DataSunrise Obtient le Statut Compétence DevOps AWS dans AWS DevSecOps et Surveillance, Journalisation, Performance

Ce site Web stocke des cookies afin de collecter des informations sur la manière dont vous interagissez avec notre site Web. Pour en savoir plus, visitez notre Politique de Confidentialité.

Intégration de DataSunrise avec Splunk Enterprise

Intégration de DataSunrise avec Splunk Enterprise

Splunk Enterprise est une plateforme d’intelligence opérationnelle. Elle est utilisée pour collecter et évaluer de grandes quantités de données générées par diverses applications. Splunk Enterprise offre de nombreuses fonctionnalités, mais dans le cadre de DataSunrise, elle pourrait être utilisée pour l’agrégation des journaux d’audit.

Dans ce manuel, nous décrivons comment configurer Splunk Enterprise pour l’intégrer avec DataSunrise. Les résultats des audits de données sont exportés de DataSunrise vers Splunk via Syslog. Pour la démonstration, une copie d’essai de Splunk Enterprise est utilisée. Vous pouvez la télécharger depuis le site officiel. Avant d’essayer d’utiliser Splunk pour collecter les journaux d’audit, configurez Syslog dans DataSunrise.

Pour ce faire, accédez à l’interface graphique de DataSunrise, puis sélectionnez « Configurations » -> « Paramètres Syslog », « Paramètres Syslog » et configurez un serveur Syslog distant (voir la capture d’écran ci-dessous). Comme notre Splunk est installé sur notre PC où DataSunrise est installé, la valeur de l’hôte du serveur est 127.0.0.1. Le numéro de port est 514.

DataSunrise – Paramètres Syslog

Ensuite, naviguez vers « Configurations » -> « Paramètres Syslog » et créez un nouveau groupe CEF si nécessaire ou utilisez le « groupe par défaut ». Vous devez inclure dans le groupe les événements que vous souhaitez transmettre à Syslog.

DataSunrise – Groupe CEF

Ensuite, créez une règle DataSunrise et, dans les paramètres de la règle, dans la sous-section « Actions », sélectionnez votre groupe CEF dans la liste déroulante « Configuration Syslog ». Cela vous permettra de transmettre les données d’audit collectées par DataSunrise à Splunk via Syslog. Pour plus de détails, reportez-vous au Guide de l’utilisateur DataSunrise. Puis, dans les « Déclarations de filtres », sélectionnez « Événements de sessions » et spécifiez les événements de session pour lesquels envoyer des messages Syslog.

Il existe des versions de Splunk Enterprise pour les systèmes d’exploitation Windows, UNIX et Mac OS, chaque version ayant ses spécificités. Dans ce guide, nous décrivons la configuration de Splunk sur Windows et Linux. Pour préparer le programme à fonctionner, effectuez les actions suivantes :

Installation de Splunk Enterprise

Windows

Effectuez la procédure d’installation standard pour les applications Windows. Reportez-vous au guide officiel d’installation si nécessaire.

Linux

Effectuez la procédure d’installation standard pour les applications Linux. Reportez-vous au guide officiel d’installation si nécessaire.

Démarrage de Splunk Enterprise

Windows

Lancez l’invite de commande Windows, accédez au dossier d’installation de Splunk avec la commande cd et exécutez la commande splunk start. (Par exemple, si Splunk a été installé dans le dossier par défaut, utilisez la commande suivante : cd C:\Program Files\Splunk\bin splunk start) Vous pouvez également créer la variable d’environnement %SPLUNK_HOME% pour simplifier le processus de démarrage de Splunk. Reportez-vous au guide officiel de démarrage si nécessaire.

