O Splunk é uma ferramenta de pesquisa e análise de logs. Com ele é possível indexar logs, pesquisar eventos, gerar alertar em tempo real.

É uma das ferramentas mais comuns utilizadas em um SOC.

Site: www.splunk.com

01 - Passo

Faça o cadastro no site www.splunk.com e realize o download gratuito, em seguida envie o arquivo para o linux.

Neste exemplo coloque o arquivo em /opt, em seguida descompacte o arquivo.

  Linux
cd opt/

tar -xf splunk-6.0.2-196940-Linux-i686.tgz

02 - Passo

Após descompactado entre no diretório splunk em seguida no sub-diretório bin.

  Linux
cd splunk/

cd bin/

03 - Passo

Realize a instalação através do comando a seguir e pressione Y para estar de acordo com o contrato.

  Linux
./splunk start

04 - Passo

Ao concluir a instalação acesso o Splunk da seguinte forma: http://debian:8000.

8000: Porta padrão de acesso ao Splunk Web

05 - Passo

Ao acessar o endereço: http://10.10.10.130:8000 insira o usuário e senha padrão:

  • username: admin
  • password: changeme
  • 06 - Passo

    Por questões de segurança realize a alteração da senha.

    07 - Passo

    Esta é a tela de exibição referente a nova versão do Splunk, basta clicar no X para fechar.

    08 - Passo

    No quadro Data clique em Add Data

    09 - Passo

    Clique em A file or directory of files.

    10 - Passo

    No item Consume any file on this Splunk server clique em Next.

    11 - Passo

    Clique em Skip preview, e no botão Continue.

    12 - Passo

    Informe o diretório de logs do linux /var/log em seguida clique no botão Save.

    13 - Passo

    Clique sobre o link Start searching.

    14 - Passo

    Observe no quadro What to Search a quantidade de eventos sendo indexados.

    15 - Passo

    No campo de busca Searh digite o nome do host linux exemplo: host=debian.

    Todos os eventos do diretório /var/log indexados serão exibidos.

    16 - Passo

    Crie um usuário de teste para ver como o Splunk funciona, neste exemplo criei o usuário security.

    17 - Passo

    Pesquise sobre nome security e visualize o evento de criação do usuário.

    18 - Passo

    Logue no servidor com o usuário security.

    19 - Passo

    Segue o registro em tempo real do usuário security logado.

    20 - Passo

    Habilite o serviço de boot-start.

      Linux
    cd splunk/splunk/bin
    
    ./splunk enable boot-start

    21 - Passo

    Start o serviço Splunk.

      Linux
    cd /
    
    cd /etc/init.d/
    
    ./splunk start

    22 - Passo

    Visualize o status do serviço Splunk.

      Linux
    ./splunk status


  Autor

Marcos Henrique

 São Paulo/SP



  Logs

© 2020 - 100SECURITY

Contato