corentindaniel.files.wordpress.com · Web viewPour installer Splunk, il suffit de télecharger le...
6
Doc Splunk Installation de splunk : Pour installer Splunk, il suffit de télecharger le .tar.gz sur internet, le dezipper puis lancer le .sh. C’est aussi simple que ça. On a ensuite accès à l’interface web de Splunk, qui nous propose un tutoriel sur l’utilisation de Splunk si on se connecte pour la premiere fois. Démarrer splunk: #cd /opt/splunk/bin/ #splunk start Accès à l’interface web : localhost:8000 user: admin password: admin Mise en place de sources : Cliquer sur l’icône ≡ en haut à gauche de l’écran puis > entrées de données. on a ensuite accès à ensuite plusieurs types d’inputs comme des entrées locales : - Fichiers & répertoires - Collecteur d'événements HTTP - TCP - UDP - Scripts Ou des entrées transmises : - Logs d'événements Windows - Fichiers & répertoires - Surveillance des performances Windows - TCP - UDP - Scripts Après avoir configuré nos sources, on peut se rendre dans la rubrique recherche pour les retoruver:
Transcript of corentindaniel.files.wordpress.com · Web viewPour installer Splunk, il suffit de télecharger le...
Doc Splunk
Installation de splunk :
Pour installer Splunk, il suffit de télecharger le .tar.gz sur internet, le dezipper puis lancer le .sh.C’est aussi simple que ça.On a ensuite accès à l’interface web de Splunk, qui nous propose un tutoriel sur l’utilisation de Splunk si on se connecte pour la premiere fois.
Démarrer splunk:
#cd /opt/splunk/bin/#splunk start
Accès à l’interface web : localhost:8000user: admin password: admin
Mise en place de sources :
Cliquer sur l’icône ≡ en haut à gauche de l’écran puis > entrées de données. on a ensuite accès à ensuite plusieurs types d’inputs comme des entrées locales :
- Fichiers & répertoires - Collecteur d'événements HTTP- TCP- UDP - Scripts
Ou des entrées transmises :- Logs d'événements Windows- Fichiers & répertoires- Surveillance des performances Windows- TCP- UDP - Scripts
Après avoir configuré nos sources, on peut se rendre dans la rubrique recherche pour les retoruver:
Et ainsi et effecter des recherches sur la liste des logs :
comme on peut le voir , les champs sont déjà définis sur la liste de gauche, et si on veut effectuer des recherches, on peut soit cliquer sur un champ de la liste pour faire une recherche rapide :
soit surligner sur les log les champs désirés pour effectuer une recherche :
ou écrire directment dans la barre de recherche :
tableaux de bords :
pour créer un tableau de bord, plusieurs choix s’offrent à nous :
on peut par l’intermédiaire des champs dans la rubrique recherche créer directement une visualisation :
on peut voir ici le lien “Top valeurs” qui nous permettra de créer une visualisation sur les adresses ip sources les plus visualisées. Ou les adresses ip sources les plus vues par heure etc…
On peut aussi créer une recherche puis la transformer en tableau pour récapituler les données:
calculer un temps de connexion : exemple de recherche :source="/var/log/server.2016-01-28.log.gz" NOT at NOT Exception NOT "conversion is missing" NOT KeyNotFoundException NOT IOException AND ("Begin" OR "End") | transaction src dst startswith="Begin" endswith="End" | fieldformat duration=tostring(duration,"duration") | fieldformat StartTime=strftime(StartTime,"%x %X")
Geolocalisation :
commande : iplocation <ip_cource_field>
exemple : host=proxy1 | iplocation SRC
limite des 500 Mo:
" If you go over 500MB/day more than 3 times in a 30 day period, Splunk will continue to index your data, but search will be disabled until you are back down to 3 or fewer times in the 30 day period. "
