Importez audit.log dans Splunk et vérifiez le comportement lorsque Splunk est démarré pour la première fois.

introduction

Lorsque vous démarrez Splunk Enterprise pour la première fois, divers messages de traitement sont affichés à l'écran.

# /opt/splunk/bin/splunk start --accept-license --seed-passwd password

This appears to be your first time running this version of Splunk.
Copying '/opt/splunk/etc/openldap/ldap.conf.default' to '/opt/splunk/etc/openldap/ldap.conf'.
Generating RSA private key, 2048 bit long modulus
.................................+++++
...........................+++++
e is 65537 (0x10001)
writing RSA key

Generating RSA private key, 2048 bit long modulus
.............................................................................+++++
.................................................................+++++
e is 65537 (0x10001)
writing RSA key

Moving '/opt/splunk/share/splunk/search_mrsparkle/modules.new' to '/opt/splunk/share/splunk/search_mrsparkle/modules'.

Splunk> See your world.  Maybe wish you hadn't.

Checking prerequisites...
	Checking http port [8000]: open
	Checking mgmt port [8089]: open
	Checking appserver port [127.0.0.1:8065]: open
	Checking kvstore port [8191]: open
	Checking configuration... Done.
		Creating: /opt/splunk/var/lib/splunk
		Creating: /opt/splunk/var/run/splunk
		Creating: /opt/splunk/var/run/splunk/appserver/i18n
		Creating: /opt/splunk/var/run/splunk/appserver/modules/static/css
		Creating: /opt/splunk/var/run/splunk/upload
		Creating: /opt/splunk/var/run/splunk/search_telemetry
		Creating: /opt/splunk/var/spool/splunk
		Creating: /opt/splunk/var/spool/dirmoncache
		Creating: /opt/splunk/var/lib/splunk/authDb
		Creating: /opt/splunk/var/lib/splunk/hashDb
New certs have been generated in '/opt/splunk/etc/auth'.
	Checking critical directories...	Done
	Checking indexes...
		Validated: _audit _internal _introspection _metrics _telemetry _thefishbucket history main summary
	Done
	Checking filesystem compatibility...  Done
	Checking conf files for problems...
	Done
	Checking default conf files for edits...
	Validating installed files against hashes from '/opt/splunk/splunk-8.0.2.1-f002026bad55-linux-2.6-x86_64-manifest'
	All installed files intact.
	Done
All preliminary checks passed.

Starting splunk server daemon (splunkd)...  
Generating a RSA private key
...............................................+++++
...............+++++
writing new private key to 'privKeySecure.pem'
-----
Signature ok
subject=/CN=aio/O=SplunkUser
Getting CA Private Key
writing RSA key
Done
 [  OK  ]

Waiting for web server at http://127.0.0.1:8000 to be available.... Done


If you get stuck, we're here to help.  
Look for answers here: http://docs.splunk.com

The Splunk web interface is at http://aio:8000

À en juger par le contenu du message, il semble que vous créez un fichier. Alors qu'est-ce qui sera créé cette fois lors de la première startup? J'ai étudié cela avec Splunk.

• Dans cette enquête, les paramètres d'audit du système d'exploitation seront modifiés. Veuillez noter que la méthode de paramétrage et le format du journal peuvent différer selon la distribution.

Environnement au moment de l'enquête

OS: Amazon Linux 2 (4.14.171-136.231.amzn2.x86_64) Version Splunk: 8.0.2.1 Chemin d'installation de Splunk ($ SPLUNK_HOME): / opt / splunk

1. Installation de Splunk Enterprise

Installez Splunk. Je vais omettre la procédure détaillée, mais cette fois je vais l'installer avec le fichier tgz.

Entreprise Splunk/opt/Installer dans le répertoire

tar fvxz /tmp/splunk-8.0.2.1-f002026bad55-Linux-x86_64.tgz -C /opt/

2. Paramètres de sortie du journal d'audit

Modifiez les paramètres du système d'exploitation pour afficher les informations de modification du répertoire de paramètres Splunk dans le journal d'audit.

Configurer le journal d'audit(Changement temporaire)

#Ajouter un répertoire audité
auditctl -w /opt/splunk/etc/ -p wa -k etc_changes
#Confirmez que les paramètres ont été ajoutés
auditctl -l
#OK si le résultat de la commande est sorti."No rules"S'affiche, veuillez vérifier si les paramètres sont corrects.

