Huong Dan Cai Dat Splunk Add-On for Juniper

T ài li ệu

NG DẪN CÀI ĐẶT HƯỚ NG Splunk Add-on for Juniper

Created by: Vietnam Cyberspace Security Technology JSC (VNCS)

Hanoi, December 2016

Công ty cổ phần công nghệ An ninh không gian mạng Việt Nam

MỤC LỤC Giớ i thiệu về Splunk Add-on for Juniper ............................................................................................. 3

1.

a. Phiên bản ........................................................................................................................................... 3  b. Source types....................................................................................................................................... 3 2.

Download và cài đặt ............................................................................................................................. 4

3.

Cấu hình ............................................................................................................................................... 4

Vietnam Cyberspace Security Technology., JSC (VNCS)  - A Member of Hanoi Telecom Corporation

Head Office: R301, 3F, 195 Kham Thien Str, Dong Da dist, Hanoi Website: www.vncs.vn | Email: [email protected] | Tel: +84 46291 1416

2

Công ty cổ phần công nghệ An ninh không gian mạng Việt Nam

1. Giớ i thiệu về Splunk Add-on for Juniper Splunk Add-on for Cisco ASA cho phép đẩy log từ các thiết bị uniper IDP, Juniper  NetScreen Firewall, Juniper NSM, Juniper NSM IDP, Juniper SSLVPN, Junos OS và Juniper SRX sử dụng syslog về máy chủ Splunk.

a. Phiên bản

b. Source types

Vietnam Cyberspace Security Technology., JSC (VNCS)  - A Member of Hanoi Telecom Corporation

Head Office: R301, 3F, 195 Kham Thien Str, Dong Da dist, Hanoi Website: www.vncs.vn | Email: [email protected] | Tel: +84 46291 1416

3

Công ty cổ phần công nghệ An ninh không gian mạng Việt Nam

2. Download và cài đặt -

Download add-on: https://splunkbase.splunk.com/app/2847/

-

Cài đặt add-on đượ c download về.

3. Cấu hình a. Trên Juniper devices -

Juniper OS (Source type:  juniper:junos:idp  và  juniper:junos:firewall  ) set system syslog host [host] any error set system syslog file qflogs set system syslog file qflogs structured-data brief set system syslog file qflogs archive size 1g

K ết quả: user@switch# show system syslog { file qflogs { } host [host] { any error; } }

Vietnam Cyberspace Security Technology., JSC (VNCS)  - A Member of Hanoi Telecom Corporation

Head Office: R301, 3F, 195 Kham Thien Str, Dong Da dist, Hanoi Website: www.vncs.vn | Email: [email protected] | Tel: +84 46291 1416

4

Công ty cổ phần công nghệ An ninh không gian mạng Việt Nam

-

Juniper Netscreen: set syslog config [host] set syslog config [h ost] facilities local0 local0 set syslog config [host] log traffic set syslog src-interface <> set syslog enable

-

Juniper NSM (source type  juniper:nsm  và  juniper:nsm:idp ):

Đăng nhậ p NSM GUI Vào Action Manager > Action Parameters Điền ip của Syslog Server và Syslog facility

Click “OK” -

Juniper SRX: user@host# set system syslog host [host] any any user@host# set security log mode stream user@host# set security log format syslog user@host# set security log source-adress [SRX ip] user@host# set security log stream securitylog category all host [host]

Kiểm tra: user@host# show system syslog

Tham khảo

b. Trên Splunk Splunk add-on for Juniper nhận dữ liệu đầu vào thông qua port UDP. Cấu hình UDP input phù hợ   p vớ i cấu hình trên Juniper và set source type phù hợ   p. Chạy lệnh search để kiểm tra: sourcetype = juniper*

 Nếu nhận dữ liệu từ Juniper NetScreem Firewall, chạy lên search: sourcetype = netscreen:firewall

Vietnam Cyberspace Security Technology., JSC (VNCS)  - A Member of Hanoi Telecom Corporation

Head Office: R301, 3F, 195 Kham Thien Str, Dong Da dist, Hanoi Website: www.vncs.vn | Email: [email protected] | Tel: +84 46291 1416

5