<![CDATA[Monitoring Serwerów - Forum o monitoringu infrastruktury IT - Splunk]]> https://monitoringserwerow.pl/ Wed, 06 May 2026 12:31:37 +0000 MyBB <![CDATA[Splunk App for Enterprise Security]]> https://monitoringserwerow.pl/showthread.php?tid=27 Tue, 30 Jul 2019 09:32:24 +0000 ArturB]]> https://monitoringserwerow.pl/showthread.php?tid=27 Chyba nie wszyscy znają jedną z najbardziej zaawansowanych aplikacji działających w środowisku Splunk. Mam na myśli oczywiście Enterprise Security. Jest to moduł płatny. Jego uruchomienie zmienia rozszerza lubianego Splunka o funkcjonalność systemu SIEM połączonego z nieograniczonymi możliwościami pod kątem tworzenia własnych korelacji oraz wizualizacji i reguł raportowych.

Splunk App for Enterprise Security 3.0 Threat Lists
Zobaczcie jak za pomocą tej aplikacji można przeanalizować listę wykrytych podatności w naszej infrastrukturze. W prosty sposób możemy odszukać adresy komputerów powodujących naruszenie zasad bezpieczeństwa i tak samo prosto możemy sięgnąć do danych źródłowych z zebranych, oryginalnych komunikatów.
Na filmie demo widać również wizualizację danych w trybie real-time. 
http://www.splunk.com/view/SP-CAAAJHB


Splunk App for Enterprise Security 3.0 Security Indicators
Załączam również film, gdzie zobaczymy jak w aplikacji przejrzeć listę obiektów generujących zdarzenia obszaru bezpieczeństwa. Zobaczymy również jak pracować z elementami ekranu użytkownika oraz raportami. 
http://www.splunk.com/view/SP-CAAAJG9]]> Chyba nie wszyscy znają jedną z najbardziej zaawansowanych aplikacji działających w środowisku Splunk. Mam na myśli oczywiście Enterprise Security. Jest to moduł płatny. Jego uruchomienie zmienia rozszerza lubianego Splunka o funkcjonalność systemu SIEM połączonego z nieograniczonymi możliwościami pod kątem tworzenia własnych korelacji oraz wizualizacji i reguł raportowych.

Splunk App for Enterprise Security 3.0 Threat Lists
Zobaczcie jak za pomocą tej aplikacji można przeanalizować listę wykrytych podatności w naszej infrastrukturze. W prosty sposób możemy odszukać adresy komputerów powodujących naruszenie zasad bezpieczeństwa i tak samo prosto możemy sięgnąć do danych źródłowych z zebranych, oryginalnych komunikatów.
Na filmie demo widać również wizualizację danych w trybie real-time. 
http://www.splunk.com/view/SP-CAAAJHB


Splunk App for Enterprise Security 3.0 Security Indicators
Załączam również film, gdzie zobaczymy jak w aplikacji przejrzeć listę obiektów generujących zdarzenia obszaru bezpieczeństwa. Zobaczymy również jak pracować z elementami ekranu użytkownika oraz raportami. 
http://www.splunk.com/view/SP-CAAAJG9]]> <![CDATA[Splunk przeciwko SQL Injection]]> https://monitoringserwerow.pl/showthread.php?tid=26 Tue, 30 Jul 2019 09:30:42 +0000 ArturB]]> https://monitoringserwerow.pl/showthread.php?tid=26 Wykorzystanie Splunk przeciwko SQL Injection 

Splunk w wielu obszarach przetwarzania danych IT ma duże zastosowanie. Typowe wyszukiwanie tekstu w zdarzeniach to dziś stanowczo za mało to prowadzenia skutecznej analizy bezpieczeństwa. Splunk pozwala na śledzenie skomplikowanych wzorców, które mogą pojawić się w naszych logach. Jednym z takich zastosowani jest analiza bezpieczeństwa portali WWW.
Zobaczmy, jak na przykładzie wpisów z Apacha, sprawdzi się aplikacja Splunk SQL Injection.
Wymagane parametry aplikacji to rodzaj źródła oraz analizowane pole. W naszych przypadku będą to wyrażenia odpowiednio: access* oraz uri_query.
[Image: image001.png]

Silnikiem tej aplikacji jest rozbudowane zapytanie pozwalające na detekcję wstrzykiwanego kodu w polu url. Po wypełnieniu danych oraz wybraniu okresu analizy system prezentuje nam kilka tabeli z wynikami. Na wykresie kołowym widzimy statystkę najczęstszych wzorców, które są wykorzystywane w atakach. 
[Image: image003.png]

Pozwala to na szybką ocenę skali ataku i charakteru atakującego. Sam fakt pojawienia się wyrażenia Union Select w adresie URL budzi duże wątpliwości. 
Kolejny diagram, to umiejscowienie wzorców ataków w czasie. Widzimy tu częstotliwość z jaką atakujący wykonuje wstrzyknięcie kodu. 
[Image: image005.png]

Zdecydowanie najciekawszym zestawieniem, jest tabela pokazująca adres IP klienta, typ ataku oraz pełen adres URL, który zawiera niebezpieczny fragment kodu SQL. 
[Image: image007.png]

Wybierając dowolne pole, możemy przenieść się w Splunk z okna naszej aplikacji do paska wyszukiwania. Podążając zatem za adresem 109.62.240.186 zobaczymy wszystkie ataki SQL Injection, które próbował wykonać atakujący.
[Image: image009.png]

Analizując te zdarzenia dochodzimy do wniosku, że atak nie był przypadkiem i dotyczył konkretnych czterech domen WWW naszego serwera. Splunk jest zasilany danymi z tak zwanych źródeł i dzięki takiemu podejściu od razu wiemy skąd pochodzą nasze logi, z jakiego źródła i jakiego systemu CMS dotyczą. Posiadając już taką wiedzę, możemy przyjrzeć się samemu systemowi CMS, w jakiej pracuje wersji, jaka jest jako podatność na takie ataki i jak się zabezpieczyć na przyszłość. 
Jeżeli wiemy już, że atak był skierowany na obszar WEB powstaje pytanie, jak wyglądała cała komunikacja z tym adresem IP. Wpiszmy zatem 109.62.240.186 w pole wyszukiwania Splunka.
[Image: image0011.png]

Analizując ten fragment, również widzimy ważne dane. Poza samym atakiem, widzimy reakcję jednego z naszych systemów CMS’a poprzez wbudowany moduł bezpieczeństwa. Można mieć zatem nadzieję, że ta witryna obroniła się sama, ale co z resztą ? 
Widok ataków SQL Injection w kierunku własnych systemów elektryzuje prawdopodobnie każdego administratora, dlatego trudno kwestionować przydatność Splunka do takiej analizy. Skoro już ujrzeliśmy ten niemiły widok w tabeli, postarajmy się na przyszłość o to, aby fakt takiego włamania został nam zakomunikowany, gdy tylko się wydarzy. Ustawmy powiadomienia email o zajściu co najmniej jednego przypadku ataku. 
[Image: image013.png]
Wybieramy tryb pracy w trybie rzeczywistym. Gdy zdarzenia pojawi się chociaż raz, operator zostanie natychmiast poinformowany.]]> Wykorzystanie Splunk przeciwko SQL Injection 

Splunk w wielu obszarach przetwarzania danych IT ma duże zastosowanie. Typowe wyszukiwanie tekstu w zdarzeniach to dziś stanowczo za mało to prowadzenia skutecznej analizy bezpieczeństwa. Splunk pozwala na śledzenie skomplikowanych wzorców, które mogą pojawić się w naszych logach. Jednym z takich zastosowani jest analiza bezpieczeństwa portali WWW.
Zobaczmy, jak na przykładzie wpisów z Apacha, sprawdzi się aplikacja Splunk SQL Injection.
Wymagane parametry aplikacji to rodzaj źródła oraz analizowane pole. W naszych przypadku będą to wyrażenia odpowiednio: access* oraz uri_query.
[Image: image001.png]

Silnikiem tej aplikacji jest rozbudowane zapytanie pozwalające na detekcję wstrzykiwanego kodu w polu url. Po wypełnieniu danych oraz wybraniu okresu analizy system prezentuje nam kilka tabeli z wynikami. Na wykresie kołowym widzimy statystkę najczęstszych wzorców, które są wykorzystywane w atakach. 
[Image: image003.png]

Pozwala to na szybką ocenę skali ataku i charakteru atakującego. Sam fakt pojawienia się wyrażenia Union Select w adresie URL budzi duże wątpliwości. 
Kolejny diagram, to umiejscowienie wzorców ataków w czasie. Widzimy tu częstotliwość z jaką atakujący wykonuje wstrzyknięcie kodu. 
[Image: image005.png]

Zdecydowanie najciekawszym zestawieniem, jest tabela pokazująca adres IP klienta, typ ataku oraz pełen adres URL, który zawiera niebezpieczny fragment kodu SQL. 
[Image: image007.png]

Wybierając dowolne pole, możemy przenieść się w Splunk z okna naszej aplikacji do paska wyszukiwania. Podążając zatem za adresem 109.62.240.186 zobaczymy wszystkie ataki SQL Injection, które próbował wykonać atakujący.
[Image: image009.png]

Analizując te zdarzenia dochodzimy do wniosku, że atak nie był przypadkiem i dotyczył konkretnych czterech domen WWW naszego serwera. Splunk jest zasilany danymi z tak zwanych źródeł i dzięki takiemu podejściu od razu wiemy skąd pochodzą nasze logi, z jakiego źródła i jakiego systemu CMS dotyczą. Posiadając już taką wiedzę, możemy przyjrzeć się samemu systemowi CMS, w jakiej pracuje wersji, jaka jest jako podatność na takie ataki i jak się zabezpieczyć na przyszłość. 
Jeżeli wiemy już, że atak był skierowany na obszar WEB powstaje pytanie, jak wyglądała cała komunikacja z tym adresem IP. Wpiszmy zatem 109.62.240.186 w pole wyszukiwania Splunka.
[Image: image0011.png]

Analizując ten fragment, również widzimy ważne dane. Poza samym atakiem, widzimy reakcję jednego z naszych systemów CMS’a poprzez wbudowany moduł bezpieczeństwa. Można mieć zatem nadzieję, że ta witryna obroniła się sama, ale co z resztą ? 
Widok ataków SQL Injection w kierunku własnych systemów elektryzuje prawdopodobnie każdego administratora, dlatego trudno kwestionować przydatność Splunka do takiej analizy. Skoro już ujrzeliśmy ten niemiły widok w tabeli, postarajmy się na przyszłość o to, aby fakt takiego włamania został nam zakomunikowany, gdy tylko się wydarzy. Ustawmy powiadomienia email o zajściu co najmniej jednego przypadku ataku. 
[Image: image013.png]
Wybieramy tryb pracy w trybie rzeczywistym. Gdy zdarzenia pojawi się chociaż raz, operator zostanie natychmiast poinformowany.]]> <![CDATA[Czym są raporty w Splunku?]]> https://monitoringserwerow.pl/showthread.php?tid=25 Tue, 30 Jul 2019 09:21:23 +0000 ArturB]]> https://monitoringserwerow.pl/showthread.php?tid=25 Definicja raportu w Splunku jest stosunkowo prosta - jest to po prostu zapisane wyszukanie, np.
KOD: ZAZNACZ CAŁY
Code:
sourcetype=apache2|eventstats count as "Total"|eventstats count as "Statusy" by http_code|eval percent=(Statusy/Total)*100 |stats sum values(percent) as percentage by http_code|fields http_code, percentage

Nie jest to funkcja przeznaczona tylko dla aplikacji Search & Reporting. Jak "stworzyć" raport z zapytania?

.png   raportsplunk1.PNG (Size: 25.17 KB / Downloads: 596)
Klikamy w przycisk Save As a następnie wybieramy Report


Powinno pojawić się nam okno dialogowe w którym możemy wpisać nazwę raportu (Title) oraz opcjonalnie jego opis (Description).

.png   raportsplunk2.PNG (Size: 13.77 KB / Downloads: 589)

Jeśli nie zapisujemy wizualizacji zaznaczamy "None", a jeśli chcemy mieć możliwość dowolnego ustawiania czasu dla raportu wybieramy "Yes" przy Time Range Picker

Po zapisaniu otworzy nam się okno "Your report has been created". Pod spodem trzy przyciski kolejno, kontynuuj edycję, dodaj do "Dashbordu", czyli stworzonego pulpitu - jest to tematem na osobny artykuł.

