Keskse logihalduse süsteem Splunk baasil: Difference between revisions

From ICO wiki
Jump to navigationJump to search
← Older editNewer edit →
Vvirk (talk | contribs)
217 edits
No edit summary
Vvirk (talk | contribs)
217 edits
No edit summary
Line 65: Line 65:
<br/>
<br/>
Joonis 2: Splunk veebiliidese aadress.
Joonis 2: Splunk veebiliidese aadress.


Vaikimisi töötab Splunk portidel 8000 ja 8089. Kontrolliks kasutame käsku:
Vaikimisi töötab Splunk portidel 8000 ja 8089. Kontrolliks kasutame käsku:
Line 74: Line 76:
<br/>
<br/>
Joonis 3: Splunk TCP portide kontroll.  
Joonis 3: Splunk TCP portide kontroll.  


Järgmiseks anname portidele 8000 ja 8089 tulemüüri läbimisõigused. Kasutame käske:
Järgmiseks anname portidele 8000 ja 8089 tulemüüri läbimisõigused. Kasutame käske:
Line 83: Line 87:
[[File:iptables.JPG]]
[[File:iptables.JPG]]
<br/>
<br/>
Joonis 4: Tulemüüri reeglite lisamine.
 
 


Jägnevalt tuleb teha tülemüüri rakendusele taaskäivitus.
Jägnevalt tuleb teha tülemüüri rakendusele taaskäivitus.
  sudo service ufw restart
  sudo service ufw restart
   
   
<br/>
[[File:iptablesrestart.JPG]]
<br/>


Viimaks tuleb vaadata, kas uued reeglid on aktiivsed. Selleks kasutame käsku:
Viimaks tuleb vaadata, kas uued reeglid on aktiivsed. Selleks kasutame käsku:
Line 101: Line 102:
[[File:iptablescheck.JPG]]
[[File:iptablescheck.JPG]]
<br/>
<br/>
Joonis 5: Tulemüüri reeglite kontroll.




Line 114: Line 117:
[[File:splunkweb.JPG]]
[[File:splunkweb.JPG]]
<br/>
<br/>
 
Joonis 6: Splunk veebiliidese "Login" ekraan.


Õnnestunud sisselogimisel kuvatakse kasutajale splunk veebiportaali.
Õnnestunud sisselogimisel kuvatakse kasutajale splunk veebiportaali.


Avanenud aknas vajutame nupule "Add data".
Avanenud aknas vajutame nupule "Add data".
<br/>
[[File:addnupp.JPG]]
<br/>




Line 132: Line 130:
[[File:adddata.JPG]]
[[File:adddata.JPG]]
<br/>
<br/>
 
Joonis 7: Splunk andmepõhjade mudel.


Järgenevast valikust valime "Consume syslog over TCP" ja vajutame nupule "next"
Järgenevast valikust valime "Consume syslog over TCP" ja vajutame nupule "next"
<br/>
<br/>
[[File:syslogovertcp.JPG]]
<br/>




Line 154: Line 147:
[[File:syslogconf1.JPG]]
[[File:syslogconf1.JPG]]
<br/>
<br/>
 
Joonis 8: Splunk Syslogi paigaldus osa1
<br/>
<br/>
<br/>
<br/>
[[File:syslogconf2.JPG]]
[[File:syslogconf2.JPG]]
<br/>
<br/>
 
Joonis 9: Splunk Syslogi paigaldus osa2


Eduka salvestamise puhul peaks kasutaja nägema järgmist pilti:
Eduka salvestamise puhul peaks kasutaja nägema järgmist pilti:

Revision as of 18:22, 17 January 2014

Labor 2 - Keskse logihalduse süsteem Splunk baasil

Autor: Veiko Virk

A31

10.01.2014

Õppeaine : Linuxi administreerimine

Ülesande püstitus

Luua keskse logihalduse süsteem Splunk baasil, kasutades kahte masinat (server, klient)



Joonis 1: Virtuaalmasinate topoloogia

Kasutatud tarkvara

Server : Ubuntu Server 64bit, versioon: 12.04 Saadab logisi läbi rsyslog tarkvara

Klient : Ubuntu client 64bit, versioon 13.04 Platvorm mille peal Splunk töötab

Splunk 6.0.1 - võtab vastu ja töötleb logisi


Protokoll

Serveri ja kliendi algsed seaded antu näite puhul

Klient: Nimi - desktop IP - Staatiline 192.168.56.101

Server: Nimi - Ubuntu IP - Staatiline 192.168.56.200

Mõlemal virtuaalmasinal on kasutatud eelnevalt eksporditud ubuntu Client/Server .OAV tõmmist (image). Tarkvara on pärit IT Kolledži Elab keskkonnast.

