Splunk. HTTP collector

Приветствую тебя, уважаемый читатель!

Хочу поведать тебе хорошую новость, в версии Splunk 6.3 появился новый Data Input – HTTP Collector. В принципе уже имеющихся вариантов подключения источников событий более чем достаточно, файлы, TCP/UDP-сокеты, скрипты, СУБД, выводы команд ОС, агенты для сбора (Splunk Forwarder), дополнительный софт который работает под управлением агентов и т.д.

Теперь можно научить SPlunk понимать специально сформированные HTTP POST запросы. Суть сводится к добавлению ещё одного заголовка. Кому интересно ниже объяснение J

Splunk. Отправка результатов запроса на почту

Доброго дня, уважаемый читатель!

Пока пишу большой пост посвященный созданию дашбордов для Splunk, решил написать небольшой пост про фишку, которую недавно заиспользовал. Заключается она в отправке результатов запроса на почтовый ящик. Наверное, старожилы SIEM-систем сейчас подумают - "детский сад" делается одной кнопкой в QRadar или Arcsight, но тем не менее кому-то будет интересно, да и плюс опишу пару новых операторов  :) 

Собственно, что нам понадобится для отправки - запрос, который что-нибудь посчитает, почтовый сервер - у меня exim4, и почтовый ящик куда пошлем - у меня yandex.ru.

Как настраивать сервер exim4 писать не буду, лучше почитайте здесь - http://lib.clodo.ru/email/exim_debian.html. Предположим, что он работает и всё хорошо. 

Splunk. Введение в SPL

Приветствую тебя, уважаемый читатель!

Продолжая тему изучения возможностей системы Splunk, я решил рассказать про возможности встроенного языка запросов к данным. Описать все его возможности и команды я не смогу (да и не все знаю), но общее представление о логике запросов вы получите.
Экспериментировать мы будем с логом замечательной софтины – Fail to Ban. Итак поехали! :)

Долго думал с чего начать, решил, что начну с объяснения, куда вбивать запрос и что должно получиться в итоге.  Подразумевается, что журнал Fail to Ban вы уже подключили по аналогии с примером из прошлого поста, хотя можете поэкспериментировать с журналом ОС Linux. Для удобства я назвал sourcetype – fail2ban. Сам файл лога лежит тут - /var/log/fail2ban.log.

Из коробки Splunk понимает формат данного лога и автоматом распарсит все события. Только незабываем выбрать опцию  -  continuously monitor ,  иначе события проиндексируются один раз.