■Splunk評価版をdebパッケージでインストールしてみた。
$ lsb_release -d
Description: Debian GNU/Linux 8.2 (jessie)
■[Splunk Enterprise]評価版をダウンロード
Splunk
http://www.splunk.com/ja_jp/download.html
■日本語ドキュメント
バージョン毎に結構沢山ある。
Splunk を使ってみよう
http://www.splunk.com/ja_jp/goto/book
SpecialLatestDoc
http://docs.splunk.com/Special:SpecialLatestDoc?t=Documentation/Splunk/latest/Translated/Japanesemanuals
$ w3m -dump "http://docs.splunk.com/Special:SpecialLatestDoc?\
t=Documentation/Splunk/latest/Translated/Japanesemanuals" | awk '/Japanese/{print}'
• Splunk » 6.2.5 » Translated » Japanese manuals
• Splunk » 6.2.4 » Translated » Japanese manuals
• Splunk » 6.2.3 » Translated » Japanese manuals
• Splunk » 6.2.2 » Translated » Japanese manuals
• Splunk » 6.2.1 » Translated » Japanese manuals
• Splunk » 6.2.0 » Translated » Japanese manuals
• Splunk » 6.1.6 » Translated » Japanese manuals
• Splunk » 6.1.5 » Translated » Japanese manuals
• Splunk » 6.1.4 » Translated » Japanese manuals
• Splunk » 6.1.3 » Translated » Japanese manuals
• Splunk » 6.1.2 » Translated » Japanese manuals
• Splunk » 6.1.1 » Translated » Japanese manuals
• Splunk » 6.1 » Translated » Japanese manuals
• Splunk » 6.0.7 » Translated » Japanese manuals
• Splunk » 6.0.6 » Translated » Japanese manuals
• Splunk » 6.0.5 » Translated » Japanese manuals
• Splunk » 6.0.4 » Translated » Japanese manuals
• Splunk » 6.0.3 » Translated » Japanese manuals
• Splunk » 6.0.2 » Translated » Japanese manuals
• Splunk » 6.0.1 » Translated » Japanese manuals
• Splunk » 6.0 » Translated » Japanese manuals
• Splunk » 5.0.11 » Translated » Japanese manuals
• Splunk » 5.0.10 » Translated » Japanese manuals
• Splunk » 5.0.9 » Translated » Japanese manuals
• Splunk » 5.0.8 » Translated » Japanese manuals
• Splunk » 5.0.7 » Translated » Japanese manuals
• Splunk » 5.0.6 » Translated » Japanese manuals
• Splunk » 5.0.5 » Translated » Japanese manuals
• Splunk » 5.0.4 » Translated » Japanese manuals
• Splunk » 5.0.3 » Translated » Japanese manuals
• Splunk » 5.0.2 » Translated » Japanese manuals
• Splunk » 5.0.1 » Translated » Japanese manuals
• Splunk » 5.0 » Translated » Japanese manuals
■debパッケージの確認
$ dpkg -I splunk-6.3.1-f3e41e4b37b2-linux-2.6-amd64.deb
新形式 debian パッケージ、バージョン 2.0。
サイズ 144105168 バイト: コントロールアーカイブ = 3104 バイト。
144 バイト、 5 行 control
6049 バイト、 207 行 * postinst
2903 バイト、 93 行 * preinst
Package: splunk
Version: 6.3.1
Maintainer: Splunk Inc. <info@splunk.com>
Architecture: amd64
Description: Splunk The platform for machine data.
$ dpkg -c splunk-6.3.1-f3e41e4b37b2-linux-2.6-amd64.deb | awk 'END{print NR}'
11706
■インストール方法の確認
$ pdftotext Splunk-6.2.0-ja_JP-Installation.pdf - | grep -A 61 "Debian DEB" | grep -v "^[0-9][0-9]\$"
Debian DEB のインストール
Splunk DEB パッケージをインストールするには:
dpkg -i splunk_package_name.deb
注意: Splunk DEB パッケージはデフォルトの
/opt/splunk
にのみインストールできます。
インストールされる内容
Splunk パッケージステータス:
dpkg --status splunk
すべてのパッケージを⼀覧表⽰:
dpkg --list
Splunk の開始
Splunk Enterprise は、ローカルシステム上の任意のユーザーとして動作することができます。root 以外のユー
ザーとして実⾏する場合は、指定した⼊⼒からデータを読み込むために適切な権限を持っていることを確認してく
ださい。詳細は、Splunk Enterprise を⾮ root ユーザーとして動作させる⽅法の説明を参照してください。
コマンドラインインターフェイスから Splunk Enterprise を開始するには、$SPLUNK_HOME/bin ディレクトリから以
下のコマンドを実⾏します ($SPLUNK_HOME は、Splunk をインストールしたディレクトリ)。
./splunk start
このドキュメントでは、以下の表記規則を使⽤しています。
$SPLUNK_HOME
は、Splunk のインストールパスを⽰します。
は、コマンドラインインターフェイスの場所を⽰します。
$SPLUNK_HOME/bin/
スタートアップオプション
新たにインストールした後初めて Splunk Enterprise を起動する場合、使⽤許諾契約に同意する必要がありま
す。1 ステップで Splunk Enterprise を開始して使⽤許諾契約に同意するには:
$SPLUNK_HOME/bin/splunk start --accept-license
注意: accept-license オプションの前には 2 つのダッシュがあります。
Splunk Web の起動とログイン
Splunk Enterprise を開始して使⽤許諾契約に同意したら:
1. ブラウザウィンドウから、http://<hostname>:port にある Splunk Web にアクセスします。
はホストマシンを表しています。
は、インストール時に指定したポート番号です (デフォルトのポートは 8000)。
hostname
port
注意:初めて Splunk にアクセスする場合は、HTTP を使⽤してください。
2. ログイン情報 (デフォルトはユーザー名 admin、パスワード changeme) の⼊⼒を要求するプロンプトが表⽰されま
す。無料版の Splunk Free に切り替えた場合、それ以降のセッションでこのログインページは表⽰されません。
次に⾏う作業
Splunk Enterprise をインストールしたら、次に何を⾏えば 良いのでしょうか?
