Дополнительно, для некоторых событий, их можно нормализировать еще на стороне клиента, но лучше, чтобы они попадали на сервер<\/a> в чистом, незамутнённом виде. Особенно критические.<\/p>\n\n\n\n Итак, событие произошло, и оно должно быть отражено в логах клиента. Два основных метода – сбор «родных» логов LINUX и сбор демоном auditd. Оба способа имеют свои отличия в настройке и обработке.<\/p>\n\n\n\n Определившись с тем, что и как мы будем собирать, можно переходить к этапу передачи этой информации на сервер<\/a>. Для этого будем использовать универсальный сервис от Splunk – Splunk Forwarder. Для различных систем его можно загрузить по ссылке : https:\/\/www.splunk.com\/en_us\/download\/universal-forwarder.html#tabs\/linux<\/a> (требуется регистрация).<\/p>\n\n\n\n Задача форвардера – передать информацию из точки А в точку Б, где точкой А выступает лог-файл, а точной Б – сервер<\/a> Splunk. Кроме этого, форвардер может передавать данные «по цепочке»: например, с нескольких серверов в одном сегменте сети, которые не имеют прямого доступа к серверу Splunk, клиентские форвардеры передают данные на консолидирующий форвардер, а он в свою очередь передает на сервер<\/a> по отдельному, специально для него выделенному каналу, в другую подсеть.<\/p>\n\n\n\n Установка форвардера на наблюдаемый сервер<\/a> начинается с создания индивидуального пользователя и группы, под которым форвардер и будет запускаться. По умолчанию это пользователь<\/a> splunk<\/em><\/strong> <\/em>и группа splunk<\/em><\/strong>.<\/p>\n\n\n\n Создайте пользователя и группу:<\/p>\n\n\n\n #useradd -m splunk<\/p>\n\n\n\n #groupadd splunk<\/p>\n\n\n\n Создайте домашнюю директорию для форвардера:<\/p>\n\n\n\n #export SPLUNK_HOME=»\/opt\/splunkforwarder»<\/p>\n\n\n\n #mkdir $SPLUNK_HOME<\/p>\n\n\n\n Скачaнный дистрибутив в архиве .tgz распакуйте в папку \/opt\/splunkforwarder\/ и назначьте владельцем нового пользователя:<\/p>\n\n\n\n #chown -R splunk:splunk $SPLUNK_HOME<\/p>\n\n\n\n Переключитесь на нового пользователя splunk<\/em> или любого другого непривилегированного пользователя и зайдите в папку \/opt\/splunkforwarder\/bin\/ и найдите скрипт splunk.<\/p>\n\n\n\n Выполните первый запуск скрипта, при котором он проинсталлирует необходимые компоненты<\/p>\n\n\n\n $sudo $SPLUNK_HOME\/bin\/splunk start —accept-license<\/p>\n\n\n\n В дальнейшем этот скрипт понадобится для перезапуска форвардера, остальные настройки указываются только в конфигурационных файлах.<\/p>\n\n\n\n .\/splunk stop – остановка сервиса<\/p>\n\n\n\n .\/splunk start – запуск сервиса<\/p>\n\n\n\n .\/splunk status – проверка текущего статуса<\/p>\n\n\n\n После инсталляции в папке \/opt\/splunkforwarder\/etc\/system\/ появятся три интересующие нас папки с настройками<\/p>\n\n\n\n \/default – в этой папке находятся все конфигурационные файлы, которые действуют по умолчанию. Изменять их нельзя.<\/p>\n\n\n\n \/README – подробное описание каждого параметра в каждом файле.<\/p>\n\n\n\n \/local – интересующая нас папка. Все конфигурационные файлы, помещенные в эту папку, имеют приоритет над дефолтными настройками.<\/p>\n\n\n\n Для простой передачи данных с клиента на сервер<\/a> Splunk нам потребуется два файла, определяющие «что» собирать, и «куда» отправлять.<\/p>\n\n\n\n outputs.conf – указывает адрес целевого сервера или узлового форвардера.