Post on 03-Aug-2015
Uso de la herramienta Splunk en CSUC
Maria Isabel Gandía Carriedo TECNIRIS-42: Productos para gestión de Logs 16-6-2015
Agenda
¿Para qué usamos Splunk?• Almacenar, tratar y consultar logs• Gráficas y estadísticas• Recibir alertas en tiempo real• Enviar informes periódicos• Seguridad
Ventajas y desventajas Plataforma recomendada Ejemplos de uso
1. Búsqueda
2. Report
3. Informes periódicos
4. Dashboard
5. Configuración de alertas
6. Splunk for DNS
¿Para qué usamos Splunk?
Almacenar, tratar y consultar logs
Equipos de red:• Routers• Conmutadores
Servidores:• Supercomputación• Servicios adicionales de la Anella Científica
Servicios:• Radius Eduroam• Correo electrónico
Gráficas y estadísticas
Enviar informes periódicos
Recibir alertas en tiempo real
Interfaces caídasProblemas de hardwareConexión con credenciales incorrectas
Seguridad
Incorporación de fuentes de datos de fabricantes como F5 o Paloalto preconfiguradas.
Incorporación de datos (feeds) desde otras fuentes:• Flows flowsonar• OSSEC
¿Para qué usamos Splunk?
Almacenar, tratar y consultar logs• Buscar información histórica• Correlar eventos
Gráficas y estadísticasEnviar informes periódicosRecibir alertas en tiempo realSeguridad
Agenda
¿Para qué usamos Splunk?• Almacenar, tratar y consultar logs• Gráficas y estadísticas• Recibir alertas en tiempo real• Enviar informes periódicos• Seguridad
Ventajas y desventajas Plataforma recomendada Ejemplos de uso
1. Búsqueda
2. Report
3. Informes periódicos
4. Dashboard
5. Configuración de alertas
6. Splunk for DNS
Splunk vs otras herramientas
Ventajas: Fácil de poner en marcha. Uso intuitivo. Indexación en lectura (tradicionalmente, en escritura). Versión hasta 500 MB/día gratis (“Free as in beer”, no “Free as in speech”). Permite generar informes periódicos y alarmas en tiempo real. Permite incorporar fuentes de datos prefabricadas de fabricantes. Ofrece una solución en la nube.
Desventajas: Es de pago (Licencia anual de 1 GB/día: 2.070 $). Ofrecer vistas a usuarios distintos no es trivial. La configuración de alarmas en tiempo real carga la plataforma. Necesita un servidor potente.
Agenda
¿Para qué usamos Splunk?• Almacenar, tratar y consultar logs• Gráficas y estadísticas• Recibir alertas en tiempo real• Enviar informes periódicos• Seguridad
Ventajas y desventajas Plataforma recomendada Ejemplos de uso
1. Búsqueda
2. Report
3. Informes periódicos
4. Dashboard
5. Configuración de alertas
6. Splunk for DNS
Plataforma recomendada
16 GB de RAM 12 cores 1200 ops/s input/output
…pero con bastante menos también funciona…
Agenda
¿Para qué usamos Splunk?• Almacenar, tratar y consultar logs• Gráficas y estadísticas• Recibir alertas en tiempo real• Enviar informes periódicos• Seguridad
Ventajas y desventajas Plataforma recomendada Ejemplos de uso
1. Búsqueda
2. Report
3. Informes periódicos
4. Dashboard
5. Configuración de alertas
6. Splunk for DNS
Ejemplo 1: búsqueda
Ejemplo 1: búsqueda
Ejemplo 1: búsqueda
Ejemplo 2: Report (o cómo guardar una búsqueda)
Ejemplo 2: Report (o cómo guardar una búsqueda)
Ejemplo 2: Report (o cómo guardar una búsqueda)
Ejemplo 2: Report (o cómo guardar una búsqueda)
Ejemplo 3: Informes periódicos
Ejemplo 3: Informes periódicos
Ejemplo 3: Informes periódicos
Ejemplo 4: Dashboard (o cómo acceder a varios reports)
Ejemplo 4: Dashboard (o cómo acceder a varios reports)
Ejemplo 4: Dashboard (o cómo acceder a varios reports)
Ejemplo 4: Dashboard (o cómo acceder a varios reports)
Ejemplo 5: Configuración de alertas
Ejemplo 5: Configuración de alertas
Ejemplo 5: Configuración de alertas
Ejemplo 5: Configuración de alertas
Ejemplo 5: Configuración de alertas
Ejemplo 6: Splunk for DNS (Defensive ISS)
¡Gracias por vuestra atención!
¿Preguntas?
mariaisabel.gandia@csuc.cat