اخبار داخلی آرمان داده پویان

مقالات

استفاده از ارسال‌کننده‌ها برای وارد کردن داده‌ها در اسپلانک

۲۴ شهریور ۱۳۹۹

استفاده از Forwarder برای جمع آوری و ارسال داده‌ها به سمت سرور اسپلانک

آموزش اسپلانک

در ادامه مطالب آموزش اسپلانک امروز به بررسی چگونگی ورورد اطلاعات در اسپلانک از طریق Forwarder و برنامه‎ های دیگر می‌پردازیم. همچنین شما می‌توانید در بخش محصولات امنیتی آرمان داده پویان، آموزش‌های بیشتری در خصوص اسپلانک را مطالعه بفرمایید.

Forwarderها در اسپلانک برنامه‌هایی هستند که روی سیستم‌هایی نصب می‌شوند که می‌خواهند به سرور اصلی اسپلانک داده بفرستند. این سیستم‌ها معمولا خودشان توانایی ارسال برخط و کامل داده‌ها را ندارند و در نتیجه Forwarderها این مسئولیت را برعهده می‌گیرند. Forwarderها به منابع زیادی نیاز ندارند و در نتیجه تاثیر چندانی بر روی بازدهی میزبان خود ندارند. به طور مثال اگر در شبکه سرورهای آپاچی و یا سیستم‌های ویندوزی دارید با نصب Forwarder اسپلانک بر روی آن‌ها می‌توانید، داده‌های خام را از این ماشین‌ها به سمت سرور اسپلانک ارسال نمایید تا در آنجا عملیات indexing بر روی آن‌ها انجام شده و داده‌های خام این ماشین‌ها را به داده‌هایی قابل جست و جو تبدیل کنید. به طور مثال در خصوص سیستم‌های ویندوزی تیم امنیت قادر خواهد بود با استفاده از راهکار اسپلانک در زمان کمتر و با دقت بیشتری وجود بدافزار یا سایر مخاطرات امنیتی را در این سیستم‌ها تشخیص دهد.

اسپلانک قابلیت مدیریت مرکزی Forwarderها را نیز از طریق Deployment Severs فراهم کرده است. از طریق این سرورها می‌توان از راه دور به Forwarderهای نصب شده بر روی سرورها و کلاینت‌های موجود در شبکه دسترسی یافت و تنظیمات مربوط به ارسال و دریافت داده‌ها را تغییر داد.

اما جمع آوری داده‌ها در موارد خاصی بهتر است توسط برنامه‌هایی به غیر از Forwarderها  صورت پذیرد. مواردی مانند داده‌‌های مربوط به پایگاه داده. با ما همراه باشید تا در این مطلب علاوه بر معرفی این برنامه‌ها به بررسی نحوه نصب و پیکربندی Forwarderها و برخی از قابلیت‌های آن‌ها بپردازیم.

قابلیت‌های Forwarder

همانطور که در قسمت قبل نیز توضیح دادیم، وظیفه اصلی Forwarderها دریافت داده‌های خام از ماشین‌ها و ارسال آن‌ها به سمت سروراسپلانک می‌باشد. اما Forwarderها قابلیت‌های دیگری نیز دارند که همین موضوع باعث برتری آن‌ها نسبت به سایر روش‌های ارسال داده می‌شود. قابلیت‌هایی از جمله:

  • برچسب‌گذاری (tagging) داده‌ها (مشخص کردن منبع داده، نوع داده و سیستمی که داده از آن ارسال شده است.)
  • ارائه بافرینگ قابل تنظیم
  • فشرده‌سازی داده‌ها
  • امکان افزایش امنیت از طریق رمزگزاری SSL
  • امکان ارسال داده از طریق پورت‌های مختلف (تنها محدود به یک پورت خاص نیستید و می‌توانید پورتی را که بر روی آن داده ارسال می‌نمایید را تغییر دهید.)
  • اجرای اسکریپت بر روی سیستم ارسال کننده
  • اگر از Heavy Forwarder استفاده نمایید، قابلیت Indexing نیز در Forwarder وجود خواهد داشت.

