تنظیمات Syslog برای VMware ESXi در Splunk Enterprise

Like
Like Love Haha Wow Sad Angry

پیش تر در مقاله “ Syslog چیست؟ ” درباره Syslog صحبت کردیم. همچنین در مقاله “  تنظیماتSyslog در VMware ESXi ” نحوه پیکربندی ESXi  برای ذخیره Syslog توضیح داده شد. در ادامه در مقاله” SIEM به زبان ساده”  ، اهمیت SIEM بررسی شد. اکنون قصد داریم در این مقاله نحوه تنظیم Splunk  که یکی از SIEM های مطرح در جهان می باشد را برای دریافت Syslog از VMware ESXi آموزش دهیم. شما با مطالعه این آموزش خواهید توانست Syslog نرم افزارها و سخت افزارهای دیگری به غیر از VMware را نیز توسط  Splunk Enterprise فرا بگیرید. چراکه اصول انجام این کار برای همه وندورها مشترک است.

برای انجام این کار در لابراتوار TechTik ، از Splunk ورژن 6.5.1 و VMware ESXi  نسخه 6.5.0 استفاده شده است. آدرس IP سرور Splunk برابر با 192.168.75.128 و آدرس IP سرور ESXi برابر با 192.168.75.140  می باشد. مراحل انجام این کار بسیار ساده است :

تنظیمات VMware ESXi

  • با VMware vSphere Client به ESXi لاگین نمایید. از زبانه Configuration گزینه Advanced Settings را انتخاب کنید. در ساختار درختی بر روی Syslog کلیک نمایید. مقدار global.logHost را برابر udp://192.168.75.128:514 قرار دهید. با توجه به نیازتان می توانید از پروتکل tcp هم در این قسمت استفاده کنید. همچنین پورت پیش فرض UDP برای Syslog شماره 514 می باشد. 192.168.75.128 نیز همان طور که قبلا گفته شد IP سرور Splunk است. پس از انجام آن با دکمه OK پنجره را ببندید.

config-syslog-in-splunk-1

 

  • از قسمت Security Profile بر روی Properties در Services کلیک نمایید

config-syslog-in-splunk-2

در پنجره Service Properties از Stop نبودن سرویس Syslog Server اطمینان حاصل کنید.

config-syslog-in-splunk-3

  • از بخش Firewall بر روی Properties کلیک کلیک نمایید.

config-syslog-in-splunk-4 در پنجره Firewall Properties از باز بودن پورت های مربوط به syslog مطمئن شوید.

پست های مرتبط

config-syslog-in-splunk-5تنظیمات سمت VMware ESXi تمام شد.

تنظیمات Splunk Enterprise

  • از طریق مرورگر وب وارد کنسول Splunk شوید. از منوی Settings گزینه Data inputs را انتخاب کنید.

config-syslog-in-splunk-6از بین Type های موجود در مقابل UDP بر روی Add new کلیک نمایید.

config-syslog-in-splunk-7در قسمت بعدی ورودی های دیتا شما از نوع UDP که قبلا ایجاد کرده اید نمایش داده می شود. بر روی New کلیک کنید. وارد Wizard ساخت UDP Data Inputs خواهید شد. پورتی را که مرحله 1 تنظیمات VMware ESXi مشخص کرده بودید را در فیلد Port وارد نمایید و بر روی Next کلیک کنید.

config-syslog-in-splunk-8در بخش Input Settings مقدار Source Type را برابر syslog قرار دهید. اینکار باعث می شود که Splunk بداند قرار است از طریق این ورودی چه نوع دیتایی را دریافت نماید. در نتیجه قادر خواهد بود در هنگام Index فرمت لاگ های ذخیره شده را نیز تغییر دهد. همچنین این روشی برای طبقه بندی اطلاعات خواهد بود که باعث می شود بتوانید به راحتی این دیتاهای متفاوت را Search و فیلتر تمایید.

در قسمت Host  می توانید تعیین کنید که مقدار host در رویداد های ثبت شده با چه فرمتی ذخیره گردد. اگر DNS داشته باشید و آن را برای Splunk تعریف کنید ، با انتخاب گزینه DNS احتمالا لاگ ها به شکل خواناتری Index خواهند شد.  من به دلیل اینکه با آی پی راحت تر هستم در این قسمت مقدار Host را برابر IP قرار می دهم.

config-syslog-in-splunk-9بر روی Review و سپس Submit کلیک کنید.

مراحل تنظیم Splunk نیز به پایان رسید.

دقت داشته باشید که بر روی سروری که Splunk نصب شده است نیز بایستی پورت مربوط به Syslog باز باشد. اگر Config  را به درستی انجام داده باشید با مراجعه به قسمت Apps و کلیک بر روی Search & Reporting می توانید لاگ های دریافت شده را مشاهده نمایید.

config-syslog-in-splunk-10در فیلد Search می توانید با وارد کردن عبارت Source=”udp:514” sourcetype=”syslog” همه لاگ های دریافت شده توسط Splunk را مشاهده نمایید.

config-syslog-in-splunk-11همان طور که در ابتدا گفته شد ، طریقه تنظیم دریافت لاگ های مختلف از طریق یک پورت UDP یا TCP خاص ، تقریبا به همین صورت است و شما می توانید با اندکی تغییرات در این تنظیمات SIEM خود را برای دریافت لاگ از منابع مختلف Config نمایید.

 

ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.