No dobrze. Co dalej, co możemy jeszcze zrobić z raportami. Jak ustalić gdzie je znajdziemy, z kim chcemy się nimi podzielić, jak i kto może je edytować.

Zapisane raporty znajdziemy wchodząc w "Reports" z menu

.png   raportsplunk3.PNG (Size: 34.67 KB / Downloads: 572)


Każdy nowy raport domyślnie jest ustawiony jako "Prywatny". Oznacza to że tylko my mamy do niego dostęp.
Żeby edytować uprawnienia do niego klikamy Edit i zaznaczamy Edit Permissions.

.png   raportsplunk4.PNG (Size: 16.55 KB / Downloads: 589)
Po wybraniu App mamy dostęp do użytkowników którym możemy dać prawo do korzystania z raportu (Read), i edycji (Write). Dodatkowym "użytkownikiem" jest Everyone (wszyscy). Po wszystkim klikamy Save

Jeśli klikniemy w nazwę zapisanego raportu powinien on nam się wyświetlić . Zapisaliśmy go z opcją "Time Range picker" także mamy do niego dostęp.
To chyba wszystko co należałoby wiedzieć o raportach.]]> Definicja raportu w Splunku jest stosunkowo prosta - jest to po prostu zapisane wyszukanie, np.
KOD: ZAZNACZ CAŁY
Code:
sourcetype=apache2|eventstats count as "Total"|eventstats count as "Statusy" by http_code|eval percent=(Statusy/Total)*100 |stats sum values(percent) as percentage by http_code|fields http_code, percentage

Nie jest to funkcja przeznaczona tylko dla aplikacji Search & Reporting. Jak "stworzyć" raport z zapytania?

.png   raportsplunk1.PNG (Size: 25.17 KB / Downloads: 596)
Klikamy w przycisk Save As a następnie wybieramy Report


Powinno pojawić się nam okno dialogowe w którym możemy wpisać nazwę raportu (Title) oraz opcjonalnie jego opis (Description).

.png   raportsplunk2.PNG (Size: 13.77 KB / Downloads: 589)

Jeśli nie zapisujemy wizualizacji zaznaczamy "None", a jeśli chcemy mieć możliwość dowolnego ustawiania czasu dla raportu wybieramy "Yes" przy Time Range Picker

Po zapisaniu otworzy nam się okno "Your report has been created". Pod spodem trzy przyciski kolejno, kontynuuj edycję, dodaj do "Dashbordu", czyli stworzonego pulpitu - jest to tematem na osobny artykuł.

No dobrze. Co dalej, co możemy jeszcze zrobić z raportami. Jak ustalić gdzie je znajdziemy, z kim chcemy się nimi podzielić, jak i kto może je edytować.

Zapisane raporty znajdziemy wchodząc w "Reports" z menu

.png   raportsplunk3.PNG (Size: 34.67 KB / Downloads: 572)


Każdy nowy raport domyślnie jest ustawiony jako "Prywatny". Oznacza to że tylko my mamy do niego dostęp.
Żeby edytować uprawnienia do niego klikamy Edit i zaznaczamy Edit Permissions.

.png   raportsplunk4.PNG (Size: 16.55 KB / Downloads: 589)
Po wybraniu App mamy dostęp do użytkowników którym możemy dać prawo do korzystania z raportu (Read), i edycji (Write). Dodatkowym "użytkownikiem" jest Everyone (wszyscy). Po wszystkim klikamy Save

Jeśli klikniemy w nazwę zapisanego raportu powinien on nam się wyświetlić . Zapisaliśmy go z opcją "Time Range picker" także mamy do niego dostęp.
To chyba wszystko co należałoby wiedzieć o raportach.]]> <![CDATA[Lookups - nowe pola do zdarzeń]]> https://monitoringserwerow.pl/showthread.php?tid=24 Tue, 30 Jul 2019 09:16:28 +0000 ArturB]]> https://monitoringserwerow.pl/showthread.php?tid=24 Mam wrażenie, że funkcjonalności Splunka można wymieniać w nieskończoność. Kolejną przydatną funkcjonalnością którą dostarcza Splunk są tabele "Lookup". Dzięki nim możemy uzyskać dodatkowe pola w już istniejących zdarzeniach. Jest to krótko mówiąc słownik, który musimy dostarczyć w formacie csv, (ewentualnie spakowanym). Dla przykładu spróbujemy stworzyć słownik użytkownik, imię, nazwisko

KOD: ZAZNACZ CAŁY
Code:
user,name,surname
psciegienny,Pawel,Sciegienny

Zapisujemy jako user.csv

Następnie wybieramy w menu:

.png   lookups1.PNG (Size: 25.17 KB / Downloads: 595)


Powinno pojawić nam się następujące okno

.png   lookups2.png (Size: 8.26 KB / Downloads: 529)
Chcemy stworzyć nową tabelę, tak jak to zostało zaznaczone - dla aplikacji search

.png   lookups3.PNG (Size: 18.69 KB / Downloads: 575)

W następnym kroku musimy/powinniśmy zdefiniować pola lookup - druga pozycja z drugiego screena...

.png   lookups4.PNG (Size: 15.11 KB / Downloads: 586)

Teraz splunk zna "Definicje" jako oparty o plik lookup.

Teraz powinniśmy przejść do "Automatic lookups"

.png   lookup5.PNG (Size: 21.35 KB / Downloads: 587)

I co nam to wszystko dało? Dostaliśmy zupełnie nowe pola po których możemy wyszukiwać. Jeśli nie znamy kogoś nazwy użytkownika, a mamy możliwość wygenerowania pliku csv zawierającego loginy i nazwiska (często jest to zadaniem trywialnym) to wyszukiwanie może okazać się bardziej instynktowne np:
KOD: ZAZNACZ CAŁY
Code:
auth* fail* name=Pawel surname=Sciegienny

i oto otrzymaliśmy to co chcieliśmy:

.png   lookups6.PNG (Size: 57.22 KB / Downloads: 599)

Innymi zastosowaniami może być np tabela produktów zasugerowania w tutorialu producenta, moim pomysłem byłoby zestawienie numeru telefonu z hostem - pamiętajmy o poprzednim artykule który pozwalał nam "raportować" dowolne pola
https://monitoringserwerow.pl/showthread.php?tid=23

Prawda że tak niepozorna wyszukiwarka potrafi nie raz zaskoczyć?]]> Mam wrażenie, że funkcjonalności Splunka można wymieniać w nieskończoność. Kolejną przydatną funkcjonalnością którą dostarcza Splunk są tabele "Lookup". Dzięki nim możemy uzyskać dodatkowe pola w już istniejących zdarzeniach. Jest to krótko mówiąc słownik, który musimy dostarczyć w formacie csv, (ewentualnie spakowanym). Dla przykładu spróbujemy stworzyć słownik użytkownik, imię, nazwisko

KOD: ZAZNACZ CAŁY
Code:
user,name,surname
psciegienny,Pawel,Sciegienny

Zapisujemy jako user.csv

Następnie wybieramy w menu:

.png   lookups1.PNG (Size: 25.17 KB / Downloads: 595)


Powinno pojawić nam się następujące okno

.png   lookups2.png (Size: 8.26 KB / Downloads: 529)
Chcemy stworzyć nową tabelę, tak jak to zostało zaznaczone - dla aplikacji search

.png   lookups3.PNG (Size: 18.69 KB / Downloads: 575)

W następnym kroku musimy/powinniśmy zdefiniować pola lookup - druga pozycja z drugiego screena...

.png   lookups4.PNG (Size: 15.11 KB / Downloads: 586)

Teraz splunk zna "Definicje" jako oparty o plik lookup.

Teraz powinniśmy przejść do "Automatic lookups"

.png   lookup5.PNG (Size: 21.35 KB / Downloads: 587)

I co nam to wszystko dało? Dostaliśmy zupełnie nowe pola po których możemy wyszukiwać. Jeśli nie znamy kogoś nazwy użytkownika, a mamy możliwość wygenerowania pliku csv zawierającego loginy i nazwiska (często jest to zadaniem trywialnym) to wyszukiwanie może okazać się bardziej instynktowne np:
KOD: ZAZNACZ CAŁY
Code:
auth* fail* name=Pawel surname=Sciegienny

i oto otrzymaliśmy to co chcieliśmy:

.png   lookups6.PNG (Size: 57.22 KB / Downloads: 599)

Innymi zastosowaniami może być np tabela produktów zasugerowania w tutorialu producenta, moim pomysłem byłoby zestawienie numeru telefonu z hostem - pamiętajmy o poprzednim artykule który pozwalał nam "raportować" dowolne pola
https://monitoringserwerow.pl/showthread.php?tid=23

Prawda że tak niepozorna wyszukiwarka potrafi nie raz zaskoczyć?]]> <![CDATA[Zaawansowane wyszukiwanie w Splunku]]> https://monitoringserwerow.pl/showthread.php?tid=23 Tue, 30 Jul 2019 09:09:00 +0000 ArturB]]> https://monitoringserwerow.pl/showthread.php?tid=23 KOD: ZAZNACZ CAŁY
Code:
sourcetype=apache2|chart count by http_code

Takim zapytaniem zakończyłem poprzedniego posta - przyznacie że możliwe wizualizacje i prezentacje robią dobre wrażenie.

Dzisiaj omówimy sobie dokładniej zaprezentowaną składnię, nie skupiając się na polach, które zostały omówione tu
https://monitoringserwerow.pl/showthread.php?tid=21

a na funkcjach po operatorze "|", tak aby móc stworzyć taki oto zegar:

.png   non200.PNG (Size: 17.64 KB / Downloads: 582)
Zegar przedstawiający procent, odwiedzin na serwerach www, które nie są w statusie 200.


Zdradzając, może nie najlepiej, ale co najmniej edukacyjnie takie zapytanie mogłoby wyglądać tak:
KOD: ZAZNACZ CAŁY
Code:
sourcetype=apache2|eventstats count as "Total"|eventstats count as "Statusy" by http_code|eval percent=(Statusy/Total)*100 |stats sum values(percent) by http_code|search http_code!=200|chart sum(values(percent)) as wartość|gauge wartość


Zaprezentowane kilka funkcji to jedynie mały fragment wszystkich funkcji które podpowiada wyszukiwarka.

.png   functions.PNG (Size: 30.47 KB / Downloads: 610)
Inne funkcje podpowiadane przez wyszukiwarkę


I tak kolejno funkcja eventstats dodaje "statystykę" do wyniku - w naszym przypadku użyliśmy funkcję "count" która ma zliczyć wybrane zdarzenia - W pierwszym przypadku wszystkie w drugim zgrupowane przez http_code.
Dostępne funkcje zliczające to między innymi średnia, ilość na godzinę, suma, policzenie rodzajów (np ilości różnych http_code).
Pełna lista poniżej
Quote:
avg() | c() | count() | dc() | distinct_count() | first() | last() | list() | max() | median() | min() | mode() | p<in>() | perc<int>() | per_day() | per_hour() | per_minute() | per_second() | range() | stdev() | stdevp() | sum() | sumsq() | values() | var() | varp() 


Kolejna funkcja która się pojawiła po kolejnym "pajpie" to eval. Jak można się domyślić ma ona na celu wykonanie jakiejś operacji - w naszym przypadku arytmetycznej, która ma określić procentowy udział poszczególnych kodów w wyniku.

KOD: ZAZNACZ CAŁY
Code:
stats sum values(percent) by http_code


Stats doprowadzi nam statystykę którą ma być suma, wg statusu http.
A następnie wykorzystaliśmy domyślną funkcję wyszukiwarki - search aby wyszukać informacje o kodach różnych od 0, chart żeby zsumować informację i gauge żeby wyświetlić wynik. Tylko na pierwszy rzut oka wydaje się to skomplikowane.

ciekawą funkcjonalnością jest jeszcze funkcja rename gdzie w pewnym momencie możemy przetłumaczyć powstałą kolumnę np. sum(count(avg(value))) na wynik
KOD: ZAZNACZ CAŁY
Code:
|rename sum(count(avg(value))) as wynik

[/code]

Mam nadzieję że teraz już każdy widzi dlaczego wyszukiwarkę uważam za najpotężniejsze narzędzie w Splunku - nie tylko na pierwszy rzut oka, ale również na drugi i trzeci ogranicza nas tylko wyobraźnia.

Miłego splankowania.]]> KOD: ZAZNACZ CAŁY
Code:
sourcetype=apache2|chart count by http_code

Takim zapytaniem zakończyłem poprzedniego posta - przyznacie że możliwe wizualizacje i prezentacje robią dobre wrażenie.

