Splunk Architecture and Installation
Bilgisayar güvenliği alanında, güvenlik bilgileri ve etkinlik yönetimi (SIEM), güvenlik bilgileri yönetimi (SIM) ve güvenlik etkinliği yönetimini (SEM) birleştirir. Uygulamalar ve ağ donanımı tarafından oluşturulan güvenlik uyarılarının gerçek zamanlı analizini sağlar.
SIEM terimi ve ilkeciliği, 2005 yılında Mark Nicolett ve Gartner’den Amrit Williams tarafından tanımlandı. Gartner daki tanımıyla; SIEM teknolojisi, gerçek zamanlı etkinlik yönetimi ve çok çeşitli heterojen kaynaklardan gelen güvenlik verilerinin tarihsel analizini sağlar. Bu teknoloji, olay bilgisini olay tepkisi ve adli analiz amacıyla uygulanabilecek verilere filtrelemek için kullanılır. Mevzuata uygunluğun desteklenmesi ihtiyacı SIEM teknoloji sağlayıcıları için yeni pazar sürücüsü haline geldi. Geliştirilmiş mevzuata uygunluk veri toplama, analiz ve raporlama özelliklerini içerecek şekilde mevcut çözümleri genişletmek için çalışıyorlar. Bu alandaki satıcılar, SIEM nokta çözümleri sağlayıcılarını ve güvenlik yönetimi özelliklerini içeren geniş kapsamlı ürün sağlayıcılarını içerir.
Gartner da Leaders bölmesinde olan splunk genel miramirisi ve kurulumunu yazının devamında bulabilirsiniz.
Splunk Enterprise, BT altyapınızın veya işinizin bileşenlerinden toplanan verileri aramanızı, analiz etmenizi ve görselleştirmenizi sağlayan bir yazılım ürünüdür. Splunk Enterprise web sitelerinden, uygulamalardan, sensörlerden, cihazlardan vb. verileri alır. Veri kaynağını tanımladıktan sonra Splunk Enterprise, veri akışını endeksler ve görüntüleyebileceğiniz ve arayabileceğiniz bir dizi bağımsız olaya ayrıştırır.
Çoğu kullanıcı Splunk Enterprise’a bir web tarayıcısı ile bağlanır ve dağıtımlarını yönetmek, bilgi nesneleri yönetmek ve oluşturmak, aramalar yapmak, pivotlar ve raporlar oluşturmak ve benzeri işlemleri yapmak için Splunk Web’i kullanır. Splunk Enterprise dağıtımınızı yönetmek için komut satırı arabirimini de kullanabilirsiniz.
Uygulamaları kullanarak kuruluşunuzun belirli gereksinimlerine uyacak şekilde Splunk Enterprise ortamını genişletebilirsiniz. Bir uygulama, Splunk platformunda çalışan yapılandırma, bilgi nesneleri, görünümler ve gösterge panoları koleksiyonudur. Tek bir Splunk Enterprise kurulumu aynı anda birden fazla uygulamayı çalıştırabilir. Splunkbase’deki mevcut uygulamalara göz atın veya Splunk geliştirici sitesinde kendinizinkini oluşturun.
Splunk Enterprise’ı Windows’ta Grafik Kullanıcı Arabirimi (GUI) tabanlı yükleyici ile veya komut satırından yükleyebilirsiniz. Komut satırından yüklerseniz, sessiz yükleme gibi daha fazla seçenek kullanılabilir. Aşağıdaki bağlantıdan indirebilirsiniz.
Desteklediği windows işletim sistemleri
Kurulum yapacağınız kullanıcı aşağıdaki gereksinimleri karşılamalıdır. Kullanıcı bu gereksinimleri karşılamıyorsa, Splunk Enterprise kurulumu başarısız olabilir. Yükleme başarılı olsa bile, Splunk Enterprise düzgün çalışmayabilir. İzlemek istediğiniz kullanıcı
- Active Directory domain veya forest üyesi olmalı (AD kullanırken)
- Splunk Enterprise’ı yüklediğiniz sunucudaki Local Administrators grubunun üyesi olmalı
- Belirli kullanıcı güvenlik hakları atanmalıdır.
