いやーーー今更なんですが・・・。
ネットワークエンジニアとして十数年やってきていましたが, ほんと今更ですが, Cisco機器(というかIOS)においてshowコマンドのフィルタ条件が増えていることに今更ながら気が付きました。「
show run | inc
show run | exc
だけでなく
begin, sectionはたまた正規表現まで。
あとパイプのあとにパイプ入れるとOR条件となるとか。
いやーーーいつからよ?これ実装されたの。
昔なかったよな?
月: 2015年3月
【メモ】OwnCloudバージョンアップ
チェックしたらマイナーバージョンが上がっていた。
yum –enablerepo=isv_ownCloud_community update
でアップデート。
【Splunk】Ciscoのログ監視
オフィシャルのAppsからCiscoで検索するといくつか出てくる。
その中からベーシックっぽい「Cisco Networks」というものをDLする。
 |
| 左から2番目からアプリを探せる |
 |
| Ciscoで検索すると幾つか出てくる |
WebUIのAppsからもインストールできるっぽいのだが,どうもエラーでインストールできない。
たぶん,ログインしているアカウントとSplunkに登録したアカウントとの整合性な気がしてならない。
調査に時間とれないから,Splunkの公式WebからDLしてきてブラウザ経由でインポートした。
 |
| AppファイルをDLしてきたら「Install app from file」をポチッとして |
 |
| ファイルを選んで突っ込む |
 |
| 参照先のログの設定とかすませてしばらくするとこういったレポートが出る |
なかなかおもろい。
ただ,今はACL程度しか吐き出してないので特にセキュリティイベントが出てくるわけもなく。
個人の環境では面白いものはなかなか見れないかもな。
ハニーポッド的なWEBサーバを立ててあえてInternetにさらして観察するってのも面白いかもしれない。
Splunkを入れてみる
さて,新しい職場にも慣れつつあるので久々に家の環境で遊んでみる。
Splunkに興味があったので入れてみることにした。
ここからDLする。自分はsplunk-6.2.2-255606-linux-2.6-x86_64.rpmをゲット。
インストールマニュアルも公式HPにあるので,参考にする。
デフォルトでは /opt/splunk にインストールされる。
終わったら
/opt/splunk/bin/splunk start
で起動。
http://IP Address:8000/
でアクセス可能。これだけか。簡単だなー。
 |
| 初期パスワードを変えて |
 |
| Login完了! |
とりあえず家のL3SWとAPとZabbixあたりのログを吐き出して様子見てみるかね。
Add DataからサーバのSyslogディレクトリ選択してみると,なんとなくログが出た。
詳細はこれからいじってみてだな。
 |
| なんか出るが,所詮意味があるデータではまだない |