Dzisiaj omówimy sobie dokładniej zaprezentowaną składnię, nie skupiając się na polach, które zostały omówione tu
https://monitoringserwerow.pl/showthread.php?tid=21

a na funkcjach po operatorze "|", tak aby móc stworzyć taki oto zegar:

.png   non200.PNG (Size: 17.64 KB / Downloads: 582)
Zegar przedstawiający procent, odwiedzin na serwerach www, które nie są w statusie 200.


Zdradzając, może nie najlepiej, ale co najmniej edukacyjnie takie zapytanie mogłoby wyglądać tak:
KOD: ZAZNACZ CAŁY
Code:
sourcetype=apache2|eventstats count as "Total"|eventstats count as "Statusy" by http_code|eval percent=(Statusy/Total)*100 |stats sum values(percent) by http_code|search http_code!=200|chart sum(values(percent)) as wartość|gauge wartość


Zaprezentowane kilka funkcji to jedynie mały fragment wszystkich funkcji które podpowiada wyszukiwarka.

.png   functions.PNG (Size: 30.47 KB / Downloads: 610)
Inne funkcje podpowiadane przez wyszukiwarkę


I tak kolejno funkcja eventstats dodaje "statystykę" do wyniku - w naszym przypadku użyliśmy funkcję "count" która ma zliczyć wybrane zdarzenia - W pierwszym przypadku wszystkie w drugim zgrupowane przez http_code.
Dostępne funkcje zliczające to między innymi średnia, ilość na godzinę, suma, policzenie rodzajów (np ilości różnych http_code).
Pełna lista poniżej
Quote:
avg() | c() | count() | dc() | distinct_count() | first() | last() | list() | max() | median() | min() | mode() | p<in>() | perc<int>() | per_day() | per_hour() | per_minute() | per_second() | range() | stdev() | stdevp() | sum() | sumsq() | values() | var() | varp() 


Kolejna funkcja która się pojawiła po kolejnym "pajpie" to eval. Jak można się domyślić ma ona na celu wykonanie jakiejś operacji - w naszym przypadku arytmetycznej, która ma określić procentowy udział poszczególnych kodów w wyniku.

KOD: ZAZNACZ CAŁY
Code:
stats sum values(percent) by http_code


Stats doprowadzi nam statystykę którą ma być suma, wg statusu http.
A następnie wykorzystaliśmy domyślną funkcję wyszukiwarki - search aby wyszukać informacje o kodach różnych od 0, chart żeby zsumować informację i gauge żeby wyświetlić wynik. Tylko na pierwszy rzut oka wydaje się to skomplikowane.

ciekawą funkcjonalnością jest jeszcze funkcja rename gdzie w pewnym momencie możemy przetłumaczyć powstałą kolumnę np. sum(count(avg(value))) na wynik
KOD: ZAZNACZ CAŁY
Code:
|rename sum(count(avg(value))) as wynik

[/code]

Mam nadzieję że teraz już każdy widzi dlaczego wyszukiwarkę uważam za najpotężniejsze narzędzie w Splunku - nie tylko na pierwszy rzut oka, ale również na drugi i trzeci ogranicza nas tylko wyobraźnia.

Miłego splankowania.]]> <![CDATA[SNMP w Splunku]]> https://monitoringserwerow.pl/showthread.php?tid=22 Tue, 30 Jul 2019 09:02:06 +0000 ArturB]]> https://monitoringserwerow.pl/showthread.php?tid=22 Spróbujcie sobie wyobrazić monitoring systemów bez SNMP. Udało się? Raczej trudno by było, prawda? A teraz wyobraźcie sobie centralny serwer logów nie przyjmujący SNMP. Łatwo? Pewnie, że łatwo, bo tak naprawdę do przechowywania logów z maszyn i informacji z baz MIB bardzo często używa się osobnych aplikacji. Ponieważ Splunk to nie tylko serwer logów, lecz potężne narzędzie monitoringu i analizy danych, więc oczywiście umożliwia nam pobieranie i przetwarzanie SNMP. 

Splunkujemy SNMP

Podczas implementacji Splunka jednym z najczęściej zadawanych pytań jest “Jak przesłać dane z SNMP do Splunka?”. Jak do tej pory zawsze się to udawało, lecz prawdą jest, że proces ten był dość skomplikowany i wymagał konfiguracji w kilku krokach. Na szczęście teraz istnieje narzędzie zwane:

SNMP Modular Input

SNMP Modular Input pozwala na konfigurację połączenia z naszymi maszynami odpytywanymi za pomocą protokołu SNMP.
Dzięki tej appce dostajemy: 
• Łatwość konfiguracji,
• Przechwytywanie trapów,
• Deklarację obiektów,
• Wiele predefiniowanych baz MIB największych producentów,
• Możliwość dodania swojej własnej bazy MIB,
• Pobieranie z użyciem GET BULK,
• Wsparcie dla IPv4 oraz IPv6,
• Indeksację zdarzeń SNMP w formacie nazwa=wartość,
• Obsługiwana wersja 1 i 2. v3 w drodze.
Zapytacie co trzeba zrobić, aby dobrać się do tych dobroci. Po pierwsze należy SNMP Modular Input ściągnąć ze strony https://splunkbase.splunk.com/app/1537/ i zainstalować ( oczywiście za darmo). Potem jest już z górki.
Po restarcie serwera i ponownym zalogowaniu przechodzimy do Manager->Data Inputs->SNMP->New i wypełniany pole zgodnie z konfiguracją:

[Image: sss1.png]

Niestety kryje się w tym pewien haczyk. Aby właściwie skonfigurować usługę należy znać bazę MIB. W Appce dostępnych jest wiele standardowych baz MIB. Aby sprawdzić jakie bazy są dostępne:

KOD: ZAZNACZ CAŁY
Code:
SPLUNK_HOME/etc/apps/snmp_ta/bin/mibs/pysnmp_mibs-0.1.4-py2.7.egg


Jeżeli dodajemy nową bazę musimy ją przekształcić w moduł Pythona.

KOD: ZAZNACZ CAŁY
Code:
build-pysnmp-mib -o MOJ-OSOBISTY-MIB.py MOJ-OSOBISTY-MIB.mib


Przykładowo dla urządzeń Cisco w pole MIB Names, chcąc monitorować użycie interfejsów wpisujemy IF-MIB, a w pole Object Names List wpisujemy np. 1.3.6.1.2.1.2.2.1.10,1.3.6.1.2.1.2.2.1.16. Warto pomóc sobie w odpytywaniu urządzeń Cisco stroną, którą udostępnia firma:

http://tools.cisco.com/Support/SNMP/do/ ... lue=SUBMIT

I to w zasadzie tyle jeżeli chodzi o konfigurację. Dzięki tej aplikacji mamy dostęp do wszystkich informacji przesyłanych z naszych urządzeń przez protokół SNMP.]]> Spróbujcie sobie wyobrazić monitoring systemów bez SNMP. Udało się? Raczej trudno by było, prawda? A teraz wyobraźcie sobie centralny serwer logów nie przyjmujący SNMP. Łatwo? Pewnie, że łatwo, bo tak naprawdę do przechowywania logów z maszyn i informacji z baz MIB bardzo często używa się osobnych aplikacji. Ponieważ Splunk to nie tylko serwer logów, lecz potężne narzędzie monitoringu i analizy danych, więc oczywiście umożliwia nam pobieranie i przetwarzanie SNMP. 

Splunkujemy SNMP

Podczas implementacji Splunka jednym z najczęściej zadawanych pytań jest “Jak przesłać dane z SNMP do Splunka?”. Jak do tej pory zawsze się to udawało, lecz prawdą jest, że proces ten był dość skomplikowany i wymagał konfiguracji w kilku krokach. Na szczęście teraz istnieje narzędzie zwane:

SNMP Modular Input

SNMP Modular Input pozwala na konfigurację połączenia z naszymi maszynami odpytywanymi za pomocą protokołu SNMP.
Dzięki tej appce dostajemy: 
• Łatwość konfiguracji,
• Przechwytywanie trapów,
• Deklarację obiektów,
• Wiele predefiniowanych baz MIB największych producentów,
• Możliwość dodania swojej własnej bazy MIB,
• Pobieranie z użyciem GET BULK,
• Wsparcie dla IPv4 oraz IPv6,
• Indeksację zdarzeń SNMP w formacie nazwa=wartość,
• Obsługiwana wersja 1 i 2. v3 w drodze.
Zapytacie co trzeba zrobić, aby dobrać się do tych dobroci. Po pierwsze należy SNMP Modular Input ściągnąć ze strony https://splunkbase.splunk.com/app/1537/ i zainstalować ( oczywiście za darmo). Potem jest już z górki.
Po restarcie serwera i ponownym zalogowaniu przechodzimy do Manager->Data Inputs->SNMP->New i wypełniany pole zgodnie z konfiguracją:

[Image: sss1.png]

Niestety kryje się w tym pewien haczyk. Aby właściwie skonfigurować usługę należy znać bazę MIB. W Appce dostępnych jest wiele standardowych baz MIB. Aby sprawdzić jakie bazy są dostępne:

KOD: ZAZNACZ CAŁY
Code:
SPLUNK_HOME/etc/apps/snmp_ta/bin/mibs/pysnmp_mibs-0.1.4-py2.7.egg


Jeżeli dodajemy nową bazę musimy ją przekształcić w moduł Pythona.

KOD: ZAZNACZ CAŁY
Code:
build-pysnmp-mib -o MOJ-OSOBISTY-MIB.py MOJ-OSOBISTY-MIB.mib


Przykładowo dla urządzeń Cisco w pole MIB Names, chcąc monitorować użycie interfejsów wpisujemy IF-MIB, a w pole Object Names List wpisujemy np. 1.3.6.1.2.1.2.2.1.10,1.3.6.1.2.1.2.2.1.16. Warto pomóc sobie w odpytywaniu urządzeń Cisco stroną, którą udostępnia firma:

http://tools.cisco.com/Support/SNMP/do/ ... lue=SUBMIT

I to w zasadzie tyle jeżeli chodzi o konfigurację. Dzięki tej aplikacji mamy dostęp do wszystkich informacji przesyłanych z naszych urządzeń przez protokół SNMP.]]> <![CDATA[Wyszukiwanie w Splunku]]> https://monitoringserwerow.pl/showthread.php?tid=21 Tue, 30 Jul 2019 08:31:16 +0000 ArturB]]> https://monitoringserwerow.pl/showthread.php?tid=21 Splunk na pierwszy rzut oka onieśmiela i większość osób zgodzi się z tą tezą. Bardzo silną i domyślnie zainstalowaną aplikacją jest
"Search and Reporting"

.png   seachandreporting.PNG (Size: 8.08 KB / Downloads: 617)
Aby ją uruchomić wystarczy kliknąć w zaznaczony button
Naszym oczom powinien ukazać się taki o to widok

.png   window.PNG (Size: 26.1 KB / Downloads: 651)

Omawiając pola i przyciski od góry zwrócimy uwagę na pasek wyszukiwania, gdzie po prostu możemy wpisać poszukiwaną przez nas frazę.
Warto w tym miejscu powiedzieć, że Splunk szuka całego wyrazu, dlatego zapytanie "fail" nie znajdzie dopasowania ani w "failed" ani w "failure". Oczywiście istnieje wildcard (znak "dzika karta") *, który dopasuje się do dowolnego ciągu znaków. Przykład zastosowania w powyższym przypadku to "fail*".

Obok znajdziemy przyciski który pomoże nam ustalić ramy czasowe zdarzeń, np ostatnie 15 min, wczoraj, ostatnie 7dni, a także istnieje możliwość zdefiniowania własnego okresu czasu.

Na stronie pojawiają się dodatkowo dwa boksy, jeden z dwoma przyciskami do Dokumentacji wyszukiwania i Tutoriali producenta, a drugi podsumowanie zebranych danych. Na potrzeby dalszej części artykułu założymy że mamy w systemie conajmniej "access log" z apache'a.

Wyszukiwanie może odbywać się poprzez wpisanie słowa które ma być znalezione w dowolnym miejscu loga (np "auth* fail*) albo poprzez wskazanie konkretnego pola (w późniejszym czasie omówię również tworzenie własnych pól w logach.