<\/p>\n\n\n\n Для одного сервера достаточно следующей конфигурации:<\/p>\n\n\n\n [tcpout]<\/p>\n\n\n\n defaultGroup = default-autolb-group<\/p>\n\n\n\n [tcpout:default-autolb-group]<\/p>\n\n\n\n server = 10.10.10.5: 39801<\/p>\n\n\n\n Несмотря на то, что сервер<\/a> и клиент один, предварительно нужно указать группу по умолчанию, в которую будет входить клиент. Когда клиентов будет несколько, нужно указывать ту же самую группу.<\/p>\n\n\n\n Обязательно проверьте, виден ли указанный вами порт с клиентской машины (например, с помощью команды: $ telnet 10.10.10.5 39801).<\/p>\n\n\n\n Inputs.conf – перечисляет что именно собирать и в какой индекс отправлять.<\/p>\n\n\n\n В начале укажем конфигурацию, которая будет считаться по умолчанию<\/p>\n\n\n\n [default]<\/p>\n\n\n\n index = linux-debian – индекс, куда будут попадать данные, если не указанно другое.<\/p>\n\n\n\n host = $decideOnStartup – имя данного сервера, как он в последствии будет отображаться в логах спланка. Важный момент – если оставить значение $decideOnStartup, то будет взято имя сервера, которое он получил при инсталляции. Но в случае виртуализированных серверов, и если они создавались клонированием, то Вы получите одинаковые имена хостов, которые смешаются в индексе. Так же не следует привязываться к IP адресу машины – многие события не имеют привязки к адресу и никак его не отображают. Гораздо надежнее будет вручную указать имя сервера, как Вы хотите видеть его логах спланка.<\/p>\n\n\n\n Укажем черный список файлов, их расположение, которые не надо мониторить<\/p>\n\n\n\n [blacklist:$SPLUNK_HOME\/etc\/auth]<\/p>\n\n\n\n [blacklist:$SPLUNK_HOME\/etc\/passwd]<\/p>\n\n\n\n Указываем, что нужно мониторить и куда складывать, в какой индекс:<\/p>\n\n\n\n [monitor:\/\/var\/log\/audit\/audit.log] – это файл, который создает демон auditd.<\/p>\n\n\n\n index = linux_auditd – обратите внимание, для него создан отдельный индекс на сервере. Если этот параметр не указать, то будет выбран индекс linux-debian, указанный в блоке [default] в начале файла.<\/p>\n\n\n\n [monitor:\/\/var\/log\/] – данный пункт указывает что мониторить нужно всю папку \/var\/log\/. Поскольку не указан дополнительный параметр index, данные попадут по умолчанию в index = linux-debian<\/p>\n\n\n\n Обращаем внимание — в такой конфигурации будет повторно мониториться файл \/var\/log\/audit\/audit.log, и информация из него будет «попадать» в два индекса: и linux-debian, и linux_auditd<\/p>\n\n\n\n Не забываем про мониторинг самого форвардера, ведь в случае его отключения мы перестанем получать логи системы:<\/p>\n\n\n\n [monitor:\/\/$SPLUNK_HOME\/var\/log\/splunk]<\/p>\n\n\n\n index = linux-debian<\/p>\n\n\n\n sourcetype = splunk<\/p>\n\n\n\n [monitor:\/\/$SPLUNK_HOME\/var\/log\/watchdog\/watchdog.log]<\/p>\n\n\n\n index = linux-debian<\/p>\n\n\n\n sourcetype = splunk<\/p>\n\n\n\n [monitor:\/\/$SPLUNK_HOME\/var\/log\/splunk\/license_usage_summary.log]<\/p>\n\n\n\n index = linux-debian<\/p>\n\n\n\n sourcetype = splunk<\/p>\n\n\n\n [monitor:\/\/$SPLUNK_HOME\/var\/log\/splunk\/splunk_instrumentation_cloud.log*]<\/p>\n\n\n\n index = linux-debian<\/p>\n\n\n\n sourcetype = splunk<\/p>\n\n\n\n sourcetype = splunk_cloud_telemetry<\/p>\n\n\n\n [monitor:\/\/$SPLUNK_HOME\/var\/log\/splunk\/configuration_change.log]<\/p>\n\n\n\n index = linux-debian<\/p>\n\n\n\n sourcetype = splunk<\/p>\n\n\n\n В данном случае, при добавлении переменной sourcetype = splunk информация о работе форвардера будет попадать в общий индекс, но тип данных будет указан как splunk. Это будет полезно для последующего анализа данных и построении запросов.