Logdatenanalyse mit Splunk

Sammelpunkt

Splunk ist die Oberfläche der Wahl bei der Aggregation, Indexierung und Korrelation von Logdaten. Große Unternehmen setzen häufig auf Splunk und auch kleinere IT-Abteilungen greifen immer öfter darauf zurück. Dabei steht nicht ausschließlich die IT-Sicherheit im Vordergrund, Splunk eignet sich grundsätzlich auch für die Analyse von klassischen Anwendungen oder Webservern. Schwerpunkt in diesem Security-Tipp ist aber natürlich der Einsatz zur Logdatenanalyse als Security Information & Event Management System.
Administratoren sehen sich im Alltag mit zahlreichen Endgerätetypen und Betriebssystemen konfrontiert, die es zu verwalten gilt. Hier sind umfassende wie ... (mehr)

Ein SIEM verheiratet die Funktionen von Security-Information-Management- (SIM) und Security-Event-Management-(SEM)-Systemen. Wie ein SIM sammelt es Daten, wertet diese mit Bezug zur Unternehmens-Compliance aus, also der Umsetzung von Prozessdefinitionen und geltenden Richtlinien, und erlaubt das Erstellen von Berichten über die Einhaltung ebendieser Maßgaben.

Wie ein SEM sammelt es Logdaten von Anwendungen und Betriebssystemen und kann so (fast) in Echtzeit einen Überblick über den Zustand der Unternehmens-IT liefern und auch rechnerübergreifende Events korrelieren und auswerten. Ein SIEM kann also alle Aspekte der praktischen IT-Sicherheit beobachten und erlaubt die Konfiguration von Alarmbedingungen.

Splunk [1] bietet grundsätzlich zwei Modi für die Eingabe von Logdaten. Zum einen lässt sich ein Clientsystem so konfigurieren, dass es selbst die anfallenden Daten zum Splunk-System weiterleitet. Dafür installieren Sie einen Universal-Forwarder und konfigurieren diesen so, dass Logdaten ausgelesen und an die Splunk-Instanz gesendet werden. So können Sie einfach über die Remote-Installation in Ihrem Unternehmen die Rechner an Splunk anbinden. Zum anderen lässt sich Splunk so einrichten, dass es selbst die Logdaten von den Clientrechnern abfragt. Dafür benutzt Splunk in der Enterprise-Version die Windows-Management-Instrumentation-Schnittstelle (WMI). In Ihrer Active-Directory-Domäne konfigurieren Sie über die Gruppenrichtlinien den Zugriff des Splunk-Benutzers auf die Windows-Logdaten.

Splunk ausprobieren

Die Splunk-Entwickler bieten ein eigenes Docker-Image an. Das lässt sich prima zum Ausprobieren der Software nutzen. So können Sie in wenigen Momenten eine laufende Splunk-Instanz auf Ihrem Rechner installieren und die Software ohne viel Aufwand testen. Sie erhalten (natürlich) eine Testversion der kostenpflichtigen Variante Splunk Enterprise. Die Testversion läuft

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

Ähnliche Artikel

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2019