Idea jest taka, że szukamy kolejnych słów ze spójnikiem "i" - w powyższym przypadku znajdziemy zdarzenia w których występuje "auth*" i "fail*", albo, ujęcie w cudzysłów spowoduje dodatkowo, że to będą musiały być dwa słowa występujące po sobie, pierwsze zaczynające się od "auth", a drugie od "fail".
W komentarzu pod artykułem kolegi z pracy zawarłem przykład
KOD: ZAZNACZ CAŁY
Code:
"auth* fail*" psciegienny OR mmarczak

co jest równoznaczne z nawiasowaniem (z którego również możemy korzystać):
KOD: ZAZNACZ CAŁY
Code:
"auth* fail*" (psciegienny OR mmarczak)

Jednym słowem, szukamy błędów autoryzacji, bądź autentyfikacji dla użytkownika psciegienny lub mmarczak.


.png   proste zapytanie.PNG (Size: 62.69 KB / Downloads: 644)
Co sprawniejsze oko czytelnika zauważy poza wynikami wyświetlenia i wykresem ilości zdarzeń w czasie, po lewej stronie box z "polami".
Pozwoli nam to np. do ograniczenia naszego wyniku w obrębie jednego hosta (host), typu logów (sourcetype). Dla konkretnego typu logów możemy zdefiniować nasze własne pola - jeśli Splunk ich oczywiście nie wykryje. Celem demonstracji posłużyłem się przykładem z wideotutoriala.
Otóż wiem, że mam "sourcetype" o nazwie apache2
Wpisuję w wyszukiwarkę
KOD: ZAZNACZ CAŁY
Code:
sourcetype=apache2

I ograniczam czas do wczoraj (żeby ograniczyć ilość wyników)

.png   sourcetype.PNG (Size: 33.76 KB / Downloads: 607)


Zauważam, że pośród pól nie ma ani kodu HTTP (200, 404, 500...), ani np metody (POST/GET/OPTIONS).
Co zrobić?
Możemy rozwinąć nasz log, a następnie "wyodrębnić pole".


.png   extractfields.PNG (Size: 49.85 KB / Downloads: 648)


Żeby było łatwiej, splunk pozwala nam intuicyjnie podać przykład wartości pola, które postara się dopasować. Wpiszmy np. 200, a później (już bez screenów) GET

.png   ife.PNG (Size: 43.92 KB / Downloads: 610)


Splunk podkreślił nam wyniki, podał inne wyszukane wartości. Możemy ręcznie zmienić wyrażenie regularne, ale ja nie chcę tego zrobić więc zapisuję.

.png   http_code.PNG (Size: 9.08 KB / Downloads: 612)
Po wciśnięciu buttonu Save wyświetli nam się takie okno


Poza tym, że możemy teraz wydać zapytanie:
KOD: ZAZNACZ CAŁY
Code:
sourcetype=apache2 http_code=404

Wygenerujmy sobie pierwszy raport - wciąż korzystając z wyszukiwarki (!)
KOD: ZAZNACZ CAŁY
Code:
sourcetype=apache2|chart count by http_code


.png   chart.PNG (Size: 25.29 KB / Downloads: 585)

Zauważmy jeszcze zakładkę visualisation.

.png   wizualizacja.PNG (Size: 35.91 KB / Downloads: 610)

gdzie dodatkowo możemy wybrać rodzaj wykresu.

Prawda, że proste?
PS Za drugim razem już robi się to znacznie szybciej - sami się przekonajcie próbując robić statystykę metody GET / POST na waszej stronie.]]> Splunk na pierwszy rzut oka onieśmiela i większość osób zgodzi się z tą tezą. Bardzo silną i domyślnie zainstalowaną aplikacją jest
"Search and Reporting"

.png   seachandreporting.PNG (Size: 8.08 KB / Downloads: 617)
Aby ją uruchomić wystarczy kliknąć w zaznaczony button
Naszym oczom powinien ukazać się taki o to widok

.png   window.PNG (Size: 26.1 KB / Downloads: 651)

Omawiając pola i przyciski od góry zwrócimy uwagę na pasek wyszukiwania, gdzie po prostu możemy wpisać poszukiwaną przez nas frazę.
Warto w tym miejscu powiedzieć, że Splunk szuka całego wyrazu, dlatego zapytanie "fail" nie znajdzie dopasowania ani w "failed" ani w "failure". Oczywiście istnieje wildcard (znak "dzika karta") *, który dopasuje się do dowolnego ciągu znaków. Przykład zastosowania w powyższym przypadku to "fail*".

Obok znajdziemy przyciski który pomoże nam ustalić ramy czasowe zdarzeń, np ostatnie 15 min, wczoraj, ostatnie 7dni, a także istnieje możliwość zdefiniowania własnego okresu czasu.

Na stronie pojawiają się dodatkowo dwa boksy, jeden z dwoma przyciskami do Dokumentacji wyszukiwania i Tutoriali producenta, a drugi podsumowanie zebranych danych. Na potrzeby dalszej części artykułu założymy że mamy w systemie conajmniej "access log" z apache'a.

Wyszukiwanie może odbywać się poprzez wpisanie słowa które ma być znalezione w dowolnym miejscu loga (np "auth* fail*) albo poprzez wskazanie konkretnego pola (w późniejszym czasie omówię również tworzenie własnych pól w logach.

Idea jest taka, że szukamy kolejnych słów ze spójnikiem "i" - w powyższym przypadku znajdziemy zdarzenia w których występuje "auth*" i "fail*", albo, ujęcie w cudzysłów spowoduje dodatkowo, że to będą musiały być dwa słowa występujące po sobie, pierwsze zaczynające się od "auth", a drugie od "fail".
W komentarzu pod artykułem kolegi z pracy zawarłem przykład
KOD: ZAZNACZ CAŁY
Code:
"auth* fail*" psciegienny OR mmarczak

co jest równoznaczne z nawiasowaniem (z którego również możemy korzystać):
KOD: ZAZNACZ CAŁY
Code:
"auth* fail*" (psciegienny OR mmarczak)

Jednym słowem, szukamy błędów autoryzacji, bądź autentyfikacji dla użytkownika psciegienny lub mmarczak.


.png   proste zapytanie.PNG (Size: 62.69 KB / Downloads: 644)
Co sprawniejsze oko czytelnika zauważy poza wynikami wyświetlenia i wykresem ilości zdarzeń w czasie, po lewej stronie box z "polami".
Pozwoli nam to np. do ograniczenia naszego wyniku w obrębie jednego hosta (host), typu logów (sourcetype). Dla konkretnego typu logów możemy zdefiniować nasze własne pola - jeśli Splunk ich oczywiście nie wykryje. Celem demonstracji posłużyłem się przykładem z wideotutoriala.
Otóż wiem, że mam "sourcetype" o nazwie apache2
Wpisuję w wyszukiwarkę
KOD: ZAZNACZ CAŁY
Code:
sourcetype=apache2

I ograniczam czas do wczoraj (żeby ograniczyć ilość wyników)

.png   sourcetype.PNG (Size: 33.76 KB / Downloads: 607)


Zauważam, że pośród pól nie ma ani kodu HTTP (200, 404, 500...), ani np metody (POST/GET/OPTIONS).
Co zrobić?
Możemy rozwinąć nasz log, a następnie "wyodrębnić pole".


.png   extractfields.PNG (Size: 49.85 KB / Downloads: 648)


Żeby było łatwiej, splunk pozwala nam intuicyjnie podać przykład wartości pola, które postara się dopasować. Wpiszmy np. 200, a później (już bez screenów) GET

.png   ife.PNG (Size: 43.92 KB / Downloads: 610)


Splunk podkreślił nam wyniki, podał inne wyszukane wartości. Możemy ręcznie zmienić wyrażenie regularne, ale ja nie chcę tego zrobić więc zapisuję.

.png   http_code.PNG (Size: 9.08 KB / Downloads: 612)
Po wciśnięciu buttonu Save wyświetli nam się takie okno


Poza tym, że możemy teraz wydać zapytanie:
KOD: ZAZNACZ CAŁY
Code:
sourcetype=apache2 http_code=404

Wygenerujmy sobie pierwszy raport - wciąż korzystając z wyszukiwarki (!)
KOD: ZAZNACZ CAŁY
Code:
sourcetype=apache2|chart count by http_code


.png   chart.PNG (Size: 25.29 KB / Downloads: 585)

Zauważmy jeszcze zakładkę visualisation.

.png   wizualizacja.PNG (Size: 35.91 KB / Downloads: 610)

gdzie dodatkowo możemy wybrać rodzaj wykresu.

Prawda, że proste?
PS Za drugim razem już robi się to znacznie szybciej - sami się przekonajcie próbując robić statystykę metody GET / POST na waszej stronie.]]> <![CDATA[Splunk - aplikacje]]> https://monitoringserwerow.pl/showthread.php?tid=20 Tue, 30 Jul 2019 07:57:54 +0000 ArturB]]> https://monitoringserwerow.pl/showthread.php?tid=20 Jesteśmy świeżo po premierze Splunk 6 w związku z czym, chciałbym przybliżyć trochę tę aplikację. Splunk Enterprise przy pierwszym spotkaniu może trochę onieśmielać. Owszem wyszukiwanie jest intuicyjne, ale wiele osób jeżeli ma przeszukiwać logi, woli to zrobić na konkretnym serwerze korzystając z basha. Tyle, że Splunk oferuje coś, czego bash nie ma i nie mam tu na myśli logicznego interfesju, tylko fakt, że posiada on wiele predefiniowanych ustawień, które niezwykle ułatwiają pracę administratora. Aby uzyskać do nich dostęp, należy zainstalować specjalną aplikację. Razem przejdziemy przez ten proces:
Po wejściu do Splunka w lewym górnym rogu znajduje się zakładka app.

[Image: ssplunk1.png]

Po kliknięciu na nią należy przejść do zakładki „Find more apps”. W moim przypadku wybrałem aplikację „Splunk App for Unix and Linux „ ze względu na fakt, iż w pracy mam głównie do czynienia ze środowiskiem opartym o linuksy. Istnieje oczywiście wiele innych interesujących darmowych aplikacji jak na przykład: „Splunk for Wireless Networks”, czy „Nessus In Splunk” (wyobrażacie sobie wszystkie raporty bezpieczeństwa zmagazynowane w jednym miejscu i dostępne na żądanie 24/7, jak tu nie kochać Splunka?).

[Image: ssplunk2.png]

Proces instalacji jest bardzo prosty. Ściągamy aplikację (spakowaną w formacie zip). Przechodzimy do zakładki Manage Apps a następnie „Install app from file”. Po wybraniu pobranej aplikacji i jej instalacji przechodzimy ponownie do zakładki Apps>Manage App i w ustawieniach zaznaczamy, aby aplikacja była widoczna. No dobrze, ale co nam to daje? 
Przejdźmy do panelu wyszukiwania. Jeżeli teraz rozpoczniemy przeszukiwanie naszych logów po lewej stronie w polu „Interesting fields” mamy dużo większy wybór. Naszą uwagę powinien przykuć link „more fields”. Kliknąwszy na niego możemy wybrać interesujące nas pola po których Splunk będzie przeszukiwał. Po wybraniu, pola te znajdą się w zakładce „Selected fields”, dzięki czemu uzyskamy bezpośredni i natychmiastowy dostęp do interesujących nas danych. Warto zwrócić uwagę na pola users, ip, clients, client_names (pola wyszukiwania zależą do słów kluczowych znalezionych w logach, więc niekoniecznie muszą być takie same jak w naszym przykładzie).

[Image: ssplunk3.png]

Jeżeli wybierzemy filter np. ip otrzymamy oczywiście wgląd w adresy ip łączące się z naszym hostem . Możemy wybrać pojedynczy adres, uzyskać szczegółowe dane, lecz czasami bardziej ogólne spojrzenie pozwala wychwycić anomalię.

[Image: ssplunk4.png]

Oczywistym jest fakt manipulowania czasem, co pozwala wyświetlić raport z ostatniego dnia, godziny czy w czasie rzeczywistym. Jeżeli jakakolwiek wartość nas zaniepokoi, wystarczy kliknąć w wykres przy danym adresie, aby uzyskać bardziej szczegółowe dane, a następnie dalej filtrować zebrane dane korzystając z paska wyszukiwania. Można też po prostu interesującą nas wartość kliknąć i tym sposobem dodać do filtru wyszukiwania. Warto dodać, że w ten sam sposób można filtrować po procesie, czy userze.

