カテゴリー: Splunk

[splunk] timepikcerのデフォルト値変更方法

oyageng

サーチ画面のデフォルト値は

Settings >> Server settings >> Search preferences の中で設定できる。

が,ダッシュボードに表示されるタイムピッカーの値はXMLで指定してあげないダメっぽい,いくらプルダウンでTodayとかに変更してもリフレッシュするとAll Timeに戻ってしまう。
過去一週間を指定したい場合は<earliest><lastest>を次のようにするとできる。

 <label>Traffic Report</label>
  <description>geomap of dest_ip</description>
  <fieldset submitButton="false" autoRun="false">
    <input type="time" token="field1">
      <label></label>
      <default>
      <earliest>-7d@h</earliest>
      <latest>now</latest>
      </default>
    </input>
  </fieldset>

この辺参考になる。
http://docs.splunk.com/Documentation/Splunk/6.5.1/Viz/PanelreferenceforSimplifiedXML
https://docs.splunk.com/Documentation/Splunk/6.5.1/SearchReference/SearchTimeModifiers

【Splunk】Appの消し方

oyageng

Google MapのAppをインストールしたけどVersion違いで機能しない。

よって消すがWebUIでは消せないので以下コマンドで削除する。

/opt/splunk/bin/splunk display app # App確認
/opt/splunk/bin/splunk remove app maps # App削除
/opt/splunk/bin/splunk restart # splunk再起動

完了。

splunk以外の選択肢

oyageng

ってあるのかしら。
フリーという観点で。

今, FreeのSplunkをつかっているけど, すごく便利。
ただやはり1日500MBという制限と機能制約があって(Forwarder使えないとかadminしか作れないとか)もっと楽しみたいのにダメだってのも正直有る。API叩いて外部の情報引っ張ってくると速攻500MBいってしまうしね。

SPL覚えるとホント使い勝手が良い!

フリーで他にはーーーーー?と探してみるとLumifyつーのがあったけどちょっと色が違うのかしら。
Blogは2014年で更新とまっているし, MailListもあんまし活発じゃないし。

ちょっと触ってみたいけどスカシくらうかしら。

splunkでCiscoのACLのログをウォッチする

oyageng

せっかくSplunk入れていて, あんまし有用なログが取れない自宅の環境で, なんかみたいな~とおもい, CiscoのL3にACLきってSyslogに吐き出させて, アクセス先を見てみることにした。

やることは簡単。
1. ACLを書く@IOS
2. Data Inputにて
読み込むログファイルを指定する@Splunk
以上。
ほんとこれだけでいけるのだから簡単。

こんな感じで見れておもろい

ただ, ちょっと躓いたところがあったのでメモ。

1.プロトコルレベルで見たいなら, ACLはちゃんとIOSがポート番号までチェックするように記述すべし。

ただ単に,

ip access-list extended ToInternet
 permit ip any any log
!

なんて書くと, Syslog上にTCPのポート番号が載らなくて, Splunkではサービスまで掘り下げられない。
たぶん, ルールにTCPのポート番号まで記載がないとチェックしないんだと思う。このままだとSyslog上はポート番号「0」(送信元/宛先共に)でのってしまってIPだけしか解析できない。

なので
ip access-list extended ToInternet
 permit tcp any eq 0 any
 permit ip any any log
!

とするなどしてACL上TCPのポート番号も見るようにしないと意図した結果を得られない。

【splunk】HTTPS化

oyageng

簡単。

WEB UIから

Setting → Server Settings → General settings の

「Enable SSL(HTTPS) in SplunkWeb ?」

を Yes にするだけ。

あとは

# splunk restart
でサーバ再起動。
FirewaldとかSELinuxあたりは調整済みとして。
家ではあまりいじれなかったから外から繋ぎたいという理由でHTTPSにした。
逆にHTTPでは繋がらなくなったがね。

【Splunk】Ciscoのログ設定(昨日のつづき)

oyageng

できました。

一度やり直した。

というか, データのSource TypeをSyslogにしたらいけた。

あとはACLのログを吐き出してしばし様子を見るか。
アクセス解析がちょっと楽しみだ。

そういえばサーバ起動時にSplunkが立ち上がらなかったからコレやっといた。

# splunk enable boot-start

あとはTwitterのログをとるといった記事を見かけたから今度やってみるかな。

【Splunk】Cisco Networkの設定がうまくいかん

oyageng

ダラダラとSplunkをいじっていたが, どうにもCisco Network Appの設定がうまくいかない。

ディレクトリ指定してログはとれるものの, Host表示がメチャメチャ。
デバイスが1台しか見えていないし, ホスト名もおかしい。
なんでだ。
怠けてなんも見てなかったが, しっかりとマニュアルに目を通すか・・・。

と思ってちょっとみたらただ単に必要な設定が入っていなかっただけだった。

ちゃんと表示されました

Setting »  Data inputs » Files & directories » /var/log/rsyslog/***.log

のHost Field Valueにちゃんと機器のHostameが入っていなかったようだ。
# 入れたつもりだったんだけど・・・」

1Device1Logの環境ではこれでいいけど, これじゃめんどくさいからディレクトリどかんと入れたいときは,ディレクトリ指定だな!なんて思っていたんだが今度はこっちがうまくいかん。

なんでだ・・・。

【Splunk】Ciscoのログ監視

oyageng

オフィシャルのAppsからCiscoで検索するといくつか出てくる。
その中からベーシックっぽい「Cisco Networks」というものをDLする。

左から2番目からアプリを探せる
Ciscoで検索すると幾つか出てくる

WebUIのAppsからもインストールできるっぽいのだが,どうもエラーでインストールできない。
たぶん,ログインしているアカウントとSplunkに登録したアカウントとの整合性な気がしてならない。
調査に時間とれないから,Splunkの公式WebからDLしてきてブラウザ経由でインポートした。

AppファイルをDLしてきたら「Install app from file」をポチッとして
ファイルを選んで突っ込む
参照先のログの設定とかすませてしばらくするとこういったレポートが出る

なかなかおもろい。
ただ,今はACL程度しか吐き出してないので特にセキュリティイベントが出てくるわけもなく。
個人の環境では面白いものはなかなか見れないかもな。
ハニーポッド的なWEBサーバを立ててあえてInternetにさらして観察するってのも面白いかもしれない。

Splunkを入れてみる

oyageng

さて,新しい職場にも慣れつつあるので久々に家の環境で遊んでみる。
Splunkに興味があったので入れてみることにした。

ここからDLする。自分はsplunk-6.2.2-255606-linux-2.6-x86_64.rpmをゲット。

インストールマニュアルも公式HPにあるので,参考にする。

デフォルトでは /opt/splunk にインストールされる。

終わったら

/opt/splunk/bin/splunk start

で起動。

http://IP Address:8000/

でアクセス可能。これだけか。簡単だなー。

初期パスワードを変えて
Login完了!

とりあえず家のL3SWとAPとZabbixあたりのログを吐き出して様子見てみるかね。

Add DataからサーバのSyslogディレクトリ選択してみると,なんとなくログが出た。
詳細はこれからいじってみてだな。

なんか出るが,所詮意味があるデータではまだない