendusele teha taaskäivitus.
sudo service rsyslog restart

= Kasutatud kirjandus =

http://virtuallyhyper.com/2013/06/install-splunk-and-send-logs-to-splunk-with-rsyslog-over-tcp-with-ssl/

Keskse logihalduse süsteem Splunk baasil

2014-01-10T13:53:06Z

Vvirk:

Labor 2 - Keskse logihalduse süsteem Splunk baasil

Autor: Veiko Virk

A31

10.01.2014

Õppeaine : [[Linuxi administreerimine]]

= Ülesande püstitus =
Luua kohalikus võrgus keskne logide haldamise süsteem, kasutades kahte masinat (server; klient)

 
[[File:spunkstruktuur.JPG]]
 

= Kasutatud tarkvara =
Server : Ubuntu Server 64bit, versioon: 12.04 Saadab logisi läbi rsyslog tarkvara

Klient : Ubuntu client 64bit, versioon 13.04 Platvorm mille peal Splunk töötab

Splunk 6.0.1 - võtab vastu ja töötleb logisi

= Protokoll =

== Serveri ja kliendi algsed seaded antu näite puhul ==
Klient:
Nimi - desktop
IP - Staatiline 192.168.56.101

Server:
Nimi - Ubuntu
IP - Staatiline 192.168.56.200
Mõlemal virtuaalmasinal on kasutatud eelnevalt eksporditud ubuntu Client/Server .OAV tõmmist (image). Tarkvara on pärit IT Kolledži Elab keskkonnast.

Järgevalt eeldab autor, et paigaldatud server ja klient suudavad omavahel suhelda.

== Splunk paigaldus ==
Järgnevad tegevused tehakse Klient arvutis nimega desktop.

[http://virtuallyhyper.com/2013/06/install-splunk-and-send-logs-to-splunk-with-rsyslog-over-tcp-with-ssl/]
Paigalduse alustamiseks tuleb allalaadida Splunk tarkvara. Juhendis on kasutatud Splunk 6.0.1 Linuxi 64bit versiooni.
Tarkvara saab alla laadida siit: [http://www.splunk.com/download]

 
[[File:splunkdownload.JPG]]
 

Peale faili allalaadimist tuleb paigalduspakett paigaldada, selleks kasutada käsku:

sudo dpkg -i /home/student/Downloads/splunker/splunk-6.0.1-189883-linux-2.6-amd64.deb

Antud näite puhul asetseb paigalduspakett /home/student/Downloads/splunker/ alamkatalogis.

Splunk tarkvara paigaldamiseks kasutada käsku:

sudo /opt/splunk/bin/splunk start

Peale paigaldust kuvatakse kasutajale Splunk veebiliidese asukoht. Antud näite puhul on selleks http://desktop:8000

 
[[File:splunkfin.JPG]]
 

Vaikimisi peaks Splunk töötama portidel 8000 ja 8089. Antud väite kindlastegemisel kasutame käsku:
netstat -antp | grep -E '8000|8089'

 
[[File:portcheck.JPG]]
 

Järgmiseks anname portidele 8000 ja 8089 tulemüüri läbimisõigused. Kasutame käske:
sudo iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8000 -j ACCEPT
sudo iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8089 -j ACCEPT

 
[[File:iptables.JPG]]
 

Jägnevalt tuleb teha tülemüüri rakendusele taaskäivitus.
sudo service ufw restart

 
[[File:iptablesrestart.JPG]]
 

Viimaks tuleb vaadata, kas uued reeglid on aktiivsed. Selleks kasutame käsku:
iptables -L -n | grep -E '8000|8089'

 
[[File:iptablescheck.JPG]]
 

== Splunk veebiliidese paigaldus ==
Järgnevalt kasutame veebilehitsejat. Liigume aadressile http://192.168.56.101:8000
Algselt on kasutajatunnuseks admin ja parooliks changeme.

Peale sisselogimist kohustab programm parooli vahetama.
Antud näites on kasutajatunnuseks: admin ja parooliks student.

 
[[File:splunkweb.JPG]]
 

Õnnestunud sisselogimisel kuvatakse kasutajale splunk veebiportaali.

Avanenud aknas vajutame nupule "Add data".

 
[[File:addnupp.JPG]]
 

Järgnevast menüüst vajutame valikul "Syslog"

 
[[File:adddata.JPG]]
 

Järgenevast valikust valime "Consume syslog over TCP" ja vajutame nupule "next"

 
 
[[File:syslogovertcp.JPG]]
 

Avanevas aknas tuleb täita järgnevad väljad:
TCP port - 514
Select source type from list - syslog

More settings
Set host - IP

ja vajutada nupule "Save"
 
 
[[File:syslogconf1.JPG]]
 

 
 
[[File:syslogconf2.JPG]]
 

Eduka salvestamise puhul peaks kasutaja nägema järgmist pilti:

 
 
[[File:syslogsuccess.JPG]]
 

Järgnevalt tuleb tagasi minna Splunk serveri juurde (masin kuhu Splunk paigaldati).

