O Splunk é uma ferramenta de pesquisa e análise de logs. Com ele é possível indexar logs, pesquisar eventos, gerar alertar em tempo real.
É uma das ferramentas mais comuns utilizadas em um SOC.
Site: www.splunk.com
Faça o cadastro no site www.splunk.com e realize o download gratuito, em seguida envie o arquivo para o linux.
Neste exemplo coloque o arquivo em /opt, em seguida descompacte o arquivo.
Linuxcd opt/ tar -xf splunk-6.0.2-196940-Linux-i686.tgz
Após descompactado entre no diretório splunk em seguida no sub-diretório bin.
Linuxcd splunk/ cd bin/
Realize a instalação através do comando a seguir e pressione Y para estar de acordo com o contrato.
Linux./splunk start
Ao concluir a instalação acesso o Splunk da seguinte forma: http://debian:8000.
8000: Porta padrão de acesso ao Splunk Web
Ao acessar o endereço: http://10.10.10.130:8000 insira o usuário e senha padrão:
Por questões de segurança realize a alteração da senha.
Esta é a tela de exibição referente a nova versão do Splunk, basta clicar no X para fechar.
No quadro Data clique em Add Data
Clique em A file or directory of files.
No item Consume any file on this Splunk server clique em Next.
Clique em Skip preview, e no botão Continue.
Informe o diretório de logs do linux /var/log em seguida clique no botão Save.
Clique sobre o link Start searching.
Observe no quadro What to Search a quantidade de eventos sendo indexados.
No campo de busca Searh digite o nome do host linux exemplo: host=debian.
Todos os eventos do diretório /var/log indexados serão exibidos.
Crie um usuário de teste para ver como o Splunk funciona, neste exemplo criei o usuário security.
Pesquise sobre nome security e visualize o evento de criação do usuário.
Logue no servidor com o usuário security.
Segue o registro em tempo real do usuário security logado.
Habilite o serviço de boot-start.
Linuxcd splunk/splunk/bin ./splunk enable boot-start
Start o serviço Splunk.
Linuxcd / cd /etc/init.d/ ./splunk start
Visualize o status do serviço Splunk.
Linux./splunk status