Integrando DataSunrise con Splunk Enterprise

Splunk Enterprise es una plataforma para la inteligencia operativa. Se utiliza para recopilar y evaluar grandes datos generados por diversas aplicaciones. Splunk Enterprise ofrece muchas características, pero para el propósito de DataSunrise se podría usar para la agregación de registros de auditoría.

En este manual, describimos cómo configurar Splunk Enterprise para integrarlo con DataSunrise. Los resultados de la auditoría de datos se exportan desde DataSunrise a Splunk a través de Syslog. Con fines de demostración, se utiliza una copia de prueba de Splunk Enterprise. Puedes descargarla desde el sitio web oficial. Antes de intentar usar Splunk para recopilar registros de auditoría de datos, configura Syslog de DataSunrise.

Para hacer esto, ingresa a la interfaz gráfica de usuario de DataSunrise, “Configurations” -> “Syslog settings”, “Syslog Settings” y configura un servidor Syslog remoto (ver la captura de pantalla abajo). Dado que nuestro Splunk está instalado en nuestro PC donde DataSunrise está instalado, el valor del servidor anfitrión es 127.0.0.1. El número de puerto es 514.

Luego navega a “Configurations” -> “Syslog Settings” y crea un nuevo grupo CEF si es necesario o usa el “grupo predeterminado”. Necesitas incluir eventos, que quieres pasar a Syslog, en el grupo.

Luego crea una Regla DataSunrise y en la configuración de la regla, en la subsección “Actions”, selecciona tu grupo CEF de la lista desplegable “Syslog Configuration”. Esto te permitirá pasar datos de auditoría recopilados por DataSunrise a Splunk a través de Syslog. Para más detalles, consulta la Guía del Usuario de DataSunrise. Luego, en “Filter Statements” selecciona “Sessions Events” y especifica los eventos de sesión para enviar mensajes Syslog.

Existen versiones de Splunk Enterprise para sistemas operativos Windows, UNIX y Mac OS, por lo que cada versión del programa tiene sus propias especificidades. En esta guía, describimos la configuración de Splunk en Windows y Linux. Para preparar el programa para el trabajo, realiza lo siguiente:

Instalación de Splunk Enterprise

Windows

Realiza el procedimiento estándar de instalación para aplicaciones de Windows. Consulta la guía de instalación oficial si es necesario.

Linux

Realiza el procedimiento estándar de instalación para aplicaciones de Linux. Consulta la guía de instalación oficial si es necesario.

Inicio de Splunk Enterprise

Windows

Ejecuta el símbolo del sistema de Windows, ve a la carpeta de instalación de Splunk con el comando “cd” y ejecuta el comando “splunk start”. (Por ejemplo, si Splunk se instaló en la carpeta predeterminada, usa el siguiente comando: cd C:\Program Files\Splunk\bin splunk start) También puedes crear la variable de entorno %SPLUNK_HOME% para simplificar el proceso de inicio de Splunk. Consulta la guía de inicio oficial si es necesario.

Linux

Ejecuta el siguiente comando a través del símbolo del sistema de Linux: Sudo /bin/splunk start También puedes crear una variable de entorno SPLUNK_HOME para iniciar el programa con el siguiente comando: Export SPLUNK_HOME= $SPLUNK_HOME/bin/splunk start

Configuración de Syslog en Splunk

1. Ingresa a la interfaz de usuario de Splunk. Para hacer esto, abre la siguiente dirección a través de tu navegador web: localhost:8000. En la página de inicio de sesión, usa “admin” como usuario y “changeme” como contraseña (Splunk te pedirá que establezcas una nueva contraseña).

2. En la página de inicio de la interfaz de usuario, haz clic en el botón Add Data.

3. Luego, en la siguiente página, haz clic en “Monitor” en la pestaña “Select Source”.

4. En la pestaña “Select Source Data” selecciona el protocolo TCP/UDP. Selecciona el puerto UDP activando el interruptor correspondiente. Especifica el número de puerto de escucha (puerto 514). Deja los demás ajustes en su estado predeterminado. Procede a la siguiente pestaña presionando Next.

5. En la pestaña “Input Settings” usa la lista desplegable “Select Source type” para seleccionar Operating System -> Syslog. Haz clic en “Review” para proceder al siguiente paso.

6. En la pestaña “Review” revisa tus configuraciones: tipo de entrada — UDP, número de puerto — 514, tipo de fuente — Syslog. Haz clic en Submit para finalizar la configuración.

7. Una vez completada la configuración, haz clic en “Start Searching” para buscar registros.

8. Dado que DataSunrise crea registros durante su operación, es probable que no veas ninguna entrada. Por eso necesitas configurar las reglas de auditoría de DataSunrise si no lo has hecho. Realiza las acciones necesarias para que DataSunrise cree algunos registros de auditoría y actualiza la página de búsqueda en Splunk.

9. Para ver detalles sobre algún evento, haz clic en > en la columna “I” del evento requerido. Luego usa la lista desplegable Event Actions para seleccionar Extract Fields y ver información detallada.

10. Se abrirá una nueva pestaña del navegador. Allí necesitas seleccionar un método de extracción. Expresiones regulares: como expresiones regulares o Delimitadores: extrayendo con comas, espacios y caracteres. Este método se recomienda para datos separados con cualquier carácter (archivos CSV por ejemplo).

11. Después de seleccionar un método adecuado, haz clic en next para comenzar la extracción.

DataSunrise es compatible con todas las bases de datos y almacenes de datos principales, como Oracle, Exadata, IBM DB2, IBM Netezza, MySQL, MariaDB, Greenplum, Amazon Aurora, Amazon Redshift, Microsoft SQL Server, Azure SQL, Teradata y más. Te invitamos a descargar una prueba gratuita si deseas instalarlo en tus instalaciones. En caso de que seas un usuario de la nube y ejecutes tu base de datos en Amazon AWS o Microsoft Azure puedes obtenerlo en AWS Market Place o en Azure Market Place.