Splunk Heavy Forwarder

Otro servidor mas (el 5º ya), algo que tenia que ser sencillo, empieza a resultar una pesadilla. ¿Para que este heavy forwarder?, porque resulta que los filtros de los filtros de los Universal forwarders no valen para los logs de los firewalls.

Asi que, otro servidor mas …

Para añadir los filtros aqui se usa el fichero transforms.conf que esta en splunk/eetc/apps/xxx-ap/local (y se controla desde el Deployment server

Hace falta tocar en dos ficheros

props.conf

TRANSFORMS-firewall_filters=firewall_xxxx_blacklist, firewall_yyyy_blacklist

Y luego en el transforms.conf

El fichero tiene esta pinta …

[firewall_xxxx_blacklist] REGEX=app=»xxx.xxx.xxx» -> donde app tiene que ser el nombre exacto que te marca en los logs
DEST_KEY=queue
FORMAT=nullQueue

Vamos que si hace match con una entrada de log con el nombre de aplicación xxx.xxx.xxx lo manda a nullQueue en vez de hacer forward.

La lista de aplicaciones tiene esta pinta (en Fortigates)

firewall apps

Para filtrar por codigo de evento (del eventviewer) y por nombre de usuario

blacklistx = EventCode=»xxxx» Message=»Account Name:\susername»

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.