Juhul kui veebiliideses sai kõik korrektselt sisestatud, peaks splunk kuulama 514 porti.
netstat -antp | grep 514

 
[[File:splunknenstatgrep.JPG]]
 
 

Viimas lisame pordile 514 tulemüüri läbipääsu reegli ja teeme tulemüüri rakendusele taaskäivituse.
sudo iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 514 -j ACCEPT

sudo service ufw restart

 
[[File:port514plusrestart.JPG]]
 

== Paigaldame Rsyslogi saatma logisi Splunk serverile ==
Järgnevad tegevused tuimuvad Serveris nimega Ubuntu.

Selleks, et Rsyslog saadaks Klient arvutile logisi tuleb muuta rsyslog konfiguratsioonifail.

Muudame faili /etc/rsyslog.conf

sudo nano /etc/rsyslog.conf

Lisame rsyslog faili lõppu järgneva rea:

*.* @@192.168.56.101:514

Peale muudatuste tegemist tuleb rsyslog rakendusele teha taaskäivitus.
sudo service rsyslog restart

= Kasutatud kirjandus =

http://virtuallyhyper.com/2013/06/install-splunk-and-send-logs-to-splunk-with-rsyslog-over-tcp-with-ssl/

Keskse logihalduse süsteem Splunk baasil

2014-01-10T13:50:42Z

Vvirk:

Labor 2 - Keskse logihalduse süsteem Splunk baasil

Autor: Veiko Virk

A31

10.01.2014

Õppeaine : [[Linuxi administreerimine]]

= Ülesande püstitus =
Luua kohalikus võrgus keskne logide haldamise süsteem, kasutades kahte masinat (server; klient)

 
[[File:spunkstruktuur.JPG]]
 

= Kasutatud tarkvara =
Server : Ubuntu Server 64bit, versioon: 12.04 Saadab logisi läbi rsyslog tarkvara

Klient : Ubuntu client 64bit, versioon 13.04 Platvorm mille peal Splunk töötab

Splunk 6.0.1 - võtab vastu ja töötleb logisi

= Protokoll =

== Serveri ja kliendi algsed seaded antu näite puhul ==
Klient:
Nimi - desktop
IP - Staatiline 192.168.56.101

Server:
Nimi - Ubuntu
IP - Staatiline 192.168.56.200
Mõlemal virtuaalmasinal on kasutatud eelnevalt eksporditud ubuntu Client/Server .OAV tõmmist (image). Tarkvara on pärit IT Kolledži Elab keskkonnast.

Järgevalt eeldab autor, et paigaldatud server ja klient suudavad omavahel suhelda.

== Splunk paigaldus ==
Järgnevad tegevused tehakse Klient arvutis nimega desktop.

Paigalduse alustamiseks tuleb allalaadida Splunk tarkvara. Juhendis on kasutatud Splunk 6.0.1 Linuxi 64bit versiooni.
Tarkvara saab alla laadida siit: [http://www.splunk.com/download]

 
[[File:splunkdownload.JPG]]
 

Peale faili allalaadimist tuleb paigalduspakett paigaldada, selleks kasutada käsku:

sudo dpkg -i /home/student/Downloads/splunker/splunk-6.0.1-189883-linux-2.6-amd64.deb

Antud näite puhul asetseb paigalduspakett /home/student/Downloads/splunker/ alamkatalogis.

Splunk tarkvara paigaldamiseks kasutada käsku:

sudo /opt/splunk/bin/splunk start

Peale paigaldust kuvatakse kasutajale Splunk veebiliidese asukoht. Antud näite puhul on selleks http://desktop:8000

 
[[File:splunkfin.JPG]]
 

Vaikimisi peaks Splunk töötama portidel 8000 ja 8089. Antud väite kindlastegemisel kasutame käsku:
netstat -antp | grep -E '8000|8089'

 
[[File:portcheck.JPG]]
 

Järgmiseks anname portidele 8000 ja 8089 tulemüüri läbimisõigused. Kasutame käske:
sudo iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8000 -j ACCEPT
sudo iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8089 -j ACCEPT

 
[[File:iptables.JPG]]
 

Jägnevalt tuleb teha tülemüüri rakendusele taaskäivitus.
sudo service ufw restart

 
[[File:iptablesrestart.JPG]]
 

Viimaks tuleb vaadata, kas uued reeglid on aktiivsed. Selleks kasutame käsku:
iptables -L -n | grep -E '8000|8089'

 
[[File:iptablescheck.JPG]]
 

== Splunk veebiliidese paigaldus ==
Järgnevalt kasutame veebilehitsejat. Liigume aadressile http://192.168.56.101:8000
Algselt on kasutajatunnuseks admin ja parooliks changeme.

Peale sisselogimist kohustab programm parooli vahetama.
Antud näites on kasutajatunnuseks: admin ja parooliks student.

 
[[File:splunkweb.JPG]]
 

Õnnestunud sisselogimisel kuvatakse kasutajale splunk veebiportaali.

Avanenud aknas vajutame nupule "Add data".

