Pasos necesarios para montar un syslog para recibir datos de BlueCoat (entre otras plataformas como Cisco, F5, UNIX).
Utilizaremos la herramienta gratuita Splunk (v.4.1).
La versión gratuita nos permite una transferencia de unos 500Mb diarios aproximadamente y las funciones basicas. Es decir, si por ejemplo, tenemos un proxy BlueCoat, pero no tenemos la máquina de analisys de logs porque no generamos tanto tráfico o presupuesto para adquirirla puede sernos muy útil. Durante los 15 primeros días podremos utilizar la funcionalidad completa, si queremos o necesitamos utilizar el resto de funcionalidades, decir que la licencia vale sobre los 6000$.
Instalamos nuestro sistema Linux en modo consola mismamente. Con el sistema base nos sirve. Ahora mismo yo lo tengo en producción bajo una máquina virtual a 3Ghz, con 512Mb de RAM y un solo core. Aunque en un primer arranque cuando sincronice con BlueCoat puede estar la CPU al 100% durante horas, haciendo pruebas con 256Mb de RAM también va sobrado.
Le asignamos una IP fija al sistema.
Una vez realizados estos pasos y desde la consola de nuestro Linux. Nos dirigimos a la carpeta /opt/ y descargamos el paquete de Splunk a descargar.
http://www.splunk.com/download?r=homepage
Escogemos la de nuestra plataforma, en nuestro caso “2.6+ kernel Linux distributions (64-bit)”. Es posible que nos solicite registro.
wget ‘http://www.splunk.com/index.php/download_track?file=4.1.5/linux/splunk-4.1.5-85165-linux-2.6-amd64.deb&ac=&wget=true&name=wget&typed=releases’
Nos descargamos el paquete .deb (estamos usando Ubuntu 10.0.4.1 Server).
Ejecutamos el instalador.
sudo dpkg -i splunk-4.1.5-85165-linux.2.6-amd64.deb
Una vez instalado nos saldrá un mensaje como este:
Una vez instalado ejecutamos Splunk con:
sudo /opt/splunk/bin/splunk start
Nos saldrá la licencia. Una vez hemos llegado al final, le damos a Yes para aceptarla. Acabará de realizar otros procesos.
Ejecutamos también la siguiente línea para que se inicie automáticamente cada vez que reiniciemos el servidor:
sudo /opt/splunk/bin/splunk enable boot-start
Para acceder al servidor utilizaremos el navegador.
La primera vez iniciará con un usuario y password por defecto:
TCP>Add New
/opt/splunk/var/logs/splunk/
|
root@splunk:/opt/splunk/var/log/splunk# ls -la
total 264252
drwx—— 2 root root 4096 2010-09-30 09:52 .
drwx–x–x 3 root root 4096 2010-09-01 10:44 ..
-rw——- 1 root root 18681151 2010-09-30 13:20 audit.log
-rw——- 1 root root 25000494 2010-09-22 01:10 audit.log.1
-rw——- 1 root root 25000223 2010-09-14 12:01 audit.log.2
-rw——- 1 root root 25000260 2010-09-07 00:05 audit.log.3
-rw——- 1 root root 0 2010-09-01 10:44 btool.log
-rw——- 1 root root 63 2010-09-01 10:44 first_install.log
-rw——- 1 root root 12471 2010-09-30 09:47 intentions.log
-rw——- 1 root root 21653 2010-09-30 13:20 license_audit.log
-rw——- 1 root root 1118741 2010-09-30 13:53 metrics.log
-rw——- 1 root root 25000103 2010-09-30 09:52 metrics.log.1
-rw——- 1 root root 25000033 2010-09-29 04:19 metrics.log.2
-rw——- 1 root root 25000095 2010-09-27 22:34 metrics.log.3
-rw——- 1 root root 25000042 2010-09-26 18:22 metrics.log.4
-rw——- 1 root root 25000066 2010-09-25 13:53 metrics.log.5
-rw——- 1 root root 12644 2010-09-01 11:36 python.log
-rw——- 1 root root 5098844 2010-09-27 16:20 scheduler.log
-rw——- 1 root root 25000032 2010-09-22 16:25 scheduler.log.1
-rw——- 1 root root 32781 2010-09-30 09:48 searches.log
-rw——- 1 root root 0 2010-09-01 10:44 searchhistory.log
-rw——- 1 root root 6882222 2010-09-30 13:20 splunkd_access.log
-rw——- 1 root root 3015195 2010-09-30 13:53 splunkd.log
-rw——- 1 root root 0 2010-09-01 10:44 splunkd_stderr.log
-rw——- 1 root root 1236 2010-09-27 17:36 splunkd_stdout.log
-rw——- 1 root root 9991423 2010-09-30 10:35 web_access.log
-rw——- 1 root root 588172 2010-09-30 13:20 web_service.log
|
