Serveur de logs Splunk (Partie 2): export des logs Windows 3

Splunk_logo

Dans la première partie du tutorial Splunk, nous avons vu comment installer le serveur Splunk, et comment créer un socket pour recevoir les messages Syslog (en UDP 514).

Dans cette deuxième partie, nous allons traiter le cas des logs Windows. Tout d’abord, nous allons commencer par paramétrer le socket Splunk dédié au logs Windows : rendez-vous dans le manager de Splunk, puis cliquer sur Configure receiving -> Add new

splunk_manager-forwarding-receiving

Indiquer le port d’écoute 9997 (TCP) puis sauvegarder :

splunk_manager-forwarding-receiving

Vérifier sur votre serveur Splunk à l’aide de la commande netstat -tnlp que vous avez un socket tcp en écoute sur le port 9997.

Si cela est le cas, nous pourrons passer à la configuration des clients Windows qui devront exporter leur logs.

 

il faut commencer par télécharger le package Splunk Universal Forwarder pour :

Lien vers le téléchargement Splunk Universal Forwarder (Windows XP, 2003, Vista, Windows 7, 2008 -> 32 ou 64 bits)

Puis on lance l’installation du msi sur le serveur Windows :

Dans le champs « Deployment server », indiquer le nom d’hôte ou IP de votre serveur Splunk. Cependant, on peut laisser à blanc, car la partie Serveur déploiement Splunk n’a pas encore été configurée.

splunk_universal-forwarder

 

Indiquer ici le nom d’hôte ou IP su serveur Splunk qui va recevoir les logs Windows.

splunk_universal-forwarder

Il est possible de chiffrer les échanges de logs entre les serveurs Windows et le serveur Splunk à l’aide des clés générées sur le serveur Splunk. Dans notre cas, nous allons faire simple en choisissant de ne pas chiffrer ces échanges.

splunk_universal-forwarder

Avec le Splunk Universal Forwarder, on peut choisir d’exporter les logs de la machine locale uniquement, mais aussi de choisir d’exporter les logs de plusieurs serveurs Windows distants. Dans notre cas, nous allons faire simple en choisissant d’exporter uniquement les logs de la machine locale.

splunk_universal-forwarder

Dans cette fenêtre, choisissez les informations que vous souhaitez remonter au serveur Splunk :

  • Les logs usuels de Windows : Application, security et System. Il n’est pas possible pour l’instant d’exporter les logs d’un nouveau Event File qui n’est pas de base dans Windows (exemple DFS-R replication). Pour l’instant, j’utilise un autre forwarder de logs Windows de chez Centreon : Centreon Eventlog to Syslog, mais j’en parlerais dans un futur article. Lien vers le site de Centreon EventLog to syslog
  • Les données de performances du moniteur de performances Windows : pour la charge CPU, mémoire, espace disque et charge réseau.
  • Les données de l’Active Directory : Pour les modifications apportées à l’AD de votre domaine.
  • Les données d’un fichier ou d’un dossier de logs de votre choix

splunk_universal-forwarder

Une fois vos choix effectués, terminez l’installation du Splunk Universal Forwarder.

Pensez à vérifier sur votre parefeu que vous autorisez le port TCP 9997 en sortie vers le serveur Splunk.

En principe, les logs devraient commencer à apparaitre dans Splunk > Search comme ci-dessous par exemple :

splunk-search

Dans la prochaine partie, nous verrons comment rediriger les logs des serveurs Linux.

N’hésitez pas à me faire part de vos remarques ou de vos problèmes. 😉

 

 


Laissez un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

3 commentaires sur “Serveur de logs Splunk (Partie 2): export des logs Windows

  • xcopy

    Bonjour,

    Merci pour les deux articles !!

    j’ai une petite question , je viens d’installer splunk verison gratuite , comment peut on indexer seulement les alerts & erreurs ,

    Merci

  • tb

    Salut

    En gros si j’installe le client splunk sur une machine windows, on peut pas forwarder security log, system log car le serveur splunk sous linux n’arrive pas à parser dans syslog

    A+

  • Pinou

    Salut,

    Voila ma question est peut etre assez bete mais je voudrais faire un test sur ma machine j’ai récupérer un fichier de Log d’un firewall et je voudrais savoir comment faire pour que Splunk recherche dedans et que je puisse faire un tableau de bord. Si cela est possible