読者です 読者をやめる 読者になる 読者になる

labunix's blog

labunixのラボUnix

Splunk評価版をdebパッケージでインストールしてみた。

■Splunk評価版をdebパッケージでインストールしてみた。

$ lsb_release -d
Description:	Debian GNU/Linux 8.2 (jessie)[Splunk Enterprise]評価版をダウンロード

 Splunk
 http://www.splunk.com/ja_jp/download.html

■日本語ドキュメント
 バージョン毎に結構沢山ある。

 Splunk を使ってみよう
 http://www.splunk.com/ja_jp/goto/book

 SpecialLatestDoc
 http://docs.splunk.com/Special:SpecialLatestDoc?t=Documentation/Splunk/latest/Translated/Japanesemanuals

$ w3m -dump "http://docs.splunk.com/Special:SpecialLatestDoc?\
t=Documentation/Splunk/latest/Translated/Japanesemanuals" | awk '/Japanese/{print}'
  • Splunk » 6.2.5 » Translated » Japanese manuals
  • Splunk » 6.2.4 » Translated » Japanese manuals
  • Splunk » 6.2.3 » Translated » Japanese manuals
  • Splunk » 6.2.2 » Translated » Japanese manuals
  • Splunk » 6.2.1 » Translated » Japanese manuals
  • Splunk » 6.2.0 » Translated » Japanese manuals
  • Splunk » 6.1.6 » Translated » Japanese manuals
  • Splunk » 6.1.5 » Translated » Japanese manuals
  • Splunk » 6.1.4 » Translated » Japanese manuals
  • Splunk » 6.1.3 » Translated » Japanese manuals
  • Splunk » 6.1.2 » Translated » Japanese manuals
  • Splunk » 6.1.1 » Translated » Japanese manuals
  • Splunk » 6.1 » Translated » Japanese manuals
  • Splunk » 6.0.7 » Translated » Japanese manuals
  • Splunk » 6.0.6 » Translated » Japanese manuals
  • Splunk » 6.0.5 » Translated » Japanese manuals
  • Splunk » 6.0.4 » Translated » Japanese manuals
  • Splunk » 6.0.3 » Translated » Japanese manuals
  • Splunk » 6.0.2 » Translated » Japanese manuals
  • Splunk » 6.0.1 » Translated » Japanese manuals
  • Splunk » 6.0 » Translated » Japanese manuals
  • Splunk » 5.0.11 » Translated » Japanese manuals
  • Splunk » 5.0.10 » Translated » Japanese manuals
  • Splunk » 5.0.9 » Translated » Japanese manuals
  • Splunk » 5.0.8 » Translated » Japanese manuals
  • Splunk » 5.0.7 » Translated » Japanese manuals
  • Splunk » 5.0.6 » Translated » Japanese manuals
  • Splunk » 5.0.5 » Translated » Japanese manuals
  • Splunk » 5.0.4 » Translated » Japanese manuals
  • Splunk » 5.0.3 » Translated » Japanese manuals
  • Splunk » 5.0.2 » Translated » Japanese manuals
  • Splunk » 5.0.1 » Translated » Japanese manuals
  • Splunk » 5.0 » Translated » Japanese manuals

■debパッケージの確認

$ dpkg -I splunk-6.3.1-f3e41e4b37b2-linux-2.6-amd64.deb 
 新形式 debian パッケージ、バージョン 2.0。
 サイズ 144105168 バイト: コントロールアーカイブ = 3104 バイト。
     144 バイト、    5 行      control              
    6049 バイト、  207 行   *  postinst             #!/bin/bash
    2903 バイト、   93 行   *  preinst              #!/bin/bash
 Package: splunk
 Version: 6.3.1
 Maintainer: Splunk Inc. <info@splunk.com>
 Architecture: amd64
 Description: Splunk The platform for machine data.

$ dpkg -c splunk-6.3.1-f3e41e4b37b2-linux-2.6-amd64.deb | awk 'END{print NR}'
11706

■インストール方法の確認

$ pdftotext Splunk-6.2.0-ja_JP-Installation.pdf - | grep -A 61 "Debian DEB" | grep -v "^[0-9][0-9]\$"
Debian DEB のインストール
Splunk DEB パッケージをインストールするには:
dpkg -i splunk_package_name.deb

注意: Splunk DEB パッケージはデフォルトの

/opt/splunk

にのみインストールできます。

インストールされる内容
Splunk パッケージステータス:
dpkg --status splunk

すべてのパッケージを⼀覧表⽰:
dpkg --list

Splunk の開始
Splunk Enterprise は、ローカルシステム上の任意のユーザーとして動作することができます。root 以外のユー
ザーとして実⾏する場合は、指定した⼊⼒からデータを読み込むために適切な権限を持っていることを確認してく
ださい。詳細は、Splunk Enterprise を⾮ root ユーザーとして動作させる⽅法の説明を参照してください。
コマンドラインインターフェイスから Splunk Enterprise を開始するには、$SPLUNK_HOME/bin ディレクトリから以
下のコマンドを実⾏します ($SPLUNK_HOME は、Splunk をインストールしたディレクトリ)。
./splunk start

