Configurare OSSEC con Splunk

ossecsplunk01

Configurare OSSEC con Splunk permette una migliore visione delle migliaia di informazioni raccolte dal sistema utili per creare dei report da consegnare al management.

Splunk è un tool che può essere integrato in OSSEC per trasformare i log in formato grafico con integrati alcuni report che permettono di controllare più facilmente i sistemi monitorati.

Configurazione di OSSEC

La procedura per l’installazione di OSSEC è descritta in questo articolo.

Per abilitare il syslog, editare il file di configurazione di ossec.conf ed aggiungere le seguenti istruzioni:

# vi /var/ossec/etc/ossec.conf

ossecsplunk02

Abilitare il modulo syslog_output e riavviare il OSSEC.

# /var/ossec/bin/ossec-control enable client-syslog
# /var/ossec/bin/ossec-control restart

ossecsplunk03

 

Installazione di Splunk

Dal sito web scaricare l’ultima release di Splunk ed installare l’applicazione tramite il comando rpm.

# rpm -Uvh splunk-5.0.2-149561-linux-2.6-x86_64.rpm

ossecsplunk04

Editare il file di configurazione inputs.conf ed aggiungere l’istanza:

# vi /opt/splunk/etc/system/default/inputs.conf

ossecsplunk05

Riavviare Splunk. Se l’applicazione è avviata per la prima volta, è necessario accettare l’EULA.

# /opt/splunk/bin/splunk restart

ossecsplunk06

Digitare da browser l’indirizzo http://OSSEC_IP:8000 ed effettuare il login a Splunk utilizzando le credenziali di default admin/changeme. Al primo logon è richiesto il cambio della password. Se nel sistema il firewall è abilitato, aprire la porta TCP:8000.

ossecsplunk07

Viene visualizzata la schermata principale di Splunk.

ossecsplunk08

 

Installazione di Splunk per OSSEC

Effettuare il download di Splunk for OSSEC e dalla schermata principale di Splunk cliccre sul menu App > Manage apps.

ossecsplunk09

Cliccare sul bottone Install app from file.

ossecsplunk10

Cliccare sul bottone Choose File e selezionare il file scaricato ossec-1.1.89.tgz. Successivamente cliccare su Upload per caricare l’applicazione in Splunk.

ossecsplunk11

Quando l’applicazione è stata caricata, il sistema deve essere riavvaito. Cliccare su Restart Splunk per continuare.

ossecsplunk12

Il sistema viene riavviato.

ossecsplunk13

Una volta effettuato il logon al sistema, la notifica dell’avvenuta installazione viene segnalata.

ossecsplunk14

Dalla schermata principale cliccare su Apps per visualizzare l’elenco delle applicazioni installate. Identificare l’applicazione Splunk for OSSEC e cliccare l’opzione Launch app nella colonna Actions.

ossecsplunk15

Viene visualizzata la schermata principale di Splunk for OSSEC.

ossecsplunk16

Cliccare sul menu Dashboards & Views e selezionare l’opzione OSSEC Dashboard.

ossecsplunk17

I dati raccolti sono visualizzati nel formato grafico facilmente leggibili a prima vista.

ossecsplunk18

Splunk è un tool completo per visualizzare i dati raccolti in forma grafica e la creazione di report può essere facilmente effettuata selezionando i template disponibili nel menu Searches & Reports.

 

Rimuovere i dati dagli indici

Per cancellare i dati indicizzati dal disco, digitare da console i seguenti comandi:

# service splunk stop
# /opt/splunk/bin
# ./splunk clean eventdata
# service splunk start 

I dati vengono irreversibilmente cancellati dal disco liberando lo spazio inutilizzato.