 
[[File:addnupp.JPG]]
 

Järgnevast menüüst vajutame valikul "Syslog"

 
[[File:adddata.JPG]]
 

Järgenevast valikust valime "Consume syslog over TCP" ja vajutame nupule "next"

 
 
[[File:syslogovertcp.JPG]]
 

Avanevas aknas tuleb täita järgnevad väljad:
TCP port - 514
Select source type from list - syslog

More settings
Set host - IP

ja vajutada nupule "Save"
 
 
[[File:syslogconf1.JPG]]
 

 
 
[[File:syslogconf2.JPG]]
 

Eduka salvestamise puhul peaks kasutaja nägema järgmist pilti:

 
 
[[File:syslogsuccess.JPG]]
 

Järgnevalt tuleb tagasi minna Splunk serveri juurde (masin kuhu Splunk paigaldati).

Juhul kui veebiliideses sai kõik korrektselt sisestatud, peaks splunk kuulama 514 porti.
netstat -antp | grep 514

 
[[File:splunknenstatgrep.JPG]]
 
 

Viimas lisame pordile 514 tulemüüri läbipääsu reegli ja teeme tulemüüri rakendusele taaskäivituse.
sudo iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 514 -j ACCEPT

sudo service ufw restart

 
[[File:port514plusrestart.JPG]]
 

== Paigaldame Rsyslogi saatma logisi Splunk serverile ==
Järgnevad tegevused tuimuvad Serveris nimega Ubuntu.

Selleks, et Rsyslog saadaks Klient arvutile logisi tuleb muuta rsyslog konfiguratsioonifail.

Muudame faili /etc/rsyslog.conf

sudo nano /etc/rsyslog.conf

Lisame rsyslog faili lõppu järgneva rea:

*.* @@192.168.56.101:514

Peale muudatuste tegemist tuleb rsyslog rakendusele teha taaskäivitus.
sudo service rsyslog restart

Keskse logihalduse süsteem Splunk baasil

2014-01-10T13:50:17Z

Vvirk:

Labor 2 - Keskse logihalduse süsteem Splunk baasil

Autor: Veiko Virk

A31

10.01.2014

Õppeaine : [[Linuxi administreerimine]]

= Ülesande püstitus =
Luua kohalikus võrgus keskne logide haldamise süsteem, kasutades kahte masinat (server; klient)

 
[[File:spunkstruktuur.JPG]]
 

= Kasutatud tarkvara =
Server : Ubuntu Server 64bit, versioon: 12.04 Saadab logisi läbi rsyslog tarkvara

Klient : Ubuntu client 64bit, versioon 13.04 Platvorm mille peal Splunk töötab

Splunk 6.0.1 - võtab vastu ja töötleb logisi

= Protokoll =

== Serveri ja kliendi algsed seaded antu näite puhul ==
Klient:
Nimi - desktop
IP - Staatiline 192.168.56.101

Server:
Nimi - Ubuntu
IP - Staatiline 192.168.56.200
Mõlemal virtuaalmasinal on kasutatud eelnevalt eksporditud ubuntu Client/Server .OAV tõmmist (image). Tarkvara on pärit IT Kolledži Elab keskkonnast.

Järgevalt eeldab autor, et paigaldatud server ja klient suudavad omavahel suhelda.

== Splunk paigaldus ==
Järgnevad tegevused tehakse Klient arvutis nimega desktop.

Paigalduse alustamiseks tuleb allalaadida Splunk tarkvara. Juhendis on kasutatud Splunk 6.0.1 Linuxi 64bit versiooni.
Tarkvara saab alla laadida siit: [http://www.splunk.com/download]

 
[[File:splunkdownload.JPG]]
 

Peale faili allalaadimist tuleb paigalduspakett paigaldada, selleks kasutada käsku:

sudo dpkg -i /home/student/Downloads/splunker/splunk-6.0.1-189883-linux-2.6-amd64.deb

Antud näite puhul asetseb paigalduspakett /home/student/Downloads/splunker/ alamkatalogis.

Splunk tarkvara paigaldamiseks kasutada käsku:

sudo /opt/splunk/bin/splunk start

Peale paigaldust kuvatakse kasutajale Splunk veebiliidese asukoht. Antud näite puhul on selleks http://desktop:8000

 
[[File:splunkfin.JPG]]
 

Vaikimisi peaks Splunk töötama portidel 8000 ja 8089. Antud väite kindlastegemisel kasutame käsku:
netstat -antp | grep -E '8000|8089'

 
[[File:portcheck.JPG]]
 

Järgmiseks anname portidele 8000 ja 8089 tulemüüri läbimisõigused. Kasutame käske:
sudo iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8000 -j ACCEPT
sudo iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8089 -j ACCEPT

 
[[File:iptables.JPG]]
 

Jägnevalt tuleb teha tülemüüri rakendusele taaskäivitus.
sudo service ufw restart

 
[[File:iptablesrestart.JPG]]
 

Viimaks tuleb vaadata, kas uued reeglid on aktiivsed. Selleks kasutame käsku:
iptables -L -n | grep -E '8000|8089'

 
[[File:iptablescheck.JPG]]
 

== Splunk veebiliidese paigaldus ==
Järgnevalt kasutame veebilehitsejat. Liigume aadressile http://192.168.56.101:8000
Algselt on kasutajatunnuseks admin ja parooliks changeme.

Peale sisselogimist kohustab programm parooli vahetama.
Antud näites on kasutajatunnuseks: admin ja parooliks student.

