Splunk y Cisco ISE

Vamos a por la de esta semana. Se «suponia» que nuestra instancia de splunk estaba recibiendo trafico de ISE. Pero, tambien se «suponia» que la app de cisco para tratar estos logs deberia de funcionar, cosa que … a dia de hoy no hace. Y como los «expertos» pasan de mi, pues eso … a ver si averiguo que pasa.

https://community.cisco.com/t5/security-knowledge-base/identity-services-engine-and-splunk-apps-configuration-guide/ta-p/3735814

De momento la documentación dice que hay que tener instaladas las dos apps.

https://apps.splunk.com/app/1915/ -> Splunk Add-on for Cisco Identity Services (Que es la que crea los indices)

https://splunkbase.splunk.com/app/1589 -> Splunk for Cisco Identity Services (ISE) (que es la que tiene el dashboard).

Lo mismo esto explica porque solo con la primera suelta un bonito 404 url not found cuando intentas entrar (mas vale).

No tengo permisos para instalar nada (aun), toca esperar.

Los datos se estan recibiendo, pero algo me dice que no se estan catalogando como deben,

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.