Fiche réflexe : Installer un forwarder Splunk

splunk nov. 27, 2017

Installer un forwarder

Sous Linux

L'utilisation d'un forwarder Splunk permet de facilement récupérer les logs d'un serveur (web par exemple). Et son installation sous Linux est aussi simple que pour déployer le serveur Splunk.

Comme expliqué dans l'article Fiche réflexe : Installation de Splunk, il est nécessaire d'avoir un compte Splunk pour télécharger le forwarder.

Le plus simple et rapide est d'utiliser une adresse email bidon avec fakemailgenerator par exemple pour se créer un compte le temps de télécharger les fichiers voulus.

Le forwarder est disponible ici, une fois connecté au site de Splunk.

Pour mettre en place le forwarder, il suffit de suivre les étapes suivantes.

Installer Splunk Forwarder

Extraire l'archive tgz et placer le dossier Splunk dans /opt/ :

tar xzvf splunkforwarder-7.0.0-c8a78efdd40f-Linux-x86_64.tgz
mv splunkforwarder /opt/

Lancer Splunk automatiquement au démarrage :

/opt/splunkforwarder/bin/splunk enable boot-start

Créer un nouvel index sur le serveur Splunk, par exemple serveur_web, puis configurer le serveur pour recevoir des données dans Paramètres, Transfert et réception, puis Configurer la réception sur le port 9997 par exemple.

Configuration

De retour sur le client (forwarder), configurer le serveur de destination :

/opt/splunkforwarder/bin/splunk add forward-server 192.168.10.3:9997

Vérifier si le serveur a bien été ajouté :

/opt/splunkforwarder/bin/splunk list forward-server

Puis ajouter un dossier ou un fichier en surveillance, qui sera automatiquement envoyé au serveur Splunk :

/opt/splunkforwarder/bin/splunk add monitor /var/log/apache2/ -index serveur_web -sourcetype access_common

Note : Les sources types sont consultables sur le site de Splunk.

Enfin, démarrer le service Splunk :

/opt/splunkforwarder/bin/splunk start

Vérifications

Vérifier maintenant que le serveur soit affiché comme "actif" :

/opt/splunkforwarder/bin/splunk list forward-server

Si le serveur n'est pas actif, relancer le forwarder avec :

/opt/splunkforwarder/bin/splunk restart

Il est aussi possible d'afficher les fichiers surveillés par Splunk Forwarder, avec :

/opt/splunkforwarder/bin/splunk list monitor

Cette commande va demander les identifiants de connexion du serveur Splunk.
Si après cette commande le forwarder est toujours inactif, vérifier que le port TCP 9997 ne soit pas bloqué sur le réseau.

Source : installation d'un forwarder

Sous Windows

L'installation sous windows nécessite de télécharger l'exécutable sur le site de Splunk, comme expliqué plus haut.

Il s'agit d'un fichier .msi. S'il a déjà été installé incorrectement par exemple, commencer par Désinstaller.
Une fois toute trace supprimé, lancer l'installation.

Cocher la case Check this box to accept the License Agreement, puis cliquer sur Customize Options.
Vous allez pouvoir choisir quels logs le forwarder surveillera.

Un écran vous proposera de configurer une serveur de déploiement. Si vous n'avez qu'un serveur Splunk (qui n'est pas de serveur de déploiement), laissez vide et cliquez sur Next.
Renseignez l'IP et le port du Receiving Indexer, c'est l'IP du serveur Splunk. Cliquez sur Install, c'est terminé !

Pour préciser un index, il faut l'ajouter dans le fichier de configuration. Ajouter ou modifier la ligne suivante dans le fichier C:\Programmes\Universal Forwarder\etc\system\local\inputs.conf :

index = mon_index

Redémarrer Windows, la session ou le service Splunk.

Avec un client syslog

Comme toujours, configurer un nouvel index dans Splunk et créer une nouvelle entrée de données UDP Syslog sur le port 514 avec l'index précédemment créé.

Puis lancer le service syslog sur la machine voulue.

Par exemple pour Pfsense, se rendre dans Status, System Logs, onglet Settings. En bas de page, cocher la case Send log messages to remote syslog server et renseigner l'IP de Splunk.

Au bout de quelques secondes, les logs commencent à remplir l'index sur le serveur Splunk.

Source : Pfsense syslog

Mots clés

Super ! Vous vous êtes inscrit avec succès.
Super ! Effectuez le paiement pour obtenir l'accès complet.
Bon retour parmi nous ! Vous vous êtes connecté avec succès.
Parfait ! Votre compte est entièrement activé, vous avez désormais accès à tout le contenu.