web-dev-qa-db-ja.com

splunkのリモートUNIXサーバーからのデータソースとしてログを構成するにはどうすればよいですか?

リモートUNIXサーバーにあるログファイルでSplunkを設定するにはどうすればよいですか?

通常、私はLinuxサーバーにPuTTYにログインし、そこから別の会社のサーバーにSSHで接続し、ディレクトリをナビゲートして、主にcatzcatなどとしてgrepフィルターを使用して操作を実行します。例:

  1. puTTYを使用してexample_serverにログインします
  2. sshからssh_serverへ
  3. cd to req dir
  4. 猫などを演じる、

ssh_serverはPuTTYからの直接ログインを許可しません。最初にexample_serverにログインしてから、ssh_serverにログインする必要があります。

Grepの使用方法と同様に、これらのログファイルをsplunkが文字列の検索に使用するように構成するにはどうすればよいですか。ラップトップにsplunkをインストールしましたが、add data > filesdir > add newをクリックすると、データフィールドへのフルパスが表示されます。どのパスを入力すればよいですか?

 1) I can't do any modification to server(have no rights), so i couldn't use splunk    universal forwarder
 2)There's no way i can open port to write to and make splunk listen to it, as i said              my higher-ups won't allow, if something goes wrong, it will cost my job
 if there's anyway i can write to port securely ,that might help.
 3) I can run Shell scripts FYI
 4)It will help if anyone suggest how i can securely connect to log servers, download data files(not manually) a python script or .bat file, and will use this local directory in splunk :)
2
cypronmaya

すでにどこかにSplunkインスタンスが設定されていると仮定すると、ログデータを中央の場所に転送する方法はいくつかあります。

何よりもまず最も簡単な方法は、syslogメッセージをリモートログサーバーに送信することです。これは、必要な権限と権限があり、目的のログを取得してsyslogに書き込むことができる場合にのみ適用されます。

インストール権限がある場合は、リモートボックスにSplunkフォワーダーインスタンスをセットアップできます。これは、Linux、Unix、Windows、場合によってはそれ以上でサポートされています。

Epilog やシステムログの転送など、ログの転送に使用できる追加のツールもあります。

サーバーへのインストールに失敗した場合、出力ファイルを効果的に調整し、結果をTCPまたはSplunkサーバーに対して開かれたUDP接続にダンプするスクリプトを設定しました。

編集-このボックスにインストールする権限がないと回答したので、SSH経由でファイルをコピーし、コピーの宛先フォルダーをSplunkインデックスに追加することを検討できます。このジョブをcron経由で実行するようにスケジュールします。これは理想的ではありません-ログが送信される前にある程度の改ざんが可能です-しかし、それは機能的です。

編集-あなたの場合、利用可能な場合はncコマンドを使用することをお勧めします。これは、インストールなしでログを監視するための優れた方法です。

tail /your/log/file -f | nc <your.server.ip.addr> <yourport>
1
Tim Brigham

Linuxシステムとほとんどのログ管理ソリューションでは、Linuxサーバーのsyslogまたはrsyslog構成を変更するだけで、すべてのデータをログサーバーに送信できます。

Sudo vi /etc/syslog.conf @ X.X.X.X Sudo/sbin/service syslog restart

この設定を行うと、すべてのログがポート514を介してセットアップしたSplunkロギングサーバーに送信されます。そのトラフィックのインバウンドを許可するようにSplunkを設定していることを確認する必要があります。ほとんどの場合、これは、XIPがマシンにトラフィックを送信できるようにするさまざまなホストを設定することによって行われます。

OSSECなどの他のロギング実装では、マシンにエージェントをインストールできるため、syslogを変更する必要はありません。

0
Eric