このドキュメントでは、以下の表記規則を使⽤しています。
$SPLUNK_HOME

は、Splunk のインストールパスを⽰します。
は、コマンドラインインターフェイスの場所を⽰します。

$SPLUNK_HOME/bin/

スタートアップオプション
新たにインストールした後初めて Splunk Enterprise を起動する場合、使⽤許諾契約に同意する必要がありま
す。1 ステップで Splunk Enterprise を開始して使⽤許諾契約に同意するには:
$SPLUNK_HOME/bin/splunk start --accept-license

注意: accept-license オプションの前には 2 つのダッシュがあります。

Splunk Web の起動とログイン
Splunk Enterprise を開始して使⽤許諾契約に同意したら:



1. ブラウザウィンドウから、http://<hostname>:port にある Splunk Web にアクセスします。
はホストマシンを表しています。
は、インストール時に指定したポート番号です (デフォルトのポートは 8000)。

hostname
port

注意:初めて Splunk にアクセスする場合は、HTTP を使⽤してください。
2. ログイン情報 (デフォルトはユーザー名 admin、パスワード changeme) の⼊⼒を要求するプロンプトが表⽰されま
す。無料版の Splunk Free に切り替えた場合、それ以降のセッションでこのログインページは表⽰されません。

次に⾏う作業
Splunk Enterprise をインストールしたら、次に何を⾏えば 良いのでしょうか?

Splunk Enterprise のアンインストール
Splunk Enterprise のアンインストールについては、このマニュアルの「Splunk Enterprise のアンインストー
ル」を参照してください。

■デフォルトポートが「8000」なので、未使用であることを確認して、インストール

$ netstat -an | grep 8000 | wc -l
0
$ sudo dpkg -i splunk-6.3.1-f3e41e4b37b2-linux-2.6-amd64.deb 
以前に未選択のパッケージ splunk を選択しています。
(データベースを読み込んでいます ... 現在 36754 個のファイルとディレクトリがインストールされています。)
splunk-6.3.1-f3e41e4b37b2-linux-2.6-amd64.deb を展開する準備をしています ...
splunk (6.3.1) を展開しています...
splunk (6.3.1) を設定しています ...
complete

■初回起動とライセンスの同意

$ whereis splunk
splunk: /opt/splunk/bin/splunk

$ sudo /opt/splunk/bin/splunk start
...

Do you agree with this license? [y/n]: y        

■管理画面の待受ポートを確認してアクセス

$ netstat -an | awk '/:8000/{print}'
tcp        0      0 0.0.0.0:8000            0.0.0.0:*               LISTEN     

■管理画面の日本語化
 「http://172.31.31.60:8000」にアクセスしてログインすると以下のURLになる。
 「en-US」を「ja-JP」に書き換えるだけ。

 http://172.31.31.60:8000/en-US/app/launcher/home
 http://172.31.31.60:8000/ja-JP/app/launcher/home

■[help]はハイフンなし。
 余談ですが、シングルクォーテーションは「\047」の8進エスケープ。

$ sudo /opt/splunk/bin/splunk help start | \
    awk '!/^$/ && (NR<100){sub("\047","");print}'
  Start and stop Splunk server processes, or show process status.
Objects:
        splunkd      The Splunk server daemon
        splunkweb    Splunks Web interface process
                    
Syntax:
	start [splunkd|splunkweb]
        stop [splunkd|splunkweb]
        restart [splunkd|splunkweb]
        status [splunkd|splunkweb] 
Objects:
	None
Required Parameters:
	None
Optional Parameters:
		--accept-license    		(FOR START ONLY) For a first-time Splunk start, automatically accept the license without prompt.
		--answer-yes        		(FOR START ONLY) Answer yes to prompts at installation and upgrade.
		--debug             		(FOR START ONLY) Starts Splunk in verbose logging mode. This is not recommended. Read more about debug logging in the online documentation: http://docs.splunk.com/Documentation/Splunk/latest/Troubleshooting/Enabledebuglogging
		-f                  		(FOR STOP ONLY) Forces an immediate shutdown. This is not recommended.
		--no-prompt         		(FOR START ONLY) Exit on questions rather than wait for an answer.
Examples:
	None
Type "help [command]" to get help with parameters for a specific command.
Complete documentation is available online at: http://docs.splunk.com/Documentation

■結構簡単に検索出来る。
 外部公開サービスなしで、UTM(Fortigate)をはじめ、
 Juniper-SRX、SSG、Ciscoルータやスイッチ、
 サンドボックスライクなHoneypot(全パケットキャプチャの仮想マシン)の
 ログをCSV出力するなどして一元的に検索出来る。

 その位ならシェル芸で十分だが、
 自動しきい値によるアラート通知や相関関係の分析、
 SMLの「マルウェアトレース機能」との連携が面白そう。
 ただ、1日500MBはすぐに超えそうなので、
 それなりのシェル芸でも考えますか。。。

 「『高度標的型攻撃』対策に向けたシステム設計ガイド」の公開
 https://www.ipa.go.jp/security/vuln/newattack.html

 高度サイバー攻撃への対処におけるログの活用と分析方法
 https://www.jpcert.or.jp/research/apt-loganalysis.html

 SML(Security Management with Logging) Ver2.0
 https://www.canon-elec.co.jp/products/security/sml/index.html