• ایرانشل
  • وبلاگ
    • مفاهیم امنیت شبکه
    • معرفی راهکارها و سرویس‌های امنیتی
    • آموزش‌‌ راهکارهای امنیت شبکه
    • تهدیدات امنیتی
  • اخبار
  • دوره‌های امنیت
    • مسیرهای شغلی امنیت سایبری

ورود

رمز عبور را فراموش کرده اید؟

هنوز عضو نشده اید؟ عضویت در سایت
ایرانشل
  • ایرانشل
  • وبلاگ
    • مفاهیم امنیت شبکه
    • معرفی راهکارها و سرویس‌های امنیتی
    • آموزش‌‌ راهکارهای امنیت شبکه
    • تهدیدات امنیتی
  • اخبار
  • دوره‌های امنیت
    • مسیرهای شغلی امنیت سایبری
ورود و ثبت نام

وبلاگ

وبلاگ > آموزش‌‌ راهکارهای امنیت شبکه > نحوه ارسال لاگ به indexer cluster

نحوه ارسال لاگ به indexer cluster

آموزش‌‌ راهکارهای امنیت شبکه
ارسال شده توسط ایرانشل
10 مارس 2022
510 بازدید

بعد از ایجاد indexer cluster، نوبت تنظیم UF ها یا همان Universal Forwarder ها برای ارسال لاگ‌ها به سمت indexer ها می‌باشد. به دو روش می‌توانیم Indexer ها را به UF ها معرفی کنیم.

  • استفاده از ویژگی indexer discovery
  • اتصال مستقیم Forwarder ها به indexer ها

برای فعال‌سازی indexer discovery مراحل زیر را انجام می‌دهیم.

  • انجام تنظیماتpeer node ها برای دریافت لاگ‌های ارسالی توسط UF ها
  • تنظیم master node برای فعال کردن indexer discovery
  • انجام تنظیمات forwarder ها

برای انجام تنظیمات indexer ها برای دریافت لاگ فقط کافیست تنظیمات زیر را در فایل inputs.conf اضافه کنیم.

$ sudo nano /opt/splunk/etc/system/local/inputs.conf
[splunktcp://9997]
disabled = 0

برای فعال کردن indexer discovery سمت master node، تنظیمات زیر را در فایل server.conf اضافه می‌کنیم.

nano /opt/splunk/etc/system/local/server.conf
[indexer_discovery]
pass4SymmKey = password
indexerWeightByDiskCapacity = true

نصب و تنظیم Universal Forwarder

ابتدا از لینک مربوط به package نصب Universal forward فایل سازگار با سیستم عامل خود را دانلود می‌کنیم.

برای فعال کردن indexer discovery سمت UF ها نیز مقادیر زیر را در فایل outputs.conf اضافه می‌کنیم. در این حالت هر Forwarder برای شناسایی peer node ها از Master node لیست indexer ها را پرس‌وجو می‌کند. یک UF بعد از شناسایی indexer ها از ویژگی Load balance خود برای ارسال لاگ‌ها استفاده می‌کند و بار را بین indexer ها بالانس می‌‌نماید.

nano /opt/splunkforwarder/etc/system/local/outputs.conf
[indexer_discovery:master]
pass4SymmKey = password
master_uri = https://172.17.0.1:8089

[tcpout:group1]
autoLBFrequency = 30
forceTimebasedAutoLB = true
indexerDiscovery = master
useACK=true

[tcpout]
defaultGroup = group1
cd /opt/splunkforwarder/bin
./splunk add monitor /var/log

برای اتصال مستقیم و دستی UF ها به peer node ها نیز از دستورات زیر را بر روی Universal Forwarder ها اجرا می‌کنیم.

cd /opt/splunkforwarder/bin
./splunk list monitor
./splunk add monitor /var/log
./splunk add forward-server 172.17.0.2:9997
./splunk add forward-server 172.17.0.3:9997
اشتراک گذاری:
برچسب ها: indexer discoveryuniversal forwarder

دیدگاهتان را بنویسید لغو پاسخ

درباره ایرانشل

تیم ایرانشل با این هدف تشکیل شده است‌ تا بتوانند با کمک شما همراهان عزیز اقدامات مثبتی در جهت شفاف‌سازی نیازمندی‌های امنیتی، معرفی سرویس‌ها و راهکارهای امنیتی انجام دهد.

عضویت در خبرنامه

اطلاعات تماس
  • تهران - خیابان شریعتی - بالاتر از پل سیدخندان
  • 09125162976
  • [email protected]
شبکه‌های اجتماعی
کلیه حقوق این وب سایت متعلق به ایرانشل می‌باشد.
جستجو

جستجو با زدن Enter و بستن با زدن ESC