 
[[File:splunkweb.JPG]]
 

Õnnestunud sisselogimisel kuvatakse kasutajale splunk veebiportaali.

Avanenud aknas vajutame nupule "Add data".

 
[[File:addnupp.JPG]]
 

Järgnevast menüüst vajutame valikul "Syslog"

 
[[File:adddata.JPG]]
 

Järgenevast valikust valime "Consume syslog over TCP" ja vajutame nupule "next"

 
 
[[File:syslogovertcp.JPG]]
 

Avanevas aknas tuleb täita järgnevad väljad:
TCP port - 514
Select source type from list - syslog

More settings
Set host - IP

ja vajutada nupule "Save"
 
 
[[File:syslogconf1.JPG]]
 

 
 
[[File:syslogconf2.JPG]]
 

Eduka salvestamise puhul peaks kasutaja nägema järgmist pilti:

 
 
[[File:syslogsuccess.JPG]]
 

Järgnevalt tuleb tagasi minna Splunk serveri juurde (masin kuhu Splunk paigaldati).

Juhul kui veebiliideses sai kõik korrektselt sisestatud, peaks splunk kuulama 514 porti.
netstat -antp | grep 514

 
[[File:splunknenstatgrep.JPG]]
 
 
Viimas lisame pordile 514 tulemüüri läbipääsu reegli ja teeme tulemüüri rakendusele taaskäivituse.
sudo iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 514 -j ACCEPT

sudo service ufw restart

 
[[File:port514plusrestart.JPG]]
 

== Paigaldame Rsyslogi saatma logisi Splunk serverile ==
Järgnevad tegevused tuimuvad Serveris nimega Ubuntu.

Selleks, et Rsyslog saadaks Klient arvutile logisi tuleb muuta rsyslog konfiguratsioonifail.

Muudame faili /etc/rsyslog.conf

sudo nano /etc/rsyslog.conf

Lisame rsyslog faili lõppu järgneva rea:

*.* @@192.168.56.101:514

Peale muudatuste tegemist tuleb rsyslog rakendusele teha taaskäivitus.
sudo service rsyslog restart

Keskse logihalduse süsteem Splunk baasil

2014-01-10T13:49:50Z

Vvirk:

Labor 2 - Keskse logihalduse süsteem Splunk baasil

Autor: Veiko Virk

A31

10.01.2014

Õppeaine : [[Linuxi administreerimine]]

= Ülesande püstitus =
Luua kohalikus võrgus keskne logide haldamise süsteem, kasutades kahte masinat (server; klient)

 
[[File:spunkstruktuur.JPG]]
 

= Kasutatud tarkvara =
Server : Ubuntu Server 64bit, versioon: 12.04 Saadab logisi läbi rsyslog tarkvara

Klient : Ubuntu client 64bit, versioon 13.04 Platvorm mille peal Splunk töötab

Splunk 6.0.1 - võtab vastu ja töötleb logisi

= Protokoll =

== Serveri ja kliendi algsed seaded antu näite puhul ==
Klient:
Nimi - desktop
IP - Staatiline 192.168.56.101

Server:
Nimi - Ubuntu
IP - Staatiline 192.168.56.200
Mõlemal virtuaalmasinal on kasutatud eelnevalt eksporditud ubuntu Client/Server .OAV tõmmist (image). Tarkvara on pärit IT Kolledži Elab keskkonnast.

Järgevalt eeldab autor, et paigaldatud server ja klient suudavad omavahel suhelda.

== Splunk paigaldus ==
Järgnevad tegevused tehakse Klient arvutis nimega desktop.

Paigalduse alustamiseks tuleb allalaadida Splunk tarkvara. Juhendis on kasutatud Splunk 6.0.1 Linuxi 64bit versiooni.
Tarkvara saab alla laadida siit: [http://www.splunk.com/download]

 
[[File:splunkdownload.JPG]]
 

Peale faili allalaadimist tuleb paigalduspakett paigaldada, selleks kasutada käsku:

sudo dpkg -i /home/student/Downloads/splunker/splunk-6.0.1-189883-linux-2.6-amd64.deb

Antud näite puhul asetseb paigalduspakett /home/student/Downloads/splunker/ alamkatalogis.

Splunk tarkvara paigaldamiseks kasutada käsku:

sudo /opt/splunk/bin/splunk start

Peale paigaldust kuvatakse kasutajale Splunk veebiliidese asukoht. Antud näite puhul on selleks http://desktop:8000

 
[[File:splunkfin.JPG]]
 

Vaikimisi peaks Splunk töötama portidel 8000 ja 8089. Antud väite kindlastegemisel kasutame käsku:
netstat -antp | grep -E '8000|8089'

 
[[File:portcheck.JPG]]
 

Järgmiseks anname portidele 8000 ja 8089 tulemüüri läbimisõigused. Kasutame käske:
sudo iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8000 -j ACCEPT
sudo iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8089 -j ACCEPT

 
[[File:iptables.JPG]]
 

Jägnevalt tuleb teha tülemüüri rakendusele taaskäivitus.
sudo service ufw restart

 
[[File:iptablesrestart.JPG]]
 

Viimaks tuleb vaadata, kas uued reeglid on aktiivsed. Selleks kasutame käsku:
iptables -L -n | grep -E '8000|8089'

 
[[File:iptablescheck.JPG]]
 

== Splunk veebiliidese paigaldus ==
Järgnevalt kasutame veebilehitsejat. Liigume aadressile http://192.168.56.101:8000
Algselt on kasutajatunnuseks admin ja parooliks changeme.

