2015年11月11日 星期三

S小魚仔S Splunk 收集 Windows Event Log 和 網路設備 Syslog 安裝配置

Splunk 是利用收集機房設備的紀錄檔 (Log),藉此監控機房內系統、設備的狀況,只要是能產生紀錄檔,Splunk 皆能分析處理,並於儀表板 (Dashboard) 顯示,且能快速地建置搜尋用的快速索引 (Index)。Splunk 除了能集中化監控設備發生的事件,並作為 Log Server,記錄所有事先定義好的事件,並依照設定的時間範圍產生觀看的報表。

簡單架構示意圖

看文架構圖 ~~~ 接下來,準備進行實作


1. Server 安裝 設定

點選「Check This Box....」接受授權合約

進行安裝..跑啊跑

安裝完畢


2. Splunk Server 安裝完畢,瀏覽 Web Conosle 要開啟 Windows 防火牆 TCP 8000、TCP 9997 通訊埠。


點選「進階設定

新增「輸入規則

選擇「控制 TCP 或 UDP 連線埠之連線的規則

選擇「TCP」協定,輸入「通訊埠」(8000,9997)

點選「允許連線

勾選「網域、私人、公用

輸入「名稱

Windows Firewall 建立完成


3. 設定「Web Console」需要接收「Log」通訊埠。

登入「Web Console」=>「設定」=>「傳送與接收」=> 「設定接收」=> 新增「在此連接埠上監聽」通訊埠。
PS
預設「TCP 9997

開啟「IE」輸入「網址」( http://IP:8000 )

第一次登入 輸入 預設「帳號」 和 「密碼

登入 Splunk 主畫面,點選「設定」=>「傳送與接收

接收資料」功能,點選「新增

輸入「9997」,Splunk 接收端 通訊埠 是可以任意設定,只要不與現行環境衝突即可。

設定完成


4. 建立「索引值」=> 新增「wineventlog
PS
索引值是依照「Client Splunk Agent路徑「C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_windows\default\inputs.conf」=> 「index = wineventlog

點選「設定」=>「索引

點選「新增



輸入「wineventlog」,接收 Windows Event Log 索引值。

5. Windows Clinet 設定

安裝「Splunk-Agent」指向「Splunk Server」以及「通訊埠
PS
使用「自定義安裝

勾選「Check this box....」,點選「Customize Options

預設「下一步

預設「下一步

選擇「Local System

勾選「 Windows Log」項目,那些需要丟往「Splunk Server」 

選擇「Install the Splunk Add-on....

Deployment Server : 指向「Splunk Server IP

PS
當您的架構很龐大有許多機器需要修改 Splunk Agent 設定,可以透過此功能,指向「Splunk Server」,記得「Splunk Server」要設定防火牆 ,預設「TCP 8089」。

Receiving Server: 指向「Splunk Server IP

PS
將「Log」丟往「Splunk Server」,預設「TCP 9997」。

點選「Install

Splunk Agent 安裝完畢

4. 啟用「稽核原則
PS
Win+R」=>「Control Admintools」=>「本機安全性原則」=>「本機原則」=>「稽核原則」=> 選擇「稽核項目」,勾選「成功」或「失敗」。


5. 登入「Splunk Web Console」檢查「Windows Log


登入「Splunk Web Conosle」=>「Search & Reporting

輸入「index="wineventlog"

點選「Host

就會看到「Event Log」報到「主機」名稱,Window Log 也會轉送到「Splunk Server




======================================================


如何檢查「Splunk-Agent」是/否 設定成功 並 指向 Splunk Server

登入管理員「cmd
cd C:\Program Files\SplunkUniversalForwarder\bin
splunk list forward-server




======================================

 如何刪除「Splunk」應用套件。


1. 直接到「C:\Program Files\Splunk\var\lib\splunk\wineventlog」刪除「目錄套件」名稱


2. 重啟「Splunkd Service」服務。

======================================


PS
使用「網路設備」或「防火牆設備」直接丟「Log」,請使用「設定」=>「資料輸入」。
使用「Windows」或「Linux」需要安裝「Splunk Forwarder Agent」,請使用「設定」=>「傳送與接收」。

4 則留言:

  1. 請問,如果想要重新設定 Windows Log 要丟的項目,請問有什麼辦法嗎

    回覆刪除
  2. 參考此篇文章

    S小魚仔S-「停止轉送不需要 Windows Event Log 送往 Splunk Log Server」。

    回覆刪除
  3. 請問您如果要設多台Windows Server 能讓Splunk接收到Windows event log 。是否每台都要裝
    splunk universal forwarder agent??

    回覆刪除
  4. 必須安裝「splunk universal forwarder agent」如果您的主機數量非常多,建議採用「自動化佈署工具」如「ansible」或「套裝商業產品」。

    回覆刪除