Integrando DataSunrise con Splunk Enterprise

Splunk Enterprise es una plataforma para inteligencia operativa. Se utiliza para recopilar y evaluar grandes volúmenes de datos generados por diversas aplicaciones. Splunk Enterprise ofrece muchas funcionalidades, pero para el propósito de DataSunrise puede utilizarse para la agregación de registros de auditoría.

En este manual, describimos cómo configurar Splunk Enterprise para integrarlo con DataSunrise. Los resultados de las auditorías de datos se exportan desde DataSunrise a Splunk mediante Syslog. Para fines de demostración, se utiliza una copia de prueba de Splunk Enterprise. Puedes descargarla desde el sitio web oficial. Antes de intentar usar Splunk para recopilar registros de auditoría, configura el Syslog de DataSunrise.

Para ello, ingresa a la GUI de DataSunrise, “Configuraciones” -> “Configuración de Syslog”, “Ajustes de Syslog” y configura un servidor Syslog remoto (ver la captura de pantalla a continuación). Dado que nuestro Splunk está instalado en nuestro PC donde está instalado DataSunrise, el valor de Server hosts es 127.0.0.1. El número de puerto es 514.

A continuación, navega a “Configuraciones” -> “Configuración de Syslog” y crea un nuevo Grupo CEF si es necesario o utiliza el “grupo por defecto”. Debes incluir los eventos que deseas enviar a Syslog en el grupo.

Luego, crea una Regla en DataSunrise y, en la configuración de la regla, en la subsección “Acciones”, selecciona tu grupo CEF desde el menú desplegable “Configuración de Syslog”. Esto te permitirá enviar los datos de auditoría recopilados por DataSunrise a Splunk a través de Syslog. Para obtener más detalles, consulta la Guía del Usuario de DataSunrise. Después, en “Declaraciones de Filtro” selecciona “Eventos de Sesiones” y especifica los eventos de sesión acerca de los que se enviarán mensajes Syslog.

Existen versiones de Splunk Enterprise para los sistemas operativos Windows, UNIX y Mac OS, por lo que cada versión del programa tiene sus particularidades. En esta guía, describimos la configuración de Splunk en Windows y Linux. Para preparar el programa para usarlo, realiza lo siguiente:

Instalación de Splunk Enterprise

Windows

Realiza el procedimiento estándar de instalación para aplicaciones de Windows. Consulta la guía oficial de instalación si es necesario.

Linux

Realiza el procedimiento estándar de instalación para aplicaciones de Linux. Consulta la guía oficial de instalación si es necesario.

Inicio de Splunk Enterprise

Windows

Ejecuta el símbolo del sistema de Windows, dirígete a la carpeta de instalación de Splunk con el comando “cd” y ejecuta el comando “splunk start”. (Por ejemplo, si Splunk se instaló en la carpeta por defecto, usa el siguiente comando: cd C:\Program Files\Splunk\bin splunk start). También puedes crear la variable de entorno %SPLUNK_HOME% para simplificar el proceso de inicio de Splunk. Consulta la guía oficial de inicio si es necesario.

Linux

Ejecuta el siguiente comando desde el símbolo del sistema de Linux: Sudo /bin/splunk start También puedes crear la variable de entorno SPLUNK_HOME para iniciar el programa con el siguiente comando: Export SPLUNK_HOME= $SPLUNK_HOME/bin/splunk start

Configuración de Syslog en Splunk

1. Ingresa a la GUI de Splunk. Para ello, abre la siguiente dirección desde tu navegador web: localhost:8000. En la página de inicio de sesión, usa “admin” como usuario y “changeme” como contraseña (Splunk te pedirá que configures una nueva contraseña).

2. En la página de inicio de la GUI, haz clic en el botón Agregar Datos.

3. Luego, en la siguiente página, haz clic en “Monitor” en la pestaña “Seleccionar Fuente”.

4. En la pestaña “Seleccionar Fuente de Datos” selecciona el protocolo TCP/UDP. Selecciona el puerto UDP activando el interruptor correspondiente. Especifica el número de puerto de escucha (puerto 514). Deja el resto de las configuraciones en su estado predeterminado. Continúa a la siguiente pestaña presionando Siguiente.

5. En la pestaña “Configuración de Entrada”, utiliza el menú desplegable “Seleccionar tipo de fuente” para elegir Sistema Operativo -> Syslog. Haz clic en “Revisar” para continuar al siguiente paso.

6. En la pestaña “Revisar” verifica tus configuraciones: tipo de entrada — UDP, número de puerto — 514, tipo de fuente — Syslog. Haz clic en Enviar para finalizar la configuración.

7. Una vez completada la configuración, haz clic en “Iniciar Búsqueda” para buscar registros.

8. Dado que DataSunrise genera registros durante su funcionamiento, probablemente no verás ninguna entrada. Por ello, es necesario configurar las reglas de auditoría de DataSunrise si aún no lo has hecho. Realiza las acciones necesarias para que DataSunrise genere algunos registros de auditoría y actualiza la página de búsqueda en Splunk.

9. Para ver los detalles de algún evento, haz clic en el símbolo > en la columna “I” del evento requerido. Luego, utiliza el menú desplegable de Acciones del Evento para seleccionar Extraer Campos y ver información detallada.

10. Se abrirá una nueva pestaña en el navegador. Deberás seleccionar un método de extracción allí. Expresiones regulares — para expresiones regulares o Delimitadores — extracción con comas, espacios y caracteres. Este método se recomienda para datos separados por cualquier carácter (por ejemplo, archivos CSV).

11. Habiendo seleccionado el método apropiado, haz clic en Siguiente para comenzar la extracción.

DataSunrise es compatible con todas las bases de datos y almacenes de datos principales, tales como Oracle, Exadata, IBM DB2, IBM Netezza, MySQL, MariaDB, Greenplum, Amazon Aurora, Amazon Redshift, Microsoft SQL Server, Azure SQL, Teradata y más. Te invitamos a descargar una versión de prueba gratuita si deseas instalarlo en tus instalaciones. En caso de que seas un usuario de la nube y ejecutes tu base de datos en Amazon AWS o Microsoft Azure, puedes obtenerlo desde el mercado de AWS o el mercado de Azure.