Дополнение Ubiquiti для Splunk

Дополнение Ubiquiti для Splunk, UniFi Network

cadal

Guest

19.10.2018 06:20:00

Привет! Я немного покопался на reddit и здесь, но так и не нашёл обсуждений этого Splunk-приложения (особенно что-то по требованиям со стороны ubnt, кроме прямой отправки в syslog и записи в фаерволе и т.п.). Если я просто пропустил — без проблем, а если нет, то, может, кому-то из вас будет интересно это симпатичное приложение от Filip Wijnholds, которое я собираюсь опробовать на этих выходных, если успею! https://splunkbase.splunk.com/app/4107/#/overview Кстати, обновляли его всего два дня назад.

FriedCheese2006 Guest	#2 21.12.2018 23:32:00 Ооооо... Красиво. Вот с чего я начал в Splunk, теперь, когда данные журналов поступают корректно и настроены извлечения полей. Сверху – разрешено; снизу – отброшено.

bulbrookh Guest	#3 30.08.2023 02:55:00 Помните, что нужно добавить правило брандмауэра «разрешить syslog» — udp/514 по умолчанию заблокирован в Windows, и Splunk не откроет этот порт автоматически при добавлении источника данных.

FriedCheese2006

Guest

28.03.2019 14:43:00

Я так и не заставил это работать. Удалил и просто настроил удалённый сборщик как sourcetype "linux_messages_syslog". Потом сделал field extractions, чтобы всё распарсить. Вот какие извлечения я написал:
EXTRACT-zone_name,rule_number,firewall_action,port_in,port_out,src_mac,dst_mac,src_ip,dst_ip,length,ttl,id = (Router kernel: \[)(?<zone>([^-]*))(\-)(?<rule_number>\d{1,4})(\-)(?<firewall_action>.)(\])(IN=)(?<port_in>[^ ]*)( )(OUT=)(?<port_out>[^ ]*)( )(MAC=)(?<src_mac>(..:..:..:..:..:..))(\:)(?<dst_mac>(..:..:..:..:..:..))(\:..:..)( )(src=)(?<src_ip>\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})( )(DST=)(?<dst_ip>\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})( )(LEN=)(?<length>\d{1,4})( )(TOS=(.+))(PREC=.+)(TTL=)(?<ttl>\d{1,3})( )(ID=)(?<id>\d{1,5})( )
EXTRACT-protocol = (PROTO=)(?<protocol>([^ ]*))
EXTRACT-src_port,dst_port = (SPT=)(?<src_port>\d{1,5})( )(DPT=)(?<dst_port>\d{1,5})

vyente

Guest

27.03.2019 18:26:00

Тебе удалось заставить работать дополнение Unifi в Splunk? Я уже несколько дней пытаюсь, но безуспешно. У меня Unifi Pro, коммутатор Unifi на 16 портов и точка доступа, контроллер Unifi запущен на Windows Server 2k12r2 в виртуалке. В настройках контроллера Unifi я добавил IP моей виртуалки с портом. Следовал инструкциям от Ubiquiti, но ничего не получилось.

Вместо этого думал настроить логирование через контроллер Unifi, но не смог найти папку с логами Unifi на Windows Server.

Кстати, кто-нибудь знает, что такое Netconsole logging?

kmitch Guest	#6 21.12.2018 23:56:00 Я уже вижу, что собираюсь провести ОЧЕНЬ МНОГО ВРЕМЕНИ, играя со всеми этими классными инструментами. Спасибо, (наверное) Ken

ichila Guest	#7 21.12.2018 23:20:00 Я использую SecOnion и установил поверх него Splunk. Всё работает довольно хорошо, включая модуль Ubiquiti. Я зеркал свой WAN-порт, чтобы видеть весь трафик входящий и исходящий.

kmitch Guest	#8 21.12.2018 22:20:00 Я собираюсь настроить Elastic Stack (иначе ELK) для мониторинга системных логов, так как, похоже, это единственный способ получить действительно полезную информацию о сети.

FriedCheese2006 Guest	#9 21.12.2018 20:56:00 Удалось ли тебе запустить дополнительное приложение? Вчера вечером я пытался пару часов, но так и не смог его нормально запустить.

Читают тему (гостей: 1)