Integración de DataSunrise con Splunk Enterprise

Splunk Enterprise es una plataforma para la inteligencia operativa. Se utiliza para recopilar y evaluar grandes datos generados por varias aplicaciones. Splunk Enterprise proporciona muchas funciones, pero a efectos de DataSunrise se puede utilizar para la agregación de registros de auditoría.

En este manual, describimos cómo configurar Splunk Enterprise para integrarlo con DataSunrise. Los resultados de la auditoría de datos se exportan de DataSunrise a Splunk a través de Syslog. Para los fines de demostración, se utiliza una copia de prueba de Splunk Enterprise. Puede descargarla desde el sitio web oficial. Antes de intentar usar Splunk para recopilar registros de auditoría de datos, configure Syslog de DataSunrise.

Para hacer esto, entre a la GUI de DataSunrise, “Configurations” -> “Syslog settings”, “Syslog Settings” y configure un servidor Syslog remoto (vea la captura de pantalla abajo). Dado que nuestro Splunk está instalado en nuestro PC donde está instalado DataSunrise, el valor del servidor host es 127.0.0.1. El número de puerto es 514.

Luego navegue a “Configurations” -> “Syslog Settings” y cree un nuevo grupo CEF si es necesario o use el “grupo predeterminado”. Necesita incluir eventos que quiera pasar a Syslog en el grupo.

Luego cree una regla de DataSunrise y en la configuración de la regla, en la subsección “Actions”, seleccione su grupo CEF de la lista desplegable “Syslog Configuration”. Esto le permitirá pasar los datos de auditoría recopilados por DataSunrise a Splunk a través de Syslog. Para más detalles consulte la Guía del Usuario de DataSunrise. Luego en “Filter Statements” seleccione “Sessions Events” y especifique eventos de sesión para enviar mensajes Syslog sobre ellos.

Hay versiones de Splunk Enterprise para sistemas operativos Windows, UNIX y Mac OS, por lo que cada versión del programa tiene sus propias especificidades. En esta guía, describimos la configuración de Splunk en Windows y Linux. Para preparar el programa para el trabajo, realice lo siguiente:

Instalación de Splunk Enterprise

Windows

Realice el procedimiento de instalación estándar para aplicaciones de Windows. Consulte la guía de instalación oficial si es necesario.

Linux

Realice el procedimiento de instalación estándar para aplicaciones de Linux. Consulte la guía de instalación oficial si es necesario.

Inicio de Splunk Enterprise

Windows

Ejecute el símbolo del sistema de Windows, muévase a la carpeta de instalación de Splunk con el comando “cd” y ejecute el comando “splunk start“. (Por ejemplo, si Splunk se instaló en la carpeta predeterminada, use el siguiente comando: cd C:\Program Files\Splunk\bin splunk start) También puede crear la variable de entorno %SPLUNK_HOME% para simplificar el proceso de inicio de Splunk. Consulte la guía de inicio oficial si es necesario.

Linux

Ejecute el siguiente comando a través del símbolo del sistema de Linux: sudo /bin/splunk start También puede crear la variable de entorno SPLUNK_HOME para iniciar el programa con el siguiente comando: export SPLUNK_HOME= $SPLUNK_HOME/bin/splunk start

Configuración de Syslog en Splunk

1. Entre en la GUI de Splunk. Para hacer esto, abra la siguiente dirección a través de su navegador web: localhost:8000. En la página de inicio de sesión, use “admin” como usuario y “changeme” como contraseña (Splunk le pedirá que establezca una nueva contraseña).

2. En la página de inicio de la GUI, haga clic en el botón Add Data.

3. Luego, en la siguiente página, haga clic en “Monitor” en la pestaña “Select Source”.

4. En la pestaña “Select Source Data”, seleccione el protocolo TCP/UDP. Seleccione el puerto UDP activando el interruptor correspondiente. Especifique el número de puerto de escucha (puerto 514). Deje las otras configuraciones en su estado predeterminado. Proceda a la siguiente pestaña presionando Next.

5. En la pestaña “Input Settings” use la lista desplegable “Select Source type” para seleccionar Operating System->Syslog. Haga clic en “Review” para proceder al siguiente paso.

6. En la pestaña “Review” verifique su configuración: tipo de entrada — UDP, número de puerto — 514, tipo de fuente — Syslog. Haga clic en Submit para finalizar la configuración.

7. Después de completar la configuración, haga clic en “Start Searching” para buscar registros.

8. Dado que DataSunrise crea registros durante su operación, probablemente no verá ninguna entrada. Es por eso que necesita configurar las reglas de auditoría de DataSunrise si no lo ha hecho. Realice las acciones necesarias para que DataSunrise cree algunos registros de auditoría y actualice la página de búsqueda en Splunk.

9. Para ver los detalles sobre algún evento, haga clic en > en la columna “i” del evento requerido. Luego use la lista desplegable Event Actions para seleccionar Extract Fields y ver información detallada.

10. Se abrirá una nueva pestaña del navegador. Necesita seleccionar un método de extracción allí. Expresiones regulares — como expresiones regulares o Delimiters — extrayendo con comas, espacios y caracteres. Este método es recomendado para datos separados con cualquier carácter (archivos CSV, por ejemplo).

11. Habiendo seleccionado un método apropiado, haga clic en Next para comenzar la extracción.

DataSunrise admite todas las principales bases de datos y almacenes de datos como Oracle, Exadata, IBM DB2, IBM Netezza, MySQL, MariaDB, Greenplum, Amazon Aurora, Amazon Redshift, Microsoft SQL Server, Azure SQL, Teradata y más. Le invitamos a descargar una prueba gratuita si desea instalarlo en sus instalaciones. En caso de que sea un usuario en la nube y opere su base de datos en Amazon AWS o Microsoft Azure puede obtenerlo desde el AWS marketplace o el Azure marketplace.