Integrating DataSunrise con Splunk Enterprise

Splunk Enterprise è una piattaforma per l’intelligence operativa. Viene utilizzata per raccogliere e valutare grandi quantità di dati generate da varie applicazioni. Splunk Enterprise offre molte funzionalità, ma per lo scopo di DataSunrise può essere utilizzato per l’aggregazione dei log di audit.

In questo manuale, descriviamo come configurare Splunk Enterprise per integrarlo con DataSunrise. I risultati dell’audit dei dati vengono esportati da DataSunrise a Splunk tramite Syslog. Per scopo dimostrativo, viene utilizzata una copia di prova di Splunk Enterprise. Può scaricarla dal sito ufficiale. Prima di tentare di utilizzare Splunk per raccogliere i log di audit dei dati, configuri Syslog di DataSunrise.

Per fare questo, acceda all’interfaccia grafica (GUI) di DataSunrise, “Configurazioni” -> “Impostazioni Syslog”, “Impostazioni Syslog” e configuri un server Syslog remoto (vedi lo screenshot seguente). Poiché il nostro Splunk è installato sul nostro PC dove è installato DataSunrise, il valore dell’host del server è 127.0.0.1. Il numero di porta è 514.

Quindi navighi su “Configurazioni” -> “Impostazioni Syslog” e crei un nuovo Gruppo CEF se necessario o utilizzi il “gruppo predefinito”. È necessario includere gli eventi che si desidera trasmettere a Syslog nel gruppo.

Quindi crei una Regola DataSunrise e nelle impostazioni della regola, nella sottosezione “Azioni”, selezioni il suo gruppo CEF dall’elenco a discesa “Configurazione Syslog”. Questo le consentirà di trasmettere i dati di audit raccolti da DataSunrise a Splunk tramite Syslog. Per maggiori dettagli, si riferisca alla Guida Utente di DataSunrise. Poi nel “Filtra Dichiarazioni” selezioni “Eventi delle Sessioni” e specifichi gli eventi di sessione di cui inviare messaggi Syslog.

Esistono versioni di Splunk Enterprise per i sistemi operativi Windows, UNIX e Mac OS, quindi ogni versione del programma ha le sue specificità. In questa guida, descriviamo il setup di Splunk su Windows e Linux. Per preparare il programma al lavoro, esegua quanto segue:

Installazione di Splunk Enterprise

Windows

Esegua la procedura di installazione standard per le applicazioni Windows. Si riferisca alla guida ufficiale all’installazione se necessario.

Linux

Esegua la procedura di installazione standard per le applicazioni Linux. Si riferisca alla guida ufficiale all’installazione se necessario.

Avvio di Splunk Enterprise

Windows

Esegua il prompt dei comandi di Windows, si sposti nella cartella di installazione di Splunk con il comando “cd” ed esegua il comando “splunk start” (Ad esempio, se Splunk è stato installato nella cartella predefinita, utilizzi il comando: cd C:\Programmi\Splunk\bin splunk start) Può anche creare la variabile di ambiente %SPLUNK_HOME% per semplificare il processo di avvio di Splunk. Si riferisca alla guida ufficiale all’avvio se necessario.

Linux

Esegua il seguente comando tramite il prompt dei comandi Linux: Sudo /bin/splunk start Può anche creare una variabile di ambiente SPLUNK_HOME per avviare il programma con il seguente comando: Export SPLUNK_HOME= $SPLUNK_HOME/bin/splunk start

Configurazione di Splunk Syslog

1. Acceda all’interfaccia grafica di Splunk. Per fare ciò, apra il seguente indirizzo tramite il suo browser web: localhost:8000. Nella pagina di Login, utilizzi “admin” come login e “changeme” come password (Splunk le chiederà di impostare una nuova password).

2. Alla pagina di avvio dell’interfaccia grafica, faccia clic sul pulsante Aggiungi Dati.

3. Quindi nella pagina successiva faccia clic su “Monitor” per la scheda “Seleziona origine”.

4. Nella scheda “Seleziona origine dati” selezioni il protocollo TCP/UDP. Selezioni la porta UDP attivando l’interruttore corrispondente. Specifica il numero di porta di ascolto (porta 514). Lasci le altre impostazioni nel loro stato predefinito. Proceda alla scheda successiva premendo Avanti.

5. Nella scheda “Impostazioni di Input” utilizzi l’elenco a discesa “Seleziona tipo di origine” per selezionare Sistema operativo -> Syslog. Faccia clic su “Rivedi” per procedere al passaggio successivo.

6. Nella scheda “Rivedi” controlli le sue impostazioni: tipo di input — UDP, numero di porta — 514, tipo di origine — Syslog. Faccia clic su Invia per terminare la configurazione.

7. Dopo che la configurazione è completata, faccia clic su “Inizia a Cercare” per cercare i log.

8. Poiché DataSunrise crea log durante il suo funzionamento, è probabile che non vedrà alcuna voce. È per questo motivo che deve configurare le regole di audit di DataSunrise se non lo ha ancora fatto. Esegua le azioni necessarie affinché DataSunrise crei alcuni log di audit e aggiorni la pagina di ricerca in Splunk.

9. Per visualizzare i dettagli su un evento, faccia clic su > nella colonna “I” dell’evento richiesto. Poi utilizzi l’elenco a discesa Azioni evento per selezionare Estrarre campi e visualizzare informazioni dettagliate.

10. Si aprirà una nuova scheda del browser. Deve selezionare un metodo di estrazione lì. Espressioni regolari – come espressioni regolari, o Delimitatori – estraendo con virgole, spazi e caratteri. Questo metodo è consigliato per i dati separati con qualsiasi carattere (file CSV per esempio).

11. Dopo aver selezionato un metodo appropriato, faccia clic su avanti per iniziare l’estrazione.

DataSunrise supporta tutti i principali database e data warehouse come Oracle, Exadata, IBM DB2, IBM Netezza, MySQL, MariaDB, Greenplum, Amazon Aurora, Amazon Redshift, Microsoft SQL Server, Azure SQL, Teradata e molti altri. Lei è invitato a scaricare una prova gratuita se desidera installare nei suoi locali. Nel caso Lei sia un utente cloud e utilizzi il suo database su Amazon AWS o Microsoft Azure, può ottenerlo da AWS market place o Azure market place.