You are here: Home » Blog » Correlación y Centralización de Logs con Splunk – Parte 2 | Capturando logs de otros nodos

Correlación y Centralización de Logs con Splunk – Parte 2 | Capturando logs de otros nodos

En la primera parte de esta serie de artículos vimos el proceso de instalación  y  configuración de Splunk, en esta oportunidad veremos como enviar los logs desde otros servidores a nuestro servidor Splunk mediante el uso del Universal Forwarder.

 

Configuración del Servidor Splunk.

Para comenzar debemos configurar el puerto por el cual el servidor splunk recibirá los datos enviados desde otros servidores. En la consola de administración vamos a la opción Manager ubicada en el menú de la parte superior derecha.

splunk_manager

Luego vamos a la sección Data e ingresamos a Forwarding and receiving

Splunk_Data

Allí  ingresamos a Configure receiving y configuramos un puerto por el cual splunk recibirá los datos.

Splunk Receiver Port

En este caso configuramos el puerto 9997.
SplunkReceiving

Descargar Universal Forwarder

Ingresamos a http://www.splunk.com/download/universalforwarder y allí descargamos el universal forwarder para el sistema operativo correspondiente.

SplunkUniversalForwarder

Instalación Windows:

Para la instalación en windows se debe especificar la dirección IP y puerto de nuestro servidor splunk y seleccionamos los elementos a enviar a Splunk.

Splunk_UniversalForwarder_Windows

Splunk_UniversalForwarder_Windows1

Instalación en Linux

Descargamos y descomprimimos el instalador en /opt/

Instalamos splunkforwarder

sudo /opt/splunkforwarder/bin/splunk start

Cambiamos la contraseña del usuario admin del forwarder.

./splunk edit user admin -password nuevopassword

Agregamos el servidor splunk  y el puerto para decirle al forwarder en donde se van a enviar los logs.

sudo ./splunk add forward-server ipservidorsplunk:9997 -auth admin:nuevopassword

Este es el usuario admin y el password que colocamos en el Universal Forwarder.

En caso de que queramos remover el reenvío a uno de los servidores ejecutamos el siguiente comando:

sudo ./splunk remove forward-server ipservidorsplunk:puerto 

Para  indicarle al forwarder que logs queremos enviar ejecutamos el siguiente comando

sudo ./splunk add monitor /ruta/logs

ej:

sudo ./splunk add monitor /var/log/asterisk/


Listo esta es la configuración básica del forwarder ya podemos ir al panel de nuestro servidor splunk y ver algunos eventos enviados por el forwarder, en otro artículo veremos como generar reportes y disparar alertas.

 

Saludos,

Founder of http://hotfixed.net - Co-Founder of @BusyToneGroup and @S3cT0 | Penetration Tester | Security Consultant | Linux | VoIP

http://hotfixed.net

2 Comments

  1. que buena herramienta, me gustaria saber si splunk me siver para recivir mensajes de logs de dispositivos activos como switch y router cisco.

    • Hola Armando, claro que si, para eso puedes configurar tus dispositivos para que envien los logs a un servidor syslog y desde allí enviarlos a splunk, o también puedes hacerlo directo.

      Saludos,

Comments are closed.