Järgevalt eeldab autor, et paigaldatud server ja klient suudavad omavahel suhelda.

Splunk paigaldus

Järgnevad tegevused tehakse Klient arvutis nimega desktop.

[1]

Paigalduse alustamiseks tuleb allalaadida Splunk tarkvara. Juhendis on kasutatud Splunk 6.0.1 Linuxi 64bit versiooni. Tarkvara saab allalaadida siit: [2]

Peale faili allalaadimist tuleb paigaldada paigalduspakett, selleks kasutada käsku: 

sudo dpkg -i /home/student/Downloads/splunker/splunk-6.0.1-189883-linux-2.6-amd64.deb

Antud näite puhul asetseb paigalduspakett /home/student/Downloads/splunker/ alamkatalogis.

Splunk tarkvara paigaldamiseks kasutada käsku: 

sudo /opt/splunk/bin/splunk start

Peale paigaldust kuvatakse kasutajale Splunk veebiliidese asukoht. Antud näite puhul on selleks http://desktop:8000




Joonis 2: Splunk veebiliidese aadress.


Vaikimisi töötab Splunk portidel 8000 ja 8089. Kontrolliks kasutame käsku: 

netstat -antp | grep -E '8000|8089'



Joonis 3: Splunk TCP portide kontroll.


Järgmiseks anname portidele 8000 ja 8089 tulemüüri läbimisõigused. Kasutame käske: 

sudo iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8000 -j ACCEPT
sudo iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8089 -j ACCEPT



Joonis 4: Tulemüüri reeglite lisamine.


Jägnevalt tuleb teha tülemüüri rakendusele taaskäivitus. 

sudo service ufw restart

Viimaks tuleb vaadata, kas uued reeglid on aktiivsed. Selleks kasutame käsku: 

iptables -L -n | grep -E '8000|8089'




Joonis 5: Tulemüüri reeglite kontroll.


Splunk veebiliidese paigaldus

Järgnevalt kasutame veebilehitsejat. Liigume aadressile http://192.168.56.101:8000 Algselt on kasutajatunnuseks admin ja parooliks changeme.

Peale sisselogimist kohustab programm parooli vahetama. Antud näites on kasutajatunnuseks: admin ja parooliks student.




Joonis 6: Splunk veebiliidese "Login" ekraan.

Õnnestunud sisselogimisel kuvatakse kasutajale splunk veebiportaali.

Avanenud aknas vajutame nupule "Add data".


Järgnevast menüüst vajutame valikul "Syslog"




Joonis 7: Splunk andmepõhjade mudel.

Järgenevast valikust valime "Consume syslog over TCP" ja vajutame nupule "next"


Avanevas aknas tuleb täita järgnevad väljad: TCP port - 514 Select source type from list - syslog

More settings Set host - IP

ja vajutada nupule "Save"


Joonis 8: Splunk Syslogi paigaldus osa1


Joonis 9: Splunk Syslogi paigaldus osa2

Eduka salvestamise puhul peaks kasutaja nägema järgmist pilti:




Järgnevalt tuleb tagasi minna Splunk serveri juurde (masin kuhu Splunk paigaldati).

Juhul kui veebiliideses sai kõik korrektselt sisestatud, peaks splunk kuulama 514 porti. 

netstat -antp | grep 514






Viimas lisame pordile 514 tulemüüri läbipääsu reegli ja teeme tulemüüri rakendusele taaskäivituse. 

sudo iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 514 -j ACCEPT

sudo service ufw restart




Paigaldame Rsyslogi saatma logisi Splunk serverile

Järgnevad tegevused tuimuvad Serveris nimega Ubuntu.

Selleks, et Rsyslog saadaks Klient arvutile logisi tuleb muuta rsyslog konfiguratsioonifail.

Muudame faili /etc/rsyslog.conf 

sudo nano /etc/rsyslog.conf

Lisame rsyslog faili lõppu järgneva rea: 

*.* @@192.168.56.101:514

Peale muudatuste tegemist tuleb rsyslog rakendusele teha taaskäivitus. 

sudo service rsyslog restart

Lõpplahendusena valmis keskne logihaldussüsteem Splunk baasil selleks, et oleks võimalik vaadata ning analüüsida logisid Splunk veebiliidese abil.

Kasutatud kirjandus

http://docs.splunk.com/Documentation/Storm/Storm/User/Howtosetuprsyslog http://chase-seibert.github.io/blog/2010/12/31/splunkrsyslogapacheubuntu-quickstart.html

Retrieved from "https://wiki.itcollege.ee/index.php?title=Keskse_logihalduse_süsteem_Splunk_baasil&oldid=74783"