İndirilen splunk-7.2.4–8a94541dcfac-x64-release.msi dosyası çalıştırılır.
Lisansı onayladıktan sonra sonraki adıma geçiyoruz.
Eğer customize options seçeneğinden farklı ayar yapmak istemiyorsak kurulacak dizin gibi install seçeneğine tıklayıp kuruluma başlıyoruz.
Kurulum tamamlanınca http://localhost:8000/ sayfası açılacak.
Login olduktan sonra ana ekran açılır>
Splunk Enterprise Mimarisi
Splunk Enterprise sunucusu ana makinenize bir işlem yüklüyor, splunkd.
splunkd, BT verilerini erişen, bunları işleyen ve dizine ekleyen dağıtılmış bir C / C ++ sunucusudur. Ayrıca arama isteklerini de yerine getirir. splunkd, verilerinizi her biri bir dizi işlemciden oluşan bir dizi boru hattından geçirerek işler ve dizine ekler.
Pipelines, her biri tek bir XML snippet’i ile yapılandırılan ayrık işlem içinde tek iş parçacıklarıdır.
Processors, bir pipeline dan geçen BT verileri akışına etki eden, tek tek, yeniden kullanılabilir C veya C ++ işlevleridir. Boru hatları, verileri sıralar aracılığıyla birbirine iletebilir.
6.2 sürümünde yeni olan splunkd, Splunk Web kullanıcı arabirimini de sağlar. Kullanıcıların verileri aramasını, yönlendirmesini ve Splunk Enterprise dağıtımını bir Web arayüzü üzerinden yönetmesini sağlar. Webstar sunucunuzla Resmi Durum Transferi (REST) aracılığıyla iletişim kurar.
splunkd, SSL / HTTPS varsayılan olarak açıkken, 8089 numaralı bağlantı noktasında bir Web sunucusunu çalıştırır.
Ayrıca, SSL / HTTPS varsayılan olarak kapalıyken 8000 bağlantı noktasında bir Web sunucusu çalıştırır.
splunkweb, yalnızca Windows’ta eski bir hizmet olarak yüklenir. 6.2 sürümünden önce, Splunk Enterprise için Web arayüzü sağladı. Şimdi, yükler ve çalışır, ancak hemen çıkar. Bir yapılandırma parametresini değiştirerek “eski modda” çalışacak şekilde yapılandırabilirsiniz.
Windows sistemlerinde, splunkweb.exe, Splunk’un pythonservice.exe’den yeniden adlandırdığı, üçüncü taraf, açık kaynaklı bir çalıştırılabilir dosyadır. Yeniden adlandırılmış bir dosya olduğundan, Windows ikili dosyaları için diğer Splunk Enterprise ile aynı dosya sürüm bilgisini içermez.
Diagramı
Bileşenleri
Forwarder
Verileri başka bir Splunk instance ileten bir Splunk instance dır, iletici olarak adlandırılır.
Indexer
Verileri indeksleyen Splunk instance dır. Indexer, ham verileri event lere dönüştürür ve event leri bir dizine depolar. Indexer, arama isteklerine yanıt olarak dizine alınmış verileri de arar. Arama eşleri, arama başlığından gelen arama isteklerini yerine getiren dizinleyicilerdir.
Veri eklendiğinde, Splunk yazılımı verileri ayrı olaylara ayrıştırır, zaman damgasını çıkarır, satır sonu kuralları uygular ve olayları bir dizinde depolar. Farklı girişler için yeni dizinler oluşturabilirsiniz. Varsayılan olarak, veriler “main” index de saklanır. Olaylar, arama sırasında bir veya daha fazla index den alınır.