[Image: ssplunk5.png]

Do analizy danych na linuksie już dawno przywykliśmy, lecz dla wielu z nas monitorowanie stanu hosta z systemem Windows nie jest już tak oczywiste. Tymczasem, choć wydaje się to nieprawdopodobne możemy podglądać zmiany w rejestrze systemu Windows. Jeżeli coś przestało działać, wystarczy przeszukać rejestr pod kątem ostatnich zmian, aby zlokalizować problem. Jak filtrować po rejestrze? Jest do tego oczywiście dedykowana aplikacja, którą instalujemy według wcześniej podanej tu instrukcji.

Jak widać Splunk Enterprise jest niezastąpionym narzędziem, jeżeli chodzi o analizę przychodzących do niego danych , detekcję anomalii, mając dodatkowo intuicyjny interfejs, dzięki któremu nawet osoba niezwiązana z IT może rozpocząć analizę potrzebnej jej danych.
[quote pid='20' dateline='1564473474']
abickiSplunk Enterprise przy pierwszym spotkaniu może trochę onieśmielać. Owszem wyszukiwanie jest intuicyjne, ale wiele osób jeżeli ma przeszukiwać logi, woli to zrobić na konkretnym serwerze korzystając z basha. 
[/quote]
Z dużym zainteresowaniem czytam Twoje posty dotyczące Splunka, sam Splunk podoba mi się na tyle, że jak najszybciej chciałbym zostać "Splunkującym Splunkerem" (zgodnie ze słownictwem zespołu Splunka). 
Te dwa zdania jednak są, moim zdaniem, odrobinę krzywdzące dla Splunka i postaram się to udowodnić w najbliższym czasie. No chyba, że miałeś na myśli jedynie proste wyszukania, takie jak
KOD: ZAZNACZ CAŁY
Code:
fail* auth* mmarczak OR psciegienny

Ale już na przykład procentowy udział błędów http 404 na naszej firmowej witrynie między godziną 14:00 a 17:00 dwa dni temu, z wykresem ilości w funkcji czasu może wymagać dłuższego zastanowienia i ewentualnej instalacji dodatkowych pakietów (np. gnuplota), a w Splunku... Nadal intuicyjnie [Image: icon_e_wink.gif]]]> Jesteśmy świeżo po premierze Splunk 6 w związku z czym, chciałbym przybliżyć trochę tę aplikację. Splunk Enterprise przy pierwszym spotkaniu może trochę onieśmielać. Owszem wyszukiwanie jest intuicyjne, ale wiele osób jeżeli ma przeszukiwać logi, woli to zrobić na konkretnym serwerze korzystając z basha. Tyle, że Splunk oferuje coś, czego bash nie ma i nie mam tu na myśli logicznego interfesju, tylko fakt, że posiada on wiele predefiniowanych ustawień, które niezwykle ułatwiają pracę administratora. Aby uzyskać do nich dostęp, należy zainstalować specjalną aplikację. Razem przejdziemy przez ten proces:
Po wejściu do Splunka w lewym górnym rogu znajduje się zakładka app.

[Image: ssplunk1.png]

Po kliknięciu na nią należy przejść do zakładki „Find more apps”. W moim przypadku wybrałem aplikację „Splunk App for Unix and Linux „ ze względu na fakt, iż w pracy mam głównie do czynienia ze środowiskiem opartym o linuksy. Istnieje oczywiście wiele innych interesujących darmowych aplikacji jak na przykład: „Splunk for Wireless Networks”, czy „Nessus In Splunk” (wyobrażacie sobie wszystkie raporty bezpieczeństwa zmagazynowane w jednym miejscu i dostępne na żądanie 24/7, jak tu nie kochać Splunka?).

[Image: ssplunk2.png]

Proces instalacji jest bardzo prosty. Ściągamy aplikację (spakowaną w formacie zip). Przechodzimy do zakładki Manage Apps a następnie „Install app from file”. Po wybraniu pobranej aplikacji i jej instalacji przechodzimy ponownie do zakładki Apps>Manage App i w ustawieniach zaznaczamy, aby aplikacja była widoczna. No dobrze, ale co nam to daje? 
Przejdźmy do panelu wyszukiwania. Jeżeli teraz rozpoczniemy przeszukiwanie naszych logów po lewej stronie w polu „Interesting fields” mamy dużo większy wybór. Naszą uwagę powinien przykuć link „more fields”. Kliknąwszy na niego możemy wybrać interesujące nas pola po których Splunk będzie przeszukiwał. Po wybraniu, pola te znajdą się w zakładce „Selected fields”, dzięki czemu uzyskamy bezpośredni i natychmiastowy dostęp do interesujących nas danych. Warto zwrócić uwagę na pola users, ip, clients, client_names (pola wyszukiwania zależą do słów kluczowych znalezionych w logach, więc niekoniecznie muszą być takie same jak w naszym przykładzie).

[Image: ssplunk3.png]

Jeżeli wybierzemy filter np. ip otrzymamy oczywiście wgląd w adresy ip łączące się z naszym hostem . Możemy wybrać pojedynczy adres, uzyskać szczegółowe dane, lecz czasami bardziej ogólne spojrzenie pozwala wychwycić anomalię.

[Image: ssplunk4.png]

Oczywistym jest fakt manipulowania czasem, co pozwala wyświetlić raport z ostatniego dnia, godziny czy w czasie rzeczywistym. Jeżeli jakakolwiek wartość nas zaniepokoi, wystarczy kliknąć w wykres przy danym adresie, aby uzyskać bardziej szczegółowe dane, a następnie dalej filtrować zebrane dane korzystając z paska wyszukiwania. Można też po prostu interesującą nas wartość kliknąć i tym sposobem dodać do filtru wyszukiwania. Warto dodać, że w ten sam sposób można filtrować po procesie, czy userze.

[Image: ssplunk5.png]

Do analizy danych na linuksie już dawno przywykliśmy, lecz dla wielu z nas monitorowanie stanu hosta z systemem Windows nie jest już tak oczywiste. Tymczasem, choć wydaje się to nieprawdopodobne możemy podglądać zmiany w rejestrze systemu Windows. Jeżeli coś przestało działać, wystarczy przeszukać rejestr pod kątem ostatnich zmian, aby zlokalizować problem. Jak filtrować po rejestrze? Jest do tego oczywiście dedykowana aplikacja, którą instalujemy według wcześniej podanej tu instrukcji.

Jak widać Splunk Enterprise jest niezastąpionym narzędziem, jeżeli chodzi o analizę przychodzących do niego danych , detekcję anomalii, mając dodatkowo intuicyjny interfejs, dzięki któremu nawet osoba niezwiązana z IT może rozpocząć analizę potrzebnej jej danych.
[quote pid='20' dateline='1564473474']
abickiSplunk Enterprise przy pierwszym spotkaniu może trochę onieśmielać. Owszem wyszukiwanie jest intuicyjne, ale wiele osób jeżeli ma przeszukiwać logi, woli to zrobić na konkretnym serwerze korzystając z basha. 
[/quote]
Z dużym zainteresowaniem czytam Twoje posty dotyczące Splunka, sam Splunk podoba mi się na tyle, że jak najszybciej chciałbym zostać "Splunkującym Splunkerem" (zgodnie ze słownictwem zespołu Splunka). 
Te dwa zdania jednak są, moim zdaniem, odrobinę krzywdzące dla Splunka i postaram się to udowodnić w najbliższym czasie. No chyba, że miałeś na myśli jedynie proste wyszukania, takie jak
KOD: ZAZNACZ CAŁY
Code:
fail* auth* mmarczak OR psciegienny

Ale już na przykład procentowy udział błędów http 404 na naszej firmowej witrynie między godziną 14:00 a 17:00 dwa dni temu, z wykresem ilości w funkcji czasu może wymagać dłuższego zastanowienia i ewentualnej instalacji dodatkowych pakietów (np. gnuplota), a w Splunku... Nadal intuicyjnie [Image: icon_e_wink.gif]]]> <![CDATA[Splunk Universal Forwader - Linux, Unix]]> https://monitoringserwerow.pl/showthread.php?tid=19 Tue, 30 Jul 2019 07:54:02 +0000 ArturB]]> https://monitoringserwerow.pl/showthread.php?tid=19 Aby umożliwić przesyłanie logów do Splunka z systemów *nixowych wystarczy skonfigurować syslog, aby przesyłał logi na określony adres. Co jednak zrobić, gdy chcemy przesyłać inne pliki do swojego idealnego systemu logów? Odpowiedzią jest Universal Forwarder Splunka. 
Instalacja agenta odbywa się standardowo, to znaczy ściągamy paczkę na właściwy system i architekturę ze strony 
http://www.splunk.com/download/universalforwarder
transportujemy na serwer, który chcemy monitorować i instalujemy. Po uruchomieniu deamona wydajemy komendę , aby forwarder był uruchamiany przy starcie systemu:

KOD: ZAZNACZ CAŁY
Code:
/opt/splunkforwarder/bin/splunk start
/opt/splunkforwarder/bin/splunk enable boot-start

Kolejnym krokiem jest zalogowanie się do universal forwardera oraz zmiana hasła. Następnie wykonujemy restart:

KOD: ZAZNACZ CAŁY
Code:
/opt/splunkforwarder/bin/splunk  restart

Przydałoby się poinstruować agenta na który serwer i port ma przesyłać logi:

KOD: ZAZNACZ CAŁY
Code:
/opt/splunkforwarder/bin/splunk add forward-server 192.168.4.1:9997

Warto zweryfikować, czy na liście serwerów znalazła się dodana przed chwilą maszyna:
KOD: ZAZNACZ CAŁY
Code:
/opt/splunkforwarder/bin/splunk list forward-server   
Active forwards:
        192.168.4.1:9997

Jedyne co nam pozostało to dodanie plików, które chcemy przesyłać do Splunka:

KOD: ZAZNACZ CAŁY
Code:
/opt/splunkforwarder/bin/splunk add monitor /etc/ -index main -sourcetype etcfolder

W powyższym przykładzie dodaję cały folder /etc/ do Splunka z tagiem etcfolder, dzięki czemu będę miał możliwość porównania zawartości plików w czasie.
Istnieje również możliwość jednorazowego wysłania plików do naszego centralnego serwera logów:

KOD: ZAZNACZ CAŁY
Code:
/opt/splunkforwarder/bin/splunk add oneshot /var/log/applog

Oczywiście jeżeli nie lubimy konfiguracji z linii poleceń możemy edytować plik inputs.conf znajdujący się w lokalizacji:

KOD: ZAZNACZ CAŁY
Code:
 
/opt/splunkforwarder/etc/apps/search/local/

Zawsze warto sprawdzić, czy pliki zostały dodane. W tym celu wykonujemy polecenie:

KOD: ZAZNACZ CAŁY
Code:
/opt/splunkforwarder/bin/splunk list monitor
Monitored Directories:
        $SPLUNK_HOME/var/log/splunk/splunkd.log
                /opt/splunkforwarder/var/log/splunk/audit.log
                /opt/splunkforwarder/var/log/splunk/btool.log
                /opt/splunkforwarder/var/log/splunk/first_install.log
                /opt/splunkforwarder/var/log/splunk/license_audit.log
                /opt/splunkforwarder/var/log/splunk/license_usage.log
                /opt/splunkforwarder/var/log/splunk/metrics.log
                /opt/splunkforwarder/var/log/splunk/metrics.log.1
                /opt/splunkforwarder/var/log/splunk/metrics.log.2
                /opt/splunkforwarder/var/log/splunk/metrics.log.3
                /opt/splunkforwarder/var/log/splunk/metrics.log.4
                /opt/splunkforwarder/var/log/splunk/metrics.log.5
                /opt/splunkforwarder/var/log/splunk/remote_searches.log
                /opt/splunkforwarder/var/log/splunk/scheduler.log
                /opt/splunkforwarder/var/log/splunk/searchhistory.log
                /opt/splunkforwarder/var/log/splunk/splunkd-utility.log
                /opt/splunkforwarder/var/log/splunk/splunkd.log
                /opt/splunkforwarder/var/log/splunk/splunkd_access.log
                /opt/splunkforwarder/var/log/splunk/splunkd_stderr.log
                /opt/splunkforwarder/var/log/splunk/splunkd_stdout.log
        $SPLUNK_HOME/var/spool/splunk/...stash_new
        /etc/
Monitored Files:
        $SPLUNK_HOME/etc/splunk.version