Peale sisselogimist kohustab programm parooli vahetama.
Antud näites on kasutajatunnuseks: admin ja parooliks student.

 
[[File:splunkweb.JPG]]
 

Õnnestunud sisselogimisel kuvatakse kasutajale splunk veebiportaali.

Avanenud aknas vajutame nupule "Add data".

 
[[File:addnupp.JPG]]
 

Järgnevast menüüst vajutame valikul "Syslog"

 
[[File:adddata.JPG]]
 

Järgenevast valikust valime "Consume syslog over TCP" ja vajutame nupule "next"

 
 
[[File:syslogovertcp.JPG]]
 

Avanevas aknas tuleb täita järgnevad väljad:
TCP port - 514
Select source type from list - syslog

More settings
Set host - IP

ja vajutada nupule "Save"
 
 
[[File:syslogconf1.JPG]]
 

 
 
[[File:syslogconf2.JPG]]
 

Eduka salvestamise puhul peaks kasutaja nägema järgmist pilti:

 
[[File:syslogsuccess.JPG]]
 

Järgnevalt tuleb tagasi minna Splunk serveri juurde (masin kuhu Splunk paigaldati).

Juhul kui veebiliideses sai kõik korrektselt sisestatud, peaks splunk kuulama 514 porti.
netstat -antp | grep 514

 
[[File:splunknenstatgrep.JPG]]
 

Viimas lisame pordile 514 tulemüüri läbipääsu reegli ja teeme tulemüüri rakendusele taaskäivituse.
sudo iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 514 -j ACCEPT

sudo service ufw restart

 
[[File:port514plusrestart.JPG]]
 

== Paigaldame Rsyslogi saatma logisi Splunk serverile ==
Järgnevad tegevused tuimuvad Serveris nimega Ubuntu.

Selleks, et Rsyslog saadaks Klient arvutile logisi tuleb muuta rsyslog konfiguratsioonifail.

Muudame faili /etc/rsyslog.conf

sudo nano /etc/rsyslog.conf

Lisame rsyslog faili lõppu järgneva rea:

*.* @@192.168.56.101:514

Peale muudatuste tegemist tuleb rsyslog rakendusele teha taaskäivitus.
sudo service rsyslog restart

Keskse logihalduse süsteem Splunk baasil

2014-01-10T13:49:14Z

Vvirk:

Labor 2 - Keskse logihalduse süsteem Splunk baasil

Autor: Veiko Virk

A31

10.01.2014

Õppeaine : [[Linuxi administreerimine]]

= Ülesande püstitus =
Luua kohalikus võrgus keskne logide haldamise süsteem, kasutades kahte masinat (server; klient)

 
[[File:spunkstruktuur.JPG]]
 

= Kasutatud tarkvara =
Server : Ubuntu Server 64bit, versioon: 12.04 Saadab logisi läbi rsyslog tarkvara

Klient : Ubuntu client 64bit, versioon 13.04 Platvorm mille peal Splunk töötab

Splunk 6.0.1 - võtab vastu ja töötleb logisi

= Protokoll =

== Serveri ja kliendi algsed seaded antu näite puhul ==
Klient:
Nimi - desktop
IP - Staatiline 192.168.56.101

Server:
Nimi - Ubuntu
IP - Staatiline 192.168.56.200
Mõlemal virtuaalmasinal on kasutatud eelnevalt eksporditud ubuntu Client/Server .OAV tõmmist (image). Tarkvara on pärit IT Kolledži Elab keskkonnast.

Järgevalt eeldab autor, et paigaldatud server ja klient suudavad omavahel suhelda.

== Splunk paigaldus ==
Järgnevad tegevused tehakse Klient arvutis nimega desktop.

Paigalduse alustamiseks tuleb allalaadida Splunk tarkvara. Juhendis on kasutatud Splunk 6.0.1 Linuxi 64bit versiooni.
Tarkvara saab alla laadida siit: [http://www.splunk.com/download]

 
[[File:splunkdownload.JPG]]
 

Peale faili allalaadimist tuleb paigalduspakett paigaldada, selleks kasutada käsku:

sudo dpkg -i /home/student/Downloads/splunker/splunk-6.0.1-189883-linux-2.6-amd64.deb

Antud näite puhul asetseb paigalduspakett /home/student/Downloads/splunker/ alamkatalogis.