Splunk Enterprise のアンインストール
Splunk Enterprise のアンインストールについては、このマニュアルの「Splunk Enterprise のアンインストー
ル」を参照してください。
■デフォルトポートが「8000」なので、未使用であることを確認して、インストール
$ netstat -an | grep 8000 | wc -l
0
$ sudo dpkg -i splunk-6.3.1-f3e41e4b37b2-linux-2.6-amd64.deb
以前に未選択のパッケージ splunk を選択しています。
(データベースを読み込んでいます ... 現在 36754 個のファイルとディレクトリがインストールされています。)
splunk-6.3.1-f3e41e4b37b2-linux-2.6-amd64.deb を展開する準備をしています ...
splunk (6.3.1) を展開しています...
splunk (6.3.1) を設定しています ...
complete
■初回起動とライセンスの同意
$ whereis splunk
splunk: /opt/splunk/bin/splunk
$ sudo /opt/splunk/bin/splunk start
...
Do you agree with this license? [y/n]: y
■管理画面の待受ポートを確認してアクセス
$ netstat -an | awk '/:8000/{print}'
tcp 0 0 0.0.0.0:8000 0.0.0.0:* LISTEN
■管理画面の日本語化
「http://172.31.31.60:8000」にアクセスしてログインすると以下のURLになる。
「en-US」を「ja-JP」に書き換えるだけ。
http://172.31.31.60:8000/en-US/app/launcher/home
http://172.31.31.60:8000/ja-JP/app/launcher/home
■[help]はハイフンなし。
余談ですが、シングルクォーテーションは「\047」の8進エスケープ。
$ sudo /opt/splunk/bin/splunk help start | \
awk '!/^$/ && (NR<100){sub("\047","");print}'
Start and stop Splunk server processes, or show process status.
Objects:
splunkd The Splunk server daemon
splunkweb Splunks Web interface process
Syntax:
start [splunkd|splunkweb]
stop [splunkd|splunkweb]
restart [splunkd|splunkweb]
status [splunkd|splunkweb]
Objects:
None
Required Parameters:
None
Optional Parameters:
--accept-license (FOR START ONLY) For a first-time Splunk start, automatically accept the license without prompt.
--answer-yes (FOR START ONLY) Answer yes to prompts at installation and upgrade.
--debug (FOR START ONLY) Starts Splunk in verbose logging mode. This is not recommended. Read more about debug logging in the online documentation: http://docs.splunk.com/Documentation/Splunk/latest/Troubleshooting/Enabledebuglogging
-f (FOR STOP ONLY) Forces an immediate shutdown. This is not recommended.
--no-prompt (FOR START ONLY) Exit on questions rather than wait for an answer.
Examples:
None
Type "help [command]" to get help with parameters for a specific command.
Complete documentation is available online at: http://docs.splunk.com/Documentation
■結構簡単に検索出来る。
外部公開サービスなしで、UTM(Fortigate)をはじめ、
Juniper-SRX、SSG、Ciscoルータやスイッチ、
サンドボックスライクなHoneypot(全パケットキャプチャの仮想マシン)の
ログをCSV出力するなどして一元的に検索出来る。
その位ならシェル芸で十分だが、
自動しきい値によるアラート通知や相関関係の分析、
SMLの「マルウェアトレース機能」との連携が面白そう。
ただ、1日500MBはすぐに超えそうなので、
それなりのシェル芸でも考えますか。。。
「『高度標的型攻撃』対策に向けたシステム設計ガイド」の公開
https://www.ipa.go.jp/security/vuln/newattack.html
高度サイバー攻撃への対処におけるログの活用と分析方法
https://www.jpcert.or.jp/research/apt-loganalysis.html
SML(Security Management with Logging) Ver2.0
https://www.canon-elec.co.jp/products/security/sml/index.html