Splunk上分析snort log的套件

splunk是個功能強大的分析資料平台，但它是個商業軟體，免費版的限制是每天最大500M的資料索引功能，個別用戶的管理機制，原廠支援。如果組織不夠大拿這個來分析log還真有點大才小用，但如果今天公司有用，你想把snort的log收集來管理，可加裝套件splunk for snort，使用後發現其實沒裝也沒差，因為用關鍵字也可以抓出資料，但要懂它的語法。好了略過...

splunk很紅，所以網路上安裝文章一堆，只說這套件怎麼裝，在Search主頁面右上方有個應用套件，裏面有個搜尋套件，打入關鍵字「snort」會有兩個套件，選splunk for snort來裝，接下來要把資料匯進來，我是用ubuntu的測試環境實作的，windows的部份請參閱官方文件，snort的部份，把匯到資料庫的語法刪除或復原，就讓它將log寫到/var/log/snort/alert

本機跟遠端差在遠端要裝syslog-ng

vi /etc/syslog-ng/syslog-ng.conf                           //編輯syslog-ng設定檔

加入

source s_tail { file("/var/log/snort/alert"
follow_freq(1) flags(no-parse) ) ; };

destination stail2 { tcp("192.168.0.0") ;             //此IP為搜集log的主機IP//用tcp或udp皆可
};

log {
source(s_tail);
destination(stail2);
flags(flow-control);
};

#service syslog-ng restart

//把alert透過udp514將資料丟出來

splunk的部份

選從UDP連結

建一個tcp514，讓資料進來