اخبار داخلی آرمان داده پویان

آموزش

خانه آموزش محصولات امنیتینحوه وارد کردن داده‌ها در اسپلانک (قسمت دوم)

۱۹ شهریور ۱۳۹۹

تعداد بازدید: 511

نحوه وارد کردن داده‌ها در اسپلانک (قسمت دوم)

آموزش اسپلانک

در قسمت اول از آموزش وارد کردن داده‌ها در اسپلانک، به معرفی روش‌های وارد کردن داده‌ها به نرم افزار Splunk Entherprise پرداختیم و Upload را بررسی کردیم. در این قسمت دو روش دیگر وارد کردن داده‌ها به اسپلانک یعنی Monitor و Forward را مورد بررسی قرار خواهیم داد.

رصد داده‌ها

صفحه “Monitor data” در نرم‌افزار اسپلانک برای نظارت بر فایل‌ها و پورت‌های شبکه‌ی میزبانی که نرم‌افزار Splunk Enterprise بر روی آن نصب شده است بکار می‌رود. این صفحه از طریق صفحه Add Data در منوی Settings در نوار سیستم نرم‌افزار قابل دسترس است.

صفحه Monitor

در صفحه Monitor می‌توانید نوع داده‌ای که قرار است رصد شود را تعیین کنید. ابتدا ورودی‌های پیش‌فرض، لیست شده‌اند، پس از آن ورودی‌های ارسال شده و سپس ورودی‌های ماژولار که بر روی سرور اسپلانک نصب شده‌اند لیست می‌گردند. صفحه Monitor فقط انواع منابع داده‌ای که می‌توانید نظارت کنید را نشان می‌دهد که این منابع به نوع نرم‌افزار اسپلانک (نسخه Enterprise یا Cloud) و همچنین بستری که نرم‌افزار بر روی آن اجرا می‌شود بستگی دارد.

افزودن یک ورودی داده

برخی از منابع داده فقط در سیستم‌عامل‌های خاصی در دسترس هستند. برای مثال منابع داده ویندوز فقط در میزبان‌های با سیستم‌عامل ویندوز در دسترس هستند. اگر در این فرآیند به مشکل خوردید، ممکن است حساب کاربری اسپلانک، مجوزهای لازم را برای افزودن داده یا مشاهده منابعی که قصد افزودن آن‌ها را دارید نداشته نباشد.

  • منبع مورد نظر را از پنل سمت چپ انتخاب کنید. صفحه جاری بر اساس منبعی که انتخاب کرده‌اید به‌روز می‌شود. برای مثال اگر گزینه “Files & Directories” را انتخاب کنید، فیلدی برای وارد کردن نام فایل یا دایرکتوری و همچنین نحوه رصد آن توسط نرم‌افزار اسپلانک، به صفحه جاری اضافه خواهد شد.
  • دستورالعمل‌های روی صفحه را دنبال کنید تا انتخاب شیء مبدأ که قصد رصد آن را دارید، تکمیل شود.
  • برای رفتن به مرحله بعدی در فرآیند Add data، بر روی Next کلیک کنید.

ارسال داده

صفحه “Forward data” به شما این امکان را می‌دهد که ارسال‌کننده‌ای را که به نرم‌افزار اسپلانک متصل شده را انتخاب کرده و داده مورد نظر را پیکربندی و به سرور اسپلانک ارسال نمایید. این صفحه با کلیک بر روی دکمه Forward در صفحه Add data در نرم‌افزار اسپلانک نمایان می‌شود و در شرایط زیر در دسترس است:

  • در صورتی که نرم‌افزار اسپلانک بر روی تنها یک سرور نصب شده باشد که در این صورت هم به عنوان فهرست‌کننده و هم سرور مستقل عمل می‌کند.
  • در صورتی که از سرور ابری اسپلانک استفاده ‌می‌کنید و نرم‌افزار Universal forwarder را بر روی کلاینت‌ها پیکربندی کرده باشید.
  • اگر از چند ماشین مجازی برای فهرست‌بندی در نرم‌افزار اسپلانک استفاده می‌کنید، صفحه Forward data کاربرد ندارد.

