Splunk nedir :Splunk, gerçek zamanlı olarak makine tarafından üretilen verilerin toplanması, indekslenmesi, aranması, analiz edilmesi ve görselleştirilmesi için geliştirilmiş bir veri platformudur. Farklı kaynaklardan (sunucular, ağ cihazları, uygulamalar, güvenlik sistemleri vb.) elde edilen log ve olay verilerini merkezi bir ortamda birleştirerek, kullanıcıların bu veriler üzerinde sorgular çalıştırmasına, raporlar ve dashboard’lar oluşturmasına olanak tanır. SIEM (Security Information and Event Management) çözümlerinde kritik bir rol üstlenmektedir.SIEM (Security Information and Event Management) çözümlerinde kritik bir rol üstlenmektedir.
Splunk’ın ne olduğunu anladığımıza göre kurulum aşamasına geçebiliriz.
1.Gerekli Yüklemeler
1- https://www.splunk.com web sitesinden splunk hesabı oluşturup giriş yapabiliriz.
2- Giriş yaptıktan sonra Splunk Enterprise sürümünü indirebiliriz.
3- İndirdiğimiz Splunk’a log aktarımı yapacağımız için Splunk Universal Forwarder aracınıda indirebiliriz.
2. Splunk Kurulumu
Splunk Enterprise’ı açıyoruz ve gelen ekranda lisans sözleşmesini kabul edip next diyoruz.
Gelen ekranda administrator hesabı oluşturup next diyoruz.
Install tuşuna basarak kurulumumuzu başlatalım kurulum bitince splunk gerekli yönlendirmeleri port üzerinden halledecektir.
Oluşturduğumuz administrator hesabına giriş yapıyoruz.
Splunk’ımızın arayüzü bu şekildedir.
2. Splunk Universal Forwarder Kurulumu
İndirdiğimiz Splunk Universal Forwarder’ı açıyoruz. Lisans sözleşmesini kabul ederek next diyoruz.
Burada bir kullanıcı hesabı oluşturmamız lazım kendinize göre bir kullanıcı oluşturabilirsiniz.
Bu adımda cihazınızın hostname veya IP bilgilerini girmeniz gerekir. Bunun içinde cmd’yi açarak ipconfig komutuyla öğrenebilirsiniz. IP veya hostname bilgilinizi girdiğiniz zaman port bilgisini default olarak 8089 girebilirsiniz.
Gelen ekranda IP veya hostname bilgilinizi giriniz. Port olarak 9997 portunu girerek devam edin. Kurulumu tamamlayın.
3. Konfigürasyonların Yapılması
settings>>forwarding and receiving kısmına girip logların splunk’a gönderilmesi için 9997 portunu açıp bu porttan logların gelmesini sağlayacağız.
Configure receiving kısmına tıklıyoruz.
Textbox’a 9997 portunu yazıp kaydediyoruz.
Haberleşme portunu açtıktan sonra yeni bir index oluşturmamız lazım. Gelen loglar bu indexe gelmesi için. settings>>index>>new index kısmına gidiyoruz.
Burada istediğiniz index name belirleyebilirsiniz.
yapılandırdıktan
Yeni index oluşturduktan sonra Splunk Universal Forwarder yapılandırması yapmamız gerekecek.
3. Splunk Universal Forwarder Yapılandırması ve Log Aktarımı
ister settings>>add data kısmından yapabilir isterseniz input.conf dosyasından yapabilirsiniz.
Ben bu rehberde input.conf dosyasından aktarımı göstereceğim.
C:\Program Files\SplunkUniversalForwarder\etc\apps\SplunkUniversalForwarder\default Kısmına gidiyoruz ve input.conf dosyasını txt formatta açıyoruz.
Açtığımız input.conf dosyasına işaretli kısmı “[WinEventLog://Securtiy]”,”index=wineventlog” kısımlarını ekleyip save edip kapatıyoruz. Sistemi restart ettikten sonra Security logları splunka’a gitmiş oluyor.
Hiç yorum yok:
Yorum Gönder