W poprzednim swoim obiecałem napisać co nieco o alertach w Splunk Enterprise, a więc do dzieła.
Przygodę z alertami rozpoczynamy od wyszukania interesujących nas danych. W tym celu w polu search wpisujemy:
Oczywiście wszystko zależy od formatu logu przesłanego do Splunka.
![[Image: splunk31.png]](http://it.emca.pl/images/stories/2013/forum/splunk31.png)
Fakt, że ktoś próbował się dostać na hosta i w ciągu ostatnich 15 minut udało mu się 3 razy pomylić jest mocno niepokojący. Przyznacie, że Splunk jest świetnym źródłem detekcji prób nieautoryzowanego dostępu do urządzenia. Oczywiście dobrze byłoby mieć to zapytanie zapisane i uruchamiać je co jakiś określony czas. Umożliwia nam to alert. Aby go stworzyć należy wybrać Save as, a następnie Alerts.
![[Image: splunk32.png]](http://it.emca.pl/images/stories/2013/forum/splunk32.png)
Przechodzimy teraz do wizarda, który pomoże nam ustawić nasz alert.
![[Image: splunk33.png]](http://it.emca.pl/images/stories/2013/forum/splunk33.png)
Ja swoją analizę logów chcę uruchamiać co 5 minut więc wybrałem opcję Run on Cron Schedule i w ”cronowym” formacie to zapisałem (*/5 * * * *). W polu Earliest wpisujemy -5m@m. Jeżeli Splunk odkryje, że w tym czasie były 4 lub więcej prób nieudanego wejścia na serwer to uruchomi alert. Przechodzimy do następnej opcji w której możemy zdefiniować co Splunk Enterprise ma zrobić z faktem, iż znalazł poszukiwane rezultaty. W tym przypadku wybrałem, żeby uruchomił alert i nadał mu niski priorytet. Warto zwrócić uwagę na pozostałe opcje. W przypadku, gdy monitorujemy coś niezwykle istotnego dla systemu można wybrać opcję wysłania maila do siebie i o zdarzeniu będziemy informowani w czasie rzeczywistym. Bardzo obiecująco wygląda też opcja „Run a Script”. Zaznaczywszy to pojawia się pole, w które wpisujemy ścieżkę dostępu do skryptu. Łatwo można sobie wyobrazić sytuację, gdy nasz skrypt z właśnie utworzonych wpisów wybierał adres IP i dodawał automatycznie do firewalla w celu blokowania dostępu do zasobów. W takim przypadku należałoby wybrać też opcję „For each result”.
![[Image: splunk34.png]](http://it.emca.pl/images/stories/2013/forum/splunk34.png)
Sprawdzenie, czy został uruchomiony alert następuje z poziomu Activity -> Triggered Alerts.
![[Image: splunk35.png]](http://it.emca.pl/images/stories/2013/forum/splunk35.png)
Alerty pozwalają na zautomatyzowanie zadań oraz powiadamianie administratora w przypadku, gdy nastąpi ważne zdarzenie. Nie bez znaczenie jest fakt, że można to zrobić w jednym miejscu, korzystając z przyjemnego dla oka wizarda dzięki czemu nawet osoba początkująca może tworzyć interesujące ją alerty
Przygodę z alertami rozpoczynamy od wyszukania interesujących nas danych. W tym celu w polu search wpisujemy:
KOD: ZAZNACZ CAŁY
Code:
password failed process=sshdOczywiście wszystko zależy od formatu logu przesłanego do Splunka.
Fakt, że ktoś próbował się dostać na hosta i w ciągu ostatnich 15 minut udało mu się 3 razy pomylić jest mocno niepokojący. Przyznacie, że Splunk jest świetnym źródłem detekcji prób nieautoryzowanego dostępu do urządzenia. Oczywiście dobrze byłoby mieć to zapytanie zapisane i uruchamiać je co jakiś określony czas. Umożliwia nam to alert. Aby go stworzyć należy wybrać Save as, a następnie Alerts.
Przechodzimy teraz do wizarda, który pomoże nam ustawić nasz alert.
Ja swoją analizę logów chcę uruchamiać co 5 minut więc wybrałem opcję Run on Cron Schedule i w ”cronowym” formacie to zapisałem (*/5 * * * *). W polu Earliest wpisujemy -5m@m. Jeżeli Splunk odkryje, że w tym czasie były 4 lub więcej prób nieudanego wejścia na serwer to uruchomi alert. Przechodzimy do następnej opcji w której możemy zdefiniować co Splunk Enterprise ma zrobić z faktem, iż znalazł poszukiwane rezultaty. W tym przypadku wybrałem, żeby uruchomił alert i nadał mu niski priorytet. Warto zwrócić uwagę na pozostałe opcje. W przypadku, gdy monitorujemy coś niezwykle istotnego dla systemu można wybrać opcję wysłania maila do siebie i o zdarzeniu będziemy informowani w czasie rzeczywistym. Bardzo obiecująco wygląda też opcja „Run a Script”. Zaznaczywszy to pojawia się pole, w które wpisujemy ścieżkę dostępu do skryptu. Łatwo można sobie wyobrazić sytuację, gdy nasz skrypt z właśnie utworzonych wpisów wybierał adres IP i dodawał automatycznie do firewalla w celu blokowania dostępu do zasobów. W takim przypadku należałoby wybrać też opcję „For each result”.
Sprawdzenie, czy został uruchomiony alert następuje z poziomu Activity -> Triggered Alerts.
Alerty pozwalają na zautomatyzowanie zadań oraz powiadamianie administratora w przypadku, gdy nastąpi ważne zdarzenie. Nie bez znaczenie jest fakt, że można to zrobić w jednym miejscu, korzystając z przyjemnego dla oka wizarda dzięki czemu nawet osoba początkująca może tworzyć interesujące ją alerty