Search Head
Dağıtılmış bir arama ortamında, search head, arama isteklerini bir dizi arama grubuna yönlendiren ve sonuçları tekrar kullanıcıya birleştiren Splunk instance dır. Örnek yalnızca arama yapar ve indeksleme yapmazsa, genellikle özel arama başlığı olarak adlandırılır.
Arama Tipleri ve Performans Etkisi
Bir Splunk Enterprise dizininde depolanan verilere karşı dört tür arama yapabilirsiniz. Her arama türü, dizinleyiciyi farklı bir şekilde etkiler. (dense, sparse, Super-sparse, Rare). Detaylar için >
Alerts
Uyarılar, hem geçmiş hem de gerçek zamanlı aramalar için arama sonuçlarının yapılandırılmış koşulları sağladığında sizi uyarır. Uyarıları, belirtilen e-posta adreslerine uyarı bilgileri gönderme, bir RSS beslemesine uyarı bilgileri gönderme ve syslog’a bir uyarı olayı yayınlayanlar gibi özel bir komut dosyası çalıştırma gibi eylemleri tetiklemek için uyarıları yapılandırabilirsiniz.
Pivot
Pivot, Pivot Editor’ı kullanarak oluşturduğunuz tablo, grafik veya veri görselleştirmesini ifade eder. Özet Editör, kullanıcıların veri modeli nesneleri tarafından tanımlanan öznitelikleri bir tablo, grafik veya veri görselleştirmesine, arama yapmak için Arama İşleme Dilinde (SPL) arama yapmak zorunda kalmadan eşlemelerini sağlar. Pivotlar rapor olarak kaydedilebilir ve gösterge tablolarına eklenebilir.
Arama İşlemleri Dili
Splunk araması, bir dizi komut ve argümandır. Komutların bir çıktısının sağdaki bir sonraki komuta beslendiğini göstermek için “|” karakteri ile birlikte zincirleme yapılır.
search | command1 arguments1 | command2 arguments2 | …
Arama hattının başında, dizinden olayları almak için zımni bir arama komutu var. Arama istekleri anahtar kelimeler, alıntı ifadeler, Boole ifadeleri, özel karakterler, alan adı / değer çiftleri ve karşılaştırma ifadeleriyle yazılır.
AND işleci, arama terimleri arasında ima edilir. Örneğin:
sourcetype=access _ combined error | top 5 uri
Bu arama, “hata” terimini içeren dizine alınmış web etkinliği olaylarını alır. Bu olaylar için en yaygın 5 URI değerini döndürür. Arama komutları, istenmeyen olayları filtrelemek, daha fazla bilgi almak, değerleri hesaplamak, dönüştürmek ve dizine alınmış verileri istatistiksel olarak analiz etmek için kullanılır. Dizinden dinamik olarak oluşturulmuş bir tablo olarak alınan arama sonuçlarını düşünün. Dizine eklenen her olay bir satırdır. Alan değerleri sütunlardır. Her arama komutu o tablonun şeklini yeniden tanımlar. Örneğin, olayları filtreleyen arama komutları satırları kaldıracak, alanları ayıklayan arama komutları sütun ekleyecektir.
Hızlı aramanın anahtarı, diskten çıkarılması gereken verileri mutlak asgari düzeyde tutmaktır. Ardından, bu verileri aramada olabildiğince erken filtreleyin, böylece gereken minimum verilerde işlem yapılır. Birden fazla veri türünde aramaları nadiren gerçekleştirirseniz, verileri ayrı dizinlere bölümleyin. Örneğin, web verilerini bir dizine, firewall verilerini diğerine yerleştirin. Zaman aralığını yalnızca ihtiyaç duyulanla sınırlayın. Örneğin -1h -1w değil, ya da en erken = -1d. Search özel olarak yapabilirsiniz. Örneğin, *error* yerine fatal _ error.
Kaynaklar
