Suplunk'u Tanıtalım ?





Merhaba arkadaşlar konumda sizlere SIEM'de sık kullanılan bir program kullanacağım kuracağımız suplunk adında entegresi hızlı ve yavaş sistemlerde bile performans gösteriyor en büyük örneği kendi bilgisiyarım.

Wiki : Web tarzı bir arayüz aracılığıyla makine tarafından oluşturulan büyük verileri aramak, izlemek ve analiz etmek için yazılım üreten, San Francisco, California merkezli bir Amerikan kamu çok uluslu şirketidir.

Önceki konumda log analizlerine bakmış aynı şekilde suplunk aldı program bizlere log analizi monitoring ve app kısmında çok büyük özellikler veriyor (entegre apps) ayrıca birçok özel fitreleme yapıları, docs yardımı, ayretten birçok programlama dili ile kullanabilirliği mevcuttur.



Her sistem içine entegre olabiliyor bir nevi yeni nesil güvenlik duvarı komut satırı üzerinden birçok emir, kural ekleyebiliriz network'de dahil.

Suplunk SPL temelini baz alarak çalışıyor (Search Processing Language) kelimeleri analiz edelime, görselleştirme özellikleri mevcuttur.

Fast Mode : timestamp, source, sourcetype, host yardımı ile keşif işlemleri gerçekleşir.

Smart Mode : Otomatik olarak gelen varsayılan arama sonuçlarıdır.

Verbose Mode : M0TAdata alanları'nı inceler.



Tek sorunumuz free lisans 500mb :) paylaşmam mümkün olmasada google'dan nasıl lisans ayarlandığını öğrenebilirsiniz.

Kurulumdan sonra gerekli servisi başlatıyor ve bizlere verilen adrese girişimizi yapıyoruz (user : admin)


https://docs.splunk.com/


Sisteme Kuralım ?




Ben kuruluma geçiyorum Ubuntu kullandığım için öncelikle wget ile .deb çekiyorum.


Şimdi indirmesi belki 5 dakika belki 10 dakika sürdü bundan sonra klasik dpkg -i dosya.deb ile açıyorum. Klasör içinden yazmaya gerek yok.



Kurulum için ilgili lisans dosyasını okuyup q ile çetim ardından y ile onay verdik şimdi bizlerden pass istiyor en az 8 karakter olacak. (az olursa kabul etmez)



Suplunk servisini başlattım.



Şimdi ilgili sitemize giriyoruz "local:80.." user admin pass girdiğiniz 8 karakteri şifre.



Örnek olsun dmesg'yi okuyoruz yine Tcp/Udp bağlantılarını açmayacağım :)



Tanıtımları muhakkak okumanız gerekir konu hakkında dökümantasyon kaynağı hayli az.



Ben örnek olarak bir /var/log klasiği yaptım.



Kısa bir örnek daha verelim birde dmesg ile deniyorum.



Biraz'da Sistem özelliklerine bakacağım.


Sonsöz ?


İndirme işlemi bu kadar :) ayarlar kısmından background gibi şahsi özleştirilebilir özellikleri kulanabilirsiniz kullanımı gün içerisinde çok değil performans alamıyorum diyorsanız nagios diyebilirim lakin en kolay öğrenilebilir sistemlerden biri olan suplunk'un kurulumunu sizler için yazdım ekelmemi istediğiniz veya araştırmamı istediğiniz birşey varsa yazmanız yeterli olacaktır iyi forumlar.