13.7.13

Splunk上分析snort log的套件

splunk是個功能強大的分析資料平台,但它是個商業軟體,免費版的限制是每天最大500M的資料索引功能,個別用戶的管理機制,原廠支援。如果組織不夠大拿這個來分析log還真有點大才小用,但如果今天公司有用,你想把snort的log收集來管理,可加裝套件splunk for snort,使用後發現其實沒裝也沒差,因為用關鍵字也可以抓出資料,但要懂它的語法。好了略過...




splunk很紅,所以網路上安裝文章一堆,只說這套件怎麼裝,在Search主頁面右上方有個應用套件,裏面有個搜尋套件,打入關鍵字「snort」會有兩個套件,選splunk for snort來裝,接下來要把資料匯進來,我是用ubuntu的測試環境實作的,windows的部份請參閱官方文件,snort的部份,把匯到資料庫的語法刪除或復原,就讓它將log寫到/var/log/snort/alert




本機遠端差在遠端要裝syslog-ng
vi /etc/syslog-ng/syslog-ng.conf                           //編輯syslog-ng設定檔
加入

source s_tail { file("/var/log/snort/alert"
follow_freq(1) flags(no-parse) ) ; };

destination stail2 { tcp("192.168.0.0") ;             //此IP為搜集log的主機IP//用tcp或udp皆可
};

log {
source(s_tail);
destination(stail2);
flags(flow-control);
};

#service syslog-ng restart
//把alert透過udp514將資料丟出來

splunk的部份
選從UDP連結
建一個tcp514,讓資料進來

沒有留言:

張貼留言