تنظیمات Syslog برای VMware ESXi در Splunk Enterprise

نوید داریا بهمن ۵, ۱۳۹۵آخرین بروزرسانی: بهمن ۵, ۱۳۹۵

۰ 1,243 زمان تقریبی مطالعه 3 دقیقه

پیش تر در مقاله “ Syslog چیست؟ ” درباره Syslog صحبت کردیم. همچنین در مقاله “ تنظیماتSyslog در VMware ESXi ” نحوه پیکربندی ESXi برای ذخیره Syslog توضیح داده شد. در ادامه در مقاله” SIEM به زبان ساده” ، اهمیت SIEM بررسی شد. اکنون قصد داریم در این مقاله نحوه تنظیم Splunk که یکی از SIEM های مطرح در جهان می باشد را برای دریافت Syslog از VMware ESXi آموزش دهیم. شما با مطالعه این آموزش خواهید توانست Syslog نرم افزارها و سخت افزارهای دیگری به غیر از VMware را نیز توسط Splunk Enterprise فرا بگیرید. چراکه اصول انجام این کار برای همه وندورها مشترک است.

برای انجام این کار در لابراتوار TechTik ، از Splunk ورژن ۶.۵.۱ و VMware ESXi نسخه ۶.۵.۰ استفاده شده است. آدرس IP سرور Splunk برابر با ۱۹۲.۱۶۸.۷۵.۱۲۸ و آدرس IP سرور ESXi برابر با ۱۹۲.۱۶۸.۷۵.۱۴۰ می باشد. مراحل انجام این کار بسیار ساده است :

تنظیمات VMware ESXi

با VMware vSphere Client به ESXi لاگین نمایید. از زبانه Configuration گزینه Advanced Settings را انتخاب کنید. در ساختار درختی بر روی Syslog کلیک نمایید. مقدار global.logHost را برابر udp://192.168.75.128:514 قرار دهید. با توجه به نیازتان می توانید از پروتکل tcp هم در این قسمت استفاده کنید. همچنین پورت پیش فرض UDP برای Syslog شماره ۵۱۴ می باشد. ۱۹۲.۱۶۸.۷۵.۱۲۸ نیز همان طور که قبلا گفته شد IP سرور Splunk است. پس از انجام آن با دکمه OK پنجره را ببندید.

config-syslog-in-splunk-1

از قسمت Security Profile بر روی Properties در Services کلیک نمایید

config-syslog-in-splunk-2

در پنجره Service Properties از Stop نبودن سرویس Syslog Server اطمینان حاصل کنید.

اضافه کردن ESXI به vCenter

config-syslog-in-splunk-3

از بخش Firewall بر روی Properties کلیک کلیک نمایید.

config-syslog-in-splunk-4 در پنجره Firewall Properties از باز بودن پورت های مربوط به syslog مطمئن شوید.

config-syslog-in-splunk-5 تنظیمات سمت VMware ESXi تمام شد.

تنظیمات Splunk Enterprise

از طریق مرورگر وب وارد کنسول Splunk شوید. از منوی Settings گزینه Data inputs را انتخاب کنید.

config-syslog-in-splunk-6 از بین Type های موجود در مقابل UDP بر روی Add new کلیک نمایید.

config-syslog-in-splunk-7 در قسمت بعدی ورودی های دیتا شما از نوع UDP که قبلا ایجاد کرده اید نمایش داده می شود. بر روی New کلیک کنید. وارد Wizard ساخت UDP Data Inputs خواهید شد. پورتی را که مرحله ۱ تنظیمات VMware ESXi مشخص کرده بودید را در فیلد Port وارد نمایید و بر روی Next کلیک کنید.

config-syslog-in-splunk-8 در بخش Input Settings مقدار Source Type را برابر syslog قرار دهید. اینکار باعث می شود که Splunk بداند قرار است از طریق این ورودی چه نوع دیتایی را دریافت نماید. در نتیجه قادر خواهد بود در هنگام Index فرمت لاگ های ذخیره شده را نیز تغییر دهد. همچنین این روشی برای طبقه بندی اطلاعات خواهد بود که باعث می شود بتوانید به راحتی این دیتاهای متفاوت را Search و فیلتر تمایید.

در قسمت Host می توانید تعیین کنید که مقدار host در رویداد های ثبت شده با چه فرمتی ذخیره گردد. اگر DNS داشته باشید و آن را برای Splunk تعریف کنید ، با انتخاب گزینه DNS احتمالا لاگ ها به شکل خواناتری Index خواهند شد. من به دلیل اینکه با آی پی راحت تر هستم در این قسمت مقدار Host را برابر IP قرار می دهم.

آشنایی با قابلیت Independent در نرم افزار های شرکت VMware

config-syslog-in-splunk-9 بر روی Review و سپس Submit کلیک کنید.

مراحل تنظیم Splunk نیز به پایان رسید.

دقت داشته باشید که بر روی سروری که Splunk نصب شده است نیز بایستی پورت مربوط به Syslog باز باشد. اگر Config را به درستی انجام داده باشید با مراجعه به قسمت Apps و کلیک بر روی Search & Reporting می توانید لاگ های دریافت شده را مشاهده نمایید.

config-syslog-in-splunk-10 در فیلد Search می توانید با وارد کردن عبارت Source=”udp:514” sourcetype=”syslog” همه لاگ های دریافت شده توسط Splunk را مشاهده نمایید.

config-syslog-in-splunk-11 همان طور که در ابتدا گفته شد ، طریقه تنظیم دریافت لاگ های مختلف از طریق یک پورت UDP یا TCP خاص ، تقریبا به همین صورت است و شما می توانید با اندکی تغییرات در این تنظیمات SIEM خود را برای دریافت لاگ از منابع مختلف Config نمایید.