Integration von DataSunrise mit Splunk Enterprise
Splunk Enterprise ist eine Plattform für operative Intelligenz. Sie dient zur Sammlung und Auswertung von Big Data, die von verschiedenen Anwendungen generiert werden. Splunk Enterprise bietet viele Funktionen, kann jedoch im Zusammenhang mit DataSunrise zur Aggregation von Audit-Protokollen verwendet werden.
In diesem Handbuch beschreiben wir, wie Sie Splunk Enterprise konfigurieren, um es mit DataSunrise zu integrieren. Die Ergebnisdaten der Audits werden von DataSunrise über Syslog an Splunk exportiert. Zum Zweck der Demonstration wird eine Testversion von Splunk Enterprise verwendet. Sie können es von der offiziellen Website herunterladen. Bevor Sie Splunk zur Sammlung von Daten-Audit-Protokollen verwenden, konfigurieren Sie den DataSunrise-Syslog.
Öffnen Sie dazu das DataSunrise-GUI, “Konfigurationen” -> “Syslog-Einstellungen”, “Syslog-Einstellungen” und konfigurieren Sie einen entfernten Syslog-Server (siehe Screenshot unten). Da unser Splunk auf dem PC installiert ist, auf dem auch DataSunrise installiert ist, lautet der Server-Host-Wert 127.0.0.1. Die Portnummer ist 514.
Dann navigieren Sie zu “Konfigurationen” -> “Syslog-Einstellungen” und erstellen Sie bei Bedarf eine neue CEF-Gruppe oder nutzen Sie die “Standardgruppe”. Fügen Sie die Ereignisse, die Sie an Syslog weiterleiten wollen, der Gruppe hinzu.
Erstellen Sie dann eine DataSunrise-Regel und wählen Sie im Abschnitt “Aktionen” der Regelkonfiguration Ihre CEF-Gruppe aus dem Dropdown-Menü “Syslog-Konfiguration”. Dies ermöglicht Ihnen, die von DataSunrise gesammelten Audiodaten über Syslog an Splunk zu senden. Weitere Details finden Sie im DataSunrise-Benutzerhandbuch. Wählen Sie im Abschnitt “Filter Statements” die Option “Sessions-Ereignisse” und geben Sie die Session-Ereignisse an, über die Syslog-Nachrichten gesendet werden sollen.
Es gibt Splunk Enterprise-Versionen für Windows-, UNIX- und Mac OS-Betriebssysteme, sodass jede Programmversion ihre eigenen Besonderheiten hat. In dieser Anleitung beschreiben wir die Einrichtung von Splunk unter Windows und Linux. Führen Sie die folgenden Schritte aus, um das Programm für die Arbeit vorzubereiten:
Installation von Splunk Enterprise
Windows
Führen Sie das Standard-Installationsverfahren für Windows-Anwendungen durch. Wenn nötig, konsultieren Sie den offiziellen Installationsleitfaden.
Linux
Führen Sie das Standard-Installationsverfahren für Linux-Anwendungen durch. Wenn nötig, konsultieren Sie den offiziellen Installationsleitfaden.
Start von Splunk Enterprise
Windows
Öffnen Sie die Windows-Eingabeaufforderung, wechseln Sie mit dem Befehl „cd“ in den Splunk-Installationsordner und führen Sie den Befehl „splunk start“ aus. (Wenn Splunk beispielsweise in den Standardordner installiert wurde, verwenden Sie den folgenden Befehl: cd C:\Program Files\Splunk\bin splunk start) Sie können auch die Umgebungsvariable %SPLUNK_HOME% erstellen, um den Startvorgang von Splunk zu vereinfachen. Wenn nötig, konsultieren Sie den offiziellen Startup-Leitfaden.
Linux
Führen Sie den folgenden Befehl über die Linux-Eingabeaufforderung aus: sudo /bin/splunk start . Sie können auch die Umgebungsvariable SPLUNK_HOME erstellen, um das Programm mit dem folgenden Befehl zu starten: export SPLUNK_HOME= $SPLUNK_HOME/bin/splunk start .
Konfiguration des Splunk-Syslogs
1. Öffnen Sie das Splunk-GUI. Geben Sie dazu folgende Adresse in Ihren Webbrowser ein: localhost:8000. Verwenden Sie auf der Anmeldeseite „admin“ als Benutzername und „changeme“ als Passwort (Splunk wird Sie auffordern, ein neues Passwort festzulegen).
2. Klicken Sie auf der Startseite des GUI auf die Schaltfläche Daten hinzufügen.
3. Klicken Sie auf der nächsten Seite im Tab „Quelle auswählen“ auf „Überwachen“.
4. Wählen Sie im Tab „Quelle Daten auswählen“ das TCP/UDP-Protokoll. Wählen Sie den UDP-Port, indem Sie den entsprechenden Schalter aktivieren. Geben Sie die Abhörportnummer (Port 514) an. Lassen Sie andere Einstellungen im Standardzustand. Fahren Sie fort, indem Sie auf Weiter drücken.
5. Verwenden Sie im Tab „Eingabeeinstellungen“ die Dropdown-Liste „Quellentyp auswählen“, um Betriebssystem -> Syslog auszuwählen. Klicken Sie auf „Überprüfen“, um zum nächsten Schritt zu gelangen.
6. Überprüfen Sie im Tab „Überprüfen“ Ihre Einstellungen: Eingabetyp – UDP, Portnummer – 514, Quellentyp – Syslog. Klicken Sie auf „Übermitteln“, um die Konfiguration abzuschließen.
7. Nach Abschluss der Konfiguration klicken Sie auf „Suche starten“, um nach Protokollen zu suchen.
8. Da DataSunrise während seines Betriebs Protokolle erstellt, werden Sie wahrscheinlich keine Einträge sehen. Daher müssen Sie die DataSunrise-Audit-Regeln konfigurieren, wenn Sie dies noch nicht getan haben. Führen Sie die notwendigen Aktionen durch, um DataSunrise einige Audit-Protokolle erstellen zu lassen, und aktualisieren Sie die Suchseite in Splunk.
9. Um Details zu einem Ereignis anzuzeigen, klicken Sie in der Spalte „I“ des gewünschten Ereignisses auf >. Verwenden Sie dann die Dropdown-Liste Ereignisaktionen, um Felder extrahieren auszuwählen und detaillierte Informationen anzuzeigen.
10. Ein neues Browser-Tab wird geöffnet. Dort müssen Sie eine Extraktionsmethode auswählen. Reguläre Ausdrücke – als reguläre Ausdrücke oder Trennzeichen – Extrahieren mit Kommas, Leerzeichen und Zeichen. Diese Methode wird empfohlen, wenn die Daten durch Zeichen getrennt sind (z.B. CSV-Dateien).
11. Wählen Sie eine geeignete Methode aus und klicken Sie auf Weiter, um mit der Extraktion zu beginnen.
DataSunrise unterstützt alle großen Datenbanken und Data Warehouses wie Oracle, Exadata, IBM DB2, IBM Netezza, MySQL, MariaDB, Greenplum, Amazon Aurora, Amazon Redshift, Microsoft SQL Server, Azure SQL, Teradata und mehr. Sie können gerne eine kostenlose Testversion herunterladen, wenn Sie die Software auf Ihrem Rechner installieren möchten. Falls Sie ein Cloud-Benutzer sind und Ihre Datenbank auf Amazon AWS oder Microsoft Azure betreiben, können Sie es aus dem AWS Marketplace oder dem Azure Marketplace beziehen.