<\/p>\n\n\n\n Рекомендуется мониторить следующие директории и источники:<\/p>\n\n\n\n \/etc<\/p>\n\n\n\n \/var\/log<\/p>\n\n\n\n \/home\/*\/.bash_history<\/p>\n\n\n\n \/root\/.bash_history<\/p>\n\n\n\n \/var\/adm<\/p>\n\n\n\n \/Library\/Logs<\/p>\n\n\n\n После внесения изменений в любые файлы конфигурации необходимо перезапустить форвардер, что бы они вступили в силу<\/p>\n\n\n\n .\/splunk stop – остановка сервиса<\/p>\n\n\n\n .\/splunk start – запуск сервиса<\/p>\n\n\n\n В процессе настройки рекомендуется включить на сервере запрос index=»linux-debian» или index=»linux_auditd» а период времени поставить REAL-TIME — 5 minute window. Вы сразу же увидите данные, поступившие в индекс после перезапуска форвардера – или их изменение, или что они вообще начали поступать на сервер<\/a>.<\/p>\n\n\n\n Если все было проделано правильно, то после окончательного старта сервиса forwareder в самом сервере Splunk увидим «ожившие» новые индексы:<\/p>\n\n\n\n И теперь можно привлекать весь потенциал продукта Splunk для построения системы мониторинга событий и выявления инцидентов.<\/p>\n\n\n\n Например, с чего, собственно, начиналась статья – событие получения пользователем root прав. Для этого пишем простой запрос, с учетом того индекса, куда мы заливаем данные.<\/p>\n\n\n\n index=»linux_auditd» acct=root audit_description=»User session start»| table UID host<\/p>\n\n\n\n Данный запрос вернет все события начала сессии с правами root и выведет в табличку имя пользователя и имя хоста, на котором это случилось. Данный запрос сохраняем как алерт, назовем, к примеру «ROOT на серверах» Укажем тип алерта “Real-time” и длительность в 365 дней (да, тут надо помнить, что через год он отключиться). Добавим действие, которое нужно выполнить при возникновении события – будем отправлять сообщения в телеграмм. В поле сообщения введем «Внимание!! На сервере $result.host$ пользователь<\/a> $result.UID$ получил ROOT права!» — это сформирует нам нужное сообщение из получаемых полей.<\/p>\n\n\n\n\n
Учтите этот момент, если будете настраивать одновременно мониторинг папки \/var\/log\/ и журнала демона auditd, чтобы у Вас не дублировались записи событий.<\/li>\n<\/ol>\n\n\n\n![\"\"](\"https:\/\/blog.bithide.io\/wp-content\/uploads\/2023\/11\/SPLUNK_1.jpg\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/blog.bithide.io\/wp-content\/uploads\/2023\/11\/SPLUNK_2.jpg\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/blog.bithide.io\/wp-content\/uploads\/2023\/11\/SPLUNK_3.jpg\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/blog.bithide.io\/wp-content\/uploads\/2023\/11\/SPLUNK_4.jpg\")
<\/figure>\n\n\n\n
![\"\"](\"https:\/\/blog.bithide.io\/wp-content\/uploads\/2023\/11\/SPLUNK_5.jpg\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/blog.bithide.io\/wp-content\/uploads\/2023\/11\/SPLUNK_6.jpg\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/blog.bithide.io\/wp-content\/uploads\/2023\/11\/SPLUNK_7.jpg\")
<\/figure>\n\n\n\n