Varios

Splunk universal forwarder, como funciona

26 octubre, 2022
bjone
1 comentario

Llevo todo el dia perdiendo el tiempo con esto, y no puede ser tan complicado … asi que vamos a empezar por el principio.

Esto se supone que tiene 4 ficheros de configuración. Todos en $SPLUNK_HOME/etc/system/local/

server.conf

El fichero que controla hacia donde se manda la información

inputs.conf

El fichero que controla que información se va a recopilar (local en la máquina).

El mío es algo así.

[WinEventLog://Security] disabled = 0
start_from = oldest
current_only = 0
evt_resolve_ad_obj = 1
checkpointInterval = 5
index = xxxx (asegurate de tener el index creado en splunk)
blacklist1 = EventCode=»(4662|566)» Message=»Object Type:(?!\s*groupPolicyContainer)»
blacklist2 = EventCode=»(4648|4634|4768|4656|4670|4663|4703|4658|4688|4689)»
blacklist3 = EventCode=»4624″ Message=»An account was successfully logged on»
blacklist4 = EventCode=»6278″ Message=»Network Policy Server granted full access to a user because the host met the defined health policy.»

outputs.conf

El fichero que controla que información se va a mandar (y en el que se supone que se pueden poner filtros).

deploymentclient.conf

El fichero que controla a que deployment server te conectas.

La teoría es fácil.

https://docs.splunk.com/Documentation/Forwarder/9.0.1/Forwarder/InstallaWindowsuniversalforwarderfromaninstaller

Y lleva todo el día fallando, y creo que se porque es … mañana probaré. Algo me dice que me han timado. Estaba intentando configurarlo para mandar hacia una instancia de splunk cloud, pero luego me di cuenta de que el resto de cacharros iban hacia un forwarder local, ni autenticación, ni certificado, ni ostias, mandando información a saco.

Encontré más documentación.

https://hurricanelabs.com/splunk-tutorials/deploying-the-splunk-universal-forwarder-on-windows/

Y la forma de ejecutar diagnósticos.

https://hurricanelabs.com/splunk-tutorials/how-to-generate-a-diag-in-splunk/

Creo que ya se lo que pasa, mañana lo pruebo para salir de dudas.

Otra cosa, en caso de querer que los logs vayan a un index diferente del main (esto en el heavy forwarder (o sea, el que escucha)

[tcp://yyyy] disabled = false
connection_host = ip
sourcetype = WinEventLog (o el que sea)
index = xxxxx

Un comentario sobre «Splunk universal forwarder, como funciona»

  1. Pingback: Eventos en un Domain Controller (para filtrarlos en Splunk) - Mundosysadmin

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.