「Splunk」の版間の差分

提供: セキュリティ
移動: 案内検索
行47: 行47:
 
Splunk Web へのログイン。
 
Splunk Web へのログイン。
 
http://localhost:8000/
 
http://localhost:8000/
 +
 +
* [[SplunkでApacheのログを扱う]]
 +
* [[Splunkでsshdのログを扱う]]
 +
 +
= syslog を追加する ==
 +
 +
ここでは、試験的に [[/var/log/secure]] を追加する例です。
 +
 +
* 「データの追加」から Splunk にデータを追加します。
 +
* [[syslog]] を追加してみます。
 +
* ローカルにあるログを追加します。
 +
** 「この Splunk サーバー上にある任意の syslog ファイルまたはディレクトリを使用する」を選択します。
 +
* 「データのプレビュー」で [[/var/log/secure]] を追加します。
 +
* 「ソースタイプの設定」を求められます。
 +
** 自動検出されたソースタイプを使用: linux_secure とでます。
 +
* 「続行」をクリックすると、データがインデックスされます。
 +
 +
 +
== 検索 ==
 +
 +
* fail* とすると 「失敗」に関するログを検索できます。
 +
** 大文字小文字は虫されます。
 +
* fail* root とすると root の「失敗」に関するログが引っ張れます。
 +
 +
* ssh の /var/log/secure のログの場合は、以下のキーワードで検索すると良いでしょう。
 +
** Accepted
 +
** Failed
 +
** invalid
 +
 +
* error OR 404
 +
* fail* OR error
  
 
== 関連項目 ==
 
== 関連項目 ==
  
 
* [[ログ]]
 
* [[ログ]]

2013年8月11日 (日) 17:03時点における版

Splunk とは、 IT システムから生成されるデータの収集、検索、分析を行うためのデータ分析プラットフォームです。

読み方

Splunk
すぷらんく

概要

Splunk でできること。

  • アプリケーション管理
  • ログ管理
  • サーバ管理
  • ネットワーク管理
  • 変更管理
  • セキュリティ
  • コンプライアンス
  • サービスデスク
  • サービスプロバイダ


他社製品との連携してできること。

  • OSS 統合運用管理ソフト Hinemos との連携
  • ファイルサーバアクセスログ収集システムとの連携
  • サーバアクセスログ監査ツールとの連携
  • 情報資産管理ツールとの連携

ダウンロード

インストール

使い方

splunk start
splunk start --accept-license

Splunk Web へのログイン。 http://localhost:8000/

syslog を追加する =

ここでは、試験的に /var/log/secure を追加する例です。

  • 「データの追加」から Splunk にデータを追加します。
  • syslog を追加してみます。
  • ローカルにあるログを追加します。
    • 「この Splunk サーバー上にある任意の syslog ファイルまたはディレクトリを使用する」を選択します。
  • 「データのプレビュー」で /var/log/secure を追加します。
  • 「ソースタイプの設定」を求められます。
    • 自動検出されたソースタイプを使用: linux_secure とでます。
  • 「続行」をクリックすると、データがインデックスされます。


検索

  • fail* とすると 「失敗」に関するログを検索できます。
    • 大文字小文字は虫されます。
  • fail* root とすると root の「失敗」に関するログが引っ張れます。
  • ssh の /var/log/secure のログの場合は、以下のキーワードで検索すると良いでしょう。
    • Accepted
    • Failed
    • invalid
  • error OR 404
  • fail* OR error

関連項目

https://kaworu.jpn.org/security/index.php?title=Splunk&oldid=1078」から取得