Splunk jak widać jest bardzo elastyczny i przyjmuje wiele rodzajów plików. Instalacja i konfiguracja universal forwardera pod systemami *nix jest prosta, łatwa i przyjemna, a więc i troubleshooting nie będzie sprawiał większych problemów.]]> Aby umożliwić przesyłanie logów do Splunka z systemów *nixowych wystarczy skonfigurować syslog, aby przesyłał logi na określony adres. Co jednak zrobić, gdy chcemy przesyłać inne pliki do swojego idealnego systemu logów? Odpowiedzią jest Universal Forwarder Splunka. 
Instalacja agenta odbywa się standardowo, to znaczy ściągamy paczkę na właściwy system i architekturę ze strony 
http://www.splunk.com/download/universalforwarder
transportujemy na serwer, który chcemy monitorować i instalujemy. Po uruchomieniu deamona wydajemy komendę , aby forwarder był uruchamiany przy starcie systemu:

KOD: ZAZNACZ CAŁY
Code:
/opt/splunkforwarder/bin/splunk start
/opt/splunkforwarder/bin/splunk enable boot-start

Kolejnym krokiem jest zalogowanie się do universal forwardera oraz zmiana hasła. Następnie wykonujemy restart:

KOD: ZAZNACZ CAŁY
Code:
/opt/splunkforwarder/bin/splunk  restart

Przydałoby się poinstruować agenta na który serwer i port ma przesyłać logi:

KOD: ZAZNACZ CAŁY
Code:
/opt/splunkforwarder/bin/splunk add forward-server 192.168.4.1:9997

Warto zweryfikować, czy na liście serwerów znalazła się dodana przed chwilą maszyna:
KOD: ZAZNACZ CAŁY
Code:
/opt/splunkforwarder/bin/splunk list forward-server   
Active forwards:
        192.168.4.1:9997

Jedyne co nam pozostało to dodanie plików, które chcemy przesyłać do Splunka:

KOD: ZAZNACZ CAŁY
Code:
/opt/splunkforwarder/bin/splunk add monitor /etc/ -index main -sourcetype etcfolder

W powyższym przykładzie dodaję cały folder /etc/ do Splunka z tagiem etcfolder, dzięki czemu będę miał możliwość porównania zawartości plików w czasie.
Istnieje również możliwość jednorazowego wysłania plików do naszego centralnego serwera logów:

KOD: ZAZNACZ CAŁY
Code:
/opt/splunkforwarder/bin/splunk add oneshot /var/log/applog

Oczywiście jeżeli nie lubimy konfiguracji z linii poleceń możemy edytować plik inputs.conf znajdujący się w lokalizacji:

KOD: ZAZNACZ CAŁY
Code:
 
/opt/splunkforwarder/etc/apps/search/local/

Zawsze warto sprawdzić, czy pliki zostały dodane. W tym celu wykonujemy polecenie:

KOD: ZAZNACZ CAŁY
Code:
/opt/splunkforwarder/bin/splunk list monitor
Monitored Directories:
        $SPLUNK_HOME/var/log/splunk/splunkd.log
                /opt/splunkforwarder/var/log/splunk/audit.log
                /opt/splunkforwarder/var/log/splunk/btool.log
                /opt/splunkforwarder/var/log/splunk/first_install.log
                /opt/splunkforwarder/var/log/splunk/license_audit.log
                /opt/splunkforwarder/var/log/splunk/license_usage.log
                /opt/splunkforwarder/var/log/splunk/metrics.log
                /opt/splunkforwarder/var/log/splunk/metrics.log.1
                /opt/splunkforwarder/var/log/splunk/metrics.log.2
                /opt/splunkforwarder/var/log/splunk/metrics.log.3
                /opt/splunkforwarder/var/log/splunk/metrics.log.4
                /opt/splunkforwarder/var/log/splunk/metrics.log.5
                /opt/splunkforwarder/var/log/splunk/remote_searches.log
                /opt/splunkforwarder/var/log/splunk/scheduler.log
                /opt/splunkforwarder/var/log/splunk/searchhistory.log
                /opt/splunkforwarder/var/log/splunk/splunkd-utility.log
                /opt/splunkforwarder/var/log/splunk/splunkd.log
                /opt/splunkforwarder/var/log/splunk/splunkd_access.log
                /opt/splunkforwarder/var/log/splunk/splunkd_stderr.log
                /opt/splunkforwarder/var/log/splunk/splunkd_stdout.log
        $SPLUNK_HOME/var/spool/splunk/...stash_new
        /etc/
Monitored Files:
        $SPLUNK_HOME/etc/splunk.version

Splunk jak widać jest bardzo elastyczny i przyjmuje wiele rodzajów plików. Instalacja i konfiguracja universal forwardera pod systemami *nix jest prosta, łatwa i przyjemna, a więc i troubleshooting nie będzie sprawiał większych problemów.]]> <![CDATA[Splunk Universal Forwarder - Windows]]> https://monitoringserwerow.pl/showthread.php?tid=18 Tue, 30 Jul 2019 07:50:59 +0000 ArturB]]> https://monitoringserwerow.pl/showthread.php?tid=18 W jednym z poprzednim ze swoich wpisów wspomniałem o możliwości dodania do Splunk Enterprise stacji windowsowych. W dzisiejszym poście postaram się przybliżyć ten temat.
Aby Splunk mógł przyjmować logi Windowsa należy go właściwie skonfigurować. W tym celu wchodzimy w Settings i wybieramy opcję Forwarding and Receiving :

[Image: s51.png]

Następnie w zakładce Configure receiving wybieramy new i wpisujemy port, na który chcemy otrzymywać dane.

[Image: s52.png]

To w zasadzie cała konfiguracja jeżeli chodzi o Splunka.
Kolejnym krokiem jest zainstalowanie agenta na stacji z systemem operacyjnym Windows.
Przechodzimy na stronę:
http://www.splunk.com/download/universalforwarder
i wybieramy właściwy dla nas forwarder.
Instalacja odbywa się z wykorzystaniem wizarda i teoretycznie nie powinna sprawiać żadnych trudności. Ale jak to w życiu, teoria sobie, a praktyka sobie.
Okazuje się, że to co wydaje się być intuicyjne, wcale takim nie jest. Po przejściu kilku okienek dochodzimy do Specify a Deployment Server. Nie powinniśmy tam nic wpisywać. Dopiero w następnym oknie Specify Receiving Indexer wpisujemy port skonfigurowany wcześniej na Splunku, oraz adres maszyny na której zainstalowany jest nasz serwer logów.

[Image: s54.png]

Następne okienko zostawiamy bez zmian. Największym zaskoczeniem jest fakt, że w okienku Enable Windows Inputs nie zaznaczamy żadnych opcji! Moim zdaniem jest absolutnie niezgodne z intuicją i osoby instalujące universal forwarder bez instrukcji najczęściej zaznaczają wszystkie opcje.

[Image: s55.png]

Reszta przebiega bez zaskoczenia. Po instalacji uniwersalnego forwardera należy edytować plik inputs.conf znajdujący się w lokalizacji $SPLUNK_HOME/etc/system/local, w moim przypadku plik ten znajduje się w katalogu:
C:\Program Files\SplunkUniversalForwarder\etc\system\local
Przykładowa konfiguracja pliku powinna wyglądać mniej więcej tak:

KOD: ZAZNACZ CAŁY
Code:
[default]
host = nazwa_hosta

[WinEventLog://Application]
disabled = 0

[WinEventLog://ForwardedEvents]
disabled = 0

[WinEventLog://HardwareEvents]
disabled = 0

[WinEventLog://Internet Explorer]
disabled = 0

[WinEventLog://Security]
disabled = 0

[WinEventLog://Setup]
disabled = 0

[WinEventLog://System]
disabled = 0


Ustawiając disabled na 0 sprawiamy, że usługa wysyła dane do naszego Splunka.
Na obecnym etapie powinniśmy otrzymywać logi z Windowsa prosto na nasz serwer logów.

[Image: s53.png]]]> W jednym z poprzednim ze swoich wpisów wspomniałem o możliwości dodania do Splunk Enterprise stacji windowsowych. W dzisiejszym poście postaram się przybliżyć ten temat.
Aby Splunk mógł przyjmować logi Windowsa należy go właściwie skonfigurować. W tym celu wchodzimy w Settings i wybieramy opcję Forwarding and Receiving :

[Image: s51.png]

Następnie w zakładce Configure receiving wybieramy new i wpisujemy port, na który chcemy otrzymywać dane.

[Image: s52.png]

To w zasadzie cała konfiguracja jeżeli chodzi o Splunka.
Kolejnym krokiem jest zainstalowanie agenta na stacji z systemem operacyjnym Windows.
Przechodzimy na stronę:
http://www.splunk.com/download/universalforwarder
i wybieramy właściwy dla nas forwarder.
Instalacja odbywa się z wykorzystaniem wizarda i teoretycznie nie powinna sprawiać żadnych trudności. Ale jak to w życiu, teoria sobie, a praktyka sobie.
Okazuje się, że to co wydaje się być intuicyjne, wcale takim nie jest. Po przejściu kilku okienek dochodzimy do Specify a Deployment Server. Nie powinniśmy tam nic wpisywać. Dopiero w następnym oknie Specify Receiving Indexer wpisujemy port skonfigurowany wcześniej na Splunku, oraz adres maszyny na której zainstalowany jest nasz serwer logów.

[Image: s54.png]

Następne okienko zostawiamy bez zmian. Największym zaskoczeniem jest fakt, że w okienku Enable Windows Inputs nie zaznaczamy żadnych opcji! Moim zdaniem jest absolutnie niezgodne z intuicją i osoby instalujące universal forwarder bez instrukcji najczęściej zaznaczają wszystkie opcje.

[Image: s55.png]

Reszta przebiega bez zaskoczenia. Po instalacji uniwersalnego forwardera należy edytować plik inputs.conf znajdujący się w lokalizacji $SPLUNK_HOME/etc/system/local, w moim przypadku plik ten znajduje się w katalogu:
C:\Program Files\SplunkUniversalForwarder\etc\system\local
Przykładowa konfiguracja pliku powinna wyglądać mniej więcej tak:

KOD: ZAZNACZ CAŁY
Code:
[default]
host = nazwa_hosta

[WinEventLog://Application]
disabled = 0

[WinEventLog://ForwardedEvents]
disabled = 0

[WinEventLog://HardwareEvents]
disabled = 0

[WinEventLog://Internet Explorer]
disabled = 0

[WinEventLog://Security]
disabled = 0

[WinEventLog://Setup]
disabled = 0

[WinEventLog://System]
disabled = 0


Ustawiając disabled na 0 sprawiamy, że usługa wysyła dane do naszego Splunka.
Na obecnym etapie powinniśmy otrzymywać logi z Windowsa prosto na nasz serwer logów.

[Image: s53.png]]]> <![CDATA[NTP]]> https://monitoringserwerow.pl/showthread.php?tid=17 Tue, 30 Jul 2019 07:47:17 +0000 ArturB]]> https://monitoringserwerow.pl/showthread.php?tid=17 Często wdrażając mechanizmy i procedury bezpieczeństwa u klienta, jestem pytany co jest podstawą bezpieczeństwa w sieci. Odpowiedź jest jedna: własny serwer NTP. Zaskoczeni?
Truizmem jest stwierdzenie, że aby diagnozować usterki, analizować stan urządzeń i sieci, lub przeprowadzać analizę powłamaniową należy mieć centralny system logów. Logi spływające do jednego urządzenia, które dodatkowo umożliwia łatwy wgląd i analizę są podstawą, bez której żadna poważna firma nie może się obejść. Często jednak osoby odpowiedzialne za bezpieczeństwo zapominają o pewnym drobnym fakcie – aby logi były miarodajne, czas na każdej z maszyn musi być taki sam. W innym przypadku analizę logów będziecie rozpoczynali od sprawdzenia czasu na interesującym was serwerze i ewentualnej korekcie. Przyznacie, że nie brzmi zachęcająco. 
Protokół NTP jest jednym z najstarszych protokołów będących do tej pory w użyciu. Pozwala on na synchronizację zegarów na hostach w sieci. Każda z maszyn może być klientem NTP lub serwerem. Często jest tak, że serwer synchronizowany jest przez inny serwer. W prawidłowo zaprojektowanej i bezpiecznej sieci istnieje serwer z którego wszystkie inne urządzenia, czy to stacje robocze, czy serwery, czy też urządzenia aktywne sieci pobierają aktualny czas. Spytacie, a co będzie jak serwer NTP nie zsynchronizuje się z żadnym z zaufanych serwerów? Nic się nie stanie, bo cała wasza sieć będzie „odbierała na tych samych falach”, a więc nie trzeba będzie przetwarzać dodatkowo logów. Każde zdarzenie będzie zapisane we właściwej kolejności relatywnie do innych zdarzeń. Sieć wewnętrzną należy traktować jak naczynie zamknięte – nie ważne jest jaki czas jest na zewnątrz, ważne jest to, aby w sieci czas był taki sam dla wszystkich urządzeń.

