Embed Size (px)
Citation preview
Splunk
L’application Splunk permet d’explorer, de générer des rapports et d’analyser en direct des données
en temps réel et historiques sur l’ensemble de votre infrastructure, à partir d’une seule interface
centralisée.
Sommaire
1- Installation et première utilisation
2- Lancement de Splunk
3- Configuration de la réception des syslog
4- Application de filtres
5- Analyser un fichier de logs
6- Autres options de Splunk et liens
7- Erreurs rencontrées
8- Configuration des Switch pour l’envoi de syslog
1- Installation et première utilisation
Exécuter le fichier d’installation. Ceci apparait :
Cliquer sur « Next »
Accepter les termes de la licence puis cliquer sur « Next ». On propose ensuite un chemin
d’installation par default . On peut le modifier si besoin est . Une fois modifié ( ou non ) cliquer sur
« Next ».
L’étape suivante propose deux options :
- Local System user : celle-ci donne a Splunk la possibilité d’accéder à toutes les
informations importantes sur la machine locale. Cette option n’a aucun privilèges sur les
autres machines Windows.
- Other users : cette option donne accès à la lecture des évènements à distance ; la
possibilité de lire les partages réseaux pour les fichiers journaux ; permet de collecter les
compteurs de performances à distance ainsi que d’énumérer les schéma Active Directory
en utilisant la surveillance Active Directory.
On sélectionne « Local system user » et on clique sur « Next ».
Ensuite cocher la case « Create Start Menu Shortcut » pour que splunk apparaisse dans le menu
démarrer puis cliquer sur « Install ».
Une fois l’installation terminée, cocher la case « Launch browser with Splunk » puis cliquer sur
« finish ». Le navigateur web va se lancer et afficher cette page :
Pour la première connexion à Splunk, le login est « admin » et le mot de passe est « changeme »
( ). Cliquer sur « Sign in » et une nouvelle page va s’afficher.
Ici, on demande de changer le mot de passe pour le compte « admin ». Taper le mot de passe et
cliquer sur « Save password ». L’interface Splunk s’affiche :
2- Lancement de Splunk
Aller dans le menu démarrer, cliquer sur « tous les programmes », ouvrir le dossier « Splunk » puis
cliquer sur l’icône verte qui apparait :
3- Configuration de la réception des syslog
Cette configuration de réception des syslog n’est à faire seulement s’il on veut utiliser Splunk en tant
que serveur syslog. S’il on veut se servir de Splunk juste pour analyser des fichiers de logs, il faut juste
lui indiquer où est le fichier a analyser ( voir partie 5 ).
Pour que Splunk puisse recevoir des syslog, il faut activer l’écoute sur le port 514 (port UDP pour les
syslog ). Pour cela il faut aller dans le menu « Settings » de la page d’accueil de Splunk, dans la partie
« Data » cliquer sur « Data inputs ».
Une fois sur la page « Data inputs », cliquer sur le lien « UDP » :
Ensuite cliquer sur « New »
Entrer le numéro du port à écouter dans la ligne « UDP port » ( ici 514 ), sélectionner « syslog » dans
la liste déroulante « Select source type from list », puis cliquer sur « Save ».
Splunk est maintenant en écoute sur le port 514 et réceptionne les syslog envoyés par les différents
équipements configurés au préalable.
Pour voir ces syslog, revenir sur la page d’accueil de Splunk et cliquer sur le bouton vert « Search &
reporting » :
Ensuite cliquer sur le bouton « Data summary » et choisir l’équipement dont on veut voir les logs :
Choisir l’équipement dont on veut voir les logs :
Et on peut visualiser tous les syslog envoyés par cet équipement :
4- Application de filtres
Pour faire une recherche plus précise sur les logs des équipements, splunk permet d’appliquer des
filtres pour faciliter la recherche. Pour cela, revenir sur la page d’accueil de Splunk et cliquer sur le
bouton vert « Search & reporting ». Dans la barre de recherche « New Search » taper : host= « ip de
l’hôte dont on veut les logs »
Tous les logs concernant cet hôte apparaissent. Pour appliquer un filtre, par exemple sur une date et
une tranche horaire précise, il faut cliquer sur le bouton vert « All time » à droite de la barre de
recherche.
Cliquer sur « Date & Time range », puis choisir la date et la plage horaire que l’on veut.
Ici on a sélectionné les logs du 01/15/2014 entre 9h00 et 10h00 du matin :
5- Analyser un fichier de logs
Pour ajouter un fichier de logs dans Splunk il faut cliquer sur l’onglet « Add data »
Puis cliquer sur l’option « A file or directory of files »
Splunk propose alors deux options :
- La première option permet d’inclure n’importe quel quels fichiers venant du réseau.
