BLOG IT

Cuando empezamos a trabajar con una tecnología nueva, nos encontramos con problemas que no sabemos muy bien como solucionar, donde encontrarlo los logs, como hacer debug... Muchas veces nos lanzamos a leer la doc oficial del fabricante, blog, google... un día navegando encontré este enlace  el cual me parece muy útil. De todas formas sigo pensando que lo mejor es buena formación

Una duda típica a la hora de recoger/enviar eventos a los indexadores, es que tipo de forwarder usar. Como norma general lo ideal es usar siempre Universal Forwarder (UF) ,  este es un agente muy ligero, que apenas consume recursos del host donde se instala, incluso existe una versión para Raspberry Pi, aquí . Existe otro tipo, llamado  Heavy Forwarder (HF),  este es mas pesado, pero dispone de funcionalidades adicionales, como: Posibilidad de filtrar/descartar eventos Posibilidad de conectarte a varias DB a través de la App DB Connect Realizar enrutado de información compleja. Esto son grandes ventajas, pero a cambio, el envío de información es mas pesado, y puede sobrecargar la red, ya que el HF parsea los eventos, y esto hace que incrementen su tamaño. Por esto, siempre es recomendable usar UF, salvo que no que nos encontremos en alguno de los tres casos anteriores. Aquí is dejo un enlace del blog de Splunk donde lo explican en detalle,  Universa...

Un componente casi imprescindible, pero no obligatorio en casi cualquier despliegue de Splunk es el F orwarder (FW). Este componente es el encargado de recolectar, enrutar, filtrar información... sobre nuestros datos, se puede instalar en maquinas Windows y Unix, puede recoger información de una BBDD o de una web, vía REST API, por ejemplo, y enviarlo directamente a nuestro indexador o incluso a otro FW. Por supuesto puede enviar la información cifrada, comprobar si ha llegado al destino, dispone de una cache que puede retener los datos (muy útil cuando trabajamos con eventos enviados por un router, firewall o dispositivo IOT) y muchas otras funcionalidades que lo hacen tan interesante, pero lo que no pueden hacer, es indexar información En nuestra arquitectura podemos tener cientos de FW desplegados, en este caso lo ideal es montar un Deploytment Server , el cual se encarga de enviar configuraciones a nuestros FW, y así nos evitamos tener que ir uno a uno. Si hablamos de FW, d...

Con las Apps de Splunk podemos tener parametrizados unos tipos de datos de entrada, alarmas, dashboards... Nosotros podemos crear nuestras propias Apps , pero también podemos descargarlas del propio repositorio de Splunk , Splunk Base . Básicamente existen dos tipo de Apps, las gratuitas y las premiun . Las gratuitas las podemos descargar e instalar en nuestro entorno, alguna están desarrolladas por la comunidad, otras por la propia Splunk y otras por fabricantes. Muchas de ellas disponen de documentación donde explican como desplegarlas en un nuestro entorno, versiones soportadas... Algunas gratuitas destacadas Cisco Security Suite DB Connect Palo Alto Networks Alert Manager Ademas de estas gratuitas, también existen las llamadas premium, las cuales tendremos que licenciar de manera adicional, estas son pocas, pero muy potentes Splunk App for VMware Splunk App for PCI Compliance Splunk App for Microsoft Exchange Splunk Enterprise Security   Cuando vamos a aña...

Voy a comenzar este "reenganche" hablando de un software con el que llevo trabajando años, se llama Splunk , este es un software, o plataforma, como me gusta denominarlo a mi, el cual es capaz de ingerir gran cantidad de eventos/log (BBDD, syslog, REST API...) y poder representar esta información mediante gráficos, lanzar alarmas (email, sms script...) y todo esto en tiempo real y desde una interfaz web. Dispone muchísimas Apps desarrolladas y mantenidas por la comunidad, fabricantes (CISCO, Palo Alto, Splunk...) las cuales nos permiten integración directa con sus productos, en algún post os pondré ejemplos de algunas de ellas, mientras os pongo un enlace . Ademas por el tipo de software que es, cada proyecto, es un reto, ya que cada proyecto puede ser un caso de uso totalmente nuevo, por ejemplo pueden hacerse proyectos la visualización de gráficos de log de servidor de aplicaciones (IIS, apache...) puede hacer de "coctelera" que ingiera eventos de multiples...

Debido a carga de trabajo y la logística familiar, he tenido desantentido este blog todo este tiempo, algo que no me ha gustado, asi que desde ahora intentare mantenerlo actualizado y contestaros a todas vuestras preguntas. Los temas sobre los que giraran los siguientes ariculos serán algo de Altiris, Scripting... pero también he agregado algunas nuevas habilidades en este tiempo, como son Splunk, el big data, Qlik Sense, gestión de proyectos... Espero que todo esto siga siendo de vuestro agrado, ya que me sorprende el numero de accesos y preguntas que me han llegado durante todo este tiempo, en que el blog ha estado "muerto"