SierraX
Well-Known Member
Hi,
ich hab mir zu Ostern ein virtuelles Testnetzwerk aufgebaut und das ganze durch eine virtuelle pfSense appliance von dem physischen Netz getrennt. Das ganze läuft auf einer VM Ware Fusion Pro 8 Version aber das nur so am Rande.
Am Dienstag dann bin ich dann auch dazu gekommen, einen Standalone Splunk Server in dem Testnetzwerk ein zu richten.
Der FreeBSD Splunk Universal Forwarder liess sich auch relativ problemlos installieren, da es nicht in den FreeBSD Repositories drin ist (bei der Frequenz der Änderungen vielleicht auch gut so), musste man es eben von der Webseite runterladen und "von Hand" installieren mit pkg installieren.
z.Z. fliessen nur die Splunk internen Diagnose Daten rein... das sieht dann etwa so wie in dem Screenshot aus:
Mein Frage nach dieser kleinen Vorstellung: Ich bin noch nicht zum suchen gekommen, kann mir vorstellen das ich alles auch so finden kann wann ich lang genug lese...
Kann mir ein pfSense Profi hier, eine schnelle Übersicht geben, welche Logdateien über die Firewall Funktionen interessant sein könnten, und wo die liegen? Auf die schnelle hab ich nämlich nur die vorgefertigten Logbetrachter auf dem CLI (was schon das lieferte was ich mir vorstelle) und ein paar für mich uninteressantere auf der WebGUI gesehen.
ich hab mir zu Ostern ein virtuelles Testnetzwerk aufgebaut und das ganze durch eine virtuelle pfSense appliance von dem physischen Netz getrennt. Das ganze läuft auf einer VM Ware Fusion Pro 8 Version aber das nur so am Rande.
Am Dienstag dann bin ich dann auch dazu gekommen, einen Standalone Splunk Server in dem Testnetzwerk ein zu richten.
Der FreeBSD Splunk Universal Forwarder liess sich auch relativ problemlos installieren, da es nicht in den FreeBSD Repositories drin ist (bei der Frequenz der Änderungen vielleicht auch gut so), musste man es eben von der Webseite runterladen und "von Hand" installieren mit pkg installieren.
z.Z. fliessen nur die Splunk internen Diagnose Daten rein... das sieht dann etwa so wie in dem Screenshot aus:
Mein Frage nach dieser kleinen Vorstellung: Ich bin noch nicht zum suchen gekommen, kann mir vorstellen das ich alles auch so finden kann wann ich lang genug lese...
Kann mir ein pfSense Profi hier, eine schnelle Übersicht geben, welche Logdateien über die Firewall Funktionen interessant sein könnten, und wo die liegen? Auf die schnelle hab ich nämlich nur die vorgefertigten Logbetrachter auf dem CLI (was schon das lieferte was ich mir vorstelle) und ein paar für mich uninteressantere auf der WebGUI gesehen.
Vereinfacht: es ist ein System, das Klartextdaten jeder Art sammeln und speichern kann. Und diese dann auch durchsuchbar macht. Diese Suchen können dann eben für Statistiken und Alarmierungen hergenommen werden. Als Beispiel: Eine Firewall liefert die log-datei über die Durchsetzung der Regeln an den Splunk server... und man sucht nach den ip-adressen, die die letzte 15 Minuten geblockt wurden... durch die Häufung einer IP Adresse könnte man z.B. auf einen automatisierten Angriff schliessen... Datendurchsätze sind auch immer wieder interessant.