+- Monitoring Serwerów - Forum o monitoringu infrastruktury IT (https://monitoringserwerow.pl)
+-- Forum: MONITORING INFRASTRUKTURY IT (https://monitoringserwerow.pl/forumdisplay.php?fid=1)
+--- Forum: Splunk (https://monitoringserwerow.pl/forumdisplay.php?fid=15)
+--- Thread: Tworzenie alertu w Splunk Enterprise (/showthread.php?tid=16)
Tworzenie alertu w Splunk Enterprise - ArturB - 07-29-2019
W poprzednim swoim obiecałem napisać co nieco o alertach w Splunk Enterprise, a więc do dzieła.
Przygodę z alertami rozpoczynamy od wyszukania interesujących nas danych. W tym celu w polu search wpisujemy:
KOD: ZAZNACZ CAŁY
Code:
password failed process=sshdOczywiście wszystko zależy od formatu logu przesłanego do Splunka.
![[Image: splunk31.png]](http://it.emca.pl/images/stories/2013/forum/splunk31.png)
Fakt, że ktoś próbował się dostać na hosta i w ciągu ostatnich 15 minut udało mu się 3 razy pomylić jest mocno niepokojący. Przyznacie, że Splunk jest świetnym źródłem detekcji prób nieautoryzowanego dostępu do urządzenia. Oczywiście dobrze byłoby mieć to zapytanie zapisane i uruchamiać je co jakiś określony czas. Umożliwia nam to alert. Aby go stworzyć należy wybrać Save as, a następnie Alerts.
![[Image: splunk32.png]](http://it.emca.pl/images/stories/2013/forum/splunk32.png)
Przechodzimy teraz do wizarda, który pomoże nam ustawić nasz alert.
![[Image: splunk33.png]](http://it.emca.pl/images/stories/2013/forum/splunk33.png)
Ja swoją analizę logów chcę uruchamiać co 5 minut więc wybrałem opcję Run on Cron Schedule i w ”cronowym” formacie to zapisałem (*/5 * * * *). W polu Earliest wpisujemy -5m@m. Jeżeli Splunk odkryje, że w tym czasie były 4 lub więcej prób nieudanego wejścia na serwer to uruchomi alert. Przechodzimy do następnej opcji w której możemy zdefiniować co Splunk Enterprise ma zrobić z faktem, iż znalazł poszukiwane rezultaty. W tym przypadku wybrałem, żeby uruchomił alert i nadał mu niski priorytet. Warto zwrócić uwagę na pozostałe opcje. W przypadku, gdy monitorujemy coś niezwykle istotnego dla systemu można wybrać opcję wysłania maila do siebie i o zdarzeniu będziemy informowani w czasie rzeczywistym. Bardzo obiecująco wygląda też opcja „Run a Script”. Zaznaczywszy to pojawia się pole, w które wpisujemy ścieżkę dostępu do skryptu. Łatwo można sobie wyobrazić sytuację, gdy nasz skrypt z właśnie utworzonych wpisów wybierał adres IP i dodawał automatycznie do firewalla w celu blokowania dostępu do zasobów. W takim przypadku należałoby wybrać też opcję „For each result”.
![[Image: splunk34.png]](http://it.emca.pl/images/stories/2013/forum/splunk34.png)
Sprawdzenie, czy został uruchomiony alert następuje z poziomu Activity -> Triggered Alerts.
![[Image: splunk35.png]](http://it.emca.pl/images/stories/2013/forum/splunk35.png)
Alerty pozwalają na zautomatyzowanie zadań oraz powiadamianie administratora w przypadku, gdy nastąpi ważne zdarzenie. Nie bez znaczenie jest fakt, że można to zrobić w jednym miejscu, korzystając z przyjemnego dla oka wizarda dzięki czemu nawet osoba początkująca może tworzyć interesujące ją alerty