- Splunk
Splunk Log 수집
splunk 설치 -> db생성 -> agent 설치 -> 설정파일 설정 -> 로그 수집 확인
1) 사전준비
ubuntu 및 kali (둘다 MEM(memory) 4gb 이상 설정)
kali에서 진행
2)splunk 설치
압축해제해서 인스톨파일위치에서 deb파일 설치
dpkg -i는 로컬의 .deb 파일을 설치하는 명령어
.deb 파일은 Debian 기반 리눅스에서 소프트웨어를 배포하는 패키지 파일 형식으로 우분투, 리눅스 민트 등에서 수동으로 소프트웨어를 설치할 때 자주 사용됩니다.
dpkg -i splunkforwarder-9.1.2-b6b9c8185839-linux-2.6-amd64.deb3)splunk 활성화
/opt 디렉토리는 추가 소프트웨어를 설치할 때 사용하는 공간으로, 기본 운영체제에 포함되지 않는 외부 소프트웨어나 서드파티 프로그램을 체계적으로 관리하는 데 유용한 디렉토리
cd /opt/splunk/bin
./splunk enable boot-start >> 라이센스 동의 뜸 q 입력 후 아이디와 비번 입력
./splunk start4) index 생성
http://kali:8000 사이트 로그인해서 index 만든다
index == DB 와 동일
DB 구성요소 - table >> column >> data
index 구성요소 - sourcetype >> field >> data
5) Index 구성
cd /opt/splunk/etc/system/local
mousepad input.conf[splunktcp://9997]
disabled = falsesplunk는 기본적으로 9997 포트를 사용한다
생성후
cd /opt/splunk/bin
./splunk restart 그러면 우리가 만든 index가 input.conf 설정이 된다.
6) forwarder 를 타겟 시스템에 설치
cd /home/kali/Desktop
cd 01-1\ Install
cd splunkforwarder
python3 -m http.server 8080 (forwarder가 있는 경로에서 할것) ubuntu 에서 진행
우분투에서 칼리아이피 넣어 deb다운 192.168.255.129:8080
7) forwarder 설치
dpkg -i splunkforwarder-9.1.2-b6b9c8185839-linux-2.6-amd64.debcurl관련 에러 발생 시 apt install curl -y 하고 설치하면 에러해결
8) inputs.conf, outputs.conf 생성( 우분투 )
cd /opt/splunkforwarder/etc/system/localmousepad inputs.conf
[monitor:///var/log/apache2/access.log]
disabled = false
index = logtest -> splunk 서버에서 만든 index 이름 넣기
sourcetype = apache_logmousepad outputs.conf
[tcpout]
defaultGroup = my_splunk -> 그룹이름
[tcpout:my_splunk]
server = 192.168.255.129:9997 -> 칼리ip로 splunk 포트다시 칼리에서 서비스 재시작
cd /opt/splunk/bin
./splunk restart9) splunkforwarder 실행
다시 우분투에서
cd /opt/splunkforwarder/bin
./splunk start
q
y
id pw입력우분투에서 서버 시작
service apache2 start칼리에서 우분투 아파치서버 접속 -> 우분투 ip : 192.168.255.136
우분투에서 로그쌓이는 확인
cat /var/log/apache2/access.log칼리에서 스플렁크 로그인
홈페이지 상단의 Apps▼ > Search & Reporting > 스킵눌르고
인덱스 로그파일 검색
우분투 서버에 접속하는 기록들 확인.
