IT & IoT Security | Cloud | It's all about the life itself

Nothing in life is as important as you think it is, while you are thinking about it.

Splunk – Active Directory Log ‘larının toplanması – Bölüm 2

Merhaba,

Universal Forwarder; Splunk Enterprise’ın, sadece “data forward” işlemi için düzenlenmiş bir versiyonudur(kısaca UF şeklinde geçecek). UF; search,index,alert seçeneklerini sunmaz, python kurulumuna sahip değildir. Üreticinin web sayfasından detaylarına ulaşabilirsiniz. http://docs.splunk.com/Documentation/Splunk/latest/Forwarding/Introducingtheuniversalforwarder adresini kullanabilirsiniz.

Bu yazımda kullandığım domain ismim corp.local ’dir. Test ortamı Bölüm 1 ‘de bahsettiğim ile aynıdır.

Universal Forwarder yazılımını, splunk download center’dan download edebilirsiniz. http://www.splunk.com/download/universalforwarder .

Bölüm 1 ‘de bahsettiğim app’leri, splunk enterprise’a yükleyiniz. Tüm app’leri yüklediğinizde ilgili klasörün içeriği aşağıdaki gibi olacaktır.

clip_image002

Üstteki klasörlere UF kullanımında ihtiyacınız olacak. UF kurulum dosyasını Domain Controller’a kurunuz. UF, kurulumu sırasında receiver ip adresi ve portu soruyor. Bu aşama da ip adresi olarak splunk enterprise sunusunun ip adresini yazmalısınız. Port kısmına, splunk hangi port üzerinden UF’I dinleyecekse, onu yazmalısınız.

Splunk enterprise’daki örnek konfigürasyon aşağıdaki gibidir.

clip_image004

Bu konfigürasyona göre, domain controller’a kurduğum UF, data farword etmek için 40001 portunu veya 40002 portunu kullanabilir. Test ortamım için, 40001 portunu domain controller’daki UF’de kullandım. 40002 portunu exchange server’a kurduğum UF’de kullandım.

Domain Contoller’daki UF kurulumunu bitirdikten sonra servisler altında oluşturulan splunk servisini durdurun.

Get-service *splunk* | stop-service cmdlet’ini kullanabilirsiniz. C:\Program Files\SplunkUniversalForwarder\etc\apps dizini altına; daha önce splunk’a enterprise kurduğunuz app’lerin bazılarını kopyalayacaksınız. Hangi klasörlere ihtiyacınız olacağı konusunda aşağıdaki tabloyu inceleyebilirsiniz.

clip_image006

Add-on’lar çok çeşitli. Test ortamım windows server 2012 R2 ‘lerden oluştuğu için üsttekileri seçtim. Windows Server 2008 R2 için farklı add-on’lar mevcut.

UF’e koplayaladığım eklentiler aşağıdaki gibidir.

clip_image007

Ardında bir takım konfigürasyonlar yapmamız gerekiyor. Bu konfigürasyonlar ile, UF’in, splunk enterprise sunucusuna göndereceği data’yı belirliyoruz.

Bir eklentiyi örnek alarak bahsedeceğim. Benzer işlemler UF altındaki tüm eklentiler için geçerlidir.

clip_image009

Her eklentinin(app’in), input.conf isminde bir dosyası mevcut. Bu dosya ile forward edilecek veri türünü belirliyorsunuz. Input.conf dosyası içinde kullanabileceğiniz parametreleri, splunk’in resmi web sitesinden bakabilirsiniz.

UF ‘de kullanacağınız tüm ekletileri,

clip_image010

Üstteki dizine kopyaladıktan ve input.conf dosyalarını düzenledikten sonra, UF’in servisini başlatınız.

get-service *splunk* | start-service cmdlet’ini kullanabilirsiniz.

Şu ana kadar;

– Splunk Enterprise’a ilgili app’leri kurduk

– Splunk Enterprise’da receiver oluşturduk

– Domain Controller üzerine UF yazılımını kurduk

– UF’in forward edeceği input’ları belirledik

UF servisi çalıştıktan sonra Splunk Enterprise’a log’lar iletilmeye başlayacaktır. Test ortamımdaki örnek aşağıdaki gibidir.

clip_image011

Not: Splunk enterprise’a login olurken kullandığınız account ,varsayılan kurulumda, her index’e erişemiyor. Index’lenmiş tüm datayı görebilmek için Setting->Access Control kısmında yetki vermeniz gerekecektir.

Splunk Enterprise’daki Windows Infra app’i ile, AD log’larını veya AD olaylarını daha kolay inceleyebilirsiniz. Bu app ,ilk açıldığında, detection sihirbazı çalıştırıp AD ortamını algılıyor. Detection sihirbazının AD ortamını algılayabilmesi için, gerekli data’nın gelmiş olması gerekiyor. Bu aşamada, UF’nin gerekli veriyi Splunk Enterprise’a göndermiş olması gerekiyor. Detection sihirbazında “not found” şeklinde geçen kısımlar için biraz sabırlı davranmanız gerekebilir! Test lab’ımdaki çalıştırdığım detection sihirbazından örnek görünüm aşağdaki gibidir.

clip_image012

Artık elde ettiğiniz data’larda search işlemi yapabilirsiniz.

clip_image013

İki ayrı sunucuma UF’i kurmuştuk.(domain controller ve exchange) İsterseniz source bazlı arama başlatabilirsiniz.

clip_image015

clip_image017

SourceType’lar da aşağıdaki gibidir.

clip_image019

clip_image021

Her ne kadar yazının başlığı AD log’ları hakkında olsada, Splunk’ın AD ve Exchange eklentileri birlikte çalışıyor. O açıdan splunk enterprise sunucuma her ikisinide kurmuştum(daha önce bahsettiğim app’ler)

Üstteki host,source,sourcetype seçimleri ile bir sorgu ve sonucu aşağıdaki gibi.

clip_image023

Anlaşılacağı üzere yeni oluşturulan bir user account’un log’u ,splunk enterprise’a, UF tarafından forward edilmiş.

Böylece, UF ile AD log’ları splunk enterprise’da toplamış ve arama yapılabilir hale getirmiş olduk. Artık search kısmını veya app’ler ile gelen hazır dashboard’ları kullanabilirsiniz, raporlar üretebilirsiniz veya alert hazırlayabilirsiniz.

Seach kısmı daha önce de belirttiğim gibi son derece kullanışlı. Fakat application’ların stabil olması için biraz daha zaman gerekecek sanırım. App’ler, kurulduktan sonra yapmaları gerektiğini düşündüğüm bir takım ayarları yapmıyorlar. Bu durum da hazır dashboard’larda bir takım sorunlara yol açıyor. Bir sonraki yazımda(exchange log’ları) bu duruma bir kaç örnek vereceğim.

Herkese sorunsuz neşeli günler dilerim.