- La seconde permet d’utiliser un module « SPLUNK’s Universal Forwarder » qui permet de
récupérer ou d’envoyer des fichiers sur une machine distante.
Le module « SPLUNK’s Universal Forwarder » doit etre installer avant de pouvoir utiliser les options
qui le concerne.
Ici, il faut utiliser la première option, donc cliquer sur « Next » :
Ensuite cliquer sur « Browse server » et indiquer le chemin vers le fichier à ajouter puis cliquer sur
« Continue ».
Splunk affiche une nouvelle fenetre qui propose encore deux options :
- La premiere option « Start a new source type » qui permet de créer un nouveau type de
source.
- La seconde option « Apply an existing source type » qui permet de choisir dans la list déjà
fournie, le type de source qui pourrait convenir au fichier de logs.
Cliquer sur la seconde option « Apply an existing source type » et selectionner dans la liste
déroulante « syslog ».
Puis cliquer sur « Continue » et sur la page qui s’affiche juste après cliquer aussi sur « Continue ».
La recherche dans le fichier se fait de la même manière que dans la partie 3. Il faut cliquer sur
« Search & inputs » puis sur « Data Summary » :
Ici il faut cliquer sur « User.Info » pour afficher le contenue du fichier :
6- Autres options de Splunk et liens
Splunk possède d’autres fonctionnalités non traités dans ce documents :
- Il possède un annuaire LDAP ;
- Possibilité de faire de la remontée d’incidents et d’envoyer des mails d’alertes ;
- Indexez tous les types de données ; - Action dynamique sur les résultats ; - Corrélation d’évenements complexes ;
- Surveillance du réseaux ;
- Produire des rapports graphiques et des analyses complètes
- Etc…
Quelques liens :
- Fiche produit : http://fr.splunk.com/product
- Documentation Splunk : http://docs.splunk.com/Documentation
- Splunk base : http://splunk-base.splunk.com
- Configuration LDAP avec Splunk:
o Près-requis
http://docs.splunk.com/Documentation/Splunk/latest/Security/LDAPconfiguratio
nconsiderations
o Configuration web
http://docs.splunk.com/Documentation/Splunk/latest/Security/ConfigureLDAPwi
thSplunkWeb
o Informations supplémentaires
http://docs.splunk.com/Documentation/Splunk/latest/Security/Setupuserauthen
ticationwithLDAP
- Configuration d’alertes avec Splunk:
o http://docs.splunk.com/Documentation/Splunk/latest/Alert/Setupalertactions
o http://docs.splunk.com/Documentation/Splunk/5.0.1/Alert/AboutAlerts
o http://docs.splunk.com/Documentation/Splunk/5.0.1/Alert/Alertexamples
o http://docs.splunk.com/Documentation/Splunk/latest/Alert/Definescheduledale
rts
7- Erreurs rencontrées
L’erreur suivante peut arriver lors de l’ajout d’un fichier de log dans Splunk. La page se fige lorsque
l’application tente de récupérer les informations dans le fichier pour les affichées et ce message
d’erreur apparait quelques minutes plus tard :
Pour régler ce problème, si on utilise Internet Explorer 8 ou plus, ne pas l’utiliser.
Ce problème n’apparait pas sous Mozilla Firefox ( par exemple ).
8- Configuration des Switch pour l’envoi de syslog :
Pour que Splunk recoive des syslog, il faut dire aux équipements de les envoyer. Pour cela, il faut
passer quelques commandes sur les switchs ou routeurs ( on utilise des switchs hp pour l’exemple ) .
Pour commencer il faut se connecter sur les équipements et s’identifier.
#conf
#logging facility local7
#logging ( ip du serveur qui doit recevoir les syslog )
#exit
#write memory
logging facility local7 : permet de récupérer tous les logs du système.
Pour verrifier si la commande a bien était prise en compte :
#sh run
Si une ligne comme celle-ci « logging ( ip serveur ) »est présente, les syslog vont être envoyés à
l’adresse qui suit.
ATTENTION : verrifier, si un firewall est présent sur votre réseau, qu’il ne bloque pas l’envoie des
syslog.
Vérifier que le switch est à la bonne date et à la bonne heure :
#sh time
Si la date et l’heure ne correspondent pas avec la date et l’heure d’aujourd’hui :
#conf
#timesync sntp
#time daylight-time-rule western-europe
#time timezone 60
#sntp unicast
#sntp serveur ( ip serveur ntp )
#exit
#sh time
Et après quelques minutes, le switch est à la bonne date et à la bonne heure.