نصب Forwarder

برای نصب Forwarderها عملیات زیر را بایستی انجام دهید:

  1. سرور دریافت‌کننده را مشخص کنید و امکان دریافت داده در آن را فعال کنید.
  2. نوع Forwarderای که می‌خواهید بر روی میزبان نصب نمایید را مشخص کنید:
  • می‌توانید از یک heavy forwarder استفاده کنید که این کار با نصب نرم‌افزار اسپلانک در حالت کامل (Full) و فعال‌سازی ویژگی Forwarding امکان‌پذیر است.
  • می‌توانید از Universal Forwarder استفاده نمایید.
  1. نرم‌افزار  (Heavy Forwarder) Splunk Enterprise یا Universal Forwarder را متناسب با سیستم‌عامل و معماری میزبانی که حاوی داده است، دانلود نمایید  و بر روی ماشین مورد نظر نصب نمایید.
  2. قابلیت ارسال داده را فعال کرده و آدرس و پورت سرور گیرنده را مشخص کنید.
  3. ورودی‌هایی که قصد دارید از آن‌ها داده جمع‌آوری کنید را مشخص کنید. در صورتی که از نسخه کامل (Full) اسپلانک استفاده می‌کنید، این کار از طریق Splunk Web نیز می‌توانید انجام دهید.
  4. در آخر نیز اطمینان حاصل نمایید که داده از سمت Forwarder به Indexer می‌رسد.

تعیین داده‌های ورودی

در ادامه به ذکر روش‌های اصلی تعیین  داده‌های ورودی در ارسال‌کننده‌ها می‌پردازیم:

  • یکی از راه‌های تعیین نوع ورودی‌ها در زمان نصب Forwarder است، در سیستم‌های ویندوزی در حین نصب و در سیستم‌های لینوکسی بالافاصله بعد از نصب می‌توانید این کار را انجام دهید.
  • با استفاده از رابط خط فرمان CLI
  • اگر تخصص کافی را دارید می‌توانید عملیات تعیین ورودی را از طریق ویرایش فایل iputs.conf انجام دهید.
  • همانطور که قبل‌تر گفتیم با استفاده از deployment server شما امکان مدیریت مرکزی Forwarderها را خواهید داشت. پس تعیین ورودی‌ها را می‌توانید از طریق ویرایش فایل inputs.conf انجام دهید و سپس این فایل را از طریق deployment server ارسال نمایید. این روش به خصوص در شبکه‌های بزرگ عملیات تعیین داده‌های ورودی را  سرعت می‌بخشد.

استفاده از برنامه‌های کاربردی اسپلانک برای

جمع‌آوری و ارسال داده‌ها

در این مطلب ما به بررسی Forwarderها پرداختیم. برنامه‌هایی که امکان جمع آوری و ارسال داده‌های خام به سرورهای اسپلانک را فراهم می‌آورند. اما Forwarderها تنها روش‌های ارسال داده به سمت سرور اسپلانک نمی‌باشند، برنامه‌هایی مانند:

  • Splunk DB Connect
  • Splunk Stream
  • Splunk Add-on for Amazon Web Services

از دیگر روش‌های ارسال داده‌ها هستند. اما همانطور که از اسم این برنامه‌های کاربردی نیز می‌توانید حدس بزنید، این برنامه‌ها هر کدام برای ارسال داده‌های خاصی توسط اسپلانک توسعه یافته‌اند.

Splunk DB Connect داده‌های مربوط به پایگاه داده‌ها را جمع آوری می‌نمایند و از Splunk DB Connect، از DB2/Linux, Informix, MemSQL, MySQL, AWS Aurora, Microsoft SQL Server, Oracle, PostgreSQL, AWS RedShift, SAP SQL Anywhere, Sybase ASE, Sybase IQ و Teradata پشتیبانی می‌نماید.

Splunk Stream که قابلیت دریافت و ارسال داده‌های مربوط به ترافیک شبکه که توسط سیستم‌ها و تجهیزات شبکه تولید شده است را دارد.

افزونه Amazon Web Services نیز همانطور که از نامش پیداست برای جمع آوری داده‌های مختلف سرویس‌های وب آمازون توسط اسپلانک ایجاد شده است.

اطلاعات بیشتر در خصوص دریافت و نصب برنامه‌ها

شما می‌توانید با مراجعه به صفحه Splunkbase، برنامه‌های موجود را مشاهده و دریافت کنید. توصیه می‌گردد برای اطلاع از برنامه‌های جدید، این صفحه را مرتباً بازدید نمایید. برای اطلاعات بیشتر در مورد برنامه‌ها می‌توانید به بخش Admin Manual در این پیوند مراجعه کنید. همچنین نحوه دریافت و نصب برنامه‌ها نیز در این پیوند قابل دسترسی است. برای دنبال کردن مطالب آموزش اسپلانک می‌توانید به بخش آموزش>محصولات امنیتی مراجعه نمایید.

طراحی، مشاوره، پیاده‌سازی و تامین لایسنس اسپلانک در ایران

آرمان داده پویان پیشگام در ارائه راهکارهای SIEM

تعداد بازدید: 51


تازه ترین ها