Serwer NTP 

Na dystrybucjach typu Red Hat instalujemy ntp:

KOD: ZAZNACZ CAŁY
Code:
# yum install ntp
# chkconfig ntpd on

Otwieramy plik konfiguracyjny znajdujący się w /etc/ntp.config i wpisujemy w nim serwery zewnętrzne. Aby wybrać bezpieczne serwery warto je wziąć ze strony: http://www.pool.ntp.org/zone/pl

KOD: ZAZNACZ CAŁY
Code:
      server 0.pl.pool.ntp.org prefer
      server 1.pl.pool.ntp.org
      server 2.pl.pool.ntp.org
      server 3.pl.pool.ntp.org

Ważne jest ograniczenie zasięgu naszej usługi. Aby to zrobić wpisujemy:

KOD: ZAZNACZ CAŁY
Code:
restrict 192.168.1.0 mask 255.255.255.0 nomodify notrap


Oznacza to, że tylko hosty z sieci 192.168.1.0/24 będą korzystały z tego serwera.
Jeżeli w naszym środowisku posiadamy Solarisy może też odznaczyć opcję:

KOD: ZAZNACZ CAŁY
Code:
#broadcast 224.0.1.1 autokey

Należy jednak pamiętać, że w takim przypadku zalewamy sieć ruchem multicastowym.
Dodatkowo warto pamiętać o dodaniu reguły do firewalla, aby przepuszczała ruch:

KOD: ZAZNACZ CAŁY
Code:
/sbin/iptables –A INPUT -s 192.168.1.0/24 -m state --state NEW -p udp --dport 123 -j ACCEPT

Na koniec należy zrestartować usługę:

KOD: ZAZNACZ CAŁY
Code:
/etc/init.d/ntpd  restart

W celach weryfikacji wydajemy polecenie:

KOD: ZAZNACZ CAŁY
Code:
ntpq -p
     remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
 96-7.cpe.smnt.p 91.237.52.68     3 u    7   64    1   24.372    0.098   0.000
 96-1.cpe.smnt.p 31.216.56.5      2 u    6   64    1   21.311   -8.576   0.000
 195.46.37.22    212.244.36.227   2 u    5   64    1   38.141   -4.985   0.000
 ntp-03.ipartner 212.244.36.227   2 u    5   64    1   66.471   -6.225   0.000


Klient NTP 

Na kliencie (linux, unix) konfigurujemy tylko adres serwera:
KOD: ZAZNACZ CAŁY
Code:
serwer  192.168.1.1

po zapisaniu pliku wykonujemy:

KOD: ZAZNACZ CAŁY
Code:
# echo '30 * * * * root /usr/sbin/ntpd -q -u ntp:ntp' > /etc/cron.d/ntpd

Nic nie szkodzi na przeszkodzie, aby dokonać manualnej synchronizacji. W tym celu wydajemy polecenie:

KOD: ZAZNACZ CAŁY
Code:
ntpdate 192.168.1.1, gdzie 192.168.1.1 jest naszym serwerem ntp.

Na kliencie Widnows możemy synchronizacji dokonać klikając na datę i godzinę -> zmień ustawienia daty godziny.. ->Czas z Internetu i wpisujemy adres IP naszego serwera.
Można też tak:

KOD: ZAZNACZ CAŁY
Code:
net time /setsntp:192.168.1.1

Na urządzeniach aktywnych sieci firmy Cisco konfiguracja jest równie łatwa:

KOD: ZAZNACZ CAŁY
Code:
cisco1841#config t
ntp serwer 192.168.1.1

Po wydaniu tych poleceń weryfikujemy, czy urządzenie się zsynchronizowało:

KOD: ZAZNACZ CAŁY
Code:
cisco1841#show ntp status
Clock is synchronized, stratum 5, reference is 192.168.1.1
nominal freq is 250.0000 Hz, actual freq is 249.9997 Hz, precision is 2**18
reference time is D5FFBE6D.568CA957 (11:37:17.338 UTC Wed Oct 9 2013)
clock offset is 4.2759 msec, root delay is 40.04 msec
root dispersion is 105.99 msec, peer dispersion is 0.99 msec

Po tych krokach urządzenia w naszej sieci egzystują w tym samym czasie.
A więc pora na serwer logów!]]> Często wdrażając mechanizmy i procedury bezpieczeństwa u klienta, jestem pytany co jest podstawą bezpieczeństwa w sieci. Odpowiedź jest jedna: własny serwer NTP. Zaskoczeni?
Truizmem jest stwierdzenie, że aby diagnozować usterki, analizować stan urządzeń i sieci, lub przeprowadzać analizę powłamaniową należy mieć centralny system logów. Logi spływające do jednego urządzenia, które dodatkowo umożliwia łatwy wgląd i analizę są podstawą, bez której żadna poważna firma nie może się obejść. Często jednak osoby odpowiedzialne za bezpieczeństwo zapominają o pewnym drobnym fakcie – aby logi były miarodajne, czas na każdej z maszyn musi być taki sam. W innym przypadku analizę logów będziecie rozpoczynali od sprawdzenia czasu na interesującym was serwerze i ewentualnej korekcie. Przyznacie, że nie brzmi zachęcająco. 
Protokół NTP jest jednym z najstarszych protokołów będących do tej pory w użyciu. Pozwala on na synchronizację zegarów na hostach w sieci. Każda z maszyn może być klientem NTP lub serwerem. Często jest tak, że serwer synchronizowany jest przez inny serwer. W prawidłowo zaprojektowanej i bezpiecznej sieci istnieje serwer z którego wszystkie inne urządzenia, czy to stacje robocze, czy serwery, czy też urządzenia aktywne sieci pobierają aktualny czas. Spytacie, a co będzie jak serwer NTP nie zsynchronizuje się z żadnym z zaufanych serwerów? Nic się nie stanie, bo cała wasza sieć będzie „odbierała na tych samych falach”, a więc nie trzeba będzie przetwarzać dodatkowo logów. Każde zdarzenie będzie zapisane we właściwej kolejności relatywnie do innych zdarzeń. Sieć wewnętrzną należy traktować jak naczynie zamknięte – nie ważne jest jaki czas jest na zewnątrz, ważne jest to, aby w sieci czas był taki sam dla wszystkich urządzeń.

Serwer NTP 

Na dystrybucjach typu Red Hat instalujemy ntp:

KOD: ZAZNACZ CAŁY
Code:
# yum install ntp
# chkconfig ntpd on

Otwieramy plik konfiguracyjny znajdujący się w /etc/ntp.config i wpisujemy w nim serwery zewnętrzne. Aby wybrać bezpieczne serwery warto je wziąć ze strony: http://www.pool.ntp.org/zone/pl

KOD: ZAZNACZ CAŁY
Code:
      server 0.pl.pool.ntp.org prefer
      server 1.pl.pool.ntp.org
      server 2.pl.pool.ntp.org
      server 3.pl.pool.ntp.org

Ważne jest ograniczenie zasięgu naszej usługi. Aby to zrobić wpisujemy:

KOD: ZAZNACZ CAŁY
Code:
restrict 192.168.1.0 mask 255.255.255.0 nomodify notrap


Oznacza to, że tylko hosty z sieci 192.168.1.0/24 będą korzystały z tego serwera.
Jeżeli w naszym środowisku posiadamy Solarisy może też odznaczyć opcję:

KOD: ZAZNACZ CAŁY
Code:
#broadcast 224.0.1.1 autokey

Należy jednak pamiętać, że w takim przypadku zalewamy sieć ruchem multicastowym.
Dodatkowo warto pamiętać o dodaniu reguły do firewalla, aby przepuszczała ruch:

KOD: ZAZNACZ CAŁY
Code:
/sbin/iptables –A INPUT -s 192.168.1.0/24 -m state --state NEW -p udp --dport 123 -j ACCEPT

Na koniec należy zrestartować usługę:

KOD: ZAZNACZ CAŁY
Code:
/etc/init.d/ntpd  restart

W celach weryfikacji wydajemy polecenie:

KOD: ZAZNACZ CAŁY
Code:
ntpq -p
     remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
 96-7.cpe.smnt.p 91.237.52.68     3 u    7   64    1   24.372    0.098   0.000
 96-1.cpe.smnt.p 31.216.56.5      2 u    6   64    1   21.311   -8.576   0.000
 195.46.37.22    212.244.36.227   2 u    5   64    1   38.141   -4.985   0.000
 ntp-03.ipartner 212.244.36.227   2 u    5   64    1   66.471   -6.225   0.000


Klient NTP 

Na kliencie (linux, unix) konfigurujemy tylko adres serwera:
KOD: ZAZNACZ CAŁY
Code:
serwer  192.168.1.1

po zapisaniu pliku wykonujemy:

KOD: ZAZNACZ CAŁY
Code:
# echo '30 * * * * root /usr/sbin/ntpd -q -u ntp:ntp' > /etc/cron.d/ntpd

Nic nie szkodzi na przeszkodzie, aby dokonać manualnej synchronizacji. W tym celu wydajemy polecenie:

KOD: ZAZNACZ CAŁY
Code:
ntpdate 192.168.1.1, gdzie 192.168.1.1 jest naszym serwerem ntp.

Na kliencie Widnows możemy synchronizacji dokonać klikając na datę i godzinę -> zmień ustawienia daty godziny.. ->Czas z Internetu i wpisujemy adres IP naszego serwera.
Można też tak:

KOD: ZAZNACZ CAŁY
Code:
net time /setsntp:192.168.1.1

Na urządzeniach aktywnych sieci firmy Cisco konfiguracja jest równie łatwa:

KOD: ZAZNACZ CAŁY
Code:
cisco1841#config t
ntp serwer 192.168.1.1

Po wydaniu tych poleceń weryfikujemy, czy urządzenie się zsynchronizowało:

KOD: ZAZNACZ CAŁY
Code:
cisco1841#show ntp status
Clock is synchronized, stratum 5, reference is 192.168.1.1
nominal freq is 250.0000 Hz, actual freq is 249.9997 Hz, precision is 2**18
reference time is D5FFBE6D.568CA957 (11:37:17.338 UTC Wed Oct 9 2013)
clock offset is 4.2759 msec, root delay is 40.04 msec
root dispersion is 105.99 msec, peer dispersion is 0.99 msec

Po tych krokach urządzenia w naszej sieci egzystują w tym samym czasie.
A więc pora na serwer logów!]]> <![CDATA[Tworzenie alertu w Splunk Enterprise]]> https://monitoringserwerow.pl/showthread.php?tid=16 Mon, 29 Jul 2019 13:04:20 +0000 ArturB]]> https://monitoringserwerow.pl/showthread.php?tid=16 W poprzednim swoim obiecałem napisać co nieco o alertach w Splunk Enterprise, a więc do dzieła.
Przygodę z alertami rozpoczynamy od wyszukania interesujących nas danych. W tym celu w polu search wpisujemy: 

KOD: ZAZNACZ CAŁY
Code:
password failed process=sshd


Oczywiście wszystko zależy od formatu logu przesłanego do Splunka.

[Image: splunk31.png]

Fakt, że ktoś próbował się dostać na hosta i w ciągu ostatnich 15 minut udało mu się 3 razy pomylić jest mocno niepokojący. Przyznacie, że Splunk jest świetnym źródłem detekcji prób nieautoryzowanego dostępu do urządzenia. Oczywiście dobrze byłoby mieć to zapytanie zapisane i uruchamiać je co jakiś określony czas. Umożliwia nam to alert. Aby go stworzyć należy wybrać Save as, a następnie Alerts.

[Image: splunk32.png]

Przechodzimy teraz do wizarda, który pomoże nam ustawić nasz alert. 