Splunk tarkvara paigaldamiseks kasutada käsku:

sudo /opt/splunk/bin/splunk start

Peale paigaldust kuvatakse kasutajale Splunk veebiliidese asukoht. Antud näite puhul on selleks http://desktop:8000

 
[[File:splunkfin.JPG]]
 

Vaikimisi peaks Splunk töötama portidel 8000 ja 8089. Antud väite kindlastegemisel kasutame käsku:
netstat -antp | grep -E '8000|8089'

 
[[File:portcheck.JPG]]
 

Järgmiseks anname portidele 8000 ja 8089 tulemüüri läbimisõigused. Kasutame käske:
sudo iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8000 -j ACCEPT
sudo iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8089 -j ACCEPT

 
[[File:iptables.JPG]]
 

Jägnevalt tuleb teha tülemüüri rakendusele taaskäivitus.
sudo service ufw restart

 
[[File:iptablesrestart.JPG]]
 

Viimaks tuleb vaadata, kas uued reeglid on aktiivsed. Selleks kasutame käsku:
iptables -L -n | grep -E '8000|8089'

 
[[File:iptablescheck.JPG]]
 

== Splunk veebiliidese paigaldus ==
Järgnevalt kasutame veebilehitsejat. Liigume aadressile http://192.168.56.101:8000
Algselt on kasutajatunnuseks admin ja parooliks changeme.

Peale sisselogimist kohustab programm parooli vahetama.
Antud näites on kasutajatunnuseks: admin ja parooliks student.

 
[[File:splunkweb.JPG]]
 

Õnnestunud sisselogimisel kuvatakse kasutajale splunk veebiportaali.

Avanenud aknas vajutame nupule "Add data".

 
[[File:addnupp.JPG]]
 

Järgnevast menüüst vajutame valikul "Syslog"

 
[[File:adddata.JPG]]
 

Järgenevast valikust valime "Consume syslog over TCP" ja vajutame nupule "next"

 
 
[[File:syslogovertcp.JPG]]
 

Avanevas aknas tuleb täita järgnevad väljad:
TCP port - 514
Select source type from list - syslog

More settings
Set host - IP

ja vajutada nupule "Save"
 
 
[[File:syslogconf1.JPG]]
 

 
 
[[File:syslogconf2.JPG]]
 

Eduka salvestamise puhul peaks kasutaja nägema järgmist pilti:

 
[[File:syslogsuccess.JPG]]
 

Järgnevalt tuleb tagasi minna Splunk serveri juurde (masin kuhu Splunk paigaldati).

Juhul kui veebiliideses sai kõik korrektselt sisestatud, peaks splunk kuulama 514 porti.
netstat -antp | grep 514

 
[[File:splunknenstatgrep.JPG]]
 

Viimas lisame pordile 514 tulemüüri läbipääsu reegli ja teeme tulemüüri rakendusele taaskäivituse.
sudo iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 514 -j ACCEPT

sudo service ufw restart

 
[[File:port514plusrestart.JPG]]
 

== Paigaldame Rsyslogi saatma logisi Splunk serverile ==
Järgnevad tegevused tuimuvad Serveris nimega Ubuntu.

Selleks, et Rsyslog saadaks Klient arvutile logisi tuleb muuta rsyslog konfiguratsioonifail.

Muudame faili /etc/rsyslog.conf

sudo nano /etc/rsyslog.conf

Lisame rsyslog faili lõppu järgneva rea:

*.* @@192.168.56.101:514

Peale muudatuste tegemist tuleb rsyslog rakendusele teha taaskäivitus.
sudo service rsyslog restart

Keskse logihalduse süsteem Splunk baasil

2014-01-10T13:47:21Z

Vvirk:

Labor 2 - Keskse logihalduse süsteem Splunk baasil

Autor: Veiko Virk

A31

10.01.2014

Õppeaine : [[Linuxi administreerimine]]

= Ülesande püstitus =
Luua kohalikus võrgus keskne logide haldamise süsteem, kasutades kahte masinat (server; klient)

 
[[File:spunkstruktuur.JPG]]
 

= Kasutatud tarkvara =
Server : Ubuntu Server 64bit, versioon: 12.04 Saadab logisi läbi rsyslog tarkvara

Klient : Ubuntu client 64bit, versioon 13.04 Platvorm mille peal Splunk töötab

Splunk 6.0.1 - võtab vastu ja töötleb logisi

= Protokoll =

== Serveri ja kliendi algsed seaded antu näite puhul ==
Klient:
Nimi - desktop
IP - Staatiline 192.168.56.101

Server:
Nimi - Ubuntu
IP - Staatiline 192.168.56.200
Mõlemal virtuaalmasinal on kasutatud eelnevalt eksporditud ubuntu Client/Server .OAV tõmmist (image). Tarkvara on pärit IT Kolledži Elab keskkonnast.

Järgevalt eeldab autor, et paigaldatud server ja klient suudavad omavahel suhelda.

== Splunk paigaldus ==
Järgnevad tegevused tehakse Klient arvutis nimega desktop.

Paigalduse alustamiseks tuleb allalaadida Splunk tarkvara. Juhendis on kasutatud Splunk 6.0.1 Linuxi 64bit versiooni.
Tarkvara saab alla laadida siit: [http://www.splunk.com/download]

 
[[File:splunkdownload.JPG]]
 

Peale faili allalaadimist tuleb paigalduspakett paigaldada, selleks kasutada käsku:

sudo dpkg -i /home/student/Downloads/splunker/splunk-6.0.1-189883-linux-2.6-amd64.deb

Antud näite puhul asetseb paigalduspakett /home/student/Downloads/splunker/ alamkatalogis.

