Fiche réflexe : Installer un forwarder Splunk
Installer un forwarder
Sous Linux
L'utilisation d'un forwarder Splunk permet de facilement récupérer les logs d'un serveur (web par exemple). Et son installation sous Linux est aussi simple que pour déployer le serveur Splunk.
Comme expliqué dans l'article Fiche réflexe : Installation de Splunk, il est nécessaire d'avoir un compte Splunk pour télécharger le forwarder.
Le plus simple et rapide est d'utiliser une adresse email bidon avec fakemailgenerator par exemple pour se créer un compte le temps de télécharger les fichiers voulus.
Le forwarder est disponible ici, une fois connecté au site de Splunk.
Pour mettre en place le forwarder, il suffit de suivre les étapes suivantes.
Installer Splunk Forwarder
Extraire l'archive tgz et placer le dossier Splunk dans /opt/ :
tar xzvf splunkforwarder-7.0.0-c8a78efdd40f-Linux-x86_64.tgz
mv splunkforwarder /opt/
Lancer Splunk automatiquement au démarrage :
/opt/splunkforwarder/bin/splunk enable boot-start
Créer un nouvel index sur le serveur Splunk, par exemple serveur_web, puis configurer le serveur pour recevoir des données dans Paramètres, Transfert et réception, puis Configurer la réception sur le port 9997 par exemple.
Configuration
De retour sur le client (forwarder), configurer le serveur de destination :
/opt/splunkforwarder/bin/splunk add forward-server 192.168.10.3:9997
Vérifier si le serveur a bien été ajouté :
/opt/splunkforwarder/bin/splunk list forward-server
Puis ajouter un dossier ou un fichier en surveillance, qui sera automatiquement envoyé au serveur Splunk :
/opt/splunkforwarder/bin/splunk add monitor /var/log/apache2/ -index serveur_web -sourcetype access_common
Note : Les sources types sont consultables sur le site de Splunk.
Enfin, démarrer le service Splunk :
/opt/splunkforwarder/bin/splunk start
Vérifications
Vérifier maintenant que le serveur soit affiché comme "actif" :
/opt/splunkforwarder/bin/splunk list forward-server
Si le serveur n'est pas actif, relancer le forwarder avec :
/opt/splunkforwarder/bin/splunk restart
Il est aussi possible d'afficher les fichiers surveillés par Splunk Forwarder, avec :
/opt/splunkforwarder/bin/splunk list monitor
Cette commande va demander les identifiants de connexion du serveur Splunk.
Si après cette commande le forwarder est toujours inactif, vérifier que le port TCP 9997 ne soit pas bloqué sur le réseau.
Source : installation d'un forwarder
Sous Windows
L'installation sous windows nécessite de télécharger l'exécutable sur le site de Splunk, comme expliqué plus haut.
Il s'agit d'un fichier .msi. S'il a déjà été installé incorrectement par exemple, commencer par Désinstaller.
Une fois toute trace supprimé, lancer l'installation.
Cocher la case Check this box to accept the License Agreement, puis cliquer sur Customize Options.
Vous allez pouvoir choisir quels logs le forwarder surveillera.
Un écran vous proposera de configurer une serveur de déploiement. Si vous n'avez qu'un serveur Splunk (qui n'est pas de serveur de déploiement), laissez vide et cliquez sur Next.
Renseignez l'IP et le port du Receiving Indexer, c'est l'IP du serveur Splunk. Cliquez sur Install, c'est terminé !
Pour préciser un index, il faut l'ajouter dans le fichier de configuration. Ajouter ou modifier la ligne suivante dans le fichier C:\Programmes\Universal Forwarder\etc\system\local\inputs.conf :
index = mon_index
Redémarrer Windows, la session ou le service Splunk.
Avec un client syslog
Comme toujours, configurer un nouvel index dans Splunk et créer une nouvelle entrée de données UDP Syslog sur le port 514 avec l'index précédemment créé.
Puis lancer le service syslog sur la machine voulue.
Par exemple pour Pfsense, se rendre dans Status, System Logs, onglet Settings. En bas de page, cocher la case Send log messages to remote syslog server et renseigner l'IP de Splunk.
Au bout de quelques secondes, les logs commencent à remplir l'index sur le serveur Splunk.
Source : Pfsense syslog
