O Splunk é um software realmente poderoso. De uma forma bem simplista podemos dizer que ele é um banco de dados, com a vantagem de que ele pode armazenar e indexar praticamente qualquer tipo de informação. Ele aceita mensagens de equipamentos de rede, servidores, sensores, dispositivos virtuais, aplicações,…, suportando Syslog, Netflow, eStreamer, Logs L4TM, IPFIX, HTTP POST, e muito mais.
Com os dados recebidos, podemos então fazer buscas, correlacionar informações, gerar gráficos e alertas. O limite é sua imaginação.
Bom que o Splunk Enterprise pode ser usado gratuitamente se a quantidade de dados processados não passar de 500 MB por dia, o que é mais que suficiente para fazer testes.
Configurando Splunk como Syslog Server
Usar o Splunk apenas como Syslog Server seria um desperdício, diante de tudo que ele oferece, mas acho que essa é uma boa opção para ter o primeiro contato com o software.
De qualquer forma, caso você realmente use o Splunk como Syslog Server, você terá um Syslog Server bastante inteligente.
1) Com o Splunk instalado, o primeiro passo é criar um Data Input.
2) Na linha UDP, clique em Add New.
3) Preencha as informações e clique em Next.
4) Na tela seguinte, confirme as configurações e clique em Submit e na próxima tela em Start Searching.
5) Se seus equipamentos estiverem configurados para enviar o Syslog para o Splunk, você já vai ver as mensagens no servidor.
Observe que você pode fazer uma busca por host que está enviando as mensagens (host=XX.XX.XX.XX), por source (source=UDP:514, se você não tiver mudado a configuração) e por sourcetype (sourcetype=”network devices”, nome definido no passo 3).
6) Agora vamos tirar proveito do Splunk, criando um gráfico com os dispositivos que estão mandando mais Syslogs. Na tela New Search clique em Statistics e então em Pivot.
7) Deixe selecionado a opção All Fields e clique Ok.
8) Na tela New Pivot, na opção Filters, escolha o período (Today, por exemplo).
9) Na lateral esquerda clique no ícone do gráfico que preferir. Neste exemplo vou usar o “gráfico linear” (segundo ícone na lateral esquerda). Espere alguns segundos para ver o gráfico “número de mensagens syslog x tempo” sendo criado.
10) Vamos refinar nossa busca. Coloque o Field como a sourcetype, Field Type como Match, e Match is como network devices (nome configurado no passo 3).
11) Vá até a opção Color (Lines) e em Filter escolha a hosts. Logo abaixo, na opção Max Lines, você pode definir quantos hosts você quer ver no gráfico.
12) Para terminar clique em Save As > Dashboard Panel.
13) De um nome para a Dashboard, para o Painel e para o Model. Depois clique em Save.
14) Agora basta ir para a Dashboard Syslog, recém criada, para ver os hosts que mais enviam mensagens Syslogs.
Bom, esse é só o começo né?!
Com as mensagens Syslogs no Splunk podemos fazer inumeras buscas e correlações.
Até a próxima.
