Splunk Como faço para que o syslog envie dados para o splunk de máquinas remotas?

2

Se eu instalar o encaminhador de splunk, posso obter os dados remotos em minha instalação de splunk e indexar meus logs, e a pesquisa é ótima. Mas eu tenho vários dispositivos roteadores e outros dispositivos que executam o syslog e podem exportar seus logs em algum lugar.

Como posso configurar o Splunk para receber esses logs, ou há alguma outra solução alternativa a ser usada?

    
por Mister IT Guru 28.12.2011 / 23:36

4 respostas

1

Existem alguns artigos on-line sobre como configurar o Splunk para aceitar conexões syslog. Aqui está um que encontrei com uma simples pesquisa no Google.

Você basicamente entra no console de gerenciamento do Splunk e diz para aceitar conexões na porta X da máquina Y. Isso basicamente diz ao Splunk para aceitar essas conexões. Agora você só precisa ir para cada dispositivo e apontar o syslog desse sistema para o Splunk IP na porta correta.

FYI - A pesquisa do Google que usei foi: configure o splunk para aceitar o syslog

    
por 28.12.2011 / 23:42
1

Na configuração das entradas do indexador do Splunk, você desejará configurar um ouvinte UDP na porta 514, com o tipo definido como syslog (que permite descobrir alguns dos campos padrão do syslog) e o host configurado como a origem do tráfego (que permite definir o campo do host para os itens de log apropriadamente).

Uma vez feito isso, qualquer dispositivo syslog padrão pode enviar dados para o indexador do Splunk, e será aceito pelo Splunk.

    
por 29.12.2011 / 02:28
0

Eu sei que este é um tópico antigo, mas apenas estou comentando sobre alguém que se depara com ele. A abordagem recomendada é canalizar os dados do syslog por meio de um servidor syslog, como syslog-ng ou Rsyslog. Em seguida, use um Splunk Universal Forwarder para monitorar os arquivos de log e enviá-los para sua camada de indexação. Existem vários motivos pelos quais não é recomendável abrir apenas uma porta de rede em um redirecionador / indexador do Splunk. Em primeiro lugar, sendo que o UDP é sem estado, e sempre que o Splunk tiver que ser reiniciado, esses dados serão perdidos. E o Splunk tem que ser reiniciado essencialmente sempre que um arquivo de configuração for modificado ou um aplicativo estiver instalado. Em segundo lugar, o Splunk teria que estar rodando como root para aceitar tráfego em portas menores que 1024 e isso é contra as melhores práticas. Também viola muitas políticas de segurança de empresas.

    
por 28.09.2018 / 21:28
-2

O que eu gostaria de fazer é um processo de duas etapas. Eu criaria um servidor central syslog / syslog-ng que pudesse unir todos os seus roteadores e outros registros de dispositivos via syslog. Em seguida, nesse servidor syslog / syslog-ng central, execute o encaminhador de splunk, configure-o para fazer o arquivo syslog ou os arquivos apropriados que você configurar e encaminhe esses dados para o servidor splunk central para indexação.

Uma outra abordagem seria tornar o servidor syslog / syslog-ng o mesmo servidor que o seu splunk central. Isso eliminaria um passo de encaminhamento.

Boa sorte!

    
por 28.12.2011 / 23:43

Tags