همچنین اگر از نسخه ابری نرم‌افزار اسپلانک استفاده می‌کنید صفحه Forward data در دسترس نخواهد بود. در عوض می‌توانید سروری را برای همگام‌سازی تنظیمات ارسال‌کننده، راه‌اندازی کنید تا نیازی به پیکربندی ارسال‌کننده‌ها به صورت دستی نباشد.

پیش ‌نیازها

برای استفاده از صفحه Forward data برای پیکربندی ورودی‌های داده، باید حداقل یک Forwarder را بر روی یک کلاینت پیکربندی کنید. در غیر این صورت، صفحه مورد نظر پیغامی را مبنی بر اینکه هیچ کلاینتی یافت نشد، نمایش می‌دهد.

صفحه Select Forwarders

هنگامی که گزینه Forward Data را در صفحه Add Data انتخاب می‌کنید، صفحه زیر نمایش داده می‌شود:

در این صفحه می‌توانید کلاس‌های سرور را تعریف کرده و ارسال‌کننده‌ها را به این کلاس‌ها اضافه کنید. کلاس‌های سرور عبارتند از گروه‌بندی منطقی میزبان‌ها بر اساس مواردی مثل معماری یا نام میزبان. این صفحه فقط ارسال‌کننده‌هایی را نمایش می‌دهد که شما آن‌ها را برای ارسال داده پیکربندی کرده‌اید و به عنوان یک کلاینت ارسال‌کننده عمل می‌کنند. در صورتی که هیچ ارسال‌کننده‌ای را تنظیم نکرده باشید، این موضوع به شما هشدار داده می‌شود.

  • در قسمت Select Server Class بر روی یکی از گزینه‌های زیر کلیک کنید:
  1. گزینه New برای ایجاد یک کلاس سرور جدید، یا در صورتی که کلاس سرور فعلی با گروه ارسال‌کننده‌هایی که قصد دارید برای آن‌ها یک ورودی تعریف کنید، مطابقت ندارد.
  2. گزینه Existing برای استفاده از یک کلاس سرور موجود.
  • در پنل Available host(s)، ارسال‌کننده‌ای که می‌خواهید نرم‌افزار اسپلانک از آن، داده دریافت کند را انتخاب کنید. ارسال‌کننده‌ها از پنل Available host(s) به پنل Selected host(s) جابجا خواهند شد.
  • (اختیاری) می‌توانید تمام میزبان‌ها را با کلیک بر روی پیوند add all اضافه کنید. همچنین با کلیک بر روی پیوند remove all تمام میزبان‌ها حذف خواهند شد.
  • اگر گزینه New را در بخش Select server class انتخاب کردید، یک نام منحصر به فرد که می‌توانید به خاطر بسپارید را برای کلاس سرور انتخاب کنید. در غیر این صورت، کلاس سرور مورد نظر را از لیست کشویی انتخاب کنید.
  • بر روی Next کلیک کنید. صفحه Select Source انواع منابع معتبر برای ارسال‌کننده‌های منتخب را نمایش می‌دهد.
  • منابع داده‌ای که می‌خواهید ارسال‌کننده‌ها به سرور بفرستند را انتخاب کنید.
  • برای رفتن به صفحه Set Sourcetype، بر روی Next کلیک کنید.
قسمت اول

طراحی، مشاوره، پیاده‌سازی و تامین لایسنس اسپلانک در ایران

آرمان داده پویان پیشگام در ارائه راهکارهای SIEM

تازه ترین ها

FortiOs 7.0 تحولی در دنیای امنیت!
۱۷ فروردین ۱۴۰۰
تشخیص هوشمند تهدیدات چیست؟
۱ آذر ۱۳۹۹
مهم‌ترین عوامل برای الویت‌بندی و ارزیابی آسیب‌پذیری‌ها چیست؟
۱۲ آبان ۱۳۹۹
جست و جو در اسپلانک
۱ مهر ۱۳۹۹
نرم‌افزار Splunk Enterprise چگونه داده‌ها را مدیریت می‌کند؟
۳۱ شهریور ۱۳۹۹
استفاده از Forwarder برای وارد کردن داده‌ها در اسپلانک
۲۴ شهریور ۱۳۹۹