host=»HOSTNAME» EventCode=4659 «Маска доступа»=0x10080 | table _time, «ИД безопасности», «Имя объекта», «Операции доступа» | sort -_time
Рубрики
Рубрика: Splunk
По умолчанию Splunk не имеет возможности собирать данные. Для этого нужно установить Add-on — REST API Modular Input
Затем создать «задание» на опрос нужной страницы: Settings => Data inputs => REST => New
Нужно заполнить минимально необходимые поля:
REST API Input Name * = Имя задания (любое)
Response Type = json
Polling Interval = 60 (интервал запроса в секундах)
Set sourcetype = _json
Скачать и установить доп. модуль — SNMP Modular Input
Далее перейти в AddDATA — Monitor — SNMP
Заполнить минимально необходимые поля:
SNMP Input Name — Ввести имя
SNMP Mode — Poll Attributes
SNMP Version — 2C
Destination — IP адрес устройства с которого запрашивать данные
Port — 161
Object Names List — адрес значения по MIB (данные адреса нужно искать для конкретного устройства), например для MikroTik-а CPU Load это 1.3.6.1.2.1.25.3.3.1.2.1
Interval — интервал опроса устройства
Set sourcetype — Manual — snmp
Если нужно писать данные в отдельный индекс, то его можно указать в дополнительных параметрах (предварительно его создав).
Deploy and Use the Splunk App for Windows Infrastructure
1. Устанавливаем Splunk Enterprise
2. Открываем через GPO порты в Windows Fire-Wall
3. Устанавливаем дополнительные расширения и приложения:
- Splunk Add-on for Microsoft Windows
- Splunk App for Windows Infrastructure
- Splunk Support for Active Directory
- Splunk Add-on for Microsoft Windows DNS
4. Создаем в DNS 2 А записи (имена придумываете сами, главное чтоб запомнили и не запутались):
- spldplsrv — указываем IP адрес Deploy Server-а
- splindsrv — указываем IP адрес Index Server-а
5. Открываем доступ на получение данные от SplunkUniversalForwarder
6. Устанавливаем SplunkUniversalForwarder на сервера с указанием вышеперечисленных адресов (см. п.4)
7. Настраиваем Deploy Server
1 Установить Splunk DB Connect
2. На сервер с ролью Search Head установить Java Platform, Standard Edition Development Kit (JDK) 8 (можно без JRE)
2.1 Прописать переменную на сервере JAVA_HOME — C:\Program Files\Java\jdk1.8.0_112
3 Установить необходимые JDBC драйвера
3.1 В данном случае устанавливаем вариант Windows — MS Generic — AD User — Use domain checkbox
3.2 Так же нужно допилить напильником