Splunk tarkvara paigaldamiseks kasutada käsku:

sudo /opt/splunk/bin/splunk start

Peale paigaldust kuvatakse kasutajale Splunk veebiliidese asukoht. Antud näite puhul on selleks http://desktop:8000

 
[[File:splunkfin.JPG]]
 

Vaikimisi peaks Splunk töötama portidel 8000 ja 8089. Antud väite kindlastegemisel kasutame käsku:
netstat -antp | grep -E '8000|8089'

 
[[File:portcheck.JPG]]
 

Järgmiseks anname portidele 8000 ja 8089 tulemüüri läbimisõigused. Kasutame käske:
sudo iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8000 -j ACCEPT
sudo iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8089 -j ACCEPT

 
[[File:iptables.JPG]]
 

Jägnevalt tuleb teha tülemüüri rakendusele taaskäivitus.
sudo service ufw restart

 
[[File:iptablesrestart.JPG]]
 

Viimaks tuleb vaadata, kas uued reeglid on aktiivsed. Selleks kasutame käsku:
iptables -L -n | grep -E '8000|8089'

 
[[File:iptablescheck.JPG]]
 

== Splunk veebiliidese paigaldus ==
Järgnevalt kasutame veebilehitsejat. Liigume aadressile http://192.168.56.101:8000
Algselt on kasutajatunnuseks admin ja parooliks changeme.

Peale sisselogimist kohustab programm parooli vahetama.
Antud näites on kasutajatunnuseks: admin ja parooliks student.

 
[[File:splunkweb.JPG]]
 

Õnnestunud sisselogimisel kuvatakse kasutajale splunk veebiportaali.

Avanenud aknas vajutame nupule "Add data".

 
[[File:addnupp.JPG]]
 

Järgnevast menüüst vajutame valikul "Syslog"

 
[[File:adddata.JPG]]
 

Järgenevast valikust valime "Consume syslog over TCP" ja vajutame nupule "next"

 
[[File:syslogovertcp.JPG]]
 

Avanevas aknas tuleb täita järgnevad väljad:
TCP port - 514
Select source type from list - syslog

More settings
Set host - IP

ja vajutada nupule "Save"

 
[[File:syslogconf1.JPG]]
 

 
[[File:syslogconf2.JPG]]
 

Eduka salvestamise puhul peaks kasutaja nägema järgmist pilti:

 
[[File:syslogsuccess.JPG]]
 

Järgnevalt tuleb tagasi minna Splunk serveri juurde (masin kuhu Splunk paigaldati).

Juhul kui veebiliideses sai kõik korrektselt sisestatud, peaks splunk kuulama 514 porti.
netstat -antp | grep 514

 
[[File:splunknenstatgrep.JPG]]
 

Viimas lisame pordile 514 tulemüüri läbipääsu reegli ja teeme tulemüüri rakendusele taaskäivituse.
sudo iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 514 -j ACCEPT

sudo service ufw restart

 
[[File:port514plusrestart.JPG]]
 

== Paigaldame Rsyslogi saatma logisi Splunk serverile ==
Järgnevad tegevused tuimuvad Serveris nimega Ubuntu.

Selleks, et Rsyslog saadaks Klient arvutile logisi tuleb muuta rsyslog konfiguratsioonifail.

Muudame faili /etc/rsyslog.conf

sudo nano /etc/rsyslog.conf

Lisame rsyslog faili lõppu järgneva rea:

*.* @@192.168.56.101:514

Peale muudatuste tegemist tuleb rsyslog rakendusele teha taaskäivitus.
sudo service rsyslog restart

Keskse logihalduse süsteem Splunk baasil

2014-01-10T13:46:16Z

Vvirk:

Labor 2 - Keskse logihalduse süsteem Splunk baasil

Autor: Veiko Virk

A31

10.01.2014

Õppeaine : [[Linuxi administreerimine]]

= Ülesande püstitus =
Luua kohalikus võrgus keskne logide haldamise süsteem, kasutades kahte masinat (server; klient)

 
[[File:spunkstruktuur.JPG]]
 

= Kasutatud tarkvara =
Server : Ubuntu Server 64bit, versioon: 12.04 Saadab logisi läbi rsyslog tarkvara

Klient : Ubuntu client 64bit, versioon 13.04 Platvorm mille peal Splunk töötab

Splunk 6.0.1 - võtab vastu ja töötleb logisi

= Protokoll =

== Serveri ja kliendi algsed seaded antu näite puhul ==
Klient:
Nimi - desktop
IP - Staatiline 192.168.56.101

Server:
Nimi - Ubuntu
IP - Staatiline 192.168.56.200
Mõlemal virtuaalmasinal on kasutatud eelnevalt eksporditud ubuntu Client/Server .OAV tõmmist (image). Tarkvara on pärit IT Kolledži Elab keskkonnast.

Järgevalt eeldab autor, et paigaldatud server ja klient suudavad omavahel suhelda.

== Splunk paigaldus ==
Järgnevad tegevused tehakse Klient arvutis nimega desktop.