Linux

Exécutez la commande suivante via l’invite de commande Linux : sudo /bin/splunk start . Vous pouvez également créer la variable d’environnement SPLUNK_HOME pour démarrer le programme avec la commande suivante : export SPLUNK_HOME=$SPLUNK_HOME/bin/splunk start

Configuration du Syslog dans Splunk

1. Accédez à l’interface graphique de Splunk. Pour ce faire, ouvrez l’adresse suivante dans votre navigateur : localhost:8000. Sur la page de connexion, utilisez « admin » comme identifiant et « changeme » comme mot de passe (Splunk vous invitera à définir un nouveau mot de passe).

2. Sur la page d’accueil de l’interface graphique, cliquez sur le bouton Ajouter des données.

Splunk – Ajouter des données

3. Ensuite, sur la page suivante, cliquez sur « Monitor » dans l’onglet « Sélectionner la source ».

Splunk – Surveiller les fichiers et ports

4. Dans l’onglet « Sélectionner les données sources », sélectionnez le protocole TCP/UDP. Sélectionnez le port UDP en activant l’interrupteur correspondant. Indiquez le numéro de port d’écoute (port 514). Laissez les autres paramètres dans leur état par défaut. Passez à l’onglet suivant en cliquant sur Suivant.

Splunk – Configurer UDP 514

5. Dans l’onglet « Paramètres d’entrée », utilisez la liste déroulante « Sélectionner le type de source » pour sélectionner Système d’exploitation -> Syslog. Cliquez sur « Revoir » pour passer à l’étape suivante.

Splunk – Paramètres d'entrée (syslog)

6. Dans l’onglet « Revue », vérifiez vos paramètres : type d’entrée — UDP, numéro de port — 514, type de source — Syslog. Cliquez sur Soumettre pour terminer la configuration.

Splunk – Vérifier la configuration

7. Une fois la configuration terminée, cliquez sur « Commencer à rechercher » pour effectuer une recherche dans les journaux.

Splunk – Entrée UDP créée

8. Comme DataSunrise crée des journaux lors de son fonctionnement, il est probable que vous ne voyiez aucune entrée. C’est pourquoi vous devez configurer les règles d’audit de DataSunrise si cela n’a pas encore été fait. Effectuez les actions nécessaires pour que DataSunrise génère des journaux d’audit, puis actualisez la page de recherche dans Splunk.

Splunk – Résultats de recherche Syslog

9. Pour afficher les détails d’un événement, cliquez sur le symbole > dans la colonne « I » de l’événement concerné. Ensuite, utilisez la liste déroulante Actions sur l’événement pour sélectionner Extraire des champs et visualiser les informations détaillées.

Splunk – Assistant Extraction des Champs

10. Un nouvel onglet de navigateur s’ouvrira. Vous devez y sélectionner une méthode d’extraction. Expressions régulières — utiliser des expressions régulières ou Délimiteurs — extraction avec des virgules, des espaces et des caractères. Cette méthode est recommandée pour les données séparées par n’importe quel caractère (fichiers CSV, par exemple).

Méthode d'extraction Splunk

11. Après avoir sélectionné une méthode appropriée, cliquez sur Suivant pour démarrer l’extraction.

DataSunrise prend en charge toutes les principales bases de données et entrepôts de données tels qu’Oracle, Exadata, IBM DB2, IBM Netezza, MySQL, MariaDB, Greenplum, Amazon Aurora, Amazon Redshift, Microsoft SQL Server, Azure SQL, Teradata et bien d’autres. Vous êtes invité à télécharger une version d’essai gratuite si vous souhaitez l’installer sur site. Dans le cas où vous seriez un utilisateur du cloud et exécuteriez votre base de données sur Amazon AWS ou Microsoft Azure, vous pouvez l’obtenir sur le AWS Marketplace ou sur le Azure Marketplace.

Suivant

Envoyer les notifications DataSunrise à Slack

Envoyer les notifications DataSunrise à Slack

En savoir plus

Besoin de l'aide de notre équipe de support ?

Nos experts seront ravis de répondre à vos questions.

Informations générales :
[email protected]
Ventes :
[email protected]
Service clientèle et support technique :
support.datasunrise.com
Demandes de partenariat et d'alliance :
[email protected]