3. Démarrez Splunk Enterprise

Démarrez Splunk Enterprise.

• L'exemple de commande suivant n'est pas très sécurisé car le mot de passe administrateur est mot de passe. Veuillez indiquer un mot de passe si nécessaire.

Démarrez Splunk Enterprise

/opt/splunk/bin/splunk start --accept-license --seed-passwd password

4. Vérifiez la sortie du journal d'audit

Vérifiez si les informations de modification du répertoire cible d'audit définies à l'étape 2 sont sorties dans le journal.

Vérifiez si les informations de modification du répertoire audité sont sorties dans le journal

grep /opt/splunk/etc/ /var/log/audit/audit.log | tail
#C'est OK si un ou plusieurs journaux sont générés.

5. Capturer le journal d'audit

Configurez le journal d'audit pour qu'il soit inclus de manière permanente dans Splunk.

• À des fins de recherche, il doit être inclus dans l'index principal. Si vous souhaitez importer vers un autre index, spécifiez -index <nom d'index> comme argument.
• Puisque les paramètres d'importation sont effectués à l'aide de la CLI, les informations de configuration sont enregistrées dans / opt / splunk / etc / apps / search / local / inputs.conf.

Configuré pour capturer les journaux d'audit en permanence

/opt/splunk/bin/splunk add monitor /var/log/audit/audit.log -auth admin:password

6. Confirmation du résultat de l'importation

Après avoir défini les paramètres ci-dessus, le journal d'audit doit avoir été importé dans Splunk, alors connectez-vous à Splunk Enterprise et vérifiez le résultat de l'importation avec l'instruction de recherche.

Rechercher les journaux d'audit

sourcetype="linux_audit" type="PATH" nametype!="PARENT"
| rex field=name "^(?<directory>.*\/)?(?<file>.*)"
| eval directory=if(len(mode)==6,directory+file,directory),file=if(len(mode)==6,"",file)
| table _time,msg,nametype,mode,directory,file
| sort msg

Explication du texte de recherche

Ligne 1 ... Recherche d'événements ** dans le journal d'audit où le champ de type est PATH et le champ de type de nom n'est pas PARENT **. Lignes 2 et 3 ... Le nom du répertoire et le nom du fichier sont définis dans les nouveaux champs (répertoire, fichier) à partir des informations de chemin enregistrées dans le champ de nom. 4ème ligne ・ ・ ・ Seuls les champs nécessaires à la visualisation sont formatés et affichés à partir des résultats de la recherche. 5ème ligne: étant donné que l'horodatage et les informations d'ID sont enregistrés dans le champ msg, ils sont triés et affichés dans l'ordre du champ msg.

7. Résultat

Voici quelques extraits des résultats de la recherche dans cet environnement. <détails> <résumé> Cliquez pour développer et afficher. </ résumé>

8. Analyse

Après avoir analysé les résultats de la recherche, il a été constaté que Splunk exécutait le processus de création de fichier / répertoire dans le répertoire / opt / splunk / etc / dans l'ordre suivant lors de son premier démarrage.

• Il semble que certains fichiers soient mis à jour plusieurs fois au cours du processus de traitement, mais nous omettons le processus de mise à jour.

De côté

La raison de cette fois était de voir "Comment le certificat de serveur utilisé par défaut dans le processus de communication chiffrée de Splunk est créé lorsque Splunk est démarré pour la première fois", mais par conséquent, d'autres fichiers de paramètres J'ai pu comprendre le déroulement du processus de création. Je souhaite également organiser et publier l'enquête sur le certificat par défaut.

Merci d'avoir lu jusqu'ici.

Suite

J'ai écrit une suite. Importez audit.log dans Splunk et vérifiez le comportement lors de la première connexion à Splunkweb

référence

6.6. À propos du fichier journal AUDIT Ceci est le manuel officiel de Redhat, mais il contient les informations de spécification du journal d'audit. Cependant, bien qu'Amazon Linux2 soit basé sur Rhel7, il semble que le format du journal (champ) soit légèrement ajusté.

Détecter la falsification de fichier Linux avec auditd

What is the splunk.secret file, and is it possible to change it? Qu'est-ce que «splunk.secret»? Ceci est le site officiel de la communauté QA de Spunk concernant la question.