[Image: splunk33.png]

Ja swoją analizę logów chcę uruchamiać co 5 minut więc wybrałem opcję Run on Cron Schedule i w ”cronowym” formacie to zapisałem (*/5 * * * *). W polu Earliest wpisujemy -5m@m. Jeżeli Splunk odkryje, że w tym czasie były 4 lub więcej prób nieudanego wejścia na serwer to uruchomi alert. Przechodzimy do następnej opcji w której możemy zdefiniować co Splunk Enterprise ma zrobić z faktem, iż znalazł poszukiwane rezultaty. W tym przypadku wybrałem, żeby uruchomił alert i nadał mu niski priorytet. Warto zwrócić uwagę na pozostałe opcje. W przypadku, gdy monitorujemy coś niezwykle istotnego dla systemu można wybrać opcję wysłania maila do siebie i o zdarzeniu będziemy informowani w czasie rzeczywistym. Bardzo obiecująco wygląda też opcja „Run a Script”. Zaznaczywszy to pojawia się pole, w które wpisujemy ścieżkę dostępu do skryptu. Łatwo można sobie wyobrazić sytuację, gdy nasz skrypt z właśnie utworzonych wpisów wybierał adres IP i dodawał automatycznie do firewalla w celu blokowania dostępu do zasobów. W takim przypadku należałoby wybrać też opcję „For each result”.

[Image: splunk34.png]

Sprawdzenie, czy został uruchomiony alert następuje z poziomu Activity -> Triggered Alerts.

[Image: splunk35.png]

Alerty pozwalają na zautomatyzowanie zadań oraz powiadamianie administratora w przypadku, gdy nastąpi ważne zdarzenie. Nie bez znaczenie jest fakt, że można to zrobić w jednym miejscu, korzystając z przyjemnego dla oka wizarda dzięki czemu nawet osoba początkująca może tworzyć interesujące ją alerty]]> W poprzednim swoim obiecałem napisać co nieco o alertach w Splunk Enterprise, a więc do dzieła.
Przygodę z alertami rozpoczynamy od wyszukania interesujących nas danych. W tym celu w polu search wpisujemy: 

KOD: ZAZNACZ CAŁY
Code:
password failed process=sshd


Oczywiście wszystko zależy od formatu logu przesłanego do Splunka.

[Image: splunk31.png]

Fakt, że ktoś próbował się dostać na hosta i w ciągu ostatnich 15 minut udało mu się 3 razy pomylić jest mocno niepokojący. Przyznacie, że Splunk jest świetnym źródłem detekcji prób nieautoryzowanego dostępu do urządzenia. Oczywiście dobrze byłoby mieć to zapytanie zapisane i uruchamiać je co jakiś określony czas. Umożliwia nam to alert. Aby go stworzyć należy wybrać Save as, a następnie Alerts.

[Image: splunk32.png]

Przechodzimy teraz do wizarda, który pomoże nam ustawić nasz alert. 

[Image: splunk33.png]

Ja swoją analizę logów chcę uruchamiać co 5 minut więc wybrałem opcję Run on Cron Schedule i w ”cronowym” formacie to zapisałem (*/5 * * * *). W polu Earliest wpisujemy -5m@m. Jeżeli Splunk odkryje, że w tym czasie były 4 lub więcej prób nieudanego wejścia na serwer to uruchomi alert. Przechodzimy do następnej opcji w której możemy zdefiniować co Splunk Enterprise ma zrobić z faktem, iż znalazł poszukiwane rezultaty. W tym przypadku wybrałem, żeby uruchomił alert i nadał mu niski priorytet. Warto zwrócić uwagę na pozostałe opcje. W przypadku, gdy monitorujemy coś niezwykle istotnego dla systemu można wybrać opcję wysłania maila do siebie i o zdarzeniu będziemy informowani w czasie rzeczywistym. Bardzo obiecująco wygląda też opcja „Run a Script”. Zaznaczywszy to pojawia się pole, w które wpisujemy ścieżkę dostępu do skryptu. Łatwo można sobie wyobrazić sytuację, gdy nasz skrypt z właśnie utworzonych wpisów wybierał adres IP i dodawał automatycznie do firewalla w celu blokowania dostępu do zasobów. W takim przypadku należałoby wybrać też opcję „For each result”.

[Image: splunk34.png]

Sprawdzenie, czy został uruchomiony alert następuje z poziomu Activity -> Triggered Alerts.

[Image: splunk35.png]

Alerty pozwalają na zautomatyzowanie zadań oraz powiadamianie administratora w przypadku, gdy nastąpi ważne zdarzenie. Nie bez znaczenie jest fakt, że można to zrobić w jednym miejscu, korzystając z przyjemnego dla oka wizarda dzięki czemu nawet osoba początkująca może tworzyć interesujące ją alerty]]> <![CDATA[Splunk - wykrywanie włamiań]]> https://monitoringserwerow.pl/showthread.php?tid=15 Mon, 29 Jul 2019 13:01:50 +0000 ArturB]]> https://monitoringserwerow.pl/showthread.php?tid=15 Pewnie większość z Was zna to z autopsji:
Wczesny ranek, oczka się zamykają, kawa nie smakuje a my siadamy do komputera i mozolnie przeglądamy logi w poszukiwaniu prób włamań, upadłych usług (deamonów) i tym podobnych.
W zależności od systemu wygląda to mniej więcej tak:
KOD: ZAZNACZ CAŁY
Code:
less /var/log/messages |grep invalid

lub
KOD: ZAZNACZ CAŁY
Code:
cat /var/log/messages |grep “authentication failed”

Wszystko zależy w jakim formacie nasza usługa zapisuje logi.
Po przejrzeniu n-tego z kolei serwera kiełkuje w nas myśl – „Ale byłoby fajnie gdyby wszystkie logi spływały do jednego miejsca i można byłoby wtedy szukać guza lub problemu globalnie dla całej podległej nam sieci”.
Myśl sama w sobie raczej mało odkrywcza, bo idea centralnego serwera logów powstała dość dawno, ale dopiero stosunkowo niedawno pojawiło się narzędzie naprawdę godne uwagi – splunk.
Program ten przechowuje i indeksuje dane w czasie rzeczywistym w centralnym punkcie i chroni je za pomocą kontroli dostępu opartej na uprawnieniach użytkowników. Umożliwia on wyszukiwanie, monitorowanie, raportowanie i analizę danych bieżących (w czasie rzeczywistym) oraz danych historycznych. Dzięki tym funkcjom możesz teraz szybko wizualizować i udostępniać swoje dane, niezależnie od tego, jak bardzo są nieuporządkowane, obszerne lub zróżnicowane. 
Narzędzie to ma wiele przydatnych funkcji pozwalających analizować spływające do serwera dane. Wydaje mi się, że w większych przedsiębiorstwa splunk jest niezbędny do kontroli stanu maszyn i ludzi. 
Po zalogowaniu się aplikacja wita nas przyjemnym dla oka designem. Po przejściu do zakładki „Search” możemy paść oczy takim oto widokiem:
[Image: splunk42.png]
Hmm, trochę dużo tych logów jak widać na screenie ponad 69 550. Raczej to nam nie pomoże w codziennym monitoringu. Ale od czego jest pole wyszukiwania? Zabawę czas zacząć: 
W naszym scenariuszu interesują nas logi z nieudanego logowania się przez ssh, a więc wpisujemy:
KOD: ZAZNACZ CAŁY
Code:
Fail

Naciskamy i co widzimy? Raczej niewiele, a już na pewno nie to o co nam chodziło. Sęk w tym, że Splunk filtruje po słowie fail, ale już słowa failed nie uwzględni. Za to nie musimy przejmować się wielkością liter, gdyż tą po prostu ignoruje.
Po tej wskazówce ochoczo dodajemy gwiazdkę, czyli wygląda to teraz tak:
KOD: ZAZNACZ CAŁY
Code:
Fail*

Już jest nieźle, Splunk zwrócił mi już „tylko” 19938 logów. Warto byłoby zawęzić ten wynik. Ponieważ interesuje nas ssh dodajmy tę wartość do pola wyszukiwania:
KOD: ZAZNACZ CAŁY
Code:
fail* process=ssh*

Po określeniu czasu ( w tym przypadku 60 minut) ukazał mi się taki oto wynik:
[Image: splunk51.png]
Przyznacie, że jest już nieźle, choć fakt, że w ciągu ostatniej godziny jakiś domorosły „hakier” próbował się włamać do systemu jest raczej mało optymistyczny. Ponieważ w moich logach pokazały się również nieudane próby zapytań DNS postarałem się o ich eliminację.
KOD: ZAZNACZ CAŁY
Code:
fail* process=ssh* AND NOT DNS

Wynik: 29 matching events. Wszystkie z jednego IP.
Odkryliśmy szkodnika na zdrowej tkance przedsiębiorstwa. Jeżeli zajrzymy do logów później trzeba będzie od nowa budować zapytanie. A może nie trzeba?
O tym w następnym wpisie…]]> Pewnie większość z Was zna to z autopsji:
Wczesny ranek, oczka się zamykają, kawa nie smakuje a my siadamy do komputera i mozolnie przeglądamy logi w poszukiwaniu prób włamań, upadłych usług (deamonów) i tym podobnych.
W zależności od systemu wygląda to mniej więcej tak:
KOD: ZAZNACZ CAŁY
Code:
less /var/log/messages |grep invalid

lub
KOD: ZAZNACZ CAŁY
Code:
cat /var/log/messages |grep “authentication failed”

Wszystko zależy w jakim formacie nasza usługa zapisuje logi.
Po przejrzeniu n-tego z kolei serwera kiełkuje w nas myśl – „Ale byłoby fajnie gdyby wszystkie logi spływały do jednego miejsca i można byłoby wtedy szukać guza lub problemu globalnie dla całej podległej nam sieci”.
Myśl sama w sobie raczej mało odkrywcza, bo idea centralnego serwera logów powstała dość dawno, ale dopiero stosunkowo niedawno pojawiło się narzędzie naprawdę godne uwagi – splunk.
Program ten przechowuje i indeksuje dane w czasie rzeczywistym w centralnym punkcie i chroni je za pomocą kontroli dostępu opartej na uprawnieniach użytkowników. Umożliwia on wyszukiwanie, monitorowanie, raportowanie i analizę danych bieżących (w czasie rzeczywistym) oraz danych historycznych. Dzięki tym funkcjom możesz teraz szybko wizualizować i udostępniać swoje dane, niezależnie od tego, jak bardzo są nieuporządkowane, obszerne lub zróżnicowane. 
Narzędzie to ma wiele przydatnych funkcji pozwalających analizować spływające do serwera dane. Wydaje mi się, że w większych przedsiębiorstwa splunk jest niezbędny do kontroli stanu maszyn i ludzi. 
Po zalogowaniu się aplikacja wita nas przyjemnym dla oka designem. Po przejściu do zakładki „Search” możemy paść oczy takim oto widokiem:
[Image: splunk42.png]
Hmm, trochę dużo tych logów jak widać na screenie ponad 69 550. Raczej to nam nie pomoże w codziennym monitoringu. Ale od czego jest pole wyszukiwania? Zabawę czas zacząć: 
W naszym scenariuszu interesują nas logi z nieudanego logowania się przez ssh, a więc wpisujemy:
KOD: ZAZNACZ CAŁY
Code:
Fail

Naciskamy i co widzimy? Raczej niewiele, a już na pewno nie to o co nam chodziło. Sęk w tym, że Splunk filtruje po słowie fail, ale już słowa failed nie uwzględni. Za to nie musimy przejmować się wielkością liter, gdyż tą po prostu ignoruje.
Po tej wskazówce ochoczo dodajemy gwiazdkę, czyli wygląda to teraz tak:
KOD: ZAZNACZ CAŁY
Code:
Fail*

Już jest nieźle, Splunk zwrócił mi już „tylko” 19938 logów. Warto byłoby zawęzić ten wynik. Ponieważ interesuje nas ssh dodajmy tę wartość do pola wyszukiwania:
KOD: ZAZNACZ CAŁY
Code:
fail* process=ssh*

Po określeniu czasu ( w tym przypadku 60 minut) ukazał mi się taki oto wynik:
[Image: splunk51.png]
Przyznacie, że jest już nieźle, choć fakt, że w ciągu ostatniej godziny jakiś domorosły „hakier” próbował się włamać do systemu jest raczej mało optymistyczny. Ponieważ w moich logach pokazały się również nieudane próby zapytań DNS postarałem się o ich eliminację.
KOD: ZAZNACZ CAŁY
Code:
fail* process=ssh* AND NOT DNS

Wynik: 29 matching events. Wszystkie z jednego IP.
Odkryliśmy szkodnika na zdrowej tkance przedsiębiorstwa. Jeżeli zajrzymy do logów później trzeba będzie od nowa budować zapytanie. A może nie trzeba?
O tym w następnym wpisie…]]>