Dans la première partie du tutorial Splunk, nous avons vu comment installer le serveur Splunk, et comment créer un socket pour recevoir les messages Syslog (en UDP 514).

Dans cette deuxième partie, nous allons traiter le cas des logs Windows. Tout d’abord, nous allons commencer par paramétrer le socket Splunk dédié au logs Windows : rendez-vous dans le manager de Splunk, puis cliquer sur Configure receiving -> Add new

splunk_manager-forwarding-receiving

Indiquer le port d’écoute 9997 (TCP) puis sauvegarder :

splunk_manager-forwarding-receiving

Vérifier sur votre serveur Splunk à l’aide de la commande netstat -tnlp que vous avez un socket tcp en écoute sur le port 9997.

Si cela est le cas, nous pourrons passer à la configuration des clients Windows qui devront exporter leur logs.

(suite…)