Paigalduse alustamiseks tuleb allalaadida Splunk tarkvara. Juhendis on kasutatud Splunk 6.0.1 Linuxi 64bit versiooni.
Tarkvara saab alla laadida siit: [http://www.splunk.com/download]

 
[[File:splunkdownload.JPG]]
 

Peale faili allalaadimist tuleb paigalduspakett paigaldada, selleks kasutada käsku:

sudo dpkg -i /home/student/Downloads/splunker/splunk-6.0.1-189883-linux-2.6-amd64.deb

Antud näite puhul asetseb paigalduspakett /home/student/Downloads/splunker/ alamkatalogis.

Splunk tarkvara paigaldamiseks kasutada käsku:

sudo /opt/splunk/bin/splunk start

Peale paigaldust kuvatakse kasutajale Splunk veebiliidese asukoht. Antud näite puhul on selleks http://desktop:8000

 
[[File:splunkfin.JPG]]
 

Vaikimisi peaks Splunk töötama portidel 8000 ja 8089. Antud väite kindlastegemisel kasutame käsku:
netstat -antp | grep -E '8000|8089'

 
[[File:portcheck.JPG]]
 

Järgmiseks anname portidele 8000 ja 8089 tulemüüri läbimisõigused. Kasutame käske:
sudo iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8000 -j ACCEPT
sudo iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8089 -j ACCEPT

 
[[File:iptables.JPG]]
 

Jägnevalt tuleb teha tülemüüri rakendusele taaskäivitus.
sudo service ufw restart

 
[[File:iptablesrestart.JPG]]
 

Viimaks tuleb vaadata, kas uued reeglid on aktiivsed. Selleks kasutame käsku:
iptables -L -n | grep -E '8000|8089'

 
[[File:iptablescheck.JPG]]
 

== Splunk veebiliidese paigaldus ==
Järgnevalt kasutame veebilehitsejat. Liigume aadressile http://192.168.56.101:8000
Algselt on kasutajatunnuseks admin ja parooliks changeme.

Peale sisselogimist kohustab programm parooli vahetama.
Antud näites on kasutajatunnuseks: admin ja parooliks student.

 
[[File:splunkweb.JPG]]
 

Õnnestunud sisselogimisel kuvatakse kasutajale splunk veebiportaali.

Avanenud aknas vajutame nupule "Add data".

 
[[File:addnupp.JPG]]
 

Järgnevast menüüst vajutame valikul "Syslog"

 
[[File:adddata.JPG]]
 

Järgenevast valikust valime "Consume syslog over TCP" ja vajutame nupule "next"

 
[[File:syslogovertcp.JPG]]
 

Avanevas aknas tuleb täita järgnevad väljad:
TCP port - 514
Select source type from list - syslog

More settings
Set host - IP

ja vajutada nupule "Save"

 
[[File:syslogconf1.JPG]]
 

 
[[File:syslogconf2.JPG]]
 

Eduka salvestamise puhul peaks kasutaja nägema järgmist pilti:

 
[[File:syslogsuccess.JPG]]
 

Järgnevalt tuleb tagasi minna Splunk serveri juurde (masin kuhu Splunk paigaldati).

Juhul kui veebiliideses sai kõik korrektselt sisestatud, peaks splunk kuulama 514 porti.
netstat -antp | grep 514

 
[[File:splunknenstatgrep.JPG]]
 

Viimas lisame pordile 514 tulemüüri läbipääsu reegli ja teeme tulemüüri rakendusele taaskäivituse.
sudo iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 514 -j ACCEPT

sudo service ufw restart

 
[[File:port514plusrestart.JPG]]
 

== Paigaldame Rsyslogi saatma logisi Splunk serverile ==
Järgnevad tegevused tuimuvad Serveris nimega Ubuntu.

Selleks, et Rsyslog saadaks Klient arvutile logisi tuleb muuta rsyslog konfiguratsioonifail.

Muudame faili /etc/rsyslog.conf

sudo nano /etc/rsyslog.conf

Lisame rsyslog faili lõppu järgneva rea:

*.* @@192.168.56.101:514

Peale muudatuste tegemist tuleb rsyslog rakendusele teha taaskäivitus.
sudo service rsyslog restart

File:Syslogsuccess.JPG

2014-01-10T13:45:14Z

Vvirk:

File:Syslogovertcp.JPG

2014-01-10T13:45:05Z

Vvirk:

File:Syslogconf2.JPG

2014-01-10T13:44:58Z

Vvirk:

File:Syslogconf1.JPG

2014-01-10T13:44:39Z

Vvirk:

File:Splunkweb.JPG

2014-01-10T13:44:33Z

Vvirk:

File:Splunknenstatgrep.JPG

2014-01-10T13:44:25Z

Vvirk:

File:Splunklogin.jpg

2014-01-10T13:44:18Z

Vvirk:

File:Splunkfin.JPG

2014-01-10T13:44:07Z

Vvirk:

File:Splunkdownload.JPG

2014-01-10T13:43:58Z

Vvirk:

File:Portcheck.JPG

2014-01-10T13:43:35Z

Vvirk:

File:Port514plusrestart.JPG

2014-01-10T13:43:26Z

Vvirk:

File:Iptablesrestart.JPG

2014-01-10T13:43:08Z

Vvirk:

File:Iptablescheck.JPG

2014-01-10T13:43:01Z

Vvirk: