A Cisco Security Cloud természetesen integrálható a Splunk Cloud megoldásával. Azonban hiába állítjuk be a cisco:ftd:syslog logforrást megfelelően a props.conf file-ban, a logokat nem tudja parse-olni a Splunk. A hiba itt is a formátummal lehet, hiába tűnik ftd formátúmunak a log, az tulajdonképpen asa formátum. Viszont szerencsére ez könnyen átállítható a Cisco oldalán, azaz az eredeti asa formá…
see moreBárki használhat lookup table-ket a Splunk környezetben. De hol és hogyan lehet megnézni, hogy ki is használja ténylegesen adott táblát? Elsőre lehet keresni az audit logok között, hiszen ott látható lesz, ha valamelyik keresésben szerepelt a tábla neve:
...
index=_audit action=search info=completed search="*your_lookup_table_name*"
...
Ám a helyzet (sajnos) ennél kicsit bonyolultabb. Hiszen nem csak…
see moreHa olyan adatokat, logokat is gyűjt a Splunk környezetünk, amelyek érzékeny adatok (pl. jelszavak, kártyaszámok, ID-k, egyéb személyes adatok), akkor szükség lehet ezek maszkolására.
Erre több módszer is van a Splunk-ban. Lehetséges duplikált logtárolással, role alapú mask-olással, vagy akár egy még viszonylag új módszerrel a Field Filter-el is. Mindegyik megoldásnak vannak előnyei és hátrányai (d…
see moreAzon ügyfelek, akik használnak Enterprise Security-t (és annak is a 8.x-es verzióját) azok természetesen a modul mellé kapnak folyatamos frissítéseket is. Ezeket ESCU-nak (Enterprise Security Content Update) hívják. Ezeket természetesen testre is lehet szabni, azaz akár minden egyes szabályt az ügyfél igényeknek megfelelően módosítani lehet. Azonban fontos, hogy össze lehessen hasonlítani az ügyf…
see moreIgen, természetesen a Splunk ezt is tudja. Nem a legideálisabb ugyan a search time field extraction, de ha nincs más út, akkor a rex parancs használható itt is. A rex utasítás így néz ki:
| rex field=<field_name> "beforepattern(?P<extract_name>field_match)afterpattern"
A <field_name>-el tudjuk megmondani, hogy melyik field-ben keressen.
A beforepattern-el tudjuk definiálni, hogy mi…
see moreVan, amikor a túl bonyolult jelszavak okoznak gondot. A Splunk-ot természetesen lehet használni clusterezett környezetben is. Előfordulhat azonban egy érdekes hibaüzenet ha app-okat, vagy add-onokat szeretnénk kiküldeni a Search Head node-okra cluster környezetben a deployment szerverről:
...
Error in pre-deploy check, uri=https://x.x.x.x8089/services/shcluster/captain/kvstore-upgrade/status, statu…
see moreHa például van egyetlen Universal Forwarder-ünk, de azt szeretnénk, hogy sourcetype alapon továbbítsa a logokat különböző Indexer megoldások felé:
- sourcetype: IIS logs -> destination = Indexer1
- sourcetype: Event Viewer data -> destination = Indexer2
akkor is jól használható a _TCP_ROUTING az inputs.conf file-ban, hogy beállítsuk a különböző sourcetype-okhoz a különböző cél címeket.
Részlete…
see moreJó tudni, hogy a "KV Store initialization has not been completed yet" üzenet mögött sokféle hibalehetőség lehet (mostanában sokan szembesültek ezzel a mongoDB nem frissülő adatbázis verziója miatt), de például a cikkben a tanúsítvány lejárata okozott hibát.
A hibakeresésben első körben a kvstore logjainak elemzése segíthet a Search Head (cluster)-en:
| rest /services/kvstore/status
| fields splunk_s…
see moreJó hangulat, teltház, remek sörök ... és tartalmas szakmai beszélgetések!
Bolondok napján az Arrow ECS Hungary társszervezője volt az első magyarországi Splunk User Group Meetup-nak a Kandalló Craft Beer & Burger Pub-ban. Célunk az volt, hogy segítsünk összehozni a Splunk rajongókat, IT szakembereket és iparági szakértőket egy tanulással, kapcsolatépítéssel és szórakozással teli estére. A rem…
see moreSokan ezeket a kifejezéseket egymás szinonimájaként használják, pedig vannak köztük funkcionális eltérések. A különbségek ráadásul elég fontosak, hiszen ezek döntik el, hogy egy adott use case-nél melyik gyártó, melyik megoldása az optimális az ügyfélnél.
A "data platform" egy átfogó, teljeskörű megoldás az összes adat számára. Egy valódi adatplatform képes a szervezeten belüli összes rendszer és…
see moreA keresések végrehajtásához a Splunk saját nyelvet, az SPL-t (Search Processing Language) használja. Az SPL parancsok több típusba sorolhatók az általuk végzett feldolgozástól függően. Különösen egy olyan elosztott környezetben, ahol a Splunk rendszer több szerverből áll, az SPL típusától függően más-más modulok végeznek nagyobb munkát, sajnos könnyű nem optimalizált kereséseket létrehozni. A cik…
see moreElőfordulhat, hogy szükség van a Splunk-ba beérkező napi eseményszám (log, trace, metrics) megjelenítésére. Ezt több módszerrel is meg lehet tenni... Lehet akár timechart utasítást is használni, annak azonban az az óriási hátránya, hogy ténylegesen beolvassa az összes eseményt adott időszakra, amire itt semmi szükség, cserébe sok memóriát használ. Sokkal célravezetőbb a tstats utasítás, mely pont…
see moreMár nagyon régóta érdeklődnek az ügyfelek az Enterprise Security multi-tenant képességeiről, de sajnos még mindig nincs hivatalos dátum, hogy mikor lesz ez az opció is elérhető.
see moreHiába van megfelelően konfigurált Splunk Forwared-ünk. Hiába van beállítva, hogy mely logokat gyűjtsön, és mit hogyan továbbítson az Indexer felé, ha a service account nincs megfelelően beállíva, akkor nem tud logokat küldeni az Indexer felé a Forwarder.
Részletek:
https://community.splunk.com/t5/Getting-Data-In/Sysmon-events-not-getting-indexed/m-p/655609#M111072
see moreHa az alábbi hibaüzenetet látod a frissítés során és minimum 8-as Linux verziót használsz:
...
File "/opt/splunk/lib/python3.7/site-packages/splunk/clilib/cli.py", line 39, in <module>
from splunk.rcUtils import makeRestCall, CliArgError, NoEndPointError, InvalidStatusCodeError
MemoryError
Error running pre-start tasks.
...
Akkor érdemes megnézni a "/opt/splunk/lib/python3.7/ctypes/__init__.py" fi…
see moreEgy ideje már szemezgetek a Splunk Attack-Range-el, a leírás alapján egy hasznos projeknek tűnik. Különféle szkriptek segítségével létrehoz egy környezetet, amely kis méretben, de valós hálózathoz hasonlít. Eddig nem nagy kaland, de a projekt részeként támadásszimuláló eszközöket és alkalmazásokat is kapunk, majd a Splunk segítségével biztonségi elemzéseket végezhetünk.
Az egészet a Splunk Threat …
see moreHiába lépsz be a Splunk Cloud tenant-ba.
Csinálsz egy külön index adatbázist.
Töltöd le az Universal Forwarder telepítőt.
Telepíted azt a megfelelő gépekre.
Ettől még nem érkeznek meg a logok a Splunk Cloud-ba.
…
Ugyanis a Splunk Cloud-ba történő log továbbításhoz szükséges a megfelelő credential is (lásd a lenti linken).
Részletek:
Use forwarders to get data into Splunk Cloud Platform - Splunk Documenta…
see moreA Splunk az alábbi értékelést kapta a Gartner-től. Van esetleg valakinek ezektől eltérő véleménye, meglátása?
Erősségek
- OpenTelemetry támogatás: Az OpenTelemetry erős támogatása továbbra is a Splunk Observability Platform-jának erőssége. A Splunk OpenTelemetry collector szinte mindenhol támogatott, Linux, Windows és Kubernetes disztribúciókat is tartalmaz.
- Service Level Objective (SLO) menedzsme…
see more