Varios

Splunk universal forwarder

13 octubre, 2022
bjone

Vamos a por otro marrón … una instancia de splunk que ha sido … Llamémosle vendida de forma incorrecta y que, como suele ser habitual, hay que enderezar para evitar males mayores. Tenemos unos cuantos servidores windows haciendo forward de sus logs. Usando Splunk universal forwarder.

Antes de nada, el manual …

https://docs.splunk.com/Documentation/Forwarder/9.0.1/Forwarder/InstallaWindowsuniversalforwarderfromaninstaller

Resulta que los DCs envían tanta porquería, que … ademas de comerse casi toda la licencia … no son (somos) capaces de sacar nada en claro.

https://www.splunk.com/en_us/blog/tips-and-tricks/controlling-4662-messages-in-the-windows-security-event-log.html

Otra web con información:

https://splunkonbigdata.com/how-to-blacklist-or-whitelist-eventcodes-of-windows-event-log-for-local-windows-machine/

Tengo que probarlo, y empezar a quitar mierda. A ver si consigo quedarme solo con lo interesante.

https://www.beyondtrust.com/blog/entry/windows-server-events-monitor -> algunos identificadores de eventos.

https://www.aplura.com/assets/pdf/SplunkWindowsEventLogs.pdf

https://hurricanelabs.com/splunk-tutorials/leveraging-windows-event-log-filtering-and-design-techniques-in-splunk/amp/

https://www.splunk.com/en_us/blog/tips-and-tricks/windows-event-logs-in-splunk-6.html

Esto empieza a tocarme las narices, no consigo hacerlo funcionar … Voy a empezar de 0 a ver si doy con la tecla.

Lo, primero … instalar el universal forwarder en una maquina (descargado de splunk).

La instalación te pregunta:

– Si vas a hacer forward hacia una instancia local de splunk o hacia spunk cloud
– Te deja seleccionar que tipo de logs quieres mover

instalacion splunk universal forwarder

– Te pide la ip del servidor al que mandar los logs y el puerto.

Luego arranca, pero esto no manda nada … en el log local c:\Program files\SplunkUniversalForwarder\var\log\splunk\splunkd suelta un error

Unable to parse message from PubSubSvr
Could not obtain connection, will retry after 59 seconds

https://community.splunk.com/t5/Getting-Data-In/HttpPubSubConnection-Unable-to-parse-message-from-PubSubSvr/m-p/432599

Según los foros, o problema de usuario/password (que ni idea, porque solo pide un usuario LOCAL), o problemas con un certificado (que tambien ni idea, porque no ha pedido nada).

También decían que deshabilitar el SSL (aunque sea para probar).

enableSplunkdSSL = false en server.conf

Pero sigue diciendo lo mismo.

Me he dado cuenta de que antes del error de ssl soltaba otro

«TcpOutputProc – LightWeightForwarder/UniversalForwarder not configured. Please configure outputs.conf.» error». Y es que este fichero no existe … y me pregunto, ¿Que narices hace el instalador que no genera el fichero de configuración?

https://community.splunk.com/t5/Getting-Data-In/Getting-a-quot-TcpOutputProc-LightWeightForwarder/m-p/276991

Y otra cosa, el restart del servicio no funciona … de cada 3 veces 2 se queda colgado. Mal empezamos.

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.