※訳あっていまさらCentOS6です
ハニーポットで取得したログを保存・分析するログ基盤を構築したい。
Splunk の無償版が使えるか確認する。
無償版概要
このあたりを確認。無料版でも充分な分析機能を備えている。
ただし、ログイン機能がない。前段にリバースプロキシを置く?
OS設定
Vagrant で CentOS6.7 を起動。
vagrant init bento/centos-6.7 vim Vagrantfile
アクセスするようのIP を指定。
config.vm.network "private_network", ip: "192.168.33.40"
起動。
vagrant up
アップデート。
sudo yum update
システムリソースの上限を確認。
[vagrant@localhost ~]$ ulimit -d unlimited [vagrant@localhost ~]$ ulimit -m unlimited [vagrant@localhost ~]$ ulimit -n 1024 [vagrant@localhost ~]$ ulimit -f unlimited
Splunk のオープンファイルの上限の推奨値が 8192 であるため、以下を追記する。
sudo vi /etc/security/limits.conf
* soft nofile 8192 * hard nofile 8192
Splunk インストール
Splunk をダウンロードする。ダウンロードするには Splunk にユーザ登録を行う必要がある。
今回は rpm 版をダウンロード。
splunk-7.1.1-8f0ead9ec3db-linux-2.6-x86_64.rpm
これを仮想マシン上まで持ってきて rpm でインストール。
sudo rpm -i splunk-7.1.1-8f0ead9ec3db-linux-2.6-x86_64.rpm
/opt/splunk/ にディレクトリが展開されている。
sudo ls -la /opt/splunk/
rpmでインストールしたら splunk ユーザが自動で作成されている。
パスも通ってるので splunk コマンドを利用して起動できる。初回はパスワードを設定することになる。
sudo su - splunk splunk start
バージョンは 7.1.1。
$ splunk --version Splunk 7.1.1 (build 8f0ead9ec3db)
ブラウザから下記 URL にアクセスし、Splunkのログイン画面が表示される。
- ユーザ:admin
- パスワード:上記で設定したもの
Splunk 画面はデフォルトでは英語表記。日本語にしたい場合は URL を下記のように変えるといい。
↓
OS起動時に Splunk を起動したい場合は以下のように設定しておく。
sudo /opt/splunk/bin/splunk enable boot-start -user splunk
Splunk 無償版に切り替え
以下の手順。
- Web UI 上から、右上の設定→ライセンス。
- Trial ライセンスになっていることを確認し、ライセンスグループの変更をクリック。
- フリーライセンスを選択し、保存
- Splunk 再起動
- Free ライセンスグループになっていることを確認
冒頭にも書いたが、ここでログイン機能がなくなっていることに気づく。
Elastic Stack の Kibana もログイン機能はオプションなので、何かなーという気分。
参考
https://docs.splunk.com/images/c/c5/Splunk-7.1.0-Installation_ja-JP.pdf
コメント