Ciekawa książka o Splunk – czyli jak szybko przeszukiwać logi z własnej infrastruktury IT

Ostatnio pisaliśmy o nowej książce Richarda Bejtlicha – „The Practice of Network Security Monitoring” (wersja papierowa już dostępna na Amazonie), dzisiaj z kolei kilka słów o projekcie Splunk i zastosowaniu tego narzędzia do monitorowania bezpieczeństwa naszej infrastruktury IT.

Jednym z pierwszych kroków realizowanych podczas organizacji monitoringu bezpieczeństwa sieci, jest odpowiednia konfiguracja logowania zdarzeń (niekoniecznie tylko tych „podejrzanych”) przez rozmaite komponenty. Źródłem logów mogą być:

• systemy operacyjne,
• usługi (bazy danych, serwery pocztowe, serwery webowe, serwery dns, …),
• aplikacje – webowe/niewebowe,
• wreszcie same urządzenia (firewalle, systemy IDS, systemy WAF).

Listę tą można rozszerzać w zasadzie w nieskończoność – w końcu nigdy dokładnie nie wiemy, z którego miejsca w naszej sieci będą nam potrzebne logi podczas analizy ataku czy analizy powłamaniowej. Jednocześnie, problemem zaczyna być to, że ilość logów które zbieramy jest ogromna, a niemal każde źródło posługuje się własnym formatem zapisu.

Jak sobie z tym poradzić? Z jednej strony możemy użyć rozwiązań typu OSSEC (automatyczna analiza logów w czasie rzeczywistym i notyfikowanie nas o ewentualnych problemach z bezpieczeństwem), z drugiej strony czasem wymagana jest konieczność sprawdzenia pewnych informacji w oryginalnych logach. W tym przypadku przeszukiwanie różnych formatów w różnych miejscach może być kłopotliwe. I tutaj do gry wchodzi Splunk. Po pierwsze, jest on w stanie sprowadzić logi do 'wspólnego mianownika’ – to znaczy przetłumaczyć różne formaty na jeden (mniej więcej) wspólny. Po drugie – zapewnia nam zaawansowane przeszukiwanie po wszystkich dostępnych logach.

Inne ciekawe funkcjonalności to choćby możliwość automatycznego alertowania w przypadku zlokalizowania konkretnych problemów w logach (np. próby włamań) czy możliwości wizualizacji zebranych danych.

Sami twórcy narzędzia piszą o splunku tak:

Splunk Enterprise is the platform for machine data. It’s the easy, fast and resilient way to collect, analyze and secure the massive streams of machine data generated by all your IT systems and technology infrastructure.

Troubleshoot problems and investigate security incidents in minutes (not hours or days).

Brzmi świetnie? To prawda :) choć są też minusy tego rozwiązania – przede wszystkim trzeba za nie zapłacić (choć istnieje możliwość pobrania darmowej licencji umożliwiającej analizę do 500MB logów dziennie – do testów czy dla niewielkich infrastruktur IT – w sam raz).

Czytelników, którzy chcieliby się dowiedzieć nieco więcej o narzędziu, odsyłam do wyśmienitej książki: Exploring Splunk, dostępnej na Amazonie. Jest też dostępna bezpłatna wersja tej książki –  PDF na stronach Splunka.

–michal.sajdak<at>securitum.pl