Entradas

Arquitecturas Splunk: Capitulo 1 - Introduccion

Imagen
Voy a crear una serie artículos explicando los diferentes tipos de arquitecturas de Splunk y sus componentes.
De forma rápida, los principales componentes de Splunk: Search Head (SH): Es el encargado de realizar las búsquedas sobre los datos, ejecutar alarmas, contiene cuadros de mandos, login de usuarios. Suele demandar muchas CPUsIndexador (IDX): Es donde se almacena toda la información, y donde nuestros SH irán a buscarla. Aquí debemos disponer de almacenamiento. Lo normal es disponer de un almacenamiento lo mas rápido posible para datos recientes, y otro "normal" para los datos históricos.Forwarder: El encargado de recoger y envinar la información a nuestro IDX, en estos dos artículos ya hable de ellos Splunk ForwarderyForwarder VS Heavy ForwarderYa veremos más adelante que pueden existir otros componentes. Todos estos componentes, se pueden agrupar o distribuir de la siguiente forma: Standalone: Este suele ser en muchos casos el punto…

Visualizaciones Splunk Capitulo 2

Imagen
Después de la anterior entrada, Visualizaciones Splunk Capitulo 1, continuo en esta explicando algunos trucos que uso a la hora de realizar cuadros de mando o informes en Splunk.
Algo sencillo pero que en ocasiones suele funcionar muy bien es activar el "dark theme" Por supuesto podemos usar visualizaciones externas, creadas por terceros, pero con cuidado de problemas de compatibilidad, actualizaciones...Existen dos fuentes muy buenas, que yo consulto casi a diario, son, Splunk Basey el Blog de Splunk,,Splunk Apps En lo que se refiere a tomar ideas, o incluso saber cómo hacer ciertos indicadores, drilldowns... una app básica que uso desde hace años Splunk Dashboard ExamplesOtra App que no es tan veterana, de hecho se encuentra en Beta, pero que esta genial para  hacer Dashboards de forma "más sencilla" es Splunk Dashboards App (Beta)yo la he usado muy poco, solo para trastear, creo que básicamente uno de los requisitos es ten…

Visualizaciones Splunk Capitulo 1

Imagen
Una de las grandes bondades de Splunk es la posibilidad de crear cuadros de mando o informes.
En algunas ocasiones, como puede ser un POC, con hacer unos simples gráficos de tarta, barras y unas tablas, puede servirnos, para demostrar la potencia de Splunk.
Pero en otras ocasiones nos podemos enfrentar grandes a proyectos de visualización de datos, donde se tiene que hilar muy fino en el tipo de gráfico, colores, orden de los gráficos...
Nos podemos encontrar con dos perfiles de empresas: Empresas que llevan tiempo trabajando en proyectos similares, y tienen gente con las ideas muy claras, por lo que suele ser mas facil abordar algunas tareas.Empresas que están empezando y además no tienen mucha gente especializada en el campo de la presentación de datos, o no tienen tiempo para dedicarle al proyecto.

Si estamos en este segundo caso, desde mi experiencia, yo siempre parto de las siguientes premisas: Personalizar al máximo la apariencia de Splunk, desde la página de inicio, los iconos d…

CIM datamodel

Imagen
Hace ya tiempo hice un  post, sobre los Data Model, pero me deje una cosa en el tintero, y creo que viene perfecto para poder hacer un post, y explicar uno de los grandes beneficios de los Data Model, la normalización.
Creo que es uno de los puntos clave cuando nos encontramos un entorno con varias fuentes, por ejemplo dos fabricantes distintos de firewall (F1 y F2 en este caso) y nuestro LDAP, nos podemos encontrar diferentes campos con el mismo significado pero diferente nombre, por ejemplo, puede que el campo usuario se llame user_name en el F1 user_n en el F2 y en el LDAP sea account_name.
Todo esto Splunk lo tiene más que pensado, y para ello dispone de una App llamada CIM, la cual dispone de una estructura de campos bastante grande, donde podemos apoyarnos para esta normalización, además dispone de una documentación bastante completa, donde nos muestra el nombre del campo en función del Data Model(Malware, DLP...). 
Por último, es importante tener en cuenta el almacenamiento de la …

Actualziar Splunk

Imagen
Unos de los momentos críticos y que deben ser planificados son las actualizaciones de versión. Hace unos días Splunk liberó la versión 7.3, la cual trae bastantes novedades, aunque en este post no voy a explicar estas novedades, sino algunas cosas que debemos tener en cuenta antes de actualizar.

La idea de este post me vino a la cabeza después de leer este articulo del blog de Splunk, desde luego esta bien pasarse de forma regular a ojear los post.

En este post explican algunas de las mejores practicas, como leerse primero siempre los siguientes enlaces:
Leer las novedades y cambios en la versión, aquiCrear un plan detallado de la migración, identificando los componentes, aquí un ejemplo muy bueno, aqui me gustaria destacar dos puntosBackup, backup, backup, esto nunca sobra, Splunk tiene sus particularidades, ya lo explicaré en un futuro postEntorno de pre-producción, no siempre es posible, pero cuanto mas compleja sea nuestra arquitectura más necesario esRevisar las compatibilidades …

Splunk tuning

Imagen
Siempre que realizamos una implementación de Splunk, u otro producto, una de las cosas que debemos cuidar es el tuning y aplicar las mejores practicas recomendadas por el fabricante.
A continuación os pongo unas configuraciones básicas que siempre realizo al desplegar/montar un sistema Splunk


Ulimitshttps://answers.splunk.com/answers/13313/how-to-tune-ulimit-on-my-server.htmlhttps://docs.splunk.com/Documentation/Splunk/7.2.6/Troubleshooting/ulimitErrorsHTTP threadhttps://docs.splunk.com/Documentation/Splunk/7.2.6/Troubleshooting/HTTPthreadlimitissuesTransparent huge memoryhttps://docs.splunk.com/Documentation/Splunk/7.2.6/ReleaseNotes/SplunkandTHPAquí se explican algunas consideraciones básicas

Cifrado de comunicaciones en Splunk

Imagen
Uno de los puntos mas importante en despliegues de Splunk, y algo que debería ser una costumbre en todos los primeros pasos de despliegues, es la instalación y configuración de certificados.
En toda instalación de Splunk, podríamos distinguir tres puntos donde instalar certificados:

Web: He llamado así al certificado que publicaremos para acceso de nuestros usuarios, es decir, para que la información entre el navegadores de los usuarios y nuestro SH este cifrada. Este certificado lo configuramos en nuestro web.conf y server.conf. Aquí os dejo unos enlaces donde explica como hacerlo:https://docs.splunk.com/Documentation/Splunk/7.2.6/Security/AboutsecuringauthenticationtoSplunkWebhttps://answers.splunk.com/answers/506572/installing-a-ssl-certificate-in-splunk.htmlEnvío de datos al IDX: Por defecto, al información que mandamos a nuestro indexador no va cifrada, para ello tenemos que habilitar en nuestros forwarder y Searh Head que este envío se haga